Jak wynika z przesłanego przez Urząd Ochrony Danych Osobowych (UODO) komunikatu, Prezes UODO Mirosław Wróblewski 29 kwietnia 2024 r. zawiadomił Prokuraturę Rejonową Warszawa Śródmieście-Północ o podejrzeniu popełnienia przestępstwa przez sprawców publikacji danych polskich klientów platformy sprzedażowej pandabuy.com. Wskazano, że dane osobowe klientów chińskiej platformy zakupów online, pośredniczącej w zakupach od chińskich sprzedawców, wyciekły z serwisu i zostały opublikowane w zagregowanych formach na innych stronach internetowych.
31 marca 2024 r. w internecie udostępniono dane 1,3 mln klientów platformy z całego świata, w tym z Polski, pochodzące z platformy pandabuy.com. W komunikacie przekazano, że zakres danych objętych wyciekiem był szeroki i obejmował: imiona i nazwiska, adresy e-mail, numery telefonów, identyfikatory użytkowników, adresy IP, hasła, adresy dostaw, dane dotyczące zamówień i płatności.
"Dane te posłużyły autorom strony +lista-drillowcow.pl+, utworzonej 7 kwietnia, do stworzenia interaktywnej mapy Polski, na której zamieścili informacje odnoszące się do polskich klientów tego serwisu, tj. m. in. ich imiona i nazwiska oraz adresy dostawy. W kolejnych dniach (8 i 9 kwietnia 2024 r.) strona ta była niedostępna, ale interaktywna mapa z danymi pojawiała się pod innymi adresami, tj. +lista drillowcow.club+ i +lista-drillowcow.xyz+" - napisano.
W ocenie Prezesa UODO przetwarzanie danych osobowych polskich klientów platformy sprzedażowej pandabuy.com, w tym ich publikacja na ww. stronach internetowych, przez osoby administrujące tymi stronami odbywało się bez podstawy prawnej.
Wróblewski wskazał, że naruszony został przepis art. 107 ust. 1 ustawy o ochronie danych osobowych, który określa, że „kto przetwarza dane osobowe, choć ich przetwarzanie nie jest dopuszczalne albo do ich przetwarzania nie jest uprawniony, podlega grzywnie, karze ograniczenia wolności albo pozbawienia wolności do lat dwóch”. Jest to przestępstwo powszechne, ścigane z urzędu, z oskarżenia publicznego, za które odpowiada ten kto przetwarza dane osobowe, choć ich przetwarzanie nie jest dopuszczalne.
Prezes UODO zapowiedział, że podejmie również inne właściwe działania na gruncie ogólnego rozporządzenia o ochronie danych (RODO) oraz przepisów krajowych.