Administrator może skopiować dane klientów do innej bazy, jeśli jest to niezbędne do naprawienia błędów w systemie informatycznym. Nie musi wówczas prosić ich o dodatkowe zgody – uznał Trybunał Sprawiedliwości Unii Europejskiej.
Pytanie prejudycjalne w tej sprawie zadał węgierski sąd, który rozpoznaje odwołanie od kary nałożonej przez tamtejszy organ ochrony danych na usługodawcę internetowego, spółkę Digi. W 2017 r. z powodu awarii serwera stworzyła ona dodatkową bazę danych, do której trafiły dane jednej trzeciej jej klientów. Półtora roku później tzw. uczciwy haker poinformował spółkę, że uzyskał dostęp do tej bazy z powodu błędów w zabezpieczeniach. Digi załatała lukę, zawarła z hakerem umowę o zachowaniu poufności danych i zaproponowała mu nagrodę. Jednocześnie poinformowała organ ochrony danych o naruszeniu, co skończyło się nałożeniem kary ok. 270 tys. euro. Jednym z powodów było pogwałcenie art. 5 ust. 1 lit. b RODO. Przepis ten mówi, że dane są zbierane w konkretnych, wyraźnych i prawnie uzasadnionych celach i nieprzetwarzane dalej w sposób niezgodny z tymi celami (tzw. ograniczenie celu). Zdaniem organu, tworząc nową bazę, do której skopiowano dane klientów, firma wyszła poza cele, dla których mogła te dane przetwarzać.
TSUE miał odpowiedzieć na pytanie, czy przechowywanie równolegle w innej bazie tych samych danych jest zgodne z zasadą ograniczonego celu. Uznał jednak, że w tej sprawie problem sprowadza się do czegoś innego – czy zdublowanie danych było niezbędne do realizacji zadań, dla których je zebrano, czyli do realizacji umów abonenckich z klientami. Na tak postawione pytanie odpowiedział twierdząco.
Zdaniem TSUE skopiowanie danych do nowej bazy należy uznać za dalsze przetwarzanie. Analizując, czy cel dalszego przetwarzania jest zgodny z tym, dla którego pierwotnie zebrano dane, należy wziąć pod uwagę m.in. wszystkie związki między tymi celami, kontekst, relacje między osobami, których dane dotyczą, charakter tych danych i konsekwencje dalszego przetwarzania oraz kwestie bezpieczeństwa. Uwzględniając wszystkie te kryteria, stworzenie bazy niezbędnej do naprawienia błędów w systemie informatycznym jest zgodne z celem, dla którego zebrano dane, i nie wymaga dodatkowej zgody klientów. „Przeprowadzenie testów i poprawienie błędów mających wpływ na bazę danych abonentów wykazują konkretny związek z wykonaniem umów abonenckich zawartych z klientami indywidualnymi, na potrzeby czego dane pierwotnie zebrano, ponieważ takie błędy mogą mieć szkodliwy wpływ na świadczenie przewidzianej w umowie usługi. (…) Takie przetwarzanie nie odbiega od uzasadnionych oczekiwań klientów co do dalszego wykorzystywania ich danych osobowych” – wskazano w uzasadnieniu wyroku.
– Ten wyrok to przełom i powiew jednoznaczności w czymś, co było niejasne od ponad 20 lat prawa ochrony danych. Był to poważny problem dla programistów, deweloperów i wielu obszarów IT. Dane muszą być zawsze przetwarzane zgodnie z ograniczeniami celów ich pozyskania. Utrzymanie działania systemów i w szczególności naprawę błędów można uznać za kompatybilne przetwarzanie. Wobec tego można to robić – komentuje dr Łukasz Olejnik, niezależny badacz i konsultant prywatności. Jak jednak dodaje, mimo wszystko sugerowałby ostrożność i zwracanie uwagi na potrzeby konkretnych przypadków.
– W niektórych sytuacjach warto przeprowadzić ocenę skutków dla ochrony danych – podkreśla Olejnik.
Trybunał wskazał, że dane w zapasowej bazie można przetwarzać tylko w czasie niezbędnym do usunięcia usterki. ©℗
orzecznictwo
Wyrok Trybunału Sprawiedliwości Unii Europejskiej z 20 października 2022 r. w sprawie C-77/21 www.serwisy.gazetaprawna.pl/orzeczenia