Monachijska firma fintechowa Scalable musiała zgłosić wyciek danych w październiku 2020 roku. W grudniu 2021 roku Sąd Okręgowy w Monachium przyznał powodowi odszkodowanie za krzywdę. Scalable wycofał teraz swoją apelację. Co to oznacza dla roszczeń o odszkodowanie z tytułu ochrony danych w przyszłości?

Wyciek danych w Scalable

Scalable Capital jest firmą zarządzającą aktywami z siedzibą w Monachium. Firma przekroczyła niedawno granicę dziesięciu miliardów euro w funduszach klientów. Firma fintech osiągnęła w ten sposób szybki wzrost.

W październiku 2020 r. udana firma poinformowała jednak o incydencie ochrony danych: osoby nieuprawnione uzyskały dostęp do danych osobowych 33 000 obecnych i byłych klientów. Chodziło o takie dane, jak informacje o podatkach i rachunkach powierniczych, a także adresy. Było to możliwe dzięki luce bezpieczeństwa w środowisku chmury. Najwyraźniej jednak nie doszło jeszcze do niewłaściwego wykorzystania tych danych.

Wyrok Sądu Okręgowego w Monachium

W grudniu 2021 roku powód wygrał przed Sądem Okręgowym w Monachium odszkodowanie na podstawie GDPR za krzywdę. Był on byłym klientem firmy Scalable i dotkniętym wyciekiem danych. Skradzione dane obejmowały: imię i nazwisko, tytuł, adres, adres e-mail, numer telefonu komórkowego, datę, miejsce i kraj urodzenia, narodowość, stan cywilny, rezydencję podatkową i identyfikator podatkowy, IBAN, kopię dowodu osobistego, zdjęcie portretowe, które zostało wykonane przy użyciu procedury Post-Ident.

W związku z prowadzonymi w toku postępowania cywilnego postępowaniami karnymi wyszło na jaw, że sprawcy próbowali uzyskać pożyczki z wykorzystaniem skradzionych danych i oferowali je w sieci Darknet.

Sąd Okręgowy w Monachium orzekł na korzyść powoda i przyznał mu odszkodowanie w wysokości 2.500 euro. Podstawą odszkodowania był art. 82 GDPR. Scalable naruszył art. 32 GDPR (bezpieczeństwo przetwarzania danych). Nie miało znaczenia, czy jakiekolwiek uchybienia w zakresie bezpieczeństwa firm zewnętrznych, z których usług korzystano, można przypisać administratorowi danych. Zarzut dotyczył raczej tego, że Scalable, jako administrator danych, sama nie podjęła wystarczających środków organizacyjnych, aby zapobiec utracie przedmiotowych danych.

Znaczenie wyroku

Po tym jak Scalable wycofał swoją apelację do Wyższego Sądu Okręgowego w Monachium w lipcu tego roku, jak teraz stało się wiadome, orzeczenie jest pierwszym prawnie wiążącym orzeczeniem dotyczącym odszkodowań z powodu wycieku danych. Mimo że nie ma ono mocy wiążącej dla innych sądów, stanowi wyraźny sygnał.

Niechęć sądów niemieckich do zasądzania zadośćuczynienia za krzywdę mogłaby więc znacznie zmaleć.

Nasz zespół ekspertów oferuje doradztwo i usługi w zakresie wszystkich aspektów ochrony danych. Kontakt Zapraszamy do kontaktu z nami!

pl_PLPolski