bg
Chcę wiedzieć o...
Strona główna
Artykuły
Co z dublowaniem danych?

Co z dublowaniem danych?

Dodano: 2022-04-04

Do TSUE wpłynęło następujące pytanie – czy przechowywanie równolegle w innej bazie tych samych danych jest zgodne z ograniczeniem celu?

Cała sprawa dotyczy spółki Digi, która z powodu awarii serwera w 2017 r. stworzyła dodatkową bazę. Znalazły się w niej dane 1/3 klientów. „Uczciwy haker” około 1,5 roku później poinformował, że z powodu błędu w zabezpieczeniach uzyskał dostęp do tych zasobów. Digi zawarła z hakerem umowę o zachowaniu poufności danych, zaproponowała ugodę, a także zawiadomiła organ ochrony danych o zajściu.

Skończyło się to nałożeniem 270 tys. euro kary na podmiot, a jednym z powodów było naruszenie art. 5 ust. 1 lit. b RODO. Przepis ten stanowi, że dane są zbierane w konkretnych, wyraźnych i prawnie uzasadnionych celach i nieprzetwarzane dalej w sposób niezgodny z innymi.

W istocie powyższe odnosi się do tego, czy nowa baza jest wykorzystywana w tym samym celu co pierwotna. Jeśli nie, wówczas ważne jest to, czy przetwarzanie jest zgodne z tym celem, w którym dane zostały zebrane. Spółka, o czym już zostało wspomniane, wskazuje na dwa cele utworzenia bazy. Pierwszy związany z naprawieniem usterki i zabezpieczeniem dostępności danych, drugi natomiast ogólny i pokrywający się z pierwotnym – obsługą klientów.

Argumentację spółki Digi poparła KE. Przekonywała bowiem, że konieczność zapewnienia bezpieczeństwa danych nie może być postrzegana jako nowy cel. Informowanie zainteresowanych o całym zajściu byłoby zatem pozbawione praktycznego znaczenia. Rzecznik generalny TSUE nie podzielił jednak zdania KE. Wskazywał, że usterka techniczna nie doprowadziła do przerwy w świadczeniu usług, a drugą bazę stworzono na wszelki wypadek. Jej nazwa „test” wskazuje, że nie chodziło o wykorzystywanie jej do bieżącej obsługi.

Jednak nawet w sytuacji stwierdzenia odmiennego celu od tego, który występował pierwotnie nie musi oznaczać, że przetwarzanie było niezgodne z prawem. Zdaniem rzecznika generalnego, można wykazać połączenie pomiędzy celem pierwotnym – wykonanie umowy z abonamentami, a zabezpieczeniem danych na potrzeby przeprowadzenia testów bezpieczeństwa. Choć cele nie pokrywają się z sobą, to są logicznie powiązane.

 

 

Artykuły powiązane

Nowy projekt dotyczący ubezpieczeń upraw rolnych i zwierząt gospodarskich

W dniu 5 listopada 2024 r. na stronie rządu opublikowano informację, że Rada Ministrów przyjęła projekt ustawy o zmian...

Udostępnienie pracowników innej firmie jest z VAT, nawet jeśli było to nieodpłatne

Wojewódzki Sąd Administracyjny w Łodzi, w wyroku z 25 września 2024 r. (sygn. akt I SA/Łd 506/24), stwierdził, że nieodp...

Naruszenie RODO – czy zawsze obowiązuje kara finansowa?

Trybunał Sprawiedliwości Unii Europejskiej (TSUE) w wyroku z 26 września 2024 r. (sygn. C-768/21) orzekł, że organ ochr...