Wyciek danych jest ich udostępnieniem?

Tylko w serwisie Judykatura.pl można zapoznać się z treścią decyzji Prezesa Urzędu Ochrony Danych Osobowych z marca 2021 r., u której podstaw leży tytułowa teza. 

Do powyższej tezy dotyczącej “udostępnienia” danych osobowych pochodzących z luki bezpieczeństwa podmiotu przetwarzającego skłoniła Prezesa UODO następujący stan faktyczny.

Skarżący, jak kilka tysięcy innych osób, korzystał z usługi firmy udzielającej przez internet pożyczek.

W związku z naruszeniem ochrony danych osobowych, u podmiotu przetwarzającego, polegającym na niezabezpieczeniu zasobów chmurowych przed nieautoryzowanym dostępem doszło do – i tutaj należy dobrać odpowiednie słowo – pobrania danych klientów przez niezidentyfikowaną osobę lub osoby.

Subskrypcja 30 dni
Przez 30 dni masz dostęp do zaawansowanej wyszukiwarki:
129
 PLN z VAT
  • Aktualizowanej Bazy Orzeczeń Sądów i Trybunałów
  • Eksperckich tez wybranych orzeczeń
  • Decyzji Polskiego Organu Nadzorczego
  • Decyzji Europejskich Organów Nadzorczych
  • Wytycznych i Opinii EDPB oraz EDPS
  • Konkretnych argumentów w postępowaniu administracyjnym
Wybieram
Subskrypcja 360 dni
Przez 360 dni masz dostęp do wszystkich funkcjonalności subskrypcji 30 dni
1548
 PLN z VAT
  • Dedykowany newsletter zawierający najważniejsze wyroki opublikowane w danym miesiącu wraz z tezami
  • Indywidualnych konsultacji z założycielem serwisu Judykatura.pl w kwestiach związanych z RODO (3 konsultacje w ramach obowiązującej subskrypcji)
  • Oszczędność 15% względem pozostałych pakietów
Wybieram
Subskrypcja 180 dni
Przez 180 dni masz dostęp do wszystkich elementów subskrypcji 90 dni:
774
 PLN z VAT
  • Dedykowany newsletter zawierający najważniejsze wyroki opublikowane w danym miesiącu wraz z tezami
  • Indywidualną konsultację z założycielem serwisu Judykatura.pl w kwestiach związanych z RODO (1 konsultacja w ramach obowiązującej subskrypcji)
  • Oszczędność 10% względem pozostałych pakietów
Wybieram

Prezes UODO tak opisuję tę sytuację:

Skarżący wskazał, że otrzymał od Spółki zawiadomienie dot. ujawnienia jego danych osobowych, które mogło wynikać z niewłaściwego zabezpieczenia jego danych. Wobec powyższego Skarżący wniósł skargę na bezprawne udostępnienie jego danych osobowych przez Spółkę oraz zwrócił się z żądaniem usunięcia jego danych osobowych z bazy danych Spółki (dowód: pismo Skarżącego z dnia … marca 2020 r. oraz z dnia … kwietnia 2020 r. wraz z załącznikami).

W zakresie zarzutu bezprawnego udostępnienia danych osobowych Skarżącego przez Spółkę osobie nieuprawnionej wskazać należy, iż w złożonych wyjaśnieniach Spółka przyznała, że w wyniku błędu pracownika Id, z którym Spółka zawarła umowę powierzenia przetwarzania danych osobowych, polegającego na braku zabezpieczenia w dniach … – … marca 2020 r. danych osobowych Skarżącego doszło do udostępnienia jego danych osobowych w zakresie: imię, nazwisko, PESEL, serię i numer dokumentu tożsamości, NIP, obywatelstwo, miejsce urodzenia, numer rachunku bankowego, numer telefonu komórkowego, poprzedni numer telefonu komórkowego (jeśli uległ zmianie), numer telefonu pracodawcy, adres e-mail osoby, której klient rekomendował pożyczkę (jeśli rekomendował), nazwę pracodawcy, zatrudnienie (rodzaj umowy), przychód miesięczny netto, źródło przychodu, ilość osób pozostających na utrzymaniu, stan cywilny, wykształcenie, hasło do profilu klienta na … osobie nieuprawnionej.

Takie pobranie bazy danych było zapewne rozważane jako uzyskanie dostępu do informacji dla niego nieprzeznaczonej bez uprawnienia, a więc czyn karalny wskazany w art. 267 § 1 kodeksu karnego.

W takiej sytuacji trudno poszukiwać podstawy prawnej legalizującej takie “przekazanie” danych osobowych przez administratora komukolwiek, kto je samodzielnie pobrał, gdyż działanie to było poza “świadomością” administratora danych.

Subskrypcja 30 dni
Przez 30 dni masz dostęp do zaawansowanej wyszukiwarki:
129
 PLN z VAT
  • Aktualizowanej Bazy Orzeczeń Sądów i Trybunałów
  • Eksperckich tez wybranych orzeczeń
  • Decyzji Polskiego Organu Nadzorczego
  • Decyzji Europejskich Organów Nadzorczych
  • Wytycznych i Opinii EDPB oraz EDPS
  • Konkretnych argumentów w postępowaniu administracyjnym
Wybieram
Subskrypcja 360 dni
Przez 360 dni masz dostęp do wszystkich funkcjonalności subskrypcji 30 dni
1548
 PLN z VAT
  • Dedykowany newsletter zawierający najważniejsze wyroki opublikowane w danym miesiącu wraz z tezami
  • Indywidualnych konsultacji z założycielem serwisu Judykatura.pl w kwestiach związanych z RODO (3 konsultacje w ramach obowiązującej subskrypcji)
  • Oszczędność 15% względem pozostałych pakietów
Wybieram
Subskrypcja 180 dni
Przez 180 dni masz dostęp do wszystkich elementów subskrypcji 90 dni:
774
 PLN z VAT
  • Dedykowany newsletter zawierający najważniejsze wyroki opublikowane w danym miesiącu wraz z tezami
  • Indywidualną konsultację z założycielem serwisu Judykatura.pl w kwestiach związanych z RODO (1 konsultacja w ramach obowiązującej subskrypcji)
  • Oszczędność 10% względem pozostałych pakietów
Wybieram

Prezes UODO w decyzji, z którą można się zapoznać wyłącznie w serwisie Judykatura.pl, wskazał jednak, iż administrator jest zobowiązany do legalizacji takiego “udostępnienia” danych”:

Wskazać należy, że w zakresie powyższego udostępnienia nie została spełniona żadna z przesłanek legalizujących proces przetwarzania danych osobowych, spośród określonych w art. 6 ust. 1 RODO. Niezależnie od powyższego wskazać należy, że w niniejszym postępowaniu zainicjowanym indywidualną skarga organ właściwy do spraw ochrony danych osobowych może dokonać wyłącznie oceny legalności przetwarzania danych.

Mając powyższe na uwadze, Prezes UODO uznał, że w realiach niniejszej sprawy, z uwagi na charakter przedmiotowego udostępnienia, właściwe jest zastosowanie wobec Spółki upomnienia za stwierdzone naruszenie przepisów o ochronie danych osobowych, tj. art. 6 ust. 1 RODO w zw. z art. 5 ust. 1 lit. f, gdyż przetwarzanie danych osobowych Skarżącego, polegające na udostępnieniu w dniach … – … marca 2020 roku danych osobowych Skarżącego na rzecz nieznanej i nieuprawnionej osoby stanowiło naruszenie norm z zakresu ochrony danych osobowych.

Jeśli stanowisko UODO “utrzyma się” w WSA/NSA, a na to wskazuję wyrok WSA z kwietnia 2022 r. oddalający skargę administratora, to w każdym przypadku naruszenia ochrony danych osobowych polegającym na np. włamaniu do zasobów administratora danych czy podmiotu przetwarzającego albo też uzyskaniu danych bez takiego pokonania zabezpieczeń z powodu ich braku administrator, będzie dokonywać “udostępnienia” danych osobowych bez podstawy prawnej.