UODO nie powinien wszczynać postępowań w sprawach indywidualnych skarg dotyczących nielegalnego przejęcia danych – uznał sąd administracyjny w precedensowych wyrokach.
W marcu 2020 r. ktoś pobrał bazę danych 140 tys. klientów spółki ID Finance Poland, która oferowała szybkie pożyczki internetowe przez stronę Moneyman.pl. Dane usunięto z serwera, pozostawiając żądanie zapłacenia określonej kwoty za ich przywrócenie. Firma zgłosiła wyciek prezesowi Urzędu Ochrony Danych Osobowych, a ten po przeprowadzeniu postępowania nałożył na nią karę ponad 1 mln zł za brak wystarczających środków technicznych i organizacyjnych, które zapobiegłyby nieuprawnionemu dostępowi do danych. Wojewódzki Sąd Administracyjny w Warszawie uchylił jednak tę decyzję (sygn. akt II SA/Wa 528/21). Uznał bowiem, że winę za wyciek ponosiła białoruska firma, której powierzono przetwarzanie danych (procesor).
Kara dotycząca braku właściwych zabezpieczeń została nałożona w postępowaniu prowadzonym przez prezesa UODO z urzędu. Oprócz tego wszczął on szereg postępowań w sprawach indywidualnych skarg dotyczących wycieków (wpłynęło ich 47). We wszystkich wydał podobne decyzje, udzielając ID Finance upomnienia za bezprawne udostępnienie danych osobowych. Większość z nich została utrzymana przez sąd (m.in. sygn. akt: II SA/Wa 1850/21, II SA/Wa 2216/21, II SA/Wa 2230/21). W dwóch wyrokach Wojewódzki Sąd Administracyjny w Warszawie uchylił decyzje, uznając, że postępowania w tych sprawach w ogóle nie powinny zostać wszczęte.
Nie doszło do udostępnienia danych
Sąd podkreślił, że w postępowaniach prowadzonych na skutek indywidualnych skarg prezes UODO w ogóle nie badał kwestii zabezpieczeń danych. Uznał natomiast, że skoro zostały one przejęte przez osobę nieuprawnioną, to udostępniono je jej w sposób bezprawny. Tyle że zdaniem sądu trudno tu w ogóle mówić o udostępnianiu czy też nawet szerzej - o przetwarzaniu danych przez administratora.
„Kluczowe znaczenie ma ustalenie, czy zdarzenie polegające na wejściu w posiadanie bez podstawy prawnej przez osobę trzecią danych osobowych, których administratorem jest generalnie określony podmiot, może być rozumiane jako przetworzenie przezeń danych, w czym mieści się także udostępnienie (wedle definicji zawartej w art. 4 pkt 2 RODO). Odpowiedź na tak postawione pytanie musi być - na gruncie obowiązujących regulacji RODO - negatywna, mając na względzie zarówno proste reguły wykładni językowo-logicznej, jak i celowościowej czy systemowej” - uznał sąd.
Załóż konto lub zaloguj się
i zyskaj dostęp na 14 dni za darmo.
Materiał chroniony prawem autorskim - wszelkie prawa zastrzeżone.
Dalsze rozpowszechnianie artykułu za zgodą wydawcy INFOR PL S.A. Kup licencję.