Wczoraj Internet obiegła niepokojąca informacja, którą można zamknąć w następujących słowach kluczowych: alab wyciek danych. O sprawie poinformował m. in. serwis niebezpiecznik.pl – specjaliści z zakresu cyberbezpieczeństwa. Zainteresowanych tematem zachęcam do lektury: https://niebezpiecznik.pl/post/wyciekly-wyniki-badan-tysiecy-polakow-z-firmy-alab/
Precyzując, chodzi o Alab laboratoria, znany podmiot świadczący m. in. usługi laboratoryjne i diagnostyczne. Obecne doniesienia medialne wskazują na to, że firma padła ofiarą ataku hakerskiego. Sprawcy domagają się od Alab bliżej nieznanej kwoty za nierozpowszechnienie pozyskanych bezprawnie danych. Aby wykazać powagę sytuacji, hakerzy rozpowszechnili listę zawierającą dane około 54 tysięcy osób. Podążając za niebezpiecznikiem, były to dane pacjentów z 3 klinik: Łomianki, Warszawa oraz Łódź. Można więc domniemywać, że obecnie dane pozostałych pacjentów są względnie bezpieczne.
Alab wyciek danych lista
Chcesz sprawdzić, czy Twoje dane nie zostały rozpowszechnione? (Nie)stety, chwilowo jest z tym problem – pliki były wrzucone na prywatny serwer. Krótko po powzięciu informacji o całej sprawie, administrator usunął pliki z serwera. Ma to oczywiście swoje zalety – im mniej osób ma dostęp, tym lepiej. Wadą wywołującą niepokój wielu osób (zwłaszcza pacjentów ww. placówek) jest brak możliwości zweryfikowania swoich danych. Niemniej, doświadczenie życiowe pokazuje, że w Internecie nic nie ginie i pliki prędzej czy później wypłyną w innym miejscu. Na ten moment, należy uzbroić się w cierpliwość.
Alab – jakie dane wypłynęły?
Zgodnie z komunikatem opublikowanym przez Alab (źródło: oficjalna strona Alab):
“Wstępna analiza incydentu wykazała, że osoby trzecie w sposób bezprawny mogły uzyskać dostęp do następujących danych osobowych: imię i nazwisko, numer PESEL, data urodzenia, miejsce zamieszkania oraz wynik badania laboratoryjnego. “
W tym miejscu warto podkreślić, że dane dotyczące zdrowia należą do tzw. szczególnej kategorii danych osobowych w rozumieniu art. 9 RODO. W dużym skrócie oznacza to, że są to dane podlegające szczególnej ochronie. Innymi słowy, naruszenie dotyczące danych dot. zdrowia jest jednym z poważniejszych naruszeń regulacji z zakresu ochrony danych osobowych.
Jak się zabezpieczyć?
Na ten moment, możliwości są mocno ograniczone. Na pewno warto rozważyć zastrzeżenie numeru PESEL, choć nie zapominajmy, że ten mechanizm będzie realnie działać dopiero od 1 czerwca 2024 r. Pozyskane przez hakerów dane mogą na wiele sposobów ułatwić liczne internetowe oszustwa. Ogólną i nadrzędną poradą jest w tym miejscu po prostu zachowanie szczególnej ostrożności, zwłaszcza w przypadku otrzymania telefonu od pracownika banku. W tym temacie polecam wpis mecenasa Macieja Prostko.
Alab – odszkodowanie za wyciek danych
Zgodnie z art. 82 ust. 1 RODO:
“Każda osoba, która poniosła szkodę majątkową lub niemajątkową w wyniku naruszenia niniejszego rozporządzenia, ma prawo uzyskać od administratora lub podmiotu przetwarzającego odszkodowanie za poniesioną szkodę.”
Szkoda majątkowa jest definiowana w orzecznictwie jako różnica między obecnym stanem majątkowym poszkodowanego a stanem sprzed zdarzenia wywołującego szkodę. Przykładowo, jeśli poszkodowany utracił zdolność do pracy z powodu nieszczęśliwego wypadku, w ramach rekompensaty powinien uzyskać rentę. Jakie ma to przełożenie na wyciek danych? Możliwości jest wiele, choć wykazanie związku przyczynowo-skutkowego może być trudne. Jednak czysto hipotetycznie na potrzeby przykładu można wskazać sytuację, w której pracodawca dociera do informacji, iż stan zdrowia jednego z jego pracowników jest kiepski. Nie chcąc ponosić kosztów związanych z ciągłym przebywaniem pracownika na zwolnieniach lekarskich, wypowiada mu umowę.
Zadośćuczynienie za wyciek danych
Oprócz wspomnianego już wyżej odszkodowania, możliwe jest również uzyskanie zadośćuczynienia. Zadośćuczynienie przysługuje za tzw. szkodę niemajątkową, czyli różnego rodzaju cierpienia psychiczne. W realiach tej konkretnej sprawy mogą to być np. liczne telefony od telemarketerów, rozpowszechnianie informacji na temat stanu zdrowia (w szczególności o chorobach, wykonanych badaniach etc.). Dla uzyskania zadośćuczynienia wystarczająca może być nawet sama obawa wykorzystania danych.
Podstawą zasądzenia odszkodowania lub zadośćuczynienia jest nie tylko art. 82 RODO, ale również art. 23-24 w zw. z art. 448 Kodeksu cywilnego, czyli przepisy odnoszące się do naruszenia dóbr osobistych. Nie zapominajmy bowiem, że prywatność stanowi jedno z kluczowych dóbr osobistych podlegających ochronie prawne, o czym wypowiedział się m. in. Sąd Okręgowy w Warszawie w wyroku z 7 lutego 2023 r., III C 280/22:
“Stosownie do treści art. 23 k.c. dobra osobiste człowieka, jak w szczególności zdrowie, wolność, cześć, swoboda sumienia, nazwisko lub pseudonim, wizerunek, tajemnica korespondencji, nietykalność mieszkania, twórczość naukowa, artystyczna, wynalazcza i racjonalizatorska, pozostają pod ochroną prawa cywilnego niezależnie od ochrony przewidzianej w innych przepisach. W świetle przytoczonej w art. 23 k.c. regulacji, która posługuje się sformułowaniem “w szczególności” należy podnieść, że kodeks cywilny nie zawiera wyczerpującego katalogu dóbr osobistych, a jedynie wymienia przykładowe dobra podlegające ochronie.
Nie budzi wątpliwości Sądu, że powód godził się na przetwarzanie jego danych osobowych li tylko przez administratora serwisu, nie zaś przez osoby postronne. Jest też oczywiste, że wyciek danych osobowych naruszył dobro osobiste powoda – prawo do prywatności. Owo prawo wyraża się w przyznaniu jednostce prawa do decydowania o swoim życiu osobistym. Jednostka, jako podmiot obdarzony autonomią woli, ma prawo samodzielnie wyznaczać obszar swojej prywatności, w szczególności wytyczać granice dostępności swojego życia osobistego i informacji o nim dla innych (zob. wyrok Trybunału Konstytucyjnego z 12 listopada 2002 r., SK 40/10). Naruszenie prawa do prywatności ma miejsce wówczas, gdy wbrew woli jednostki dostępne stają się dla osób trzecich informacje wrażliwe dotyczące jednostki, co miało miejsce w przypadku powoda.”
Jakiej kwoty mogą się domagać?
W przypadku odszkodowania, wszystko zależy od wysokości realnie poniesionej szkody oraz możliwości jej wykazania. W takich sprawach częstym problemem jest wykazanie związku pomiędzy konkretnym wyciekiem danych, a konkretną szkodą. Jest to natomiast możliwe.
Kwestia zadośćuczynienia jest wątkiem bardzo mocno indywidualnym. W mojej ocenie, sam fakt naruszenia danych podlegających szczególnej ochronie pozwala, aby rozważania o wysokości zadośćuczynienia rozpocząć od kilku tysięcy złotych. Górna granica jest już mocno indywidualna i zależna od konkretnego przypadku.
Alab wyciek danych prawnik
Jeśli Twoje dane wyciekły i poszukujesz pomocy prawnej, napisz do nas – kontakt@kancelariahojda.pl
Poprowadzimy w Twoim imieniu sprawę na etapie polubownym, a w razie potrzeby – również na etapie procesowym.
Alab – wezwanie do zapłaty
Natomiast jeżeli wolisz działać samodzielnie, możesz skorzystać z profesjonalnego wzoru wezwania dostępnego w sklepie kancelarii.