Wyciek danych z platformy Pandabuy. Wśród poszkodowanych Polacy

Mirosław Wróblewski, Prezes UODO 29 kwietnia 2024 r. zdecydował o zawiadomieniu Prokuratury Rejonowej Warszawa Śródmieście-Północ w sprawie podejrzenia popełnienia przestępstwa przez sprawców, którzy opublikowali dane polskich klientów platformy sprzedażowej pandabuy.com.

Chodzi o dane osobowe klientów chińskiej platformy zakupów online, która pośredniczy w zakupach od chińskich sprzedawców. Wyciekły one z serwisu i zostały opublikowane w zagregowanych formach na innych stronach internetowych - czytamy w oficjalnym komunikacie.

Wyciek danych Polaków

Do wycieku doszło 31 marca br., kiedy to udostępniono dane 1,3 mln klientów platformy. Chodzi o użytkowników z całego świata, w tym Polaków.

W wycieku znalazły się: imiona i nazwiska, adresy e-mail, numery telefonów, identyfikatory użytkowników, adresy IP, hasła, adresy dostaw, dane dotyczące zamówień i płatności.

Dane te miały służyć autorom strony „lista-drillowcow.pl” (stworzonej 7 kwietnia) do stworzenia interaktywnej mapy Polski, na której zamieścili informacje odnoszące się do polskich klientów tego serwisu (imiona i nazwiska oraz adresy dostawy). W kolejnych dniach strona ta była niedostępna, ale interaktywna mapa z danymi pojawiała się pod innymi adresami, tj. „lista drillowcow.club” i „lista-drillowcow.xyz”.

Prezes UODO

Prezes UODO ocenił, że przetwarzanie danych osobowych polskich klientów platformy sprzedażowej pandabuy.com, w tym ich „publikacja na wskazanych stronach internetowych, przez osoby administrujące tymi stronami odbywało się bez podstawy prawnej”.

W ten sposób naruszono przepis art. 107 ust. 1 ustawy o ochronie danych osobowych, który określa, że „kto przetwarza dane osobowe, choć ich przetwarzanie nie jest dopuszczalne albo do ich przetwarzania nie jest uprawniony, podlega grzywnie, karze ograniczenia wolności albo pozbawienia wolności do lat dwóch.”

Jak czytamy, to przestępstwo powszechne, ścigane z urzędu, z oskarżenia publicznego, za które odpowiada ten, kto przetwarza dane osobowe, choć ich przetwarzanie nie jest dopuszczalne. „Z niedopuszczalnym przetwarzaniem danych osobowych mamy do czynienia, gdy odbywa się to bez podstawy prawnej i nie występuje żadna z przesłanek legalizacyjnych przetwarzanie danych określonych w przepisach RODO” - poinformowano w komunikacie.

Prezes UODO - poza zawiadomieniem Prokuratury - ma także podjąć inne działania, wynikające z jego zadań i uprawnień na podstawie ogólnego rozporządzenia o ochronie danych (RODO) oraz przepisów krajowych.

/NB

Serwis CyberDefence24.pl otrzymał tytuł #DigitalEUAmbassador (Ambasadora polityki cyfrowej UE). Jeśli są sprawy, które Was nurtują; pytania, na które nie znacie odpowiedzi; tematy, o których trzeba napisać – zapraszamy do kontaktu. Piszcie do nas na:[email protected].