Wyciek danych jest ich udostępnieniem?

Tylko w serwisie Judykatura.pl można zapoznać się z treścią decyzji Prezesa Urzędu Ochrony Danych Osobowych z marca 2021 r., u której podstaw leży tytułowa teza. 

Do powyższej tezy dotyczącej “udostępnienia” danych osobowych pochodzących z luki bezpieczeństwa podmiotu przetwarzającego skłoniła Prezesa UODO następujący stan faktyczny.

Skarżący, jak kilka tysięcy innych osób, korzystał z usługi firmy udzielającej przez internet pożyczek.

W związku z naruszeniem ochrony danych osobowych, u podmiotu przetwarzającego, polegającym na niezabezpieczeniu zasobów chmurowych przed nieautoryzowanym dostępem doszło do – i tutaj należy dobrać odpowiednie słowo – pobrania danych klientów przez niezidentyfikowaną osobę lub osoby.

Subskrypcja 30 dni
Przez 30 dni masz dostęp do zaawansowanej wyszukiwarki:
249
 PLN z VAT
  • Aktualizowanej Bazy Orzeczeń Sądów i Trybunałów
  • Eksperckich tez wybranych orzeczeń
  • Decyzji Polskiego Organu Nadzorczego
  • Decyzji Europejskich Organów Nadzorczych
  • Wytycznych i Opinii EDPB oraz EDPS
  • Konkretnych argumentów w postępowaniu administracyjnym
Wybieram
Subskrypcja 360 dni
Przez 360 dni masz dostęp do wszystkich funkcjonalności subskrypcji 30 dni
2365
 PLN z VAT
2988
  • Dedykowany newsletter zawierający najważniejsze wyroki opublikowane w danym miesiącu wraz z tezami
  • Indywidualnych konsultacji z założycielem serwisu Judykatura.pl w kwestiach związanych z RODO (3 konsultacje w ramach obowiązującej subskrypcji)
Wybieram
Aktualności Plus 30 dni
Przez 30 dni masz dostęp do najnowszych aktualności z RODO
49.99
 PLN z VAT
  • Pierwszy zapoznasz się z argumentacją Urzędu, Sądu czy Trybunału – nie czekaj na podsumowania miesiąca, które wpada do spamu
  • Każda aktualność to fachowe i czytelne podsumowanie omawianego orzeczenia, decyzji czy wytycznych wraz z dostępem do jego treści w serwisie Judykatura.pl
  • Jedno miejsce, w którym zapoznasz się z najważniejszymi argumentami orzeczenia oraz z jego treścią niezależnie od tego, z jakiego źródła ono pochodzi
  • Utrzymaj zgodność z RODO dzięki byciu na bieżąco z orzecznictwem RODO
Wybieram

Zamówienie dostępu do Subskrypcji 360 bez płatności cyklicznej.

Prezes UODO tak opisuję tę sytuację:

Skarżący wskazał, że otrzymał od Spółki zawiadomienie dot. ujawnienia jego danych osobowych, które mogło wynikać z niewłaściwego zabezpieczenia jego danych. Wobec powyższego Skarżący wniósł skargę na bezprawne udostępnienie jego danych osobowych przez Spółkę oraz zwrócił się z żądaniem usunięcia jego danych osobowych z bazy danych Spółki (dowód: pismo Skarżącego z dnia … marca 2020 r. oraz z dnia … kwietnia 2020 r. wraz z załącznikami).

W zakresie zarzutu bezprawnego udostępnienia danych osobowych Skarżącego przez Spółkę osobie nieuprawnionej wskazać należy, iż w złożonych wyjaśnieniach Spółka przyznała, że w wyniku błędu pracownika Id, z którym Spółka zawarła umowę powierzenia przetwarzania danych osobowych, polegającego na braku zabezpieczenia w dniach … – … marca 2020 r. danych osobowych Skarżącego doszło do udostępnienia jego danych osobowych w zakresie: imię, nazwisko, PESEL, serię i numer dokumentu tożsamości, NIP, obywatelstwo, miejsce urodzenia, numer rachunku bankowego, numer telefonu komórkowego, poprzedni numer telefonu komórkowego (jeśli uległ zmianie), numer telefonu pracodawcy, adres e-mail osoby, której klient rekomendował pożyczkę (jeśli rekomendował), nazwę pracodawcy, zatrudnienie (rodzaj umowy), przychód miesięczny netto, źródło przychodu, ilość osób pozostających na utrzymaniu, stan cywilny, wykształcenie, hasło do profilu klienta na … osobie nieuprawnionej.

Takie pobranie bazy danych było zapewne rozważane jako uzyskanie dostępu do informacji dla niego nieprzeznaczonej bez uprawnienia, a więc czyn karalny wskazany w art. 267 § 1 kodeksu karnego.

W takiej sytuacji trudno poszukiwać podstawy prawnej legalizującej takie “przekazanie” danych osobowych przez administratora komukolwiek, kto je samodzielnie pobrał, gdyż działanie to było poza “świadomością” administratora danych.

Subskrypcja 30 dni
Przez 30 dni masz dostęp do zaawansowanej wyszukiwarki:
249
 PLN z VAT
  • Aktualizowanej Bazy Orzeczeń Sądów i Trybunałów
  • Eksperckich tez wybranych orzeczeń
  • Decyzji Polskiego Organu Nadzorczego
  • Decyzji Europejskich Organów Nadzorczych
  • Wytycznych i Opinii EDPB oraz EDPS
  • Konkretnych argumentów w postępowaniu administracyjnym
Wybieram
Subskrypcja 360 dni
Przez 360 dni masz dostęp do wszystkich funkcjonalności subskrypcji 30 dni
2365
 PLN z VAT
2988
  • Dedykowany newsletter zawierający najważniejsze wyroki opublikowane w danym miesiącu wraz z tezami
  • Indywidualnych konsultacji z założycielem serwisu Judykatura.pl w kwestiach związanych z RODO (3 konsultacje w ramach obowiązującej subskrypcji)
Wybieram
Aktualności Plus 30 dni
Przez 30 dni masz dostęp do najnowszych aktualności z RODO
49.99
 PLN z VAT
  • Pierwszy zapoznasz się z argumentacją Urzędu, Sądu czy Trybunału – nie czekaj na podsumowania miesiąca, które wpada do spamu
  • Każda aktualność to fachowe i czytelne podsumowanie omawianego orzeczenia, decyzji czy wytycznych wraz z dostępem do jego treści w serwisie Judykatura.pl
  • Jedno miejsce, w którym zapoznasz się z najważniejszymi argumentami orzeczenia oraz z jego treścią niezależnie od tego, z jakiego źródła ono pochodzi
  • Utrzymaj zgodność z RODO dzięki byciu na bieżąco z orzecznictwem RODO
Wybieram

Zamówienie dostępu do Subskrypcji 360 bez płatności cyklicznej.

Prezes UODO w decyzji, z którą można się zapoznać wyłącznie w serwisie Judykatura.pl, wskazał jednak, iż administrator jest zobowiązany do legalizacji takiego “udostępnienia” danych”:

Wskazać należy, że w zakresie powyższego udostępnienia nie została spełniona żadna z przesłanek legalizujących proces przetwarzania danych osobowych, spośród określonych w art. 6 ust. 1 RODO. Niezależnie od powyższego wskazać należy, że w niniejszym postępowaniu zainicjowanym indywidualną skarga organ właściwy do spraw ochrony danych osobowych może dokonać wyłącznie oceny legalności przetwarzania danych.

Mając powyższe na uwadze, Prezes UODO uznał, że w realiach niniejszej sprawy, z uwagi na charakter przedmiotowego udostępnienia, właściwe jest zastosowanie wobec Spółki upomnienia za stwierdzone naruszenie przepisów o ochronie danych osobowych, tj. art. 6 ust. 1 RODO w zw. z art. 5 ust. 1 lit. f, gdyż przetwarzanie danych osobowych Skarżącego, polegające na udostępnieniu w dniach … – … marca 2020 roku danych osobowych Skarżącego na rzecz nieznanej i nieuprawnionej osoby stanowiło naruszenie norm z zakresu ochrony danych osobowych.

Jeśli stanowisko UODO “utrzyma się” w WSA/NSA, a na to wskazuję wyrok WSA z kwietnia 2022 r. oddalający skargę administratora, to w każdym przypadku naruszenia ochrony danych osobowych polegającym na np. włamaniu do zasobów administratora danych czy podmiotu przetwarzającego albo też uzyskaniu danych bez takiego pokonania zabezpieczeń z powodu ich braku administrator, będzie dokonywać “udostępnienia” danych osobowych bez podstawy prawnej.

Zapisz się do newslettera
X

Podając swój adres e-mail oraz zatwierdzając zapis do newslettera wyrażasz zgodę na otrzymywanie od Piotra Liwszica informacji marketingowych. Zgodę możesz wycofać w każdym czasie wysyłając e-mail na adres kontakt@judykatura.pl. Administratorem danych jest Piotr Liwszic prowadzący działalność gospodarczą jawneprzezpoufne Piotr Liwszic z siedzibą przy ul. Grzybowskiej 43, 00-855 Warszawa, NIP- 521-332-36-17. Dane osobowe przetwarzane są w celu przesyłania informacji marketingowych. Więcej informacji o przetwarzaniu danych osobowych, w tym o przysługujących Państwu prawach, znajduje się w Polityce prywatności