Wyciek danych jest ich udostępnieniem?

Tylko w serwisie Judykatura.pl można zapoznać się z treścią decyzji Prezesa Urzędu Ochrony Danych Osobowych z marca 2021 r., u której podstaw leży tytułowa teza. 

Do powyższej tezy dotyczącej “udostępnienia” danych osobowych pochodzących z luki bezpieczeństwa podmiotu przetwarzającego skłoniła Prezesa UODO następujący stan faktyczny.

Skarżący, jak kilka tysięcy innych osób, korzystał z usługi firmy udzielającej przez internet pożyczek.

W związku z naruszeniem ochrony danych osobowych, u podmiotu przetwarzającego, polegającym na niezabezpieczeniu zasobów chmurowych przed nieautoryzowanym dostępem doszło do – i tutaj należy dobrać odpowiednie słowo – pobrania danych klientów przez niezidentyfikowaną osobę lub osoby.

Aktualności Plus 360 dni
599
 PLN z VAT
  • Zapoznaj się z argumentacją Urzędu, Sądu czy Trybunału
  • Fachowe i czytelne podsumowanie omawianego orzeczenia
  • Dostęp do wszystkich aktualności na stronie
  • Jako pierwszy masz dostęp do ważnych argumentów
Wybieram
Wyszukiwarka Plus 360 dni
2899
 PLN z VAT
  • Dostęp do Wyszukiwarka 360 Dni
  • Dostęp do Aktualności Plus 360 Dni
  • 3 konsultacje RODO w ramach subskrypcji
Wybieram
Wyszukiwarka 360 dni
2365
 PLN z VAT
  • Baza Orzeczeń Sądów i Trybunałów
  • Eksperckie tezy wybranych orzeczeń
  • Decyzje Prezesa UODO
  • Decyzje Europejskich Organów Nadzorczych
  • Wytyczne i Opinie EDPB oraz EDPS
  • Źródło argumentów w postępowaniu administracyjnym
Wybieram

Ponad 2000 orzeczeń o Ochronie Danych Osobowych (RODO). Codzienna aktualizacja bazy orzeczeń.

Teraz zamawiasz Szkolenie RODO - Inspektor Ochrony Danych.  Nie musisz podawać karty płatniczej. Wystarczy, że wypełnisz formularz a na podany adres e-mail otrzymasz fakturę VAT do opłacenia. Ważne: Dopiero po zaksięgowaniu płatności – system utworzy konto użytkownika oraz uruchomi subskrypcję. Dopiero od tego momentu rozpoczyna się okres Subskrypcji.


    Administratorem Pani/Pana danych osobowych jest Piotr Liwszic prowadzący działalność gospodarczą jawneprzezpoufne Piotr Liwszic z siedzibą przy ul. Grzybowskiej 43, 00-855 Warszawa, NIP: 521-332-36-17, tel: (+48) 721 621 299, email: kontakt@judykatura.pl. Dane osobowe będą przetwarzane w celu realizacji dostępu do serwisu. Każdej osobie przysługuje prawo dostępu do swoich danych osobowych, ich sprostowania, usunięcia, ograniczenia przetwarzania, przenoszenia, wniesienia sprzeciwu wobec ich przetwarzania oraz wniesienia skargi do Prezesa Urzędu Ochrony Danych Osobowych. Więcej informacji na temat przetwarzania Państwa danych osobowych dostępne jest w polityce prywatności.

    Prezes UODO tak opisuję tę sytuację:

    Skarżący wskazał, że otrzymał od Spółki zawiadomienie dot. ujawnienia jego danych osobowych, które mogło wynikać z niewłaściwego zabezpieczenia jego danych. Wobec powyższego Skarżący wniósł skargę na bezprawne udostępnienie jego danych osobowych przez Spółkę oraz zwrócił się z żądaniem usunięcia jego danych osobowych z bazy danych Spółki (dowód: pismo Skarżącego z dnia … marca 2020 r. oraz z dnia … kwietnia 2020 r. wraz z załącznikami).

    W zakresie zarzutu bezprawnego udostępnienia danych osobowych Skarżącego przez Spółkę osobie nieuprawnionej wskazać należy, iż w złożonych wyjaśnieniach Spółka przyznała, że w wyniku błędu pracownika Id, z którym Spółka zawarła umowę powierzenia przetwarzania danych osobowych, polegającego na braku zabezpieczenia w dniach … – … marca 2020 r. danych osobowych Skarżącego doszło do udostępnienia jego danych osobowych w zakresie: imię, nazwisko, PESEL, serię i numer dokumentu tożsamości, NIP, obywatelstwo, miejsce urodzenia, numer rachunku bankowego, numer telefonu komórkowego, poprzedni numer telefonu komórkowego (jeśli uległ zmianie), numer telefonu pracodawcy, adres e-mail osoby, której klient rekomendował pożyczkę (jeśli rekomendował), nazwę pracodawcy, zatrudnienie (rodzaj umowy), przychód miesięczny netto, źródło przychodu, ilość osób pozostających na utrzymaniu, stan cywilny, wykształcenie, hasło do profilu klienta na … osobie nieuprawnionej.

    Takie pobranie bazy danych było zapewne rozważane jako uzyskanie dostępu do informacji dla niego nieprzeznaczonej bez uprawnienia, a więc czyn karalny wskazany w art. 267 § 1 kodeksu karnego.

    W takiej sytuacji trudno poszukiwać podstawy prawnej legalizującej takie “przekazanie” danych osobowych przez administratora komukolwiek, kto je samodzielnie pobrał, gdyż działanie to było poza “świadomością” administratora danych.

    Aktualności Plus 360 dni
    599
     PLN z VAT
    • Zapoznaj się z argumentacją Urzędu, Sądu czy Trybunału
    • Fachowe i czytelne podsumowanie omawianego orzeczenia
    • Dostęp do wszystkich aktualności na stronie
    • Jako pierwszy masz dostęp do ważnych argumentów
    Wybieram
    Wyszukiwarka Plus 360 dni
    2899
     PLN z VAT
    • Dostęp do Wyszukiwarka 360 Dni
    • Dostęp do Aktualności Plus 360 Dni
    • 3 konsultacje RODO w ramach subskrypcji
    Wybieram
    Wyszukiwarka 360 dni
    2365
     PLN z VAT
    • Baza Orzeczeń Sądów i Trybunałów
    • Eksperckie tezy wybranych orzeczeń
    • Decyzje Prezesa UODO
    • Decyzje Europejskich Organów Nadzorczych
    • Wytyczne i Opinie EDPB oraz EDPS
    • Źródło argumentów w postępowaniu administracyjnym
    Wybieram

    Ponad 2000 orzeczeń o Ochronie Danych Osobowych (RODO). Codzienna aktualizacja bazy orzeczeń.

    Teraz zamawiasz Szkolenie RODO - Inspektor Ochrony Danych.  Nie musisz podawać karty płatniczej. Wystarczy, że wypełnisz formularz a na podany adres e-mail otrzymasz fakturę VAT do opłacenia. Ważne: Dopiero po zaksięgowaniu płatności – system utworzy konto użytkownika oraz uruchomi subskrypcję. Dopiero od tego momentu rozpoczyna się okres Subskrypcji.


      Administratorem Pani/Pana danych osobowych jest Piotr Liwszic prowadzący działalność gospodarczą jawneprzezpoufne Piotr Liwszic z siedzibą przy ul. Grzybowskiej 43, 00-855 Warszawa, NIP: 521-332-36-17, tel: (+48) 721 621 299, email: kontakt@judykatura.pl. Dane osobowe będą przetwarzane w celu realizacji dostępu do serwisu. Każdej osobie przysługuje prawo dostępu do swoich danych osobowych, ich sprostowania, usunięcia, ograniczenia przetwarzania, przenoszenia, wniesienia sprzeciwu wobec ich przetwarzania oraz wniesienia skargi do Prezesa Urzędu Ochrony Danych Osobowych. Więcej informacji na temat przetwarzania Państwa danych osobowych dostępne jest w polityce prywatności.

      Prezes UODO w decyzji, z którą można się zapoznać wyłącznie w serwisie Judykatura.pl, wskazał jednak, iż administrator jest zobowiązany do legalizacji takiego “udostępnienia” danych”:

      Wskazać należy, że w zakresie powyższego udostępnienia nie została spełniona żadna z przesłanek legalizujących proces przetwarzania danych osobowych, spośród określonych w art. 6 ust. 1 RODO. Niezależnie od powyższego wskazać należy, że w niniejszym postępowaniu zainicjowanym indywidualną skarga organ właściwy do spraw ochrony danych osobowych może dokonać wyłącznie oceny legalności przetwarzania danych.

      Mając powyższe na uwadze, Prezes UODO uznał, że w realiach niniejszej sprawy, z uwagi na charakter przedmiotowego udostępnienia, właściwe jest zastosowanie wobec Spółki upomnienia za stwierdzone naruszenie przepisów o ochronie danych osobowych, tj. art. 6 ust. 1 RODO w zw. z art. 5 ust. 1 lit. f, gdyż przetwarzanie danych osobowych Skarżącego, polegające na udostępnieniu w dniach … – … marca 2020 roku danych osobowych Skarżącego na rzecz nieznanej i nieuprawnionej osoby stanowiło naruszenie norm z zakresu ochrony danych osobowych.

      Jeśli stanowisko UODO “utrzyma się” w WSA/NSA, a na to wskazuję wyrok WSA z kwietnia 2022 r. oddalający skargę administratora, to w każdym przypadku naruszenia ochrony danych osobowych polegającym na np. włamaniu do zasobów administratora danych czy podmiotu przetwarzającego albo też uzyskaniu danych bez takiego pokonania zabezpieczeń z powodu ich braku administrator, będzie dokonywać “udostępnienia” danych osobowych bez podstawy prawnej.

      Zapisz się do newslettera
      X

      Podając swój adres e-mail oraz zatwierdzając zapis do newslettera wyrażasz zgodę na otrzymywanie od Piotra Liwszica informacji marketingowych. Zgodę możesz wycofać w każdym czasie wysyłając e-mail na adres kontakt@judykatura.pl. Administratorem danych jest Piotr Liwszic prowadzący działalność gospodarczą jawneprzezpoufne Piotr Liwszic z siedzibą przy ul. Grzybowskiej 43, 00-855 Warszawa, NIP- 521-332-36-17. Dane osobowe przetwarzane są w celu przesyłania informacji marketingowych. Więcej informacji o przetwarzaniu danych osobowych, w tym o przysługujących Państwu prawach, znajduje się w Polityce prywatności