bg
Chcę wiedzieć o...
Strona główna
Artykuły
Co z dublowaniem danych?

Co z dublowaniem danych?

Dodano: 2022-04-04

Do TSUE wpłynęło następujące pytanie – czy przechowywanie równolegle w innej bazie tych samych danych jest zgodne z ograniczeniem celu?

Cała sprawa dotyczy spółki Digi, która z powodu awarii serwera w 2017 r. stworzyła dodatkową bazę. Znalazły się w niej dane 1/3 klientów. „Uczciwy haker” około 1,5 roku później poinformował, że z powodu błędu w zabezpieczeniach uzyskał dostęp do tych zasobów. Digi zawarła z hakerem umowę o zachowaniu poufności danych, zaproponowała ugodę, a także zawiadomiła organ ochrony danych o zajściu.

Skończyło się to nałożeniem 270 tys. euro kary na podmiot, a jednym z powodów było naruszenie art. 5 ust. 1 lit. b RODO. Przepis ten stanowi, że dane są zbierane w konkretnych, wyraźnych i prawnie uzasadnionych celach i nieprzetwarzane dalej w sposób niezgodny z innymi.

W istocie powyższe odnosi się do tego, czy nowa baza jest wykorzystywana w tym samym celu co pierwotna. Jeśli nie, wówczas ważne jest to, czy przetwarzanie jest zgodne z tym celem, w którym dane zostały zebrane. Spółka, o czym już zostało wspomniane, wskazuje na dwa cele utworzenia bazy. Pierwszy związany z naprawieniem usterki i zabezpieczeniem dostępności danych, drugi natomiast ogólny i pokrywający się z pierwotnym – obsługą klientów.

Argumentację spółki Digi poparła KE. Przekonywała bowiem, że konieczność zapewnienia bezpieczeństwa danych nie może być postrzegana jako nowy cel. Informowanie zainteresowanych o całym zajściu byłoby zatem pozbawione praktycznego znaczenia. Rzecznik generalny TSUE nie podzielił jednak zdania KE. Wskazywał, że usterka techniczna nie doprowadziła do przerwy w świadczeniu usług, a drugą bazę stworzono na wszelki wypadek. Jej nazwa „test” wskazuje, że nie chodziło o wykorzystywanie jej do bieżącej obsługi.

Jednak nawet w sytuacji stwierdzenia odmiennego celu od tego, który występował pierwotnie nie musi oznaczać, że przetwarzanie było niezgodne z prawem. Zdaniem rzecznika generalnego, można wykazać połączenie pomiędzy celem pierwotnym – wykonanie umowy z abonamentami, a zabezpieczeniem danych na potrzeby przeprowadzenia testów bezpieczeństwa. Choć cele nie pokrywają się z sobą, to są logicznie powiązane.

 

 

Artykuły powiązane

Sąd cywilny jest związany decyzją KNF

Sąd Najwyższy w wyroku z dnia 8 marca 2024 r. (sygn. akt II CSKP 1915/22) orzekł, że sąd powszechny nie ma prawa inge...

Europa, a sztuczna inteligencja

W obronie własnego języka Portale informacyjne donoszą, że kraje od Hiszpanii po Rumunię stawiają c...

Testament w formie wideo? Innowacja w dziedzinie dziedziczenia

Ministerstwo Sprawiedliwości proponuje wprowadzenie nowej formy testamentu, zwanego...