Czy przypadkowe ujawnienie danych osobowych to też udostępnianie danych w rozumieniu RODO?

Czy incydent bezpieczeństwa, którego skutkiem jest przypadkowe ujawnienie danych osobowych, oznacza udostępnianie danych? Czy jednak niezamierzony i nieplanowany przez administratora wyciek będący skutkiem ataku hakerskiego nie może być traktowany jako przetwarzanie danych w rozumieniu RODO? I przy okazji: czy jeden wyciek danych może być przedmiotem wielokrotnego zainteresowania ze strony PUODO i czy sąd powinien dostrzec, że zdaniem tego samego sądu administrator nie ponosi zań odpowiedzialności?

nieprawomocny wyrok WSA w Warszawie z 20 kwietnia 2022 r. (II SA/Wa 3515/21)
Ujawnienie danych osobowych konkretnej osoby fizycznej podmiotowi trzeciemu jest udostępnieniem danych w rozumieniu art. 4 pkt 2 RODO. Ujawnienie danych osobowych nie musi być bowiem wynikiem zaplanowanej operacji i nie musi być równoznaczne z działaniem (aktywnością) takim jak przesłanie, czy rozpowszechnienie (aktywne dzielenie się danymi).

Sprawa zaczęła się od skargi na naruszenie obowiązków w zakresie zapewnienia integralności i poufności przetwarzanych danych, co doprowadziło do rozległego wycieku i upublicznienia danych osobowych użytkowników serwisu internetowego (w przypadku skarżącego było to „imię, nazwisko, PESEL, seria i numer dowodu tożsamości, NIP, obywatelstwo, miejsce urodzenia, numer rachunku bankowego, adres korespondencyjny, adres zameldowania, adres e-mail, numer telefonu stacjonarnego, numer telefonu komórkowego, numer telefonu pracodawcy, nazwa pracodawcy, zatrudnienie (rodzaj umowy), przychód miesięczny netto, źródło przychodu, ilość osób pozostających na utrzymaniu, stan cywilny, wykształcenie, hasło do profilu klienta”). Skarżący podkreślił, że dla zminimalizowania ryzyka kradzieży tożsamości musiał wyrobić nowy dowód osobisty i wykupić alerty powiadomień, z czym wiążą się straty majątkowe i niemajątkowe.

W toku postępowania spółka wyjaśniła, że po powzięciu informacji o incydencie zamieściła na swej stronie internetowej dwie informacje (w tym o automatycznym resecie haseł), a także oświadczyła, że działalności gospodarczej już nie prowadzi (aktualnie jest już w likwidacji), a dane osobowe skarżącego usunęła i obecnie przetwarza je wyłącznie w celach rachunkowych i podatkowych i w zakresie niezbędnym do realizacji obowiązków prawnych lub obrony roszczeń.

art. 4 pkt 2 rozporządzenia 679/2016 o ochronie danych osobowych
Na użytek niniejszego rozporządzenia:
2) „przetwarzanie” oznacza operację lub zestaw operacji wykonywanych na danych osobowych lub zestawach danych osobowych w sposób zautomatyzowany lub niezautomatyzowany, taką jak zbieranie, utrwalanie, organizowanie, porządkowanie, przechowywanie, adaptowanie lub modyfikowanie, pobieranie, przeglądanie, wykorzystywanie, ujawnianie poprzez przesłanie, rozpowszechnianie lub innego rodzaju udostępnianie, dopasowywanie lub łączenie, ograniczanie, usuwanie lub niszczenie;

(Pozostawione w uzasadnieniu okruszki pozwalają przypuszczać, że chodzi o wyciek danych osobowych z serwisu MoneyMan.pl.)

Po przeprowadzonym postępowaniu PUODO uznał, że administrator ponosi odpowiedzialność za błąd pracownika podwykonawcy, wskutek którego doszło do wycieku i udzielił spółce upomnienia za udostępnienie danych skarżącego osobom nieuprawnionym.

W skardze na tę decyzję spółka podkreśliła, że nie można traktować cyberataku jako udostępniania danych, zatem nie sposób go analizować przez pryzmat przesłanek legalizujących przetwarzanie. Co więcej wyciek był już przedmiotem decyzji PUODO, zaś wielokrotne nakładanie sankcji za to samo zdarzenie jest niedopuszczalne, zwłaszcza gdy ten sam incydent czasem jest, a czasem nie jest uznawany za naruszenie prawa.

Wojewódzki Sąd Administracyjny nie podzielił tych argumentów: ujawnienie danych osobowych jest jedną z form udostępniania; ujawnienie danych nie polega wyłącznie na podejmowaniu przez administratora zaplanowanych działań — do zakwalifikowana zdarzenia jako ujawnienia danych wystarczające jest umożliwienie, choćby przypadkowe, dostępu do danych osobie trzeciej. Wyciek, do którego doszło wskutek braku prawidłowego zabezpieczenia zasobów, doprowadził do przypadkowego udostępnienia danych osobowych nieznanej osobie, a ponieważ administrator nie wykazał istnienia przesłanki legalizującej takie działanie, nałożona przez PUODO sankcja była prawidłowa.

Co więcej w ocenie WSA nie ma znaczenia, że ten sam sąd, w innym postępowaniu, inaczej ocenił odpowiedzialność administratora za błąd podmiotu przetwarzającego i uchylił decyzję PUODO o nałożeniu kary na spółkę (por. „Administrator danych osobowych nie odpowiada za błąd podmiotu przetwarzającego, na który nie miał wpływu”). Sęk bowiem w tym, że każdy ma prawo wnieść swoją skargę na naruszenie RODO, organ ma obowiązek rozpatrzeć ją indywidualnie — a upomnienie nie jest sankcją, lecz uprawnieniem naprawczym.

Reasumując: jeśli komuś orzeczenie podpowie, że ofiara ataku chakierów (ofiarą tą jest nie tylko osoba, której dane zostały wykradzione, ale też administrator) też musi znaleźć podstawę w art. 6 ust. 1 RODO, to będzie tylko taki bon-mocik — ale już myśl, że sąd może zignorować orzeczenie sądu brzmi niepokojąco (tak, wiem, że jeszcze nieprawomocny wyrok sądu nie wiąże, ale może wyjść głupio; jeszcze głupiej by było, gdyby się okazało, że PUODO w ten sposób forsuje swe stanowisko w „pobocznych” postępowaniach).

(podobnie: nieprawomocny wyrok WSA w Warszawie z 20 kwietnia 2022 r., II SA/Wa 1850/21, a także nieprawomocny wyrok WSA w Warszawie z 20 kwietnia 2022 r., II SA/Wa 3092/21)

subskrybuj
Powiadom o
guest

Witryna wykorzystuje Akismet, aby ograniczyć spam. Dowiedz się więcej jak przetwarzane są dane komentarzy.

10 komentarzy
Oldest
Newest
Inline Feedbacks
zerknij na wszystkie komentarze
10
0
komentarze są tam :-)x