Czy Canal+ ujawnił dane klienta osobom trzecim? Prezes UODO umarza sprawę

Obywatel poskarżył się UODO, że nieznana osoba korzystając z jego danych zmieniła ustawienia jego konta w serwisie Canal+, a on nawet nie został powiadomiony przez spółkę, że ma płacić więcej za abonament. Skarżący sądził, że Canal+ ujawniła jego dane osobom trzecim.

Okazało się jednak, że padł on ofiarą ataku credential stuffing: hakerzy zalogowali się na konta wielu użytkowników Canal+ używając loginów i haseł wykradzionych z innych serwisów – były bowiem niestety takie same. W ten sposób weszli w posiadanie danych osobowych, które użytkownicy przekazali spółce Canal+.

Zatem problem nie polegał na zmianie wysokości abonamentu, ale na przejęciu przez hakerów danych takich jak: imię i nazwisko, numer PESEL, numer i seria dowodu osobistego, adres zamieszkania, adres e-mail, numer telefonu stacjonarnego, numer telefonu komórkowego.

Spółka Canal+ po zgłoszeniu od klienta zwróciła pieniądze pobrane na podstawie sfałszowanej umowy, powiadomiła skarżącego, jakie jego dane zostały przejęte, a o ataku credential stuffing powiadomiła UODO.

Ustaliwszy te fakty Prezes UODO umorzył sprawę ze skargi obywatela: owszem, nieuprawniona osoba weszła w posiadanie danych obywatela, ale pochodziły one ze źródeł innych niż Canal+. Niezależnie zatem od tego, czy doszło do naruszenia ochrony danych osobowych, w realiach niniejszej sprawy nie doszło równocześnie do przetwarzania danych osobowych Skarżącego przez Spółkę polegającego na ich udostępnieniu bez podstawy prawnej. Zdarzenie, którego dotyczy niniejsza sprawa, nie stanowiło bowiem działania ani też zaniechania Spółki jako administratora danych. Skarżony proces przetwarzania danych osobowych nie zaistniał, więc niniejsze postępowanie stało się bezprzedmiotowe.

Sygnatura sprawy: DS.523.507.2021