{"id":60015,"date":"2024-02-06T12:11:15","date_gmt":"2024-02-06T03:11:15","guid":{"rendered":"https:\/\/monolith.law\/pl\/?p=60015"},"modified":"2024-02-22T14:16:10","modified_gmt":"2024-02-22T05:16:10","slug":"risk-of-company-personal-information-leak-compensation-for-damages","status":"publish","type":"post","link":"https:\/\/monolith.law\/pl\/general-corporate\/risk-of-company-personal-information-leak-compensation-for-damages","title":{"rendered":"Ryzyko wycieku danych osobowych w firmach i ryzyko odszkodowa\u0144"},"content":{"rendered":"\n<p>Ryzyka zwi\u0105zane z zarz\u0105dzaniem firm\u0105 obejmuj\u0105 kryzys zarz\u0105dzania, wypadki spowodowane naruszeniem obowi\u0105zku zapewnienia bezpiecze\u0144stwa przez firm\u0119, ale w ostatnich latach du\u017cy problem stanowi r\u00f3wnie\u017c ryzyko wycieku danych osobowych i wynikaj\u0105cych z tego odszkodowa\u0144. <\/p>\n\n\n\n<p>Tokyo Shoko Research donosi, \u017ce w 2019 roku 66 sp\u00f3\u0142ek gie\u0142dowych i ich sp\u00f3\u0142ek zale\u017cnych ujawni\u0142o wypadki zwi\u0105zane z wyciekiem lub utrat\u0105 danych osobowych. Liczba takich incydent\u00f3w wynios\u0142a 86, a liczba wyciek\u0142ych danych osobowych osi\u0105gn\u0119\u0142a 9 031 734. Je\u015bli dodamy do tego firmy niepubliczne, zagraniczne, agencje rz\u0105dowe, samorz\u0105dy lokalne i szko\u0142y, liczba ta mo\u017ce wzrosn\u0105\u0107 do astronomicznych rozmiar\u00f3w.<\/p>\n\n\n\n<p><a href=\"https:\/\/monolith.law\/corporate\/trends-in-personal-information-leakage-and-loss-accidents-in-2019\" target=\"_blank\" rel=\"noreferrer noopener\">https:\/\/monolith.law\/corporate\/trends-in-personal-information-leakage-and-loss-accidents-in-2019[ja]<\/a><\/p>\n\n\n\n<p>W\u015br\u00f3d wypadk\u00f3w zwi\u0105zanych z wyciekiem lub utrat\u0105 danych osobowych, najwi\u0119kszy do tej pory mia\u0142 miejsce w lipcu 2014 roku, kiedy to ujawniono, \u017ce pracownik firmy zlecaj\u0105cej Benesse Holdings (Benesse Corporation) nielegalnie zdoby\u0142 dane osobowe 35 040 000 klient\u00f3w. W 2019 roku w kilku procesach s\u0105dowych zwi\u0105zanych z t\u0105 spraw\u0105 pojawi\u0142y si\u0119 nowe rozwini\u0119cia. <br>\nPodczas analizowania problemu Benesse, zastan\u00f3wmy si\u0119 nad ryzykiem wycieku danych osobowych przez firmy i odszkodowa\u0144.<\/p>\n\n\n\n<div id=\"ez-toc-container\" class=\"ez-toc-v2_0_53 counter-hierarchy ez-toc-counter ez-toc-grey ez-toc-container-direction\">\n<div class=\"ez-toc-title-container\">\n<span class=\"ez-toc-title-toggle\"><\/span><\/div>\n<nav><ul class='ez-toc-list ez-toc-list-level-1 ' ><li class='ez-toc-page-1 ez-toc-heading-level-2'><a class=\"ez-toc-link ez-toc-heading-1\" href=\"https:\/\/monolith.law\/pl\/general-corporate\/risk-of-company-personal-information-leak-compensation-for-damages\/#Co_to_jest_incydent_z_wyciekiem_danych_osobowych_Benesse\" title=\"Co to jest incydent z wyciekiem danych osobowych Benesse?\">Co to jest incydent z wyciekiem danych osobowych Benesse?<\/a><\/li><li class='ez-toc-page-1 ez-toc-heading-level-2'><a class=\"ez-toc-link ez-toc-heading-2\" href=\"https:\/\/monolith.law\/pl\/general-corporate\/risk-of-company-personal-information-leak-compensation-for-damages\/#Decyzja_Sadu_Najwyzszego_i_apelacja_po_jej_odrzuceniu\" title=\"Decyzja S\u0105du Najwy\u017cszego i apelacja po jej odrzuceniu\">Decyzja S\u0105du Najwy\u017cszego i apelacja po jej odrzuceniu<\/a><ul class='ez-toc-list-level-3'><li class='ez-toc-heading-level-3'><a class=\"ez-toc-link ez-toc-heading-3\" href=\"https:\/\/monolith.law\/pl\/general-corporate\/risk-of-company-personal-information-leak-compensation-for-damages\/#Decyzja_Sadu_Najwyzszego\" title=\"Decyzja S\u0105du Najwy\u017cszego\">Decyzja S\u0105du Najwy\u017cszego<\/a><\/li><li class='ez-toc-page-1 ez-toc-heading-level-3'><a class=\"ez-toc-link ez-toc-heading-4\" href=\"https:\/\/monolith.law\/pl\/general-corporate\/risk-of-company-personal-information-leak-compensation-for-damages\/#Decyzja_apelacyjna_po_odeslaniu\" title=\"Decyzja apelacyjna po odes\u0142aniu\">Decyzja apelacyjna po odes\u0142aniu<\/a><\/li><\/ul><\/li><li class='ez-toc-page-1 ez-toc-heading-level-2'><a class=\"ez-toc-link ez-toc-heading-5\" href=\"https:\/\/monolith.law\/pl\/general-corporate\/risk-of-company-personal-information-leak-compensation-for-damages\/#Pierwszy_przypadek_sadowy_ktory_uznal_odpowiedzialnosc_firmy_Benesse\" title=\"Pierwszy przypadek s\u0105dowy, kt\u00f3ry uzna\u0142 odpowiedzialno\u015b\u0107 firmy Benesse\">Pierwszy przypadek s\u0105dowy, kt\u00f3ry uzna\u0142 odpowiedzialno\u015b\u0107 firmy Benesse<\/a><ul class='ez-toc-list-level-3'><li class='ez-toc-heading-level-3'><a class=\"ez-toc-link ez-toc-heading-6\" href=\"https:\/\/monolith.law\/pl\/general-corporate\/risk-of-company-personal-information-leak-compensation-for-damages\/#Decyzja_sadu_pierwszej_instancji\" title=\"Decyzja s\u0105du pierwszej instancji\">Decyzja s\u0105du pierwszej instancji<\/a><\/li><li class='ez-toc-page-1 ez-toc-heading-level-3'><a class=\"ez-toc-link ez-toc-heading-7\" href=\"https:\/\/monolith.law\/pl\/general-corporate\/risk-of-company-personal-information-leak-compensation-for-damages\/#Decyzja_sadu_apelacyjnego\" title=\"Decyzja s\u0105du apelacyjnego\">Decyzja s\u0105du apelacyjnego<\/a><\/li><\/ul><\/li><li class='ez-toc-page-1 ez-toc-heading-level-2'><a class=\"ez-toc-link ez-toc-heading-8\" href=\"https:\/\/monolith.law\/pl\/general-corporate\/risk-of-company-personal-information-leak-compensation-for-damages\/#Drugi_wyrok_uznajacy_odpowiedzialnosc_firmy_Benesse\" title=\"Drugi wyrok uznaj\u0105cy odpowiedzialno\u015b\u0107 firmy Benesse\">Drugi wyrok uznaj\u0105cy odpowiedzialno\u015b\u0107 firmy Benesse<\/a><\/li><li class='ez-toc-page-1 ez-toc-heading-level-2'><a class=\"ez-toc-link ez-toc-heading-9\" href=\"https:\/\/monolith.law\/pl\/general-corporate\/risk-of-company-personal-information-leak-compensation-for-damages\/#Podsumowanie\" title=\"Podsumowanie\">Podsumowanie<\/a><\/li><\/ul><\/nav><\/div>\n<h2 class=\"wp-block-heading\"><span class=\"ez-toc-section\" id=\"Co_to_jest_incydent_z_wyciekiem_danych_osobowych_Benesse\"><\/span>Co to jest incydent z wyciekiem danych osobowych Benesse?<span class=\"ez-toc-section-end\"><\/span><\/h2>\n\n\n\n<figure class=\"wp-block-image\"><img decoding=\"async\" src=\"https:\/\/monolith.law\/wp-content\/uploads\/2020\/02\/shutterstock_413297080-1024x683.jpg\" alt=\"Ryzyko wycieku danych osobowych i odszkodowa\u0144 dla firm\" class=\"wp-image-7490\" \/><figcaption class=\"wp-element-caption\"> Incydent z wyciekiem danych osobowych Benesse, kt\u00f3ry mia\u0142 miejsce oko\u0142o czerwca 2014 roku, jest wydarzeniem, kt\u00f3re nadal jest \u015bwie\u017ce w pami\u0119ci. <\/figcaption><\/figure>\n\n\n\n<p>Oko\u0142o czerwca 2014 roku, klienci Benesse zacz\u0119li otrzymywa\u0107 bezpo\u015brednie maile od firmy oferuj\u0105cej edukacj\u0119 na odleg\u0142o\u015b\u0107 &#8220;Just System&#8221;. Zacz\u0119\u0142y pojawia\u0107 si\u0119 pytania, czy nie korzystaj\u0105 oni z informacji osobowych zarejestrowanych tylko w Benesse, czy informacje osobowe nie wyciek\u0142y z Benesse.<\/p>\n\n\n\n<p>27 czerwca Benesse rozpocz\u0119\u0142o wewn\u0119trzne dochodzenie, 30 czerwca zg\u0142osi\u0142o spraw\u0119 policji i Ministerstwu Gospodarki, Handlu i Przemys\u0142u, a 9 lipca na konferencji prasowej og\u0142osi\u0142o, \u017ce wyciek\u0142y informacje osobowe, takie jak imiona i nazwiska dzieci i ich opiekun\u00f3w, adresy, numery telefon\u00f3w, p\u0142e\u0107, daty urodzenia, zwi\u0105zane z kursem przygotowawczym Shinkenzemi.<\/p>\n\n\n\n<p>17 lipca, 39-letni in\u017cynier systemowy, kt\u00f3ry zarz\u0105dza\u0142 systemem baz danych firmy i mia\u0142 dost\u0119p do informacji o klientach w firmie Synform, kt\u00f3ra by\u0142a zobowi\u0105zana do zarz\u0105dzania informacjami o klientach w firmie powi\u0105zanej z Benesse, zosta\u0142 aresztowany pod zarzutem wywo\u017cenia informacji osobowych i sprzeda\u017cy ich firmie zajmuj\u0105cej si\u0119 listami mailingowymi.<\/p>\n\n\n\n<p>We wrze\u015bniu Benesse na konferencji prasowej og\u0142osi\u0142o, \u017ce liczba przypadk\u00f3w wycieku informacji o klientach wynosi 35,04 miliona, i \u017ce ju\u017c przygotowano 20 miliard\u00f3w jen\u00f3w jako odszkodowanie dla ofiar wycieku informacji osobowych. Ponownie wys\u0142ano listy z przeprosinami do klient\u00f3w, kt\u00f3rych wyciek zosta\u0142 potwierdzony, i og\u0142oszono, \u017ce w zale\u017cno\u015bci od wyboru klient\u00f3w, zostan\u0105 wys\u0142ane bony o warto\u015bci 500 jen\u00f3w (elektroniczny bon podarunkowy lub karta ksi\u0105\u017ckowa o zasi\u0119gu og\u00f3lnokrajowym), lub 500 jen\u00f3w za ka\u017cdy przypadek wycieku zostanie przekazane na fundacj\u0119 Benesse Children&#8217;s Foundation, za\u0142o\u017con\u0105 w celu wsparcia dzieci, kt\u00f3re ucierpia\u0142y w wyniku tego wycieku.<\/p>\n\n\n\n<p>W odpowiedzi na to, niekt\u00f3re ofiary utworzy\u0142y kilka grup adwokackich i wnie\u015bli zbiorowe pozwy. W 2019 roku (rok 31 Heisei) zauwa\u017cono kilka ruch\u00f3w w tej sprawie. W sprawie kryminalnej, in\u017cynier systemowy, kt\u00f3ry zosta\u0142 oskar\u017cony o wywo\u017cenie informacji osobowych i naruszenie prawa o zapobieganiu nieuczciwej konkurencji (kopiowanie i ujawnianie tajemnic handlowych), zosta\u0142 skazany na 2,5 roku wi\u0119zienia i grzywn\u0119 3 milion\u00f3w jen\u00f3w bez zawieszenia wykonania kary w wyroku S\u0105du Najwy\u017cszego w Tokio z dnia 21 marca 2017 roku (rok 29 Heisei).<\/p>\n\n\n\n<h2 class=\"wp-block-heading\"><span class=\"ez-toc-section\" id=\"Decyzja_Sadu_Najwyzszego_i_apelacja_po_jej_odrzuceniu\"><\/span>Decyzja S\u0105du Najwy\u017cszego i apelacja po jej odrzuceniu<span class=\"ez-toc-section-end\"><\/span><\/h2>\n\n\n\n<figure class=\"wp-block-image\"><img decoding=\"async\" src=\"https:\/\/monolith.law\/wp-content\/uploads\/2020\/02\/shutterstock_1102327574-1024x683.jpg\" alt=\"Ryzyko naruszenia prywatno\u015bci i odszkodowania w firmie\" class=\"wp-image-7497\" \/><figcaption class=\"wp-element-caption\">Wyst\u0105pi\u0142y przypadki, w kt\u00f3rych ostatecznie nakazano zap\u0142at\u0119 odszkodowania, bior\u0105c pod uwag\u0119, \u017ce adres, imi\u0119 i nazwisko oraz numer telefonu powoda by\u0142y ujawnione na stronie internetowej itp.<\/figcaption><\/figure>\n\n\n\n<p>M\u0119\u017cczyzna, kt\u00f3ry cierpia\u0142 psychicznie z powodu wycieku swojego i swojego dziecka imienia, adresu, numeru telefonu itp., z\u0142o\u017cy\u0142 pozew przeciwko Benesse, domagaj\u0105c si\u0119 100 000 jen\u00f3w odszkodowania. S\u0105d Najwy\u017cszy uniewa\u017cni\u0142 wyrok S\u0105du Okr\u0119gowego w Osace, kt\u00f3ry by\u0142 s\u0105dem pierwszej instancji, twierdz\u0105c, \u017ce nie przeprowadzi\u0142 pe\u0142nego post\u0119powania i odes\u0142a\u0142 spraw\u0119.<\/p>\n\n\n\n<p>S\u0105d Okr\u0119gowy w Kobe, Himeji Branch, kt\u00f3ry by\u0142 s\u0105dem pierwszej instancji przed odes\u0142aniem, uzna\u0142 2 grudnia 2015 roku (2015), \u017ce nie ma sporu co do faktu, \u017ce imi\u0119 i nazwisko m\u0119\u017cczyzny, kt\u00f3re Benesse zarz\u0105dza\u0142o, wyciek\u0142o, ale nie by\u0142o wystarczaj\u0105cych dowod\u00f3w na to, \u017ce by\u0142o to wynikiem zaniedbania Benesse, i odrzuci\u0142 roszczenie m\u0119\u017cczyzny.<\/p>\n\n\n\n<p>W odpowiedzi na to, m\u0119\u017cczyzna odwo\u0142a\u0142 si\u0119 do s\u0105du apelacyjnego (wyrok S\u0105du Okr\u0119gowego w Osace z dnia 29 czerwca 2016 roku (2016)), kt\u00f3ry uzna\u0142, \u017ce imi\u0119 i nazwisko dziecka powoda, p\u0142e\u0107, data urodzenia, kod pocztowy, adres, numer telefonu i imi\u0119 i nazwisko opiekuna (imi\u0119 i nazwisko powoda), kt\u00f3re by\u0142y zarz\u0105dzane przez pozwanego, wyciek\u0142y. Na tej podstawie stwierdzono, \u017ce mo\u017cna uzna\u0107, \u017ce wyciek\u0142y informacje osobowe powoda, takie jak imi\u0119 i nazwisko powoda, kod pocztowy, adres, numer telefonu i imi\u0119 i nazwisko cz\u0142onka rodziny, p\u0142e\u0107, data urodzenia. Jednak, mimo \u017ce uznano, \u017ce wyciek informacji osobowych powoda mo\u017ce powodowa\u0107 nie tylko dyskomfort, ale tak\u017ce niepok\u00f3j dla przeci\u0119tnego cz\u0142owieka, nie mo\u017cna domaga\u0107 si\u0119 odszkodowania za sam dyskomfort, itp., a odwo\u0142anie zosta\u0142o odrzucone z powodu braku dowod\u00f3w na szkod\u0119 przekraczaj\u0105c\u0105 ten dyskomfort, itp.<\/p>\n\n\n\n<h3 class=\"wp-block-heading\"><span class=\"ez-toc-section\" id=\"Decyzja_Sadu_Najwyzszego\"><\/span>Decyzja S\u0105du Najwy\u017cszego<span class=\"ez-toc-section-end\"><\/span><\/h3>\n\n\n\n<p>Kiedy pow\u00f3d z\u0142o\u017cy\u0142 wniosek o przyj\u0119cie apelacji, S\u0105d Najwy\u017cszy przyj\u0105\u0142 go i stwierdzi\u0142, \u017ce mimo \u017ce pow\u00f3d m\u00f3g\u0142 naruszy\u0107 swoj\u0105 prywatno\u015b\u0107 z powodu wycieku, S\u0105d Okr\u0119gowy w Osace odrzuci\u0142 roszczenie powoda bez pe\u0142nego rozpatrzenia kwestii, czy pow\u00f3d dozna\u0142 szkody psychicznej z powodu naruszenia prywatno\u015bci i jaki by\u0142 stopie\u0144 tej szkody, itp., tylko na podstawie faktu, \u017ce nie by\u0142o dowod\u00f3w na wyst\u0105pienie szkody przekraczaj\u0105cej dyskomfort, itp. S\u0105d Najwy\u017cszy uzna\u0142, \u017ce taka decyzja s\u0105du pierwszej instancji by\u0142a nielegalna, poniewa\u017c b\u0142\u0119dnie zinterpretowa\u0142a i zastosowa\u0142a przepisy prawne dotycz\u0105ce szk\u00f3d w delikcie, i nie przeprowadzi\u0142a pe\u0142nego post\u0119powania w tej sprawie, i uniewa\u017cni\u0142a oryginalny wyrok, odes\u0142awszy spraw\u0119 do S\u0105du Okr\u0119gowego w celu dalszego rozpatrzenia kwestii, czy pozwany by\u0142 winny i czy pow\u00f3d dozna\u0142 szkody psychicznej i jaki by\u0142 stopie\u0144 tej szkody, itp. (wyrok S\u0105du Najwy\u017cszego z dnia 23 pa\u017adziernika 2017 roku (2017)).<\/p>\n\n\n\n<p><a href=\"https:\/\/monolith.law\/reputation\/privacy-invasion\" target=\"_blank\" rel=\"noreferrer noopener\">https:\/\/monolith.law\/reputation\/privacy-invasion[ja]<\/a><\/p>\n\n\n\n<h3 class=\"wp-block-heading\"><span class=\"ez-toc-section\" id=\"Decyzja_apelacyjna_po_odeslaniu\"><\/span>Decyzja apelacyjna po odes\u0142aniu<span class=\"ez-toc-section-end\"><\/span><\/h3>\n\n\n\n<p>S\u0105d Okr\u0119gowy w Osace (wyrok z dnia 20 listopada 2019 roku (2019)) stwierdzi\u0142 w post\u0119powaniu po odes\u0142aniu, \u017ce pracownik w tej sprawie nielegalnie zdoby\u0142 informacje osobowe za pomoc\u0105 metody transferu danych za pomoc\u0105 komunikacji MTP, \u0142\u0105cz\u0105c smartfon obs\u0142uguj\u0105cy MTP z komputerem s\u0142u\u017cbowym za pomoc\u0105 kabla USB do portu USB, i sprzeda\u0142 je do firmy zajmuj\u0105cej si\u0119 listami adresowymi. Synform mia\u0142 obowi\u0105zek podj\u0105\u0107 odpowiednie \u015brodki, takie jak zapobieganie wprowadzeniu smartfon\u00f3w obs\u0142uguj\u0105cych MTP do powy\u017cszego biura i dost\u0119pu do informacji osobowych w tej sprawie, ale zaniedba\u0142 to, co stanowi zaniedbanie. Benesse naruszy\u0142 swoje obowi\u0105zki nadzoru nad Synform, kt\u00f3ry zezwoli\u0142 na korzystanie z tych informacji osobowych, co doprowadzi\u0142o do wycieku przez pracownika. Dlatego Benesse jest odpowiedzialny za szkody wynik\u0142e z tego deliktu, poniewa\u017c stanowi to wsp\u00f3lne delikty obu firm (Artyku\u0142 719, ust\u0119p 1, pierwsze zdanie, Kodeksu Cywilnego).<\/p>\n\n\n\n<p>Nast\u0119pnie, naruszaj\u0105c przepis art. 22 Ustawy o ochronie informacji osobowych, kt\u00f3ry stanowi, \u017ce &#8220;gdy operator informacji osobowych powierza ca\u0142o\u015b\u0107 lub cz\u0119\u015b\u0107 obs\u0142ugi danych osobowych, musi przeprowadzi\u0107 niezb\u0119dne i odpowiednie nadz\u00f3r nad osob\u0105, kt\u00f3rej powierzono obs\u0142ug\u0119, aby zapewni\u0107 bezpieczne zarz\u0105dzanie danymi osobowymi&#8221;, a jednocze\u015bnie uznaj\u0105c, \u017ce naruszono prywatno\u015b\u0107, bior\u0105c pod uwag\u0119, \u017ce adres, imi\u0119 i nazwisko oraz numer telefonu powoda by\u0142y ujawnione na stronie internetowej itp., nakaza\u0142 zap\u0142at\u0119 1000 jen\u00f3w jako odszkodowanie.<\/p>\n\n\n\n<p>Ten proces jest trzecim przyk\u0142adem uznania odpowiedzialno\u015bci Benesse za odszkodowanie. Na pocz\u0105tku tego artyku\u0142u napisa\u0142em, \u017ce &#8220;w 2019 roku (2019) w kilku procesach dotycz\u0105cych tej sprawy pojawi\u0142y si\u0119 nowe rozwini\u0119cia&#8221;, ale wszystkie trzy wyroki uznaj\u0105ce odpowiedzialno\u015b\u0107 Benesse za odszkodowanie zosta\u0142y wydane w 2019 roku (2019).<\/p>\n\n\n\n<p><a href=\"https:\/\/monolith.law\/corporate\/act-on-the-protection-of-personal-information-privacy-issues\" target=\"_blank\" rel=\"noreferrer noopener\">https:\/\/monolith.law\/corporate\/act-on-the-protection-of-personal-information-privacy-issues[ja]<\/a><\/p>\n\n\n\n<h2 class=\"wp-block-heading\"><span class=\"ez-toc-section\" id=\"Pierwszy_przypadek_sadowy_ktory_uznal_odpowiedzialnosc_firmy_Benesse\"><\/span>Pierwszy przypadek s\u0105dowy, kt\u00f3ry uzna\u0142 odpowiedzialno\u015b\u0107 firmy Benesse<span class=\"ez-toc-section-end\"><\/span><\/h2>\n\n\n\n<h3 class=\"wp-block-heading\"><span class=\"ez-toc-section\" id=\"Decyzja_sadu_pierwszej_instancji\"><\/span>Decyzja s\u0105du pierwszej instancji<span class=\"ez-toc-section-end\"><\/span><\/h3>\n\n\n\n<figure class=\"wp-block-image\"><img decoding=\"async\" src=\"https:\/\/monolith.law\/wp-content\/uploads\/2020\/02\/shutterstock_1054827035-1024x697.jpg\" alt=\"Ryzyko wycieku danych osobowych i odszkodowania w firmie\" class=\"wp-image-7498\" \/><figcaption class=\"wp-element-caption\">Przedstawiamy przypadek, w kt\u00f3rym uznanie odpowiedzialno\u015bci firmy Benesse.<\/figcaption><\/figure>\n\n\n\n<p>M\u0119\u017cczyzna domaga\u0142 si\u0119 odszkodowania za cierpienie psychiczne spowodowane wyciekiem jego danych osobowych, jak r\u00f3wnie\u017c jego \u017cony i syna, przez firm\u0119 Benesse. W wyroku apelacyjnym, po raz pierwszy, uznano odpowiedzialno\u015b\u0107 firmy Benesse.<\/p>\n\n\n\n<p>S\u0105d pierwszej instancji (S\u0105d Okr\u0119gowy w Jokohamie, wyrok z dnia 16 lutego 2017 roku) uzna\u0142, \u017ce Benesse naruszy\u0142 obowi\u0105zek zwracania uwagi, ale odrzuci\u0142 roszczenie przeciwko Benesse, poniewa\u017c nie by\u0142o wystarczaj\u0105cych dowod\u00f3w na konkretny fakt naruszenia obowi\u0105zku monitorowania sposobu przetwarzania danych osobowych, co sk\u0142oni\u0142o m\u0119\u017cczyzn\u0119 do odwo\u0142ania si\u0119.<\/p>\n\n\n\n<p>W pierwszej instancji, mimo \u017ce Benesse otrzyma\u0142o zalecenie na podstawie artyku\u0142u 34 ust. 1 Japo\u0144skiej Ustawy o Ochronie Danych Osobowych (Japanese Personal Information Protection Act) za zaniedbanie obowi\u0105zk\u00f3w wynikaj\u0105cych z artyku\u0142\u00f3w 20 i 22 tej ustawy, kt\u00f3re doprowadzi\u0142y do wycieku informacji, zalecenie na podstawie tego artyku\u0142u jest wydawane tylko wtedy, gdy uznaje si\u0119 to za konieczne do ochrony praw i interes\u00f3w jednostki, a nie wymaga istnienia lub naruszenia obowi\u0105zku przewidywania wynik\u00f3w lub obowi\u0105zku unikania wynik\u00f3w w momencie wycieku informacji. Dlatego samo wydanie zalecenia nie jest wystarczaj\u0105ce do uznania, \u017ce Benesse mia\u0142o win\u0119 na podstawie artyku\u0142u 709 Kodeksu Cywilnego (Japanese Civil Code) w momencie wycieku informacji.<\/p>\n\n\n\n<h3 class=\"wp-block-heading\"><span class=\"ez-toc-section\" id=\"Decyzja_sadu_apelacyjnego\"><\/span>Decyzja s\u0105du apelacyjnego<span class=\"ez-toc-section-end\"><\/span><\/h3>\n\n\n\n<p>W odpowiedzi na to, s\u0105d apelacyjny, czyli S\u0105d Najwy\u017cszy w Tokio (wyrok z dnia 27 czerwca 2019 roku), przyj\u0105\u0142 jako fakt, \u017ce nie by\u0142a to zbrodnia wymagaj\u0105ca zastosowania zaawansowanej wiedzy lub specjalistycznych umiej\u0119tno\u015bci, ale prosta zbrodnia, kt\u00f3ra zosta\u0142a pope\u0142niona po prostym pod\u0142\u0105czeniu smartfona do komputera s\u0142u\u017cbowego za pomoc\u0105 komercyjnego kabla USB do \u0142adowania, co umo\u017cliwi\u0142o transfer danych. Uznano, \u017ce firma Synform mia\u0142a obowi\u0105zek zastosowa\u0107 \u015brodki kontroli wyj\u015bcia dla smartfon\u00f3w obs\u0142uguj\u0105cych MTP, ale zaniedba\u0142a to, a Benesse, kt\u00f3ra powierzy\u0142a zarz\u0105dzanie du\u017c\u0105 ilo\u015bci\u0105 danych osobowych, mia\u0142a obowi\u0105zek odpowiednio nadzorowa\u0107 kontrahenta w zakresie zarz\u0105dzania danymi osobowymi w momencie wycieku, ale zaniedba\u0142a to. Uznano, \u017ce te nielegalne dzia\u0142ania obu firm stanowi\u0105 wsp\u00f3lne dzia\u0142anie niezgodne z prawem (artyku\u0142 719 ust. 1 pierwsze zdanie Kodeksu Cywilnego).<\/p>\n\n\n\n<p>Nast\u0119pnie stwierdzono, \u017ce &#8220;apelanci naturalnie nie chcieliby, aby te dane osobowe by\u0142y bezmy\u015blnie ujawniane osobom, kt\u00f3rych nie chc\u0105, wi\u0119c te dane osobowe s\u0105 przedmiotem ochrony prawnej jako informacje dotycz\u0105ce prywatno\u015bci apelant\u00f3w, a wyciek tych danych naruszy\u0142 ich prywatno\u015b\u0107&#8221;. Na tej podstawie, po odkryciu wycieku, natychmiast rozpocz\u0119to dzia\u0142ania, podj\u0119to \u015brodki maj\u0105ce na celu zapobieganie rozszerzeniu szk\u00f3d spowodowanych wyciekiem informacji, przeprowadzono badania na podstawie zg\u0142osze\u0144 i instrukcji od organ\u00f3w nadzorczych. Ponadto, przes\u0142ano listy z przeprosinami do klient\u00f3w, kt\u00f3rzy prawdopodobnie mieli wyciek informacji, a tak\u017ce rozdano bony o warto\u015bci 500 jen\u00f3w, zgodnie z wyborem. Bior\u0105c pod uwag\u0119, \u017ce apelanci otrzymali r\u00f3wnie\u017c elektroniczne prezenty pieni\u0119\u017cne o warto\u015bci 500 jen\u00f3w, nakazano Benesse zap\u0142aci\u0107 ka\u017cdemu z nich 2000 jen\u00f3w odszkodowania.<\/p>\n\n\n\n<h2 class=\"wp-block-heading\"><span class=\"ez-toc-section\" id=\"Drugi_wyrok_uznajacy_odpowiedzialnosc_firmy_Benesse\"><\/span>Drugi wyrok uznaj\u0105cy odpowiedzialno\u015b\u0107 firmy Benesse<span class=\"ez-toc-section-end\"><\/span><\/h2>\n\n\n\n<p>Wyrok w sprawie, w kt\u00f3rej 13 klient\u00f3w domaga\u0142o si\u0119 od firmy i jej powi\u0105zanych sp\u00f3\u0142ek odszkodowania w wysoko\u015bci \u0142\u0105cznie 980 000 jen\u00f3w, zapad\u0142 6 wrze\u015bnia 2019 roku (rok 2019 wed\u0142ug kalendarza gregoria\u0144skiego) w S\u0105dzie Okr\u0119gowym w Tokio. Firma Benesse i sp\u00f3\u0142ka Shinform zosta\u0142y zobowi\u0105zane do zap\u0142aty 3000 jen\u00f3w od osoby (jedna osoba otrzyma\u0142a 3300 jen\u00f3w), co \u0142\u0105cznie wynios\u0142o 42 300 jen\u00f3w.<\/p>\n\n\n\n<p>S\u0105d nie uzna\u0142 odpowiedzialno\u015bci firmy Benesse jako pracodawcy wobec sp\u00f3\u0142ki Shinform, jako \u017ce s\u0105 to odr\u0119bne podmioty prawne. Jednak\u017ce stwierdzi\u0142, \u017ce sp\u00f3\u0142ka Shinform ponosi win\u0119 za naruszenie obowi\u0105zku kontroli przep\u0142ywu informacji, poniewa\u017c nie dokona\u0142a przegl\u0105du ustawie\u0144 oprogramowania zabezpieczaj\u0105cego, co umo\u017cliwi\u0142o transfer danych z komputera s\u0142u\u017cbowego na smartfon z obs\u0142ug\u0105 MTP. S\u0105d uzna\u0142, \u017ce Benesse powinna ponosi\u0107 odpowiedzialno\u015b\u0107 za wyb\u00f3r i nadz\u00f3r nad podmiotem, kt\u00f3remu powierzy\u0142a obs\u0142ug\u0119 du\u017cej ilo\u015bci danych klient\u00f3w, w tym danych powod\u00f3w, zgodnie z zasad\u0105 dobrej wiary, podczas rozwijania systemu. S\u0105d uzna\u0142, \u017ce obie firmy dopu\u015bci\u0142y si\u0119 wsp\u00f3lnego czynu niedozwolonego (zgodnie z art. 719 ust. 1 Kodeksu Cywilnego Japonii) i nakaza\u0142 im solidarn\u0105 zap\u0142at\u0119 odszkodowania powodom.<\/p>\n\n\n\n<p><a href=\"https:\/\/monolith.law\/reputation\/employer-liability-responsibility-in-defamation\" target=\"_blank\" rel=\"noreferrer noopener\">https:\/\/monolith.law\/reputation\/employer-liability-responsibility-in-defamation[ja]<\/a><\/p>\n\n\n\n<p>W tym wyroku r\u00f3wnie\u017c zacytowano artyku\u0142 22 japo\u0144skiej Ustawy o ochronie danych osobowych, kt\u00f3ry stanowi, \u017ce &#8220;operatorzy danych osobowych, kt\u00f3rzy powierzaj\u0105 przetwarzanie wszystkich lub cz\u0119\u015bci danych osobowych, musz\u0105 zapewni\u0107 odpowiedni i skuteczny nadz\u00f3r nad osob\u0105, kt\u00f3rej powierzono przetwarzanie danych, aby zapewni\u0107 bezpiecze\u0144stwo przetwarzanych danych&#8221;. Wyrok wskazuje r\u00f3wnie\u017c na wytyczne Ministerstwa Gospodarki, Handlu i Przemys\u0142u z 2009 roku (rok 2009 wed\u0142ug kalendarza gregoria\u0144skiego), kt\u00f3re okre\u015blaj\u0105, \u017ce &#8220;odpowiedni i skuteczny nadz\u00f3r&#8221; obejmuje odpowiedni dob\u00f3r podmiotu, z kt\u00f3rym powierza si\u0119 przetwarzanie danych, zawarcie odpowiedniej umowy z podmiotem, aby zapewni\u0107 przestrzeganie \u015brodk\u00f3w bezpiecze\u0144stwa okre\u015blonych w artykule 20 Ustawy o ochronie danych osobowych, oraz monitorowanie sposobu przetwarzania powierzonych danych osobowych przez podmiot.<\/p>\n\n\n\n<h2 class=\"wp-block-heading\"><span class=\"ez-toc-section\" id=\"Podsumowanie\"><\/span>Podsumowanie<span class=\"ez-toc-section-end\"><\/span><\/h2>\n\n\n\n<p>Pocz\u0105tkowo Benesse przygotowa\u0142o 20 miliard\u00f3w jen\u00f3w jako fundusz rekompensat dla ofiar, jednak okaza\u0142o si\u0119 to niewystarczaj\u0105ce. W listopadzie 2014 roku, Japo\u0144skie Stowarzyszenie Promocji Spo\u0142ecze\u0144stwa Informacyjno-Gospodarczego anulowa\u0142o &#8220;Znak Prywatno\u015bci&#8221;, przyznawany firmom odpowiednio zarz\u0105dzaj\u0105cym danymi osobowymi, kt\u00f3ry posiada\u0142o Benesse Holdings. W kwietniu 2015 roku liczba cz\u0142onk\u00f3w &#8220;Shinken Seminar&#8221; i &#8220;Kodomo Challenge&#8221; wynosi\u0142a 2,71 miliona, co oznacza\u0142o spadek o 940 tysi\u0119cy w por\u00f3wnaniu do tego samego miesi\u0105ca w poprzednim roku. Skonsolidowany bilans na okres od kwietnia do czerwca wykaza\u0142, \u017ce przychody spad\u0142y o 7% w por\u00f3wnaniu do tego samego okresu w poprzednim roku, a zysk operacyjny spad\u0142 o 88%. Zysk operacyjny spad\u0142 z 3,91 miliarda jen\u00f3w z poprzedniego roku do 430 milion\u00f3w jen\u00f3w straty. Ryzyko odszkodowa\u0144 za wyciek danych osobowych mo\u017ce stanowi\u0107 dla firm kwesti\u0119 \u017cycia i \u015bmierci.<\/p>\n","protected":false},"excerpt":{"rendered":"<p>Ryzyka zwi\u0105zane z zarz\u0105dzaniem firm\u0105 obejmuj\u0105 kryzys zarz\u0105dzania, wypadki spowodowane naruszeniem obowi\u0105zku zapewnienia bezpiecze\u0144stwa przez firm\u0119, ale w ostatnich latach du\u017cy problem stanowi r\u00f3wnie\u017c  [&hellip;]<\/p>\n","protected":false},"author":32,"featured_media":61478,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[18],"tags":[24,29],"acf":[],"_links":{"self":[{"href":"https:\/\/monolith.law\/pl\/wp-json\/wp\/v2\/posts\/60015"}],"collection":[{"href":"https:\/\/monolith.law\/pl\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/monolith.law\/pl\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/monolith.law\/pl\/wp-json\/wp\/v2\/users\/32"}],"replies":[{"embeddable":true,"href":"https:\/\/monolith.law\/pl\/wp-json\/wp\/v2\/comments?post=60015"}],"version-history":[{"count":2,"href":"https:\/\/monolith.law\/pl\/wp-json\/wp\/v2\/posts\/60015\/revisions"}],"predecessor-version":[{"id":61479,"href":"https:\/\/monolith.law\/pl\/wp-json\/wp\/v2\/posts\/60015\/revisions\/61479"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/monolith.law\/pl\/wp-json\/wp\/v2\/media\/61478"}],"wp:attachment":[{"href":"https:\/\/monolith.law\/pl\/wp-json\/wp\/v2\/media?parent=60015"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/monolith.law\/pl\/wp-json\/wp\/v2\/categories?post=60015"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/monolith.law\/pl\/wp-json\/wp\/v2\/tags?post=60015"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}