bg
Chcę wiedzieć o...
Strona główna
Artykuły
Co z dublowaniem danych?

Co z dublowaniem danych?

Dodano: 2022-04-04

Do TSUE wpłynęło następujące pytanie – czy przechowywanie równolegle w innej bazie tych samych danych jest zgodne z ograniczeniem celu?

Cała sprawa dotyczy spółki Digi, która z powodu awarii serwera w 2017 r. stworzyła dodatkową bazę. Znalazły się w niej dane 1/3 klientów. „Uczciwy haker” około 1,5 roku później poinformował, że z powodu błędu w zabezpieczeniach uzyskał dostęp do tych zasobów. Digi zawarła z hakerem umowę o zachowaniu poufności danych, zaproponowała ugodę, a także zawiadomiła organ ochrony danych o zajściu.

Skończyło się to nałożeniem 270 tys. euro kary na podmiot, a jednym z powodów było naruszenie art. 5 ust. 1 lit. b RODO. Przepis ten stanowi, że dane są zbierane w konkretnych, wyraźnych i prawnie uzasadnionych celach i nieprzetwarzane dalej w sposób niezgodny z innymi.

W istocie powyższe odnosi się do tego, czy nowa baza jest wykorzystywana w tym samym celu co pierwotna. Jeśli nie, wówczas ważne jest to, czy przetwarzanie jest zgodne z tym celem, w którym dane zostały zebrane. Spółka, o czym już zostało wspomniane, wskazuje na dwa cele utworzenia bazy. Pierwszy związany z naprawieniem usterki i zabezpieczeniem dostępności danych, drugi natomiast ogólny i pokrywający się z pierwotnym – obsługą klientów.

Argumentację spółki Digi poparła KE. Przekonywała bowiem, że konieczność zapewnienia bezpieczeństwa danych nie może być postrzegana jako nowy cel. Informowanie zainteresowanych o całym zajściu byłoby zatem pozbawione praktycznego znaczenia. Rzecznik generalny TSUE nie podzielił jednak zdania KE. Wskazywał, że usterka techniczna nie doprowadziła do przerwy w świadczeniu usług, a drugą bazę stworzono na wszelki wypadek. Jej nazwa „test” wskazuje, że nie chodziło o wykorzystywanie jej do bieżącej obsługi.

Jednak nawet w sytuacji stwierdzenia odmiennego celu od tego, który występował pierwotnie nie musi oznaczać, że przetwarzanie było niezgodne z prawem. Zdaniem rzecznika generalnego, można wykazać połączenie pomiędzy celem pierwotnym – wykonanie umowy z abonamentami, a zabezpieczeniem danych na potrzeby przeprowadzenia testów bezpieczeństwa. Choć cele nie pokrywają się z sobą, to są logicznie powiązane.

 

 

Artykuły powiązane

Walka z smishingiem: nowe przepisy wprowadzają blokowanie fałszywych SMS-ów przez operatorów telekomunikacyjnych

Od 25 marca 2024 roku zaczęły obowiązywać nowe przepisy, które nakładają obowiązek na operatorów telekomunikacyjnych do...

Nowe przepisy na rzecz recyklingu

Na portalu Rządowego Centrum Legislacji opublikowano projekt nowych przepisów dotyczących po...

KNF: Kolejna wersja metodyki BION dla ubezpieczycieli za 2023 rok

W dniu 1 marca 2024 r. Urząd Komisji Nadzoru Finansowego opublikował nową wersję metodyki Rocznego Badania i Oceny Nad...