Różne podejścia do wycieku

W marcu 2020 r. ktoś pobrał bazę danych 140 tys. klientów spółki ID Finance Poland, która oferowała szybkie pożyczki internetowe przez stronę Moneyman.pl. Dane usunięto z serwera, pozostawiając żądanie zapłacenia określonej kwoty za ich przywrócenie. Firma zgłosiła wyciek prezesowi Urzędu Ochrony Danych Osobowych, a ten po przeprowadzeniu postępowania nałożył na nią karę ponad 1 mln zł za brak wystarczających środków technicznych i organizacyjnych, które zapobiegłyby nieuprawnionemu dostępowi do danych. Wojewódzki Sąd Administracyjny w Warszawie uchylił jednak tę decyzję (sygn. akt II SA/Wa 528/21). Uznał bowiem, że winę za wyciek ponosiła białoruska firma, której powierzono przetwarzanie danych (procesor).

Kara dotycząca braku właściwych zabezpieczeń została nałożona w postępowaniu prowadzonym przez prezesa UODO z urzędu. Oprócz tego wszczął on szereg postępowań w sprawach indywidualnych skarg dotyczących wycieków (wpłynęło ich 47). We wszystkich wydał podobne decyzje, udzielając ID Finance upomnienia za bezprawne udostępnienie danych osobowych. Większość z nich została utrzymana przez sąd (m.in. sygn. akt: II SA/Wa 1850/21, II SA/Wa 2216/21, II SA/Wa 2230/21). W dwóch wyrokach Wojewódzki Sąd Administracyjny w Warszawie uchylił decyzje, uznając, że postępowania w tych sprawach w ogóle nie powinny zostać wszczęte.