bg
Chcę wiedzieć o...
Strona główna
Artykuły
Co z dublowaniem danych?

Co z dublowaniem danych?

Dodano: 2022-04-04

Do TSUE wpłynęło następujące pytanie – czy przechowywanie równolegle w innej bazie tych samych danych jest zgodne z ograniczeniem celu?

Cała sprawa dotyczy spółki Digi, która z powodu awarii serwera w 2017 r. stworzyła dodatkową bazę. Znalazły się w niej dane 1/3 klientów. „Uczciwy haker” około 1,5 roku później poinformował, że z powodu błędu w zabezpieczeniach uzyskał dostęp do tych zasobów. Digi zawarła z hakerem umowę o zachowaniu poufności danych, zaproponowała ugodę, a także zawiadomiła organ ochrony danych o zajściu.

Skończyło się to nałożeniem 270 tys. euro kary na podmiot, a jednym z powodów było naruszenie art. 5 ust. 1 lit. b RODO. Przepis ten stanowi, że dane są zbierane w konkretnych, wyraźnych i prawnie uzasadnionych celach i nieprzetwarzane dalej w sposób niezgodny z innymi.

W istocie powyższe odnosi się do tego, czy nowa baza jest wykorzystywana w tym samym celu co pierwotna. Jeśli nie, wówczas ważne jest to, czy przetwarzanie jest zgodne z tym celem, w którym dane zostały zebrane. Spółka, o czym już zostało wspomniane, wskazuje na dwa cele utworzenia bazy. Pierwszy związany z naprawieniem usterki i zabezpieczeniem dostępności danych, drugi natomiast ogólny i pokrywający się z pierwotnym – obsługą klientów.

Argumentację spółki Digi poparła KE. Przekonywała bowiem, że konieczność zapewnienia bezpieczeństwa danych nie może być postrzegana jako nowy cel. Informowanie zainteresowanych o całym zajściu byłoby zatem pozbawione praktycznego znaczenia. Rzecznik generalny TSUE nie podzielił jednak zdania KE. Wskazywał, że usterka techniczna nie doprowadziła do przerwy w świadczeniu usług, a drugą bazę stworzono na wszelki wypadek. Jej nazwa „test” wskazuje, że nie chodziło o wykorzystywanie jej do bieżącej obsługi.

Jednak nawet w sytuacji stwierdzenia odmiennego celu od tego, który występował pierwotnie nie musi oznaczać, że przetwarzanie było niezgodne z prawem. Zdaniem rzecznika generalnego, można wykazać połączenie pomiędzy celem pierwotnym – wykonanie umowy z abonamentami, a zabezpieczeniem danych na potrzeby przeprowadzenia testów bezpieczeństwa. Choć cele nie pokrywają się z sobą, to są logicznie powiązane.

 

 

Artykuły powiązane

Wesołych Świąt dla wszystkich czytelników BeInsured!

Życzymy Świąt pełnych spokoju, jak po wykupieniu najlepszej polisy! Niech ubezpieczenia będą równie niezawodne jak Św...

UODO: Numer PESEL nie powinien widnieć w certyfikacie podpisu elektronicznego

Prezes Urzędu Ochrony Danych Osobowych (UODO) zwrócił się do Ministra Cyfryzacji z wnioskiem o zmianę przepisów dotyc...

Blokada strony internetowej przez ABW bezpodstawna – NSA ostatecznie rozstrzyga

Naczelny Sąd Administracyjny (NSA) w wyroku z 26 września 2024 roku (sygn. akt II GSK 2046/23) uznał, że Agencja Bez...