Jak poinformował urząd w opublikowanym komunikacie, 31 marca 2024 r. w internecie udostępniono dane 1,3 mln klientów platformy z całego świata, w tym z Polski, pochodzące z platformy pandabuy.com. Zakres danych objętych wyciekiem był szeroki i obejmował: imiona i nazwiska, adresy e-mail, numery telefonów, identyfikatory użytkowników, adresy IP, hasła, adresy dostaw, dane dotyczące zamówień i płatności. Dane te posłużyły autorom strony „lista-drillowcow.pl”, utworzonej 7 kwietnia, do stworzenia interaktywnej mapy Polski, na której zamieścili informacje odnoszące się do polskich klientów tego serwisu, tj. m. in. ich imiona i nazwiska oraz adresy dostawy. W kolejnych dniach strona ta była niedostępna, ale interaktywna mapa z danymi pojawiała się pod innymi adresami, tj. „lista drillowcow.club” i „lista-drillowcow.xyz”. 

Prezes UODO: Naruszono przepisy 

W ocenie prezesa UODO przetwarzanie danych osobowych polskich klientów platformy sprzedażowej pandabuy.com, w tym ich publikacja na ww. stronach internetowych, przez osoby administrujące tymi stronami odbywała się bez podstawy prawnej. Tym samym naruszony został przepis art. 107 ust. 1 ustawy o ochronie danych osobowych, który określa, że „kto przetwarza dane osobowe, choć ich przetwarzanie nie jest dopuszczalne albo do ich przetwarzania nie jest uprawniony, podlega grzywnie, karze ograniczenia wolności albo pozbawienia wolności do lat dwóch.” Jest to przestępstwo powszechne, ścigane z urzędu, z oskarżenia publicznego, za które odpowiada ten, kto przetwarza dane osobowe, choć ich przetwarzanie nie jest dopuszczalne. Z niedopuszczalnym przetwarzaniem danych osobowych mamy do czynienia, gdy odbywa się to bez podstawy prawnej i nie występuje żadna z przesłanek legalizacyjnych przetwarzanie danych określonych w przepisach RODO. Jak poinformowano, prezes UODO podejmie również inne właściwe działania w ramach zadań i uprawnień, przysługujących mu na gruncie ogólnego rozporządzenia o ochronie danych (RODO) oraz przepisów krajowych.