Na czas naprawy systemu można przetwarzać dane
Administrator może skopiować dane klient ó w do innej bazy, jeśli jest to niezbędne do naprawienia błęd ó w w systemie informatycznym. Nie musi w ó wczas prosić ich o dodatkowe zgody - uznał Trybunał Sprawiedliwości Unii Europejskiej.
Pytanie prejudycjalne w tej sprawie zadał węgierski sąd, który rozpoznaje odwołanie od kary nałożonej przez tamtejszy organ ochrony danych na usługodawcę internetowego, spółkę Digi. W 2017 r. z powodu awarii serwera stworzyła ona dodatkową bazę danych, do której trafiły dane jednej trzeciej jej klientów. Półtora roku później tzw. uczciwy haker poinformował spółkę, że uzyskał dostęp do tej bazy z powodu błędów w zabezpieczeniach. Digi załatała lukę, zawarła z hakerem umowę o zachowaniu poufności danych i zaproponowała mu nagrodę. Jednocześnie poinformowała organ ochrony danych o naruszeniu, co skończyło się nałożeniem kary ok. 270 tys. euro. Jednym z powodów było pogwałcenie art. 5 ust. 1 lit. b RODO. Przepis ten mówi, że dane są zbierane w konkretnych, wyraźnych i prawnie uzasadnionych celach i nieprzetwarzane dalej w sposób niezgodny z tymi celami (tzw. ograniczenie celu). Zdaniem organu, tworząc nową bazę, do której skopiowano dane klientów, firma wyszła poza cele, dla których mogła te dane przetwarzać.
TSUE miał odpowiedzieć na pytanie, czy przechowywanie równolegle w innej bazie tych samych danych jest zgodne z zasadą ograniczonego celu. Uznał jednak, że w tej sprawie problem sprowadza się do czegoś innego - czy zdublowanie danych było niezbędne do realizacji zadań, dla których je zebrano, czyli do realizacji umów abonenckich z klientami. Na tak postawione pytanie odpowiedział twierdząco.
Materiał chroniony prawem autorskim - wszelkie prawa zastrzeżone.
Dalsze rozpowszechnianie artykułu za zgodą wydawcy INFOR PL S.A. Kup licencję.