Prezes Urzędu Ochrony Danych Osobowych (UODO), Mirosław Wróblewski, zawiadomił Prokuraturę Rejonową Warszawa Śródmieście-Północ o podejrzeniu popełnienia przestępstwa przez sprawców publikacji danych polskich klientów chińskiej platformy sprzedażowej pandabuy.com. Dane osobowe klientów tej platformy, pośredniczącej w zakupach od chińskich sprzedawców, wyciekły z serwisu i zostały opublikowane w formach zagregowanych na innych stronach internetowych.
POLECAMY: Wyciek danych w banku PEKAO. Pesel, numer dowodu i adres zamieszkania
Konkretnie, dane klientów pandabuy.com trafiły na stronę „lista-drillowcow.pl”. 31 marca 2024 r. w internecie udostępniono informacje dotyczące 1,3 mln klientów platformy z całego świata, w tym z Polski. Wyciek obejmował szeroki zakres danych, takich jak imiona i nazwiska, adresy e-mail, numery telefonów, identyfikatory użytkowników, adresy IP, hasła, adresy dostaw, dane dotyczące zamówień i płatności.
Te informacje posłużyły autorom strony „lista-drillowcow.pl”, utworzonej 7 kwietnia, do stworzenia interaktywnej mapy Polski, na której umieścili dane dotyczące polskich klientów platformy, w tym ich imiona, nazwiska i adresy dostawy. Mimo że strona była niedostępna w kolejnych dniach (8 i 9 kwietnia 2024 r.), interaktywna mapa z danymi pojawiała się pod innymi adresami, takimi jak „lista drillowcow.club” i „lista-drillowcow.xyz”.
– W ocenie Prezesa UODO przetwarzanie danych osobowych polskich klientów platformy sprzedażowej pandabuy.com, w tym ich publikacja na ww. stronach internetowych, przez osoby administrujące tymi stronami odbywało się bez podstawy prawnej. Tym samym naruszony został przepis art. 107 ust. 1 ustawy o ochronie danych osobowych, który określa, że „kto przetwarza dane osobowe, choć ich przetwarzanie nie jest dopuszczalne albo do ich przetwarzania nie jest uprawniony, podlega grzywnie, karze ograniczenia wolności albo pozbawienia wolności do lat dwóch” – wskazano w komunikacie. Jak przypomniano, jest to przestępstwo powszechne, ścigane z urzędu, z oskarżenia publicznego, za które odpowiada ten kto przetwarza dane osobowe, choć ich przetwarzanie nie jest dopuszczalne.
W związku z powyższym, Prezes Urzędu Ochrony Danych Osobowych zapowiedział podejmowanie innych kroków, przewidzianych zarówno w ogólnym rozporządzeniu o ochronie danych (RODO), jak i krajowych przepisach.