To zależy od tego, gdzie chcielibyśmy pozwać – jeżeli przed sądem europejskim, to raczej na pewno przepisy unijne. Z drugiej strony praktyka w zakresie zasądzanych odszkodowań przez sądy w USA jest taka, że pozywanie w USA zwyczajnie się bardziej opłaca, czego dowodzi np. sprawa słynnego lądowania kapitana Wrony. Jest tak dlatego, że odszkodowanie zasądzane przez sąd w USA może mieć także funkcję karną, a więc oderwaną od rzeczywistego rozmiaru szkody.
Czy unijne ogólne rozporządzenie o ochronie danych osobowych (RODO) ochroni w jakiś sposób przed takimi sytuacjami w przyszłości?
RODO zadziała tutaj w dość nieoczekiwany sposób – otóż nowe europejskie prawo ochrony danych osobowych wprowadza obowiązek dobierania środków zabezpieczenia danych osobowych odpowiednich do zagrożeń dla danych i ryzyka, jakie przetwarzanie danych niesie dla osób, których te dane dotyczą. Co jednak istotne, ten obowiązek ciąży na... podmiotach wykorzystujących procesory w swojej działalności, czyli na nas wszystkich, którzy przetwarzamy dane z wykorzystaniem wadliwych procesorów; na klientach wiodących światowych dostawców chmury obliczeniowej, którzy też są narażeni na ataki. W sytuacji ujawnienia takiej podatności, skutkiem działania RODO powinno być zastosowanie takich środków, które będą nas chroniły przed atakiem: czyli zainstalowanie odpowiednich łatek, a do tego czasu, być może, ograniczenie przetwarzania danych w wadliwych systemach czy np. odłączenie ich od sieci publicznej.
RODO nakłada także na podmioty przetwarzające dane osobowe obowiązek sporządzenia tzw. oceny skutków dla ochrony danych osobowych (DPIA). W takiej ocenie uwzględnia się m.in. ryzyko związane z przetwarzaniem danych – i to ryzyko, związane z wadliwymi procesorami, też trzeba uwzględnić. A same DPIA traktować elastycznie, a nie jako dokumenty sporządzone raz na zawsze – gdy pojawia się nowe ryzyko, trzeba uaktualniać DPIA i odpowiednio reagować.
