To jeden z większych i głośniejszych wycieków danych ostatnich lat. Jak informuje na swojej stronie internetowej Niebezpiecznik, pliki z danymi pacjentów znów pojawiły się w internecie. Tym razem zostały nawet uporządkowane według numerów PESEL tak, aby łatwiej było przeszukać ujawnione dane. Ujawnienie naszych danych nie zawsze wiąże się dla nas jednak z konkretną szkodą. Czy mimo to, należy nam się odszkodowanie?
Wyciek danych osobowych z bazy danych ALAB Laboratoria
Dane pacjentów jak i pracowników ALAbu wyciekły do internetu 19 listopada 2023 roku. Publikowane są one systematycznie. Najpierw światło dzienne ujrzały dane pacjentów, następnie informacje kadrowe, finansowe, a nawet dane z działu prawnego spółki. Teraz pojawiają się też uporządkowane listy pacjentów z przyporządkowanym ich numerem PESEL. Czy ALAB Laboratoria odpowie za wyciek nawet, jeśli nastąpił nie z ich winy? Według orzecznictwa TSUE to całkiem mnożliwe.
Podobna sprawa miała miejsce w Bułgarii
Warto przypomnieć, że w grudniu minionego roku TSUE wydał ważny wyrok w kontekście wycieku danych z ALABu. Sprawa dotyczyła wycieku danych osobowych przetwarzanych przez NAP. Jest to bułgarski organ państwowy działający przy ministrze finansów. Dane części obywateli w wyniku ataku hakerskiego zostały wykradzione i opublikowane w internecie. Jedna z obywatelek wniosła sprawę do sądu. W pierwszej instancji przegrała. W drugiej, sąd powziął wątpliwość prawną. Skierował zatem pytanie prejudycjalne do Trybunału Sprawiedliwości Unii Europejskiej.
TSUE bezwzględny dla administratorów danych: atak hakerski nie zwalnia z odpowiedzialności
Trybunał nie miał wątpliwości. Przypomniał po pierwsze, że na gruncie art. 82 RODO administrator jest, co do zasady, zobowiązany do naprawienia szkody spowodowanej naruszeniem tego rozporządzenia. Po drugie, że może on zostać zwolniony z odpowiedzialności tylko jeśli udowodni, że w żaden sposób nie ponosi winy za zdarzenie. Winą za zdarzenie jest na przykład niewystarczająca ochrona przetwarzanych danych osobowych. Sam zatem atak hakerski nie zwalnia z odpowiedzialności administratora.
Szkoda to też zwykła obawa o nasze dane
Aby jednak uzyskać odszkodowanie w takim przypadku, musimy wykazać doznaną szkodę. Bułgarka powoływała się przed sądem na obawę, jaką żywi, że jej dane osobowe mogą być wykorzystane w przyszłości w sposób stanowiący nadużycie. Trybunał podkreślił, że szkodę niemajątkową musimy rozumieć szeroko. Oznacza to, że szkodą jest też zwykła „utrata kontroli” nad naszymi danymi w następstwie naruszenia rozporządzenia.
Taki wyrok Trybunału Sprawiedliwości UE otwiera drogę do dochodzenia odszkodowań przez poszkodowanych pacjentów ALABu. Jeśli laboratoria nie wykażą, że nie ponoszą żadnej winy w wycieku, będą odpowiadać za naruszenie RODO. Jak łatwo sobie wyobrazić, raczej wszyscy, których dane wyciekły powzięli obawy o to, jak i kto wykorzysta ich PESEL czy nazwisko. Oczywiście ostateczna ocena, czy tego rodzaju obawa może uzasadniać przyznanie jakichkolwiek świadczeń pieniężnych, będzie – w razie sporu – należała do sądu krajowego.