Administrator może skopiować dane klientów do drugiej bazy, ale tylko wtedy, gdy jest ona wykorzystywana do tego samego celu, w jakim przetwarzane są pierwotnie zebrane dane – uważa rzecznik generalny Trybunału Sprawiedliwości Unii Europejskiej.
Pytanie prejudycjalne w tej sprawie zadał węgierski sąd, który rozpoznaje odwołanie od kary nałożonej przez tamtejszy organ ochrony danych na usługodawcę internetowego, spółkę Digi. W 2017 r. z powodu awarii serwera stworzyła ona dodatkową bazę, do której trafiły dane jednej trzeciej jej klientów. Półtora roku później tzw. uczciwy haker poinformował spółkę, że uzyskał dostęp do tych zasobów z powodu błędów w zabezpieczeniach. Digi załatała lukę, zawarła z hakerem umowę o zachowaniu poufności danych i zaproponowała mu nagrodę. Jednocześnie zawiadomiła organ ochrony danych o sprawie, co skończyło się nałożeniem kary ok. 270 tys. euro. Jednym z powodów było naruszenie art. 5 ust. 1 lit. b RODO. Przepis ten mówi, że dane są zbierane w konkretnych, wyraźnych i prawnie uzasadnionych celach, i nieprzetwarzane dalej w sposób niezgodny z nimi (ograniczenie celu).
TSUE ma odpowiedzieć na pytanie, czy przechowywanie równolegle w innej bazie tych samych danych jest zgodne z ograniczeniem celu. Rzecznik generalny Priit Pikamäe uważa, że w praktyce problemem nie jest jednak samo multiplikowanie bazy. Tak naprawdę liczy się bowiem to, czy nowa baza jest wykorzystywana w tym samym celu, a jeśli w innym, to czy przetwarzanie jest zgodne z tym, w którym dane osobowe zostały pierwotnie zebrane (motyw 50 RODO).
„Innymi słowy – każdy przypadek późniejszego wykorzystania tych danych należy zbadać w celu zweryfikowania jego szczególnego celu oraz, w odpowiednim przypadku, jego zgodności z celem zbierania. Zgodność z prawem celu zbierania i pierwotnego przechowywania danych nie może mieć, na zasadzie efektu domina, automatycznego wpływu na przestrzeganie zasady ograniczenia celu przez inną czynność dalszego przetwarzania, niezależnie od tego, że dotyczy ona tych samych danych” – podkreśla rzecznik w swej opinii.
Weryfikacja zgodności celu będzie należeć do węgierskiego sądu. Rzecznik podpowiedział jednak, jakie elementy wziąć pod uwagę. Wskazał na art. 13 ust. 3 RODO, zgodnie z którym administrator, który ma przetwarzać dane w celu innym niż ten, w którym zostały zebrane, musi przekazać zainteresowanemu informacje o tym nowym celu. Ponadto w art. 30 ust. 1 RODO na każdego administratora danych nałożono obowiązek prowadzenia rejestru, w którym znajdują się również informacje na temat celów przetwarzania.
Spółka Digi przekonywała, że utworzenie drugiej bazy miało podwójny cel. Pierwszy bezpośrednio wiązał się z naprawieniem usterki i zabezpieczeniem dostępności danych, drugi zaś – ogólny pokrywał się w pełni z pierwotnym, czyli obsługą klientów. Jej argumenty poparła Komisja Europejska, która również przekonywała, że konieczność zapewnienia bezpieczeństwa danych nie może być postrzegana jako nowy cel, a informowanie osób byłoby pozbawione praktycznego znaczenia. Rzecznik generalny nie podzielił jednak tego rozumowania. Podkreślił, że usterka techniczna nie doprowadziła do przerwy w świadczeniu usług, a dodatkową bazę stworzono na wszelki wypadek. Co więcej, nie zawierała ona danych wszystkich abonentów, jej nazwa „test” wskazuje, że nie chodziło o wykorzystywanie jej do bieżącej obsługi, zapomniano o niej na 18 miesięcy, a po informacji od hakera natychmiast usunięto.
„W tych okolicznościach wydaje się możliwe przyjęcie, że kwestionowane przetwarzanie służyło jednemu, konkretnemu, określonemu celowi, polegającemu na tymczasowym zabezpieczeniu części danych abonentów w związku z naprawą incydentu technicznego mającego wpływ na funkcjonowanie serwera, czyli moim zdaniem celowi, który różni się od celu zbierania danych” – podsumował rzecznik.
Nawet stwierdzenie odmiennego od pierwotnego celu nie musi oznaczać, że przetwarzanie było niezgodne z prawem. Zdaniem rzecznika generalnego można bowiem wykazać związek pomiędzy celem pierwotnym (wykonanie umowy z abonamentami) a zabezpieczeniem danych na potrzeby przeprowadzenia testów bezpieczeństwa. Cele te nie pokrywają się ze sobą, ale są logicznie powiązane. ©℗
orzecznictwo
Opinia rzecznika generalnego Trybunału Sprawiedliwości Unii Europejskiej z 31 marca 2022 r. w sprawie C-77/21 www.serwisy.gazetaprawna.pl/orzeczenia