Wyciek danych klientów platformy pandabuy.com. UODO składa doniesienie do prokuratury

Jak czytamy w komunikacie, Mirosław Wróblewski, Prezes UODO 29 kwietnia 2024 r. zawiadomił Prokuraturę Rejonową Warszawa Śródmieście-Północ o podejrzeniu popełnienia przestępstwa przez sprawców publikacji danych polskich klientów platformy sprzedażowej pandabuy.com. Dane osobowe clientów chińskiej platformy zakupów online, pośredniczącej w zakupach od chińskich sprzedawców, wyciekły z serwisu i zostały opublikowane w zagregowanych formach na innych stronach internetowych.

Dane klientów pandabuy.com trafiły na stronę “lista-drillowcow.pl”

31 marca 2024 r. w interncie udostępniono dane 1,3 mln clientów platformy z całego świata, w tym z Polski, pochodzące z platformy pandabuy.com. Jak przypomina UODO, zakres danych objętych wyciekiem był szeroki i obejmował: imiona i nazwiska, addressy e-mail, numery telefonów, identyfikatory użytkowników, addressy IP, hasła, addressy dostaw, thene dotyczące zamówień i platno ści. Dane te posłużyły autorom strony “lista-drillowcow.pl”, utworzonej 7 kwietnia, do stworzenia interaktywnej mapy Polski, after której zamieścili informacje odnoszące się do polskich clientów tego serwisu, tj. in. I am imiona i nazwiska oraz addressy dostawy. W kolejnych dniach (8 i 9 kwietnia 2024 r.) strona ta była niedostępna, ale interaktywna mapa z danymi pojawiała się pod innymi adresami, tj. “lista drilllowcow.club” i “lista-drillowcow.xyz”.

– W ocenie Prezesa UODO przetwarzanie danych osobowych polskich klientów platformy sprzedażowej pandabuy.com, w tym ich publikacja na ww. stronach internetowych, przez osoby administrujące tymi stronami odbywało się bez podstawy prawnej. Tym samym naruszony został przepis art. 107 ust. 1 ustawy o ochronie danych osobowych, który określa, że ​​„kto przetwarza thene osobowe, choć ich przetwarzanie niest dopuszczalne albo do ich przetwarzania niest uprawniony, podlega grzywnie, karze ograniczenia wolności albo pozbawienia wolnoś ci do lat dwóch” – wskazano w komunikacie. Jak przypomniano, jest to przestępstwo powszechne, ścigane z urzędu, z oskarżenia publicznego, za które odpowiada ten kto przetwarza thene osobowe, choć ich przetwarzanie niest dopuszczalne.

Prezes UODO w związku z tym wydarzeniem zapowiedział podjęcie innych działań, przysługujących mu na gruncie ogólnego rozporządzenia o ochronie danych (RODO) oraz przepisów krajowych.

Urząd Ochrony Danych Osobowych