Facebook

Linkedin

Skopiowanie danych do testowej bazy celem naprawienia błędów systemu jako dalsze przetwarzanie danych

BLOG

Skopiowanie danych do testowej bazy celem naprawienia błędów systemu jako dalsze przetwarzanie danych

Skopiowanie danych do testowej bazy celem naprawienia błędów systemu jako dalsze przetwarzanie danych

Ustawodawca unijny w sposób precyzyjny określił zasady przetwarzania danych osobowych w RODO[1], tak aby to przetwarzanie danych było zgodne z prawem. Pod ogólnym pojęciem przetwarzania zawierają się bowiem wszelkie operacje wykonywane na danych osobowych lub ich zestawach w sposób zautomatyzowany lub niezautomatyzowany, takie jak np. zbieranie, przechowywanie, pobieranie, udostępnianie czy usuwanie lub niszczenie. Wśród najważniejszych zasad dotyczących przetwarzania danych osobowych ustawodawca uregulował tzw. zasadę ograniczonego celu w art. 5 ust. 1 lit b) RODO, zgodnie z którą dane osobowe muszą być zbierane w konkretnych, wyraźnych i prawnie uzasadnionych celach i nieprzetwarzane dalej w sposób niezgodny z tymi celami. Powyższe oznacza, że cel, dla realizacji którego dane osobowe są gromadzone, powinien być konkretny i wyraźny.

Do zasad związanych z ogólnopojętym ograniczeniem przetwarzania danych osobowych zalicza się także zasadę tzw. ograniczenia przechowywania danych osobowych, w ślad za którą dane osobowe powinny być przechowywane w formie umożliwiającej identyfikację osoby, której dane dotyczą, przez okres nie dłuższy, niż jest to niezbędne do celów, w których dane te są przetwarzane. Oznacza to, że po osiągnięciu celów przetwarzania dane powinny zostać usunięte albo zanonimizowane (art. 5 ust. 1 lit. e) RODO).

Wykładnia powyższych zasad miała doniosłe znaczenie przy wydaniu wyroku przez Trybunał Sprawiedliwości Unii Europejskiej („TSUE”) w dniu 20 października 2022 r. sygn. C‑77/21. Spór, który był przedmiotem rozpatrywanej sprawy odbywał się pomiędzy węgierską spółką Digi, czyli jednym
z głównych dostawców usług internetowych i telewizji na Węgrzech, a Nemzeti Adatvédelmi és Információszabadság Hatóság (krajowym organem ochrony danych i wolności informacji na Węgrzech) w przedmiocie naruszenia ochrony danych osobowych zawartych w bazie danych spółki Digi. W tej sprawie sąd węgierski zwrócił się do TSUE z pytaniami prejudycjalnymi dotyczącymi zgodności równoległego przechowywania w innej bazie tych samych danych z zasadą ograniczonego celu.

STAN FAKTYCZNY

W 2017 roku w następstwie usterki technicznej, spółka Digi stworzyła testową bazę danych, do której skopiowała dane osobowe około jednej trzeciej swoich klientów indywidualnych, przechowywanych
w innej bazie danych. Dwa lata później spółka Digi dowiedziała się, że „uczciwy haker” uzyskał dostęp do przechowywanych przez nią danych osobowych i zawiadomił o tym spółkę. Spółka Digi poprawiła błąd, który umożliwił uzyskanie owego dostępu oraz zawarła z tą osobą umowę o zachowaniu poufności wraz z propozycją nagrody. Po usunięciu testowej bazy danych kilka dni później spółka Digi, powiadomiła organ krajowy o naruszeniu ochrony danych osobowych, w następstwie czego organ ten wszczął postępowanie kontrolne.

Niemniej, organ krajowy w swojej decyzji stwierdził, że spółka Digi naruszyła art. 5 ust. 1 lit. b) i e) RODO, ponieważ po przeprowadzeniu niezbędnych testów i poprawieniu błędu nie usunęła ona niezwłocznie testowej bazy danych, wobec czego duża liczba danych osobowych, która pozwalała na identyfikację osób, których te dane dotyczyły, była przechowywana w tej bazie danych bez konkretnego
i uzasadnionego celu przez prawie 18 miesięcy. W konsekwencji organ nałożył karę pieniężną na spółkę, co Spółka kwestionowała przed sądem, który w rezultacie skierował pytania do TSUE.

STANOWISKO TSUE

Trybunał wskazał, iż zasadę ograniczonego celu wskazaną w art. 5 ust. 1 lit b) RODO należy interpretować w ten sposób, że nie stoi ona na przeszkodzie utrwalaniu i przechowywaniu przez administratora –
w bazie danych utworzonej w celu przeprowadzenia testów i poprawienia błędów – danych osobowych, które wcześniej zebrano i przechowywano w innej bazie danych, jeżeli takie dalsze przetwarzanie jest zgodne z konkretnymi celami, w jakich dane osobowe zostały pierwotnie zebrane.

W uzasadnieniu wyroku wydanego przez TSUE wskazano bowiem, że przeprowadzenie testów
i poprawienie błędów mających wpływ na bazę danych abonentów wykazują konkretny związek
z wykonaniem umów abonenckich zawartych z klientami indywidualnymi, dla wykonania których dane pierwotnie zbierano, gdyż takie błędy mogą mieć szkodliwy wpływ na świadczenie przewidzianej
w umowie usługi. Zdaniem TSUE, takie przetwarzanie nie odbiega od uzasadnionych oczekiwań klientów co do dalszego wykorzystywania ich danych osobowych. Powyższe oznacza, że skopiowanie danych do nowej bazy celem naprawienia błędów w systemie informatycznym należy uznać za dalsze przetwarzanie i takie działanie nie wymaga dodatkowej zgody klientów.

Jednakże TSUE zaznaczył, że zasada tzw. ograniczenia przechowywania danych wymaga od administratora, by był w stanie wykazać, że dane osobowe są przechowywane wyłącznie przez okres niezbędny do osiągnięcia celów, w których je zebrano lub w których je dalej przetworzono. W niniejszym przypadku spółka Digi podniosła, że po przeprowadzeniu testów i poprawieniu błędów nie usunęła – niezwłocznie – danych osobowych części jej klientów indywidualnych przechowywanych w testowej bazie danych. W świetle powyższego TSUE stanął zatem na stanowisku, że takie działanie Spółki naruszało zasadę ograniczenia przechowywania danych osobowych, ze względu na przechowywanie przez administratora danych zebranych wcześniej w innych celach przez okres dłuższy, niż jest to niezbędne do przeprowadzenia testów i poprawienia błędów.

 

[1] Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) (Dz. U. UE. L. z 2016 r. Nr 119, str. 1 z późn. zm.)

 

Autor: Martyna Dobkowska, Prawnik, HWW Hewelt Wojnowski i Wspólnicy