Co robić kiedy skradziono Twój dowód osobisty lub go zgubiłeś?
Osoby, które padły lub mają podejrzenie, że mogły paść ofiarami kradzieży swoich dokumentów np. dowodu osobistego, powinny w pierwszej kolejności zgłaszać się na Policję. Dowód zostanie unieważniony z dniem zgłoszenia. Nie trzeba wtedy zgłaszać utraty dokumentu w urzędzie gminy (tak jak w przypadku zgubienia dowodu osobistego).
Pamiętaj, że takich spraw nie należy zgłaszać do Prezesa UODO, ale organom ścigania, gdyż to one są uprawnione do prowadzenia postępowania zmierzającego do wykrycia sprawcy przestępstwa i oceny czy doszło do jego popełnienia, oraz do kwalifikacji czynu przestępczego i wymierzenia stosownej kary.
Zarówno, gdy padasz ofiarą kradzieży dokumentu tożsamości, jak i kiedy po prostu go zgubisz, zgłoś ten fakt np. bankowi, w którym masz konto, celem zastrzeżenia tego dokumentu przed nieuprawnionym użyciem.
Zgłoś się do urzędu, aby wyrobić nowy dokument. W przypadku dowodu osobistego jest to dowolny urząd gminy, a w przypadku paszportu – w punkcie paszportowym (informacje o adresach punktów znajdziesz na stronach internetowych urzędów wojewódzkich). Gdy utracisz prawo jazdy z wnioskiem o nowy dokument musisz się udać do starostwa powiatowego.
Jak się zabezpieczyć, gdy wiesz, że Twoje dane wyciekły?
Atak hakera, zgubiona korespondencja, niezabezpieczone dane na serwerze – to sytuacje, w przypadku których osoby do tego nieuprawnione wchodzą (albo potencjalnie jest to możliwe) w posiadanie Twoich danych osobowych. Niestety, nie masz na to wpływu. W sytuacji, gdy administrator uzna, że istnieje ryzyko wykorzystania Twoich danych i powiadomi Cię o zaistniałym incydencie, podejmij działania, by zminimalizować ewentualne negatywne konsekwencje wykorzystania danych.
Oprócz wspomnianego już zastrzeżenia dokumentu tożsamości w banku, gdy wyciekły dane widniejące np. na dowodzie osobistym, możesz również założyć np. konto w systemie informacji kredytowej i gospodarczej, celem monitorowania swojej aktywności kredytowej.
Zachowaj dużą ostrożność podczas podawania danych przez Internet. Dokładnie analizuj kierowane do Ciebie komunikaty, zawarte np. w wiadomościach SMS, e-mail, by uniknąć np. ataku phishingowego, którego celem może być wyłudzenie dodatkowych danych czy uzyskanie danych dostępowych do internetowych systemów bankowych bądź innych usług, z których korzystasz.
Co zrobić, gdy ktoś wziął pożyczkę lub kupił usługę posługując się Twoimi danymi?
Osoby, które padły lub mają podejrzenie, że mogły stać się ofiarami przestępstwa powinny jak najszybciej zgłosić się na Policję, zwłaszcza gdy poniosły szkodę majątkową lub osobistą, np. na ich dane zaciągnięto jakieś zobowiązania. Należy też zawiadomić o takim zdarzeniu podmiot, u którego posłużono się danymi. Czyli trzeba się zgłosić do banku lub firmy pożyczkowej, w których oszust z użyciem Twoich danych wziął pożyczkę lub kredyt. Podobnie, gdy np. ktoś posłużył się danymi, celem podpisania umowy z operatorem telefonii komórkowej, np. by wyłudzić w ten sposób telefon.
Zadbaj o zgromadzenie i zachowanie dowodów, że zgłosiłeś sprawę organom ścigania. Będzie to pomocne w postępowaniu przed sądem, zwłaszcza w sprawach dotyczących szkód majątkowych.
Dochodzenie praw może następować w trybie przewidzianym odrębnymi przepisami zarówno przed sądem w sprawach karnych jak i cywilnych.
W jakich sytuacjach możesz zwrócić się do Prezesa Urzędu Ochrony Danych Osobowych?
Jeżeli przypuszczasz, że firma czy instytucja przetwarza Twoje dane bez podstawy prawnej, nie informuje skąd ma dane osobowe i w jakim celu je przetwarza, to w pierwszej kolejności zwróć się do niej, z żądaniem realizacji swoich praw, np. wyjaśnienia zasad na jakich Twoje dane są przetwarzane. Gdy nie otrzymasz odpowiedzi, pozyskane informacje są niewystarczające lub niepełne albo gdy administrator nie respektuje Twojego żądania dotyczącego np. wycofania zgody na przetwarzanie danych (jeżeli to zgoda była podstawą przetwarzania), czy sprzeciwu wobec przetwarzania Twoich danych, to możesz złożyć skargę do Prezesa UODO. W pierwszej kolejności zwracaj się zatem o realizację Twoich praw do administratora – podmiotu przetwarzającego Twoje dane. O ile Twoje żądania nie będą respektowane, zignorowane czy po części jedynie wypełnione możesz zwrócić się następnie do Prezesa UODO o ich wyegzekwowanie.
Składając skargę indywidualną, podaj swoje dane, opisz sprawę i określ jakich działań oczekujesz od Prezesa UODO, czyli np. wskaż, by organ nakazał wykonanie Twoich praw, poprzez usunięcie danych czy spełnienie obowiązku informacyjnego. Konieczne jest także wskazanie administratora, który dopuścił się naruszenia Twoich praw. Trzeba więc podać np. nazwę firmy, czy instytucji lub imię i nazwisko osoby oraz adres siedziby przetwarzających Twoje dane osobowe.
Jeżeli działanie administratora nie dotyczy Twoich danych, ale masz podejrzenie, że narusza ono ogólne zasady przetwarzania danych, możesz o tym zawiadomić UODO. Organ nadzorczy może wówczas przeprowadzić postępowanie z urzędu w celu wyjaśnienia, czy faktycznie zaszły nieprawidłowości. W takiej sytuacji nie występujesz w charakterze strony, jak to ma miejsce w przypadku skargi indywidualnej, która związana jest z praktyką naruszającą Twoje prawa. Dlatego w przypadku, gdy Prezes UODO podejmie działania z urzędu, nie będziesz informowany o etapach takiego postępowania.
Czy Prezes UODO może ustalić sprawcę naruszenia, gdy masz np. tylko jego numer telefonu?
Organ nadzoru nie zawsze ma możliwości prawne czy techniczne by ustalić tożsamość niedookreślonego administratora. Samo wskazanie np. numeru telefonu, z którego wykonywane jest połączenie, niezidentyfikowanego serwera, gdzie są np. ujawnione Twoje dane czy przedstawienie dokumentów zawierających dane bez wskazania źródła ich pochodzenia to za mało.
Pamiętaj, że Prezes UODO nie jest organem ścigania i nie ma w związku z tym takich kompetencji jak Policja, czy Prokuratura. Działalność Prezesa UODO ma na celu zapewnienie, by wskazany administrator przetwarzał dane zgodnie z prawem. Dlatego, gdy składasz skargę indywidualną konieczne jest precyzyjne wskazanie jakiego podmiotu ona dotyczy, by było możliwe wszczęcie postępowania administracyjnego i merytoryczne rozstrzygniecie sprawy poprzez wydanie decyzji administracyjne.
Wyciekły moje dane. Czy Prezes UODO może ukarać administratora?
Decyzję o nałożeniu kary finansowej na podmiot podejmuje Prezes UODO, analizując indywidualnie każdy przypadek. Nałożenie kary nie następuje na wniosek.
Kary finansowe to tylko jeden z instrumentów oddziaływania, jakimi dysponuje Prezes UODO, by zapewnić przestrzeganie ogólnego rozporządzenia o ochronie danych osobowych. RODO zawiera bowiem całą gamę różnych rozwiązań, które służą wzmocnieniu ochrony danych osobowych, osób, których dane są przetwarzane. W przypadku stwierdzenia naruszenia przepisów może to być m.in.: wydane ostrzeżenie odnoszące się do planowanych procesów przetwarzania, udzielone upomnienie w związku z uchybieniem o niewielkim charakterze, wydany nakaz dostosowania określonych działań do obowiązujących przepisów. Prezes UODO korzysta w pierwszej kolejności m.in. z tych rozwiązań. Kary są ostatecznością i są nakładane o ile wymagają tego okoliczności indywidulanego przypadku. Decyzje, mocą których kary takie są nakładane są poprzedzone bardzo dokładną i wnikliwą analizą zaistniałych okoliczności i wynikającą z nich konieczność nałożenia kary oraz na jej wysokość.
Przy wymierzaniu kary finansowej, Prezes UODO musi brać pod uwagę co najmniej 11 różnych czynników. Są to m.in.: charakter, waga i czas trwania naruszenia, to czy miało ono charakter umyślny, czy nieumyślny, warunki, w jakich do niego doszło, liczba poszkodowanych osób, kategorie przetwarzanych danych, rozmiar poniesionej przez nie szkody. A także czy jest to pierwsze czy kolejne naruszenie , jak zachował się administrator (np. czy sam zgłosił wyciek danych oraz – o ile to konieczne – poinformował o tym osoby poszkodowane), wszelkie inne czynniki obciążające lub łagodzące zaistniałe w indywidulanym przypadku.
Finansową karę administracyjną z tytułu naruszenia przepisów o ochronie danych osobowych Prezes UODO nakłada w drodze decyzji administracyjnej po przeprowadzeniu postępowania administracyjnego w sprawie, analizując każdy przypadek indywidualnie.
UODO
