Informację o kradzieży laptopa, na którym przechowywano szczegółowe dane kandydatów na studia, SGGW opublikowała w czwartek. Już następnego dnia na Facebooku została założona grupa „Pozew zbiorowy w sprawie RODO SGGW”. Wczoraj liczyła ona już prawie 14 tys. członków. Szybko zorientowali się oni, że pozew zbiorowy nie wchodzi w grę, bo w postępowaniu grupowym nie można dochodzić zadośćuczynienia. Nie zrezygnowali jednak z roszczeń.
Autorzy specjalnie założonej strony internetowej www.pokrzywdzenisggw.pl zachęcają do zgłaszania się osoby, których dane mogły wyciec. Nawiązali już współpracę z kancelarią prawną, która ma im pomóc w pozwaniu uczelni. Jednocześnie zachęcają osoby potencjalnie poszkodowane, by składały skargi na SGGW do Urzędu Ochrony Danych Osobowych.
wylicza Kinga Rozmuszyńska, jedna z inicjatorek akcji.
Podkreśla, że w jej ocenie uczelnia nienależycie informowała o potencjalnym wycieku. Komunikat o zagrożeniu umieściła na swej stronie internetowej dopiero 14 listopada, a laptop z danymi kandydatów został skradziony już 5 listopada.
Domniemanie winy
Poproszeni przez nas o komentarz prawnicy nie wykluczają, że roszczenia finansowe kandydatów na studia mogą być uzasadnione.
Maciej Gawroński, partner zarządzający w kancelarii Gawroński & Partners, wyjaśnia, że bezpośrednią podstawą takich roszczeń jest art. 82 RODO, który pozwala pozywać o wszelkiego typu szkody, a także o zadośćuczynienie (czyli w tym przypadku może to być odszkodowanie choćby za strach).
zauważa ekspert.
Osoby, które czują się poszkodowane, nie muszą więc uzależniać kroków prawnych od tego, czy ich dane rzeczywiście zostaną wykorzystane np. do wzięcia kredytu. Jeśli złodziejowi zależało wyłącznie na wartości samego komputera, to być może dane są bezpieczne i nigdy nie zostaną użyte.
Jednak nawet i bez tego SGGW musi się liczyć z możliwością poniesienia odpowiedzialności. Artykuł 82 ust. 3 RODO zwalnia z niej tylko wówczas, gdy administrator danych w żaden sposób nie ponosi winy za zdarzenie. Tu zaś byłoby to trudne – można mówić chociażby o winie w nadzorze nad pracownikiem, który niefrasobliwie skopiował dane na dysk przenośnego komputera. Zgodnie ze słowami Krzysztofa Szwejka, rzecznika prasowego uczelni, pracownik złamał w ten sposób obowiązujące procedury.
Musi być szkoda
Żeby jednak takie roszczenie zostało uznane przez sąd, należy wykazać szkodę.
komentuje Piotr Liwszic, specjalista ds. ochrony danych w ODO 24.
Dodaje, że konieczne będzie wykazanie związku między powstałą szkodą a działaniem do niej doprowadzającym oraz udowodnienie winy.
dodaje ekspert.
Wielu zagrożonych
Osoby, których dane mogły wyciec, nie kryją frustracji.
wylicza Kinga Rozmuszyńska.
Jedną z głównych obaw pokrzywdzonych jest właśnie wykorzystanie ich danych do zaciągnięcia kredytu.
Nie wiadomo dokładnie, ile osób może mieć problem w związku z potencjalnym wyciekiem.
„Nie wiemy, z ilu lat pracownik przechowywał dane na komputerze. To właśnie wyjaśniają policja i prokuratura. Toczy się śledztwo w tej sprawie. (…) Prawdopodobnie komputer skradziono przypadkowo, ale ponieważ nie wiemy, ile rekordów bezprawnie było zapisanych na tym komputerze i czy dojdzie do ich wykorzystania, postanowiliśmy opublikować komunikat i personalnie powiadomić wszystkie osoby, które do nas aplikowały w ostatniej rekrutacji” – napisał w komunikacie Krzysztof Szwejk.
Klucz w szyfrowaniu
Wiele osób uważa, że te dane w ogóle nie powinny być przekopiowane na laptopa. Z komunikatu uczelni wynika, że ona również uważa to za złamanie wewnętrznych procedur.
W rzeczywistości jednak nie to jest najważniejsze w tej sprawie. Kluczowe jest to, jak były zabezpieczone te informacje.
Doktor Łukasz Olejnik, niezależny badacz i doradca cyberbezpieczeństwa i prywatności, związany z Center for Technology and Global Affairs Uniwersytetu Oksfordzkiego, wskazuje, że dane znajdujące się na laptopach to rzeczywistość, z którą można się spotkać w wielu organizacjach.
tłumaczy ekspert.
Wyjaśnia, że dziś istnieją dojrzałe rozwiązania szyfrujące cały dysk.
dodaje Łukasz Olejnik.
Czy ten laptop był zabezpieczony, a jeśli tak, to w jaki sposób? Rzecznik SGGW nie odpowiedział na przesłane mu wczoraj pytania.
UODO analizuje
Urząd Ochrony Danych Osobowych na razie nie otrzymał żadnych skarg od poszkodowanych. Sam incydent został mu natomiast zgłoszony przez SGGW. Trwa analiza tego zgłoszenia, a ewentualne dalsze działania UODO będą uzależnione od ujawnionych okoliczności.
zwraca uwagę Piotr Liwszic.
Dodaje, że jeżeli ktoś chce skorzystać ze ścieżki sądowej, powinien pamiętać, że sąd jest zobligowany do zawieszenia postępowania cywilnego w związku z prowadzeniem przez prezesa UODO sprawy.
