Administrator może skopiować dane klientów do innej bazy, jeśli jest to niezbędne do naprawienia błędów w systemie informatycznym. Nie musi wówczas prosić ich o dodatkowe zgody – uznał Trybunał Sprawiedliwości Unii Europejskiej.
Pytanie prejudycjalne w tej sprawie zadał węgierski sąd, który rozpoznaje odwołanie od kary nałożonej przez tamtejszy organ ochrony danych na usługodawcę internetowego, spółkę Digi. W 2017 r. z powodu awarii serwera stworzyła ona dodatkową bazę danych, do której trafiły dane jednej trzeciej jej klientów. Półtora roku później tzw. uczciwy haker poinformował spółkę, że uzyskał dostęp do tej bazy z powodu błędów w zabezpieczeniach. Digi załatała lukę, zawarła z hakerem umowę o zachowaniu poufności danych i zaproponowała mu nagrodę. Jednocześnie poinformowała organ ochrony danych o naruszeniu, co skończyło się nałożeniem kary ok. 270 tys. euro. Jednym z powodów było pogwałcenie art. 5 ust. 1 lit. b RODO. Przepis ten mówi, że dane są zbierane w konkretnych, wyraźnych i prawnie uzasadnionych celach i nieprzetwarzane dalej w sposób niezgodny z tymi celami (tzw. ograniczenie celu). Zdaniem organu, tworząc nową bazę, do której skopiowano dane klientów, firma wyszła poza cele, dla których mogła te dane przetwarzać.
Bądź na bieżąco ze zmianami w prawie i podatkach.
Czytaj raporty, analizy i wyjaśnienia ekspertów.
Bądź na bieżąco ze zmianami w prawie i podatkach.
Czytaj raporty, analizy i wyjaśnienia ekspertów.
Materiał chroniony prawem autorskim - wszelkie prawa zastrzeżone.
Dalsze rozpowszechnianie artykułu za zgodą wydawcy INFOR PL S.A. Kup licencję.