Prezes UODO zawiadomił prokuraturę o wycieku danych osobowych klientów portalu pandabuy.com

Mirosław Wróblewski, Prezes UODO 29 kwietnia 2024 r. zawiadomił Prokuraturę Rejonową Warszawa Śródmieście-Północ o podejrzeniu popełnienia przestępstwa przez sprawców publikacji danych polskich klientów platformy sprzedażowej pandabuy.com. Dane osobowe klientów chińskiej platformy zakupów online, pośredniczącej w zakupach od chińskich sprzedawców, wyciekły z serwisu i zostały opublikowane w zagregowanych formach na innych stronach internetowych.

31 marca 2024 r. w internecie udostępniono dane 1,3 mln klientów platformy z całego świata, w tym z Polski, pochodzące z platformy pandabuy.com. Zakres danych objętych wyciekiem był szeroki i obejmował: imiona i nazwiska, adresy e-mail, numery telefonów, identyfikatory użytkowników, adresy IP, hasła, adresy dostaw, dane dotyczące zamówień i płatności. Dane te posłużyły autorom strony „lista-drillowcow.pl”, utworzonej 7 kwietnia, do stworzenia interaktywnej mapy Polski, na której zamieścili informacje odnoszące się do polskich klientów tego serwisu, tj. m. in. ich imiona i nazwiska oraz adresy dostawy. W kolejnych dniach (8 i 9 kwietnia 2024 r.) strona ta była niedostępna, ale interaktywna mapa z danymi pojawiała się pod innymi adresami, tj. „lista drillowcow.club” i „lista-drillowcow.xyz”.

W ocenie Prezesa UODO przetwarzanie danych osobowych polskich klientów platformy sprzedażowej pandabuy.com, w tym ich publikacja na ww. stronach internetowych, przez osoby administrujące tymi stronami odbywało się bez podstawy prawnej. Tym samym naruszony został przepis art. 107 ust. 1 ustawy o ochronie danych osobowych, który określa, że „kto przetwarza dane osobowe, choć ich przetwarzanie nie jest dopuszczalne albo do ich przetwarzania nie jest uprawniony, podlega grzywnie, karze ograniczenia wolności albo pozbawienia wolności do lat dwóch.”

Jest to przestępstwo powszechne, ścigane z urzędu, z oskarżenia publicznego, za które odpowiada ten kto przetwarza dane osobowe, choć ich przetwarzanie nie jest dopuszczalne.
Z niedopuszczalnym przetwarzaniem danych osobowych mamy do czynienia, gdy odbywa się to bez podstawy prawnej i nie występuje żadna z przesłanek legalizacyjnych przetwarzanie danych określonych w przepisach RODO.

Prezes UODO w związku z tym wydarzeniem podejmie również inne właściwe działania w ramach zadań i uprawnień, przysługujących mu na gruncie ogólnego rozporządzenia o ochronie danych (RODO) oraz przepisów krajowych.