Ostrożnie z dublowaniem bazy danych

Administrator może skopiować dane klientów do drugiej bazy, ale tylko wtedy, gdy jest ona wykorzystywana do tego samego celu, w jakim przetwarzane są pierwotnie zebrane dane - uważa rzecznik generalny Trybunału Sprawiedliwości Unii Europejskiej.

Pytanie prejudycjalne w tej sprawie zadał węgierski sąd, który rozpoznaje odwołanie od kary nałożonej przez tamtejszy organ ochrony danych na usługodawcę internetowego, spółkę Digi. W 2017 r. z powodu awarii serwera stworzyła ona dodatkową bazę, do której trafiły dane jednej trzeciej jej klientów. Półtora roku później tzw. uczciwy haker poinformował spółkę, że uzyskał dostęp do tych zasobów z powodu błędów w zabezpieczeniach. Digi załatała lukę, zawarła z hakerem umowę o zachowaniu poufności danych i zaproponowała mu nagrodę. Jednocześnie zawiadomiła organ ochrony danych o sprawie, co skończyło się nałożeniem kary ok. 270 tys. euro. Jednym z powodów było naruszenie art. 5 ust. 1 lit. b RODO. Przepis ten mówi, że dane są zbierane w konkretnych, wyraźnych i prawnie uzasadnionych celach, i nieprzetwarzane dalej w sposób niezgodny z nimi (ograniczenie celu).