Przejdź do treści
HWW Hewelt Wojnowski Lindner i Wspólnicy
Dane osobowe 9 stycznia 2023 ok. 5 min czytania

Skopiowanie danych do testowej bazy celem naprawienia błędów systemu jako dalsze przetwarzanie danych

Martyna Dobkowska Autor Martyna Dobkowska Associate
Skopiowanie danych do testowej bazy celem naprawienia błędów systemu jako dalsze przetwarzanie danych

Do zasad związanych z ogólnopojętym ograniczeniem przetwarzania danych osobowych zalicza się także zasadę tzw. ograniczenia przechowywania danych osobowych, w ślad za którą dane osobowe powinny być przechowywane w formie umożliwiającej identyfikację osoby, której dane dotyczą, przez okres nie dłuższy, niż jest to niezbędne do celów, w których dane te są przetwarzane. Oznacza to, że po osiągnięciu celów przetwarzania dane powinny zostać usunięte albo zanonimizowane (art. 5 ust. 1 lit. e) RODO).

Wykładnia powyższych zasad miała doniosłe znaczenie przy wydaniu wyroku przez Trybunał Sprawiedliwości Unii Europejskiej („TSUE”) w dniu 20 października 2022 r. sygn. C‑77/21. Spór, który był przedmiotem rozpatrywanej sprawy odbywał się pomiędzy węgierską spółką Digi, czyli jednym z głównych dostawców usług internetowych i telewizji na Węgrzech, a Nemzeti Adatvédelmi és Információszabadság Hatóság (krajowym organem ochrony danych i wolności informacji na Węgrzech) w przedmiocie naruszenia ochrony danych osobowych zawartych w bazie danych spółki Digi. W tej sprawie sąd węgierski zwrócił się do TSUE z pytaniami prejudycjalnymi dotyczącymi zgodności równoległego przechowywania w innej bazie tych samych danych z zasadą ograniczonego celu.

STAN FAKTYCZNY

W 2017 roku w następstwie usterki technicznej, spółka Digi stworzyła testową bazę danych, do której skopiowała dane osobowe około jednej trzeciej swoich klientów indywidualnych, przechowywanych w innej bazie danych. Dwa lata później spółka Digi dowiedziała się, że „uczciwy haker” uzyskał dostęp do przechowywanych przez nią danych osobowych i zawiadomił o tym spółkę. Spółka Digi poprawiła błąd, który umożliwił uzyskanie owego dostępu oraz zawarła z tą osobą umowę o zachowaniu poufności wraz z propozycją nagrody. Po usunięciu testowej bazy danych kilka dni później spółka Digi, powiadomiła organ krajowy o naruszeniu ochrony danych osobowych, w następstwie czego organ ten wszczął postępowanie kontrolne.

Niemniej, organ krajowy w swojej decyzji stwierdził, że spółka Digi naruszyła art. 5 ust. 1 lit. b) i e) RODO, ponieważ po przeprowadzeniu niezbędnych testów i poprawieniu błędu nie usunęła ona niezwłocznie testowej bazy danych, wobec czego duża liczba danych osobowych, która pozwalała na identyfikację osób, których te dane dotyczyły, była przechowywana w tej bazie danych bez konkretnego i uzasadnionego celu przez prawie 18 miesięcy. W konsekwencji organ nałożył karę pieniężną na spółkę, co Spółka kwestionowała przed sądem, który w rezultacie skierował pytania do TSUE.

STANOWISKO TSUE

Trybunał wskazał, iż zasadę ograniczonego celu wskazaną w art. 5 ust. 1 lit b) RODO należy interpretować w ten sposób, że nie stoi ona na przeszkodzie utrwalaniu i przechowywaniu przez administratora, w bazie danych utworzonej w celu przeprowadzenia testów i poprawienia błędów, danych osobowych, które wcześniej zebrano i przechowywano w innej bazie danych, jeżeli takie dalsze przetwarzanie jest zgodne z konkretnymi celami, w jakich dane osobowe zostały pierwotnie zebrane.

W uzasadnieniu wyroku wydanego przez TSUE wskazano bowiem, że przeprowadzenie testów i poprawienie błędów mających wpływ na bazę danych abonentów wykazują konkretny związek z wykonaniem umów abonenckich zawartych z klientami indywidualnymi, dla wykonania których dane pierwotnie zbierano, gdyż takie błędy mogą mieć szkodliwy wpływ na świadczenie przewidzianej w umowie usługi. Zdaniem TSUE, takie przetwarzanie nie odbiega od uzasadnionych oczekiwań klientów co do dalszego wykorzystywania ich danych osobowych. Powyższe oznacza, że skopiowanie danych do nowej bazy celem naprawienia błędów w systemie informatycznym należy uznać za dalsze przetwarzanie i takie działanie nie wymaga dodatkowej zgody klientów.

Jednakże TSUE zaznaczył, że zasada tzw. ograniczenia przechowywania danych wymaga od administratora, by był w stanie wykazać, że dane osobowe są przechowywane wyłącznie przez okres niezbędny do osiągnięcia celów, w których je zebrano lub w których je dalej przetworzono. W niniejszym przypadku spółka Digi podniosła, że po przeprowadzeniu testów i poprawieniu błędów nie usunęła, niezwłocznie, danych osobowych części jej klientów indywidualnych przechowywanych w testowej bazie danych. W świetle powyższego TSUE stanął zatem na stanowisku, że takie działanie Spółki naruszało zasadę ograniczenia przechowywania danych osobowych, ze względu na przechowywanie przez administratora danych zebranych wcześniej w innych celach przez okres dłuższy, niż jest to niezbędne do przeprowadzenia testów i poprawienia błędów.

Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) (Dz. U. UE. L. z 2016 r. Nr 119, str. 1 z późn. zm.)

Najczęściej zadawane pytania

Czy skopiowanie danych osobowych do testowej bazy w celu naprawienia błędów w systemie wymaga zgody klientów?

Nie, takie działanie nie wymaga dodatkowej zgody użytkowników. Trybunał uznał, że testy i poprawki błędów są ściśle związane z realizacją umów abonenckich, więc nie odbiegają od uzasadnionych oczekiwań klientów co do wykorzystania ich danych.

Czy przechowywanie skopiowanych danych w testowej bazie jest zgodne z prawem, jeśli służy naprawie systemu?

Tak, utrwalanie danych w nowej bazie przeznaczonej do testów i naprawy błędów jest dozwolone, pod warunkiem że dalsze przetwarzanie jest zgodne z pierwotnymi celami zebrania tych danych. Takie działanie nie narusza zasady ograniczonego celu, o ile ma na celu zapewnienie poprawnego świadczenia usług.

Jak długo można przechowywać dane w testowej bazie po naprawieniu błędu?

Dane należy usunąć niezwłocznie po zakończeniu testów i naprawy, ponieważ zasada ograniczenia przechowywania zakazuje trzymania ich dłużej niż jest to niezbędne do osiągnięcia celu. Przechowywanie danych przez wiele miesięcy po zakończeniu prac naprawczych stanowi naruszenie prawa.

Czy firma może zostać ukarana za długotrwałe przechowywanie danych w testowej bazie nawet przy dobrych intencjach?

Tak, organy nadzorcze mogą nałożyć kary za naruszenie zasady ograniczenia przechowywania, jeśli administrator nie usunie danych w terminie niezbędnym do przeprowadzenia testów. Nawet jeśli cel jest uzasadniony, bezcelowe przedłużanie okresu przechowywania jest nielegalne.

Od czego zacząć

Masz problem z RODO lub ochroną danych?

Od tego pytania zaczyna się większość rozmów z prawnikiem. Konsultacja jest płatna, 600 zł netto. Płacisz za realną poradę: powiemy, czy masz problem prawny, co da się z nim zrobić i ile to mniej więcej kosztuje. Na nic dalej Cię to nie wiąże, a przepisy zostaw nam, od tego jesteśmy.

  1. 1
    Rozmowa

    Mówisz, co się dzieje, własnymi słowami.

  2. 2
    Co dalej

    Powiemy, jakie masz wyjścia i ile to kosztuje.

  3. 3
    Działamy

    Dajesz zielone światło i sprawa jest nasza.

Martyna Dobkowska
Autor
Martyna Dobkowska
Associate
Rejestracja spółek · Statuty spółek · Umowy

Specjalizuje się w prawie cywilnym, handlowym i gospodarczym. W dziale korporacyjnym i energetycznym jej działania opierają się głównie na obsłudze korporacyjnej spółek, opiniowaniu i przygotowywaniu umów handlowych, sporządzaniu pism procesowych i pozaprocesowych oraz przygotowywaniu analiz i opinii prawnych, w szczególności ze sfery prawa gospodarczego i prawa energetycznego. Dysponuje doświadczeniem zawodowym również w zakresie postępowań administracyjnych oraz cywilnych, które zdobywała w warszawskich…

Zobacz profil →
Powiązane specjalizacje
Miesięczny Legal Check

Nie przegap kolejnej analizy

Co miesiąc najważniejsze nowelizacje i ich praktyczne skutki dla biznesu, zebrane i zinterpretowane przez prawników HWW.

Powiązane publikacje

Dane osobowe 7 lutego 2023

Sporność pojęcia danych osobowych

Wobec powyższego, przede wszystkim należy wspomnieć o jednym z niedawno opublikowanych wyroków NSA, w którym stwierdził, że treść tablicy rejestracyjnej nie stanowi danych dotyczących prywatności osoby …

Martyna Dobkowska
Martyna Dobkowska
5 min czytania

Umów konsultację

Umów konsultację z prawnikiem naszej kancelarii.

Umów konsultację