Wyciek danych- aspekty prawne, organizacyjne i techniczne

Atak ukierunkowany, łamanie haseł, włamanie do sieci, phishing, ataki typu DDoS to tylko niektóre przykłady incydentów z szerokiego spektrum cyberprzestępczości, których konsekwencją może być wyciek danych. Przyczyny sukcesu ww. działań wydają się różnorodne. Do najczęściej spotykanych zaliczamy opieszałość w przestrzeganiu podstawowych procedur bezpieczeństwa informacji czy zachowania polegające na nieumyślnym udostępnieniu danych. Przedmiotem niniejszego opracowania jest analiza ostatnich przypadków wycieków danych. Zastanowimy się, dlaczego dochodzi do takich wypadków i co robić, aby ograniczyć ryzyko ich powstania w przyszłości. Poniżej przedstawię kilka przykładów, które stanowią tylko medialny szczyt góry lodowej.

Postęp technologiczny i luki prawne diametralnie zmieniają podejście do cyberprzestępczości. Punktem wyjścia wszelkich rozważań jest teza, iż na wycieki informacji najbardziej narażone są firmy z branży medycznej i bankowości. Wynika to ze specyfiki przechowywanych przez nie danych. Wrażliwe informacje, które posiadają, stają się przedmiotem wyłudzeń na szeroką skalę. Dlaczego tak właśnie jest? Oczywiście chodzi o wartość materialną tego typu danych na rynku.

Na każdym kroku słyszymy o kolejnej aferze związanej z wyciekiem danych. Skala procederu w tym zakresie wydaje się ogromna. W ostatnim czasie na łamach jednego z tygodników pojawiła się informacja, iż włoska firma Hacking Team, zajmująca się tworzeniem oraz sprzedażą specjalistycznego oprogramowania szpiegowskiego, wykorzystywanego przez wiele krajów (w tym polskie CBA) i służb specjalnych została zaatakowana przez hakerów. Przedmiotem wycieku stały się listy klientów, serwerów oraz hasła do wielu kont. Kwestią odrębną jest sprzedaż systemu do państw, które nagminnie łamią podstawowe prawa człowieka. Zagadnienie te nie będzie jednak przedmiotem dłuższej refleksji. Zaniepokojenie budzi fakt, że używane hasła nie były zbyt skomplikowane i bardzo często się powtarzały.

Pytanie w tym momencie nasuwa się samo. Dlaczego tak wyspecjalizowana w obszarze bezpieczeństwa firma nie stosuje się do podstawowych wymogów w tym zakresie? Zadaliśmy to pytanie Pawłowi Janiszewskiego – ekspertowi bezpieczeństwa systemów informatycznych Auraco sp. z o.o. (firmy zajmującej się doradztwem w obszarze ochrony danych osobowych). Oto jego komentarz.

Moim zdaniem wynika to z 2 powodów. Po pierwsze, firmy zajmujące się bezpieczeństwem często same we własnej organizacji mają problemy z tego typu zagadnieniami. Są one bowiem przekonane, że w związku z tym czym się zajmują, nie grozi im żadne niebezpieczeństwo. Oczywiście jest to nieprawda. Wielokrotnie mogliśmy obserwować tego typu sytuacje, np. doklejanie złośliwego kodu do programów komputerowych służących w intencji ich twórców do zapewnienia bezpieczeństwa. Druga przyczyna to brak poszanowania procedur bezpieczeństwa i okresowych weryfikacji stopnia ich skuteczności. Procedury to, najskuteczniejszy jaki do tej pory wymyślono, środek służący zachowaniu określonych standardów bezpieczeństwa. Aby procedury działały – konieczne jest ich szanowanie i stosowanie przez ścisłe kierownictwo organizacji oraz prowadzenie okresowych, profesjonalnych audytów. Jeśli „sam szef” się do nich nie stosuje to jest to sygnał dla pracownika, że najwidoczniej nie jest to ważne. W dzisiejszych czasach kwestia odpowiedniego zabezpieczenia danych to nie tylko wyraz korporacyjności i wielkości organizacji, ale środek służący realizacji celów biznesowych – utrzymania i pozyskiwania nowych klientów. – Paweł Janiszewski

Kolejny przykład wycieku danych to przedsiębiorstwo oferujące usługi dietetyczne Fit and Eat. Wyciek obejmował dane bardzo znanych osób, w tym ich adresy, kody do furtek na klatki, informacje o przebytych chorobach oraz urazach. Pole roszczeń cywilnoprawnych w tym zakresie wydaje się mieć ogromny potencjał. Mamy do czynienia z wyciekiem danych wrażliwych, które w konsekwencji stanowią naruszenie newralgicznych dóbr osobistych. Nieodzownym elementem przy omawianej sprawie wydaje się również zakres odpowiedzialności w aspekcie społecznym. Utrata renomy firmy, brak zaufania w oczach obecnych i potencjalnych klientów wydaje się jedną z większych bolączek dobrze prosperującej firmy.

Włamania do systemów informatycznych zdarzają się także w sektorze bankowym. W ostatnim czasie mieliśmy do czynienia z bezprecedensową sprawą dotycząca wycieku danych klientów jednego banków. Informacja o hakerskim incydencie szybko nabrała rozgłosu. Zaciekawienie wzbudza fakt, że na pewnym etapie sprawy haker żądał 200 tys. na dowolny dom dziecka. Kilka minut wystarczyło by w Internecie opublikowano dane osobowe klientów biznesowych w zakresie imienia, nazwiska, adresu zamieszkania i adresu e-mail, numeru dowodu, PESEL oraz wartości sald łącznie z historią transakcji. Komunikat banku dotyczący bezpieczeństwa danych zbudził strach klientów. Treść oświadczenia wskazywała, że w I kwartale roku 2015 r. doszło do przestępczego ataku grupy hakerów. Po raz kolejny wytknięto mankamenty w sferze bezpieczeństwa.

Kolejna kwestia jaka wymaga dłuższej refleksji dotyczy szerzącego się trendu, a mianowicie zdalnego dostępu do danych. Zbyt dużym stopniem zaufania obdarza się pracowników lub współpracowników mających zdalny dostęp do sensytywnych danych. Wielokrotnie zaufanie to jest nadużywane. Wyprowadzenie baz danych czy szeroko rozumiane działanie na niekorzyść firmy stają się procederem na porządku dziennym. Wielu ekspertów twierdzi, że zagrożenia „z wewnątrz” są zmorą wielu organizacji. Właściwym rozwiązaniem w tej sytuacji wydaje się wprowadzenie inteligentnego systemu monitorowania sesji zdalnych, którego zadaniem będzie wsparcie administratorów danych w zarządzaniu zasobami. Nie zapominajmy również o ciągłym dbaniu o adekwatność dostępu do danych osobowych. Żaden z naszych pracowników nie powinien posiadać szerszego dostępu do danych niż wymagają tego jego obowiązki służbowe.

Kilka słów na temat skutków prawnych wycieku danych. Czyn taki stanowi przestępstwo uregulowane w art. 51 Ustawy o ochronie danych osobowych. W myśl przepisu „Kto administrując zbiorem danych lub będąc obowiązany do ochrony danych osobowych udostępnia je lub umożliwia dostęp do nich osobom nieupoważnionym, podlega grzywnie, karze ograniczenia wolności albo pozbawienia wolności do lat 2”.

W rozdziale XXXIII Kodeksu Karnego odnajdujemy przepisy odnoszące się odpowiedzialności za przestępstwa przeciwko ochronie informacji. W myśl art. 269a kk „Kto, nie będąc do tego uprawnionym, przez transmisję, zniszczenie, usunięcie, uszkodzenie, utrudnienie dostępu lub zmianę danych informatycznych, w istotnym stopniu zakłóca pracę systemu komputerowego lub sieci teleinformatycznej, podlega karze pozbawienia wolności od 3 miesięcy do lat 5”. W rozdziale XXXV zatytułowanym „Przestępstwa przeciwko mieniu” odnajdujemy art. 287 kk, który wskazuje natomiast, że „Kto, w celu osiągnięcia korzyści majątkowej lub wyrządzenia innej osobie szkody, bez upoważnienia, wpływa na automatyczne przetwarzanie, gromadzenie lub przekazywanie danych informatycznych lub zmienia, usuwa albo wprowadza nowy zapis danych informatycznych, podlega karze pozbawienia wolności od 3 miesięcy do lat 5”.

Niezależnie od odpowiedzialności karnej należy wskazać, że wyciek danych stanowi poważne naruszenie prywatności. Prawo do prywatności jest jednym z dóbr osobistych podlegającym ochronie na gruncie przepisów Kodeksu Cywilnego. Niejednokrotnie zdarza się, że wyciek danych jest przedmiotem skargi kierowanej do Generalnego Inspektora Ochrony Danych Osobowych. W przypadku niezastosowania się do decyzji wydanej przez GIODO stosowane są środki egzekucyjne przewidziane w przepisach ustawy z dnia 17 czerwca 1966 r. o postępowaniu egzekucyjnym w administracji.

Kilka słów podsumowujących. Wyciek danych stanowi kryzysową sytuację u każdego przedsiębiorcy. Straty wynikające z nieprzewidzianego incydentu mogą być ogromne. Zakłócenie działalności firmy, straty finansowe (konieczność zakupu nowego oprogramowania oraz przeszkolenia pracowników z zakresu ochrony danych osobowych generują kolejne koszty), a kończąc na utracie renomy. Po zaistniałym incydencie pora na podjęcie odpowiednich kroków oraz wyciągnięcie stosownych wniosków. Warto by się zastanowić w jaki sposób można zminimalizować ryzyko wystąpienia wycieku danych. Zaleceń i rekomendacji w tym zakresie wydaje się wiele. Przed szereg wysuwa się kwestia kładzenia dużego nacisku na edukowanie pracowników w sferze ochrony danych osobowych oraz ciągłe doskonalenie systemu ochrony danych osobowych. Co więcej, właściwe obchodzenie się z dokumentacja firmową oraz prawidłowe wykorzystywanie narzędzi informatycznych wydają się kluczem do sukcesu.

Należy pamiętać, że cyberprzestępczość to świetnie prosperujący biznes. Pojedyncza informacja może nie będzie stanowić przedmiotu ataku hakera, ale paczka wartościowych danych na pewno go zainteresuje.

 

Czy w Polsce można legalnie stosować podsłuchy?

tajemnicaOd kilku tygodni Polska dyskutuje na temat afery taśmowej. Podsłuchy – pomijając kwestie polityczne, okazuje się, że dopuszczalność stosowania podsłuchów jest bardzo ciekawym zagadnieniem prawnym. Prawda jest taka, że w dzisiejszych czasach nie trzeba dysponować drogim sprzętem detektywistycznym, wystarczy zwykły smartphone z zainstalowaną odpowiednią aplikacją. Niektóre z nich oferują naprawdę doskonałą jakość nagrań. Oczywiście można z łatwością nabyć przez internet także profesjonalny sprzęt służący do nagrywania rozmów, który będzie udawał długopis lub okulary. Czy można zatem legalnie nagrać z kimś rozmowę (np. z kontrahentem, sprzedawcą, pracownikiem lub pracodawcą) bez ujawniania tego faktu drugiej stronie?

Na wstępie należy wyjaśnić o jakich kategoriach odpowiedzialności może być mowa w przypadku nagrania rozmowy osoby, bez jej wiedzy. Czy dojdzie do naruszenia prawa do ochrony danych osobowych? Wszystko zależy od tego, czy w danej sytuacji stosujemy ustawę o ochronie danych osobowych.

Jeśli więc realizujemy pozytywne przesłanki stosowania ustawy określone w art. 2 i 3 oraz nie realizujemy żadnej z przesłanek negatywnych stosowania ustawy określonych w art. 4 ustawy o ochronie danych osobowych, to w omawianej sytuacji, może dojść do naruszenia prawa do ochrony danych osobowych. Upraszczając, dotyczy jednak głównie tego typu sytuacji, gdy np. jako przedsiębiorca (administrator danych), oprócz pozyskiwania danych osobowych klienta z wypełnionego przez niego formularza, nagrywalibyśmy dodatkowo jeszcze rozmowę z klientem. W takim wypadku, oraz w związku z faktem, że dane osobowe, to wszelkie informacje, które pozwalają choćby na pośrednią identyfikację osoby fizycznej, należałoby uznać, że dzięki nagraniu rozmowy pozyskujemy dodatkowe dane osobowe. Co prowadzić by mogło do braku podstawy do ich przetwarzania oraz naruszenia zasady adekwatności przetwarzanych danych. Należy mieć świadomość, że nagranie rozmowy pozwala nam na ustalenie nie tylko informacji przekazanych w toku rozmowy, ale również innych informacji, takich jak tembr głosu, jego barwa, klimat rozmowy, to wszystko zdradza osobowości, temperamenty i charaktery. Warto przytoczyć fragment orzeczenia Sądu Apelacyjnego w Gdańsku II Wydział Karny (Sygn. akt II AKa 208/13):

Jak słusznie podnosi się bowiem w orzecznictwie, słowne zapisy nagrań mogą zostać wprowadzone do procesu, lecz winno to nastąpić obok treści zarejestrowanych (utrwalonych dźwiękowo) rozmów. Trafnie zauważono, że przepis art. 410 kpk  nie eliminuje co prawda możliwości sięgania do pisemnych zapisów nagrań w miejsce ich bezpośredniego odtworzenia, lecz przekłady słowne zapisów rozmów nie stanowią samoistnego, ani pierwotnego dowodu, na którym sąd może poprzestać, a transpozycja treści nagrań na ich słowny przekład prowadzi nie tylko do zmiany formy dowodu, ale także do zmiany jego jakości. Słowny przekład nagrania nie oddaje bowiem wszystkich istotnych informacji i okoliczności (np. tembr głosu, czy towarzyszące rozmowie emocje), jakie można uzyskać w wyniku odsłuchania treści nagrania audio (por. wyrok Sądu Apelacyjnego w Lublinie z 22.11.2012r., II AKa 249/12, LEX nr 1237274; podobnie wyrok Sądu Apelacyjnego w Katowicach z 27.10.2012r., II AKa 223/10, LEX nr 785443).

Konsekwencją przetwarzania danych osobowych bez podstawy prawnej lub w zakresie nieadekwatnym (a więc w zasadzie również bez podstawy prawnej) jest odpowiedzialność karna określona w art. 49 ustawy o ochronie danych osobowych. Przewidziane w tym przepisie sankcje to kara grzywny, ograniczenia wolności lub pozbawienia wolności do lat 2 (w przypadku braku podstawy do przetwarzania danych wrażliwych – do lat 3).

W omawianej sytuacji, można również ponieść odpowiedzialność administracyjną, która pojawić się może w przypadku wydania decyzji administracyjnej lub egzekucji decyzji administracyjnej. Odsyłamy tutaj do art. 12 ustawy o ochronie danych osobowych, gdzie omówione zostały kompetencje GIODO oraz do ustawy o egzekucji w postępowaniu administracyjnym.

Jeśli jednak nie spełniamy warunków do stosowania ustawy o ochronie danych osobowych, nie może być mowy o odpowiedzialności na gruncie ustawy o ochronie danych osobowych.

Poza odpowiedzialnością na gruncie ustawy o ochronie danych osobowych należy również pamiętać o możliwej odpowiedzialności z tytułu naruszenia dóbr osobistych a konkretniej prawa do prywatności. Bardzo często GIODO wspomina o tej drodze dochodzenia „sprawiedliwości” w sytuacji, gdy nie ma mowy o naruszeniu ustawy o ochronie danych osobowych, ale jednak konstytucyjne prawo do prywatności zostało naruszone. O tej kategorii odpowiedzialności wspominaliśmy już wcześniej na blogu.

Tytułem jedynie przypomnienia. Podstawą prawną odpowiedzialności w omawianej sytuacji jest art. 23 i 24 kodeksu cywilnego (dot. naruszenia dobra osobistego w postaci prawa do prywatności, które wprost nie jest ujęte w dyspozycji art. 23 kodeksu cywilnego, jednak zgodnie z utrwalonym poglądem doktryny i orzecznictwa, jako dobro osobiste również podlega ochronie prawnej).

Art. 23. Dobra osobiste człowieka, jak w szczególności zdrowie, wolność, cześć, swoboda sumienia, nazwisko lub pseudonim, wizerunek, tajemnica korespondencji, nietykalność mieszkania, twórczość naukowa, artystyczna, wynalazcza i racjonalizatorska, pozostają pod ochroną prawa cywilnego niezależnie od ochrony przewidzianej w innych przepisach.

Art. 24. § 1. Ten, czyje dobro osobiste zostaje zagrożone cudzym działaniem, może żądać zaniechania tego działania, chyba że nie jest ono bezprawne. W razie dokonanego naruszenia może on także żądać, ażeby osoba, która dopuściła się naruszenia, dopełniła czynności potrzebnych do usunięcia jego skutków, w szczególności ażeby złożyła oświadczenie odpowiedniej treści i w odpowiedniej formie. Na zasadach przewidzianych w kodeksie może on również żądać zadośćuczynienia pieniężnego lub zapłaty odpowiedniej sumy pieniężnej na wskazany cel społeczny.
§ 2. Jeżeli wskutek naruszenia dobra osobistego została wyrządzona szkoda majątkowa, poszkodowany może żądać jej naprawienia na zasadach ogólnych.
§ 3. Przepisy powyższe nie uchybiają uprawnieniom przewidzianym w innych przepisach, w szczególności w prawie autorskim oraz w prawie wynalazczym.

Kolejnym rodzajem odpowiedzialności jaką możemy ponieść z tytułu nagrania rozmowy bez wiedzy osoby, która uczestniczy w rozmowie, jest odpowiedzialność karna.

Art. 267. §1. Kto bez uprawnienia uzyskuje dostęp do informacji dla niego nieprzeznaczonej, otwierając zamknięte pismo, podłączając się do sieci telekomunikacyjnej lub przełamując albo omijając elektroniczne, magnetyczne, informatyczne lub inne szczególne jej zabezpieczenie,
podlega grzywnie, karze ograniczenia wolności albo pozbawienia wolności do lat 2.
§ 2. Tej samej karze podlega, kto bez uprawnienia uzyskuje dostęp do całości lub części systemu informatycznego.
§ 3. Tej samej karze podlega, kto w celu uzyskania informacji, do której nie jest uprawniony, zakłada lub posługuje się urządzeniem podsłuchowym, wizualnym albo innym urządzeniem lub oprogramowaniem.
§ 4. Tej samej karze podlega, kto informację uzyskaną w sposób określony w § 1-3 ujawnia innej osobie.
§ 5. Ściganie przestępstwa określonego w § 1-4 następuje na wniosek pokrzywdzonego.

Zgodnie z przywołanym przepisem, odpowiedzialności karnej podlega ten, kto w celu uzyskania informacji, do której nie jest uprawniony, zakłada lub posługuje się urządzeniem podsłuchowym, wizualnym albo innym urządzeniem lub oprogramowaniem.

Nagrywając własną rozmowę, np. z pracownikiem lub pracodawcą, nie popełniamy przestępstwa z art. 267 § 3 kodeksu karnego, jeżeli nie uzyskujemy informacji, do których nie jesteśmy uprawnieni. Nie będzie zatem co do zasady przestępstwem nagranie szefa w czasie rozmowy (prowadzonej pomiędzy szefem a nawet inną osobą), podczas której wspomina o powodach wypowiedzenia z nami umowy o pracę. Co więcej, analiza ww. przepisu prowadzi do wniosku, że nigdy nie będzie mowy o tym przestępstwie, jeśli sami prowadzimy rozmowę i ją nagrywamy. Wynika to z faktu, że sprawca przestępstwa, aby można było mówić o popełnieniu czynu zabronionego, powinien zakładać lub posługiwać się urządzeniem podsłuchowym, wizualnym albo inny urządzeniem lub oprogramowanie.

Inaczej jednak wygląda sytuacja, gdy nie nagrywamy rozmowy w której sami uczestniczymy i gdy uzyskamy informacje, do których nie jesteśmy uprawnieni. O przestępczym charakterze naszego działania będzie rozstrzygało to, czy nagrywanie przez nas danej rozmowy było ukierunkowane na pozyskanie informacji, do których nie jesteśmy uprawnieni. Związane jest to z faktem, że omawiane przestępstwo to tzw. przestępstwo kierunkowe, czyli jego wystąpienie jest uzależnione od motywacji sprawy i pożądanego przez niego efektu. Jeśli nawet nagramy rozmowę i dzięki temu pozyskamy informacje, do których nie byliśmy uprawnieni, ale stało się to tylko „przy okazji”, nie było to naszym zamiarem, to nie ma mowy o popełnieniu przestępstwa z art. 267 § 3 kodeksu karnego.

Fakt, że nie jest „łatwo” popełnić przestępstwo z art. 267 § 3 kodeksu karnego nie oznacza, że będziemy w takiej sytuacji zawsze bezkarni. Dla osoby, która została nagrana, cały czas pozostaje cały wachlarz uprawnień przewidzianych w kodeksie cywilnym, które są związane z ochroną dóbr osobistych.

Firma windykacyjna a ochrona danych osobowych

Ostatnio, osoba z kręgu moich najbliższych miała problem z firmą windykacyjną, której to pracownicy dzwonili do niej i wygrażali, że jak nie zapłaci określonej kwoty, sprawa zostanie skierowana do sądu. Na szczęście mój znajomy wie, że roszczenie jest przedawnione, więc firma windykacyjna poza takimi „pogróżkami” niewiele może uczynić. Na kanwie tej sytuacji, warto napisać o tym, jakie firma windykacyjna ma uprawnienia i obowiązki w zakresie ochrony danych osobowych.

Dzwoniąc pracownik firmy windykacyjnej prosi na samym początku o podanie takich informacji jak „data urodzenia” celem weryfikacji, czy rzeczywiście ma do czynienia z właściwą osobą. Na pytanie znajomego o to dlaczego zbierają dane osobowe, pracownik takiej firmy odpowiada, że data urodzenia nie stanowi danych osobowych, a jedynie umożliwia weryfikację. Absurdalne w tym wszystkim jest to, że ta firma windykacyjna ma zarejestrowany w biurze GIODO zbiór danych o nazwie „Dłużnicy”, w którym to w ramach zakresu danych wymieniona jest właśnie data urodzenia. Ta sytuacja obrazuje, że niezależnie od tego jakie informacje pozyskuje firma windykacyjna to weryfikacja odbywa się na podstawie danych osobowych.

W kontekście obowiązków wynikających z przepisów ustawy o ochronie danych osobowych zacznijmy od tego skąd w ogóle firma windykacyjna może posiadać nasze dane osobowe. Możliwe są w zasadzie dwie sytuacje. Pierwsza, w której wierzyciel zleci obsługę wierzytelności firmie windykacyjnej i druga, a której to firma windykacyjna wykupi od wierzyciela zobowiązanie. W pierwszej sytuacji nasz wierzyciel cały czas pozostaje administratorem danych osobowych, a firma windykacyjna jest jedynie procesorem i zgodnie z art. 31 ustawy o ochronie danych osobowych powinna być pomiędzy tymi podmiotami podpisana umowa powierzenia przetwarzania danych osobowych. W drugiej sytuacji dochodzi do zmiany administratora danych i firma windykacyjna jako nowy administrator powinna dopełnić obowiązku informacyjnego z art. 25 ustawy o ochronie danych osobowych – czyli mówiąc prościej poinformować nas o tym, że teraz to ona jest wierzycielem. Jeżeli tego nie zrobi to może narazić się na odpowiedzialność karną przewidzianą w art. 54 ustawy o ochronie danych osobowych, który to przewiduje za naruszenie tego obowiązku zagrożenie karą pozbawienia wolności do roku. Ewentualną odpowiedzialność będą ponosiły osoby kierujące firmą windykacyjną (Zarząd).

Warto również pamiętać o innych obowiązkach firmy windykacyjnych jako  administratora danych takich jak prowadzenie dokumentacji ochrony danych osobowych, odpowiednie zabezpieczenie danych osobowych przetwarzanych w formie papierowej lub elektronicznej, czy rejestracja zbiorów w biurze Generalnego administratora danych osobowych.

Z kolei nam jako osobom, których dane osobowe są przetwarzane przysługuje szereg uprawień wymienionych ustawie o ochronie danych osobowych. Możemy się zwrócić z wnioskiem o przekazanie nam przez firmę windykacyjną o wskazanie m.in. celu przetwarzania danych osobowych, źródła danych, zakresu danych itd. Firma windykacyjna na takie zapytanie zobowiązania jest do udzielenia na piśmie odpowiedzi w terminie 30 dni. Szczegółowo uprawnienia opisane są w art. 32 i następnych ustawy o ochronie danych osobowych.

Kolejnym ważnym aspektem jest to aby firma windykacyjna przetwarzała dane osobowe w zgodzie z zasadami ustawy o ochronie danych osobowych. Chodzi w szczególności o zasadę celowości i adekwatności przetwarzania danych osobowych. Nawiązując do początku artykułu, myślę, że mój znajomy mógłby kwestionować uprawnienie do przetwarzania przez firmę windykacyjną jego danych osobowych – jako, że wierzytelność uległa przedawnieniu i właśnie z tego powodu można by kwestionować celowość i adekwatność przetwarzania przez firmę windykacyjną danych osobowych. W tym celu należałoby złożyć do Generalnego Inspektora Ochrony Danych Osobowych skargę na taką firmą windykacyjną.