Na czas naprawy systemu można przetwarzać dane

Administrator może skopiować dane klientów do innej bazy, jeśli jest to niezbędne do naprawienia błędów w systemie informatycznym. Nie musi wówczas prosić ich o dodatkowe zgody - uznał Trybunał Sprawiedliwości Unii Europejskiej.

Pytanie prejudycjalne w tej sprawie zadał węgierski sąd, który rozpoznaje odwołanie od kary nałożonej przez tamtejszy organ ochrony danych na usługodawcę internetowego, spółkę Digi. W 2017 r. z powodu awarii serwera stworzyła ona dodatkową bazę danych, do której trafiły dane jednej trzeciej jej klientów. Półtora roku później tzw. uczciwy haker poinformował spółkę, że uzyskał dostęp do tej bazy z powodu błędów w zabezpieczeniach. Digi załatała lukę, zawarła z hakerem umowę o zachowaniu poufności danych i zaproponowała mu nagrodę. Jednocześnie poinformowała organ ochrony danych o naruszeniu, co skończyło się nałożeniem kary ok. 270 tys. euro. Jednym z powodów było pogwałcenie art. 5 ust. 1 lit. b RODO. Przepis ten mówi, że dane są zbierane w konkretnych, wyraźnych i prawnie uzasadnionych celach i nieprzetwarzane dalej w sposób niezgodny z tymi celami (tzw. ograniczenie celu). Zdaniem organu, tworząc nową bazę, do której skopiowano dane klientów, firma wyszła poza cele, dla których mogła te dane przetwarzać.