W dniach 12 - 13 lipca 2008 r. na stronie portalu zainwestujwprzyszłosc.pl należącym do Banku Pekao SA powszechnie dostępne były poufne dane osobowe kandydatów na pracowników banku zawarte w CV oraz listach motywacyjnych. Prawdopodobnie do upublicznienia danych przyczynił się nie tylko „atak hackerski”- na który powołuje się rzecznik banku, ale przede wszystkim błąd przy projektowaniu portalu (luka w zabezpieczeniu) oraz brak bieżącej opieki nad serwisem. Dopiero bowiem po interwencji dziennikarzy dane zostały zablokowane, a w późniejszym czasie portal został wyłączony.
W związku z wyciekiem danych osobowych, z Banku Pekao S.A Generalny Inspektor Ochrony Danych Osobowych w dniu 14 lipca 2008 r. rozpoczął kontrolę w Banku oraz firmie, której bank powierzył przetwarzanie danych osobowych. Kontrola zostanie przeprowadzona zarówno pod kątem odpowiedniego zabezpieczenia danych osobowych, jak również prawidłowości umowy powierzenia przetwarzania danych.
Bank gromadzący dane osobowe w celach rekrutacyjnych pełni rolę administratora tych danych. Zgodnie z prawem administrator jest obowiązany zabezpieczyć stosownymi środkami technicznymi dane osobowe przed dostępem osób nieuprawnionych. Życiorys zawodowy stanowi zbiór szczególnie wrażliwych danych osobowych jak nazwisko, adres, telefon, wiek, wykształcenie, profil zawodowy oraz hobby. Dane te umożliwiają stworzenie profilu osobowego na potrzeby handlowe lub marketingowe. Co gorsza dane te mogą być wykorzystane przez osoby niezrównoważone emocjonalnie lub psychicznie.
Wyciek danych osobowych umożliwiający swobodny dostęp osób nieuprawnionych stanowi przestępstwo z art. 52 ustawy o ochronie danych osobowych ścigane z urzędu i zagrożone karą grzywny, ograniczenia wolności albo pozbawienia wolności do roku. Odpowiedzialność karna może wchodzić w rachubę również wtedy, gdy do ujawnienia danych osobowych doszło z winy nieumyślnej, wskutek niezachowania przez administratora danych wystarczającej ostrożności. W tym świetle próba przerzucenia przez bank odpowiedzialności za zaistniałą sytuację na zarządcę serwisu internetowego lub providera usług hostingowych jest raczej chybiona. Do przetwarzania danych mogą być przecież dopuszczone wyłącznie osoby posiadające upoważnienie nadane przez administratora danych. Administrator danych odpowiada zatem za osoby przy pomocy których realizuje swoje obowiązki w zakresie zabezpieczenia przetwarzanych zbiorów.
Przypomnieć należy, że kazus banku Pekao SA („zainwestujwprzyszlosc.pl”) to nie pierwszy przypadek nieprawidłowości w zakresie zarządzania danymi osobowymi przez Banki, co było już przedmiotem zdecydowanej krytyki sądowej. W jednym z orzeczeń sprzed kilku lat Naczelny Sąd Administracyjny w Warszawie wyraził zasadę „zero tolerancji” na sprzeczne z prawem przetwarzanie danych osobowych przez banki stwierdzając, że żadne względy natury organizacyjno-finansowej nie mogą usprawiedliwiać naruszenia zasad przetwarzania danych osobowych.
W świetle ugruntowanego już orzecznictwa Sądu Najwyższego wyciek danych osobowych stanowi naruszenie dóbr osobistych osoby uprawnionej, uzasadniający żądanie zadośćuczynienia pieniężnego za doznaną krzywdę. Wysokość zadośćuczynienia jest tutaj trudna do oszacowania. Przykładowo można wskazać, że w jednym ze swoich niedawnych orzeczeń Sąd Apelacyjny w Warszawie uznał, iż bezprawne ujawnienie przez operatora telekomunikacyjnego adresu osoby uprawnionej w celu dostarczenia rachunku telefonicznego uzasadnia żądanie zadośćuczynienia w kwocie pięć tysięcy złotych.
Rozważmy hipotetycznie skierowanie żądań o zadośćuczynienie w omawianej sprawie. Potencjalna liczba pokrzywdzonych przez bank to ponad 3 tys. osób, których CV stało się dostępne w internecie. Obowiązujące przepisy procesu cywilnego nie zawierają instytucji prawnej stosownej do prowadzenia procesu przy udziale takiej liczby powodów. Można wprawdzie skorzystać ze znanej polskiemu procesowi cywilnemu instytucji współuczestnictwa w sporze. Warunkiem jej zastosowania jest jednak to, aby właściwość sądu była uzasadniona dla każdego z roszczeń z osobna, jak i dla wszystkich razem. W tej sprawie nie jest to warunek możliwy do spełnienia. Alternatywnym środkiem procesowym mógłby być pozew zbiorowy na wzór rozwiązań stosowanych w USA, z którego skorzystać mogą poszkodowani przez wadliwe produkty, firmy farmaceutyczne lub koncerny tytoniowe. Pozew zbiorowy umożliwia wystąpienie z jednym żądaniem przez kilkaset lub nawet kilka tysięcy osób za niską opłatą sądową. Obecnie Komisja Kodyfikacyjna Prawa Cywilnego opracowuje projekt ustawy o pozwach zbiorowych. Być może już niedługo będziemy mogli przekonać się o skuteczności tego typu rozwiązań na polskim gruncie.