Klikając „Akceptuj wszystkie pliki cookie”, zgadzasz się na przechowywanie plików cookie na swoim urządzeniu w celu ułatwienia nawigacji po stronie, analizy korzystania ze strony oraz wspierania naszych działań marketingowych. Zobacz naszą Politykę prywatności, aby uzyskać więcej informacji.
PreferencjeOdrzućAkceptuj
Powrót na stronę główną bloga
Case Study

Kryzys 23andMe: Co może naruszyć DNA firmy?

Autor/ka
Davidson Consulting
facebook-icon
linkedin-icon

Eksperci ds. zarządzania kryzysowego i ciągłości działania

Upadek firmy 23andMe, pioniera w dziedzinie komercyjnych testów genetycznych, przekształcił się w spektakularne studium przypadku demonstrujące konsekwencje katastrofalnych błędów w zarządzaniu danymi wrażliwymi.

Gwałtowny spadek wartości firmy z 6 miliardów dolarów do postępowania upadłościowego dostarcza cennych lekcji dla milionów użytkowników na całym świecie, w tym w Polsce, jednocześnie stanowiąc ostrzeżenie dla każdego przedsiębiorstwa przetwarzającego dane osobowe szczególnie chronione.

Anatomia Korporacyjnego Upadku

Stan na czerwiec 2025 roku pokazuje kulminację kryzysu 23andMe, który osiągnął punkt krytyczny w marcu, gdy firma złożyła wniosek o ochronę przed bankructwem zgodnie z rozdziałem 11 amerykańskiego prawa upadłościowego. Decyzji tej towarzyszyły druzgocące straty finansowe wynoszące 174 miliony dolarów w samym pierwszym kwartale oraz siedmioprocentowy spadek przychodów.

W maju 2025 roku gigant biotechnologiczny Regeneron Pharmaceuticals wyłonił się zwycięsko z licytacji upadłościowej, oferując 256 milionów dolarów za aktywa 23andMe. Kwota ta stanowi jedynie ułamek szczytowej wyceny spółki sprzed zaledwie czterech lat, ilustrując dramatyczną erozję wartości rynkowej.

Katalizatorem upadku stał się masowy wyciek danych z 2023 roku, który skompromitował informacje genetyczne 6,9 miliona użytkowników. Szczególnie wrażliwe okazały się dane 1,4 miliona osób korzystających z funkcji „Family Tree". Konsekwencje tego naruszenia doprowadziły do ugody zawartej we wrześniu 2024 roku, zobowiązującej firmę do wypłaty 30 milionów dolarów odszkodowań, wdrożenia trzyletniego programu monitoringu bezpieczeństwa oraz zapewnienia bezpłatnych usług ochrony tożsamości dla poszkodowanych użytkowników.

Konsekwencje dla Polskich Użytkowników

Polscy klienci 23andMe stają obecnie przed bezprecedensową niepewnością dotyczącą przyszłości ich danych genetycznych. Przejęcie przez Regeneron, mimo obietnic kontynuacji dotychczasowych polityk prywatności, fundamentalnie zmienia strukturę własności danych. Profile genetyczne 14,1 miliona użytkowników, w tym polskich klientów, staną się własnością firmy farmaceutycznej, której główne interesy biznesowe mogą nie być spójne z ochroną prywatności konsumentów.

Chociaż Regeneron zobowiązał się do niewykorzystywania tych danych do celów badawczych bez wyraźnej zgody użytkowników, eksperci ds. prywatności ostrzegają przed potencjalnymi scenariuszami przyszłości. W przypadku trudności finansowych Regeneron, te bazy danych genetycznych mogłyby zostać sprzedane jako aktywa korporacyjne, na co wskazuje precedens przejęcia MyHeritage przez amerykańską spółkę w 2022 roku, które pokazało, jak bazy danych użytkowników mogą zmieniać właściciela w ramach transakcji korporacyjnych.

Kompleksowość problemu ujawnia się przy rozważeniu praw do usunięcia danych. Nawet polscy klienci egzekwujący swoje prawa wynikające z Ogólnego Rozporządzenia o Ochronie Danych, szczególnie artykułu 17 dotyczącego „prawa do bycia zapomnianym", nie mogą zagwarantować całkowitego usunięcia danych. Firmy zazwyczaj zachowują zanonimizowane dane genetyczne do prowadzonych badań oraz dokumenty transakcyjne wymagane przez przepisy podatkowe.

Należy jednak podkreślić, że nawet w przypadku anonimizacji danych istnieje rosnące ryzyko ich ponownej identyfikacji poprzez zaawansowane techniki analizy big data i uczenia maszynowego, co stanowi przedmiot intensywnych debat w środowisku naukowym i regulacyjnym. Fizyczne próbki DNA, będące podstawą całego procesu testowania, są rutynowo przechowywane przez laboratoria przez okres od dziesięciu do piętnastu lat w celach kontroli jakości, co czyni całkowite ich wyeliminowanie praktycznie niemożliwym.

Działania Ochronne dla Polskich Klientów

Wobec rozwijającej się sytuacji polscy klienci powinni rozważyć szereg środków ochronnych. Najważniejszym krokiem pozostaje formalne złożenie wniosku o usunięcie danych za pośrednictwem oficjalnych kanałów 23andMe, z wyraźnym powołaniem się na artykuł 17 RODO i żądaniem pisemnego potwierdzenia wykonania. Użytkownicy powinni jednocześnie cofnąć wszystkie zgody na przetwarzanie danych w celach badawczych za pośrednictwem ustawień swoich kont.

Monitorowanie postępowania upadłościowego staje się kluczowe dla zrozumienia przyszłych rozwojów sytuacji. Oficjalny administrator upadłości, firma Stretto, publikuje kluczowe aktualizacje dotyczące procedur prawnych i praw użytkowników. Szczególnie istotny pozostaje termin 14 lipca 2025 roku dla zgłaszania roszczeń związanych z wyciekiem danych w ramach postępowania upadłościowego.

Polscy użytkownicy zachowują teoretyczny dostęp do pozwów zbiorowych w Stanach Zjednoczonych za pośrednictwem platform takich jak LegalShield, jednak praktyczne realizacje tego scenariusza są niezwykle rzadkie i ograniczone dla osób spoza USA ze względu na bariery procedurale, językowe i finansowe. Alternatywnie, zgłoszenie sprawy do polskiego Rzecznika Praw Obywatelskich może zapewnić dodatkowe wsparcie rzecznicze.

Poza środkami prawnymi użytkownicy powinni natychmiast przeprowadzić audyt ustawień prywatności swoich kont, wdrożyć unikalne, silne hasła we wszystkich platformach oraz włączyć uwierzytelnianie dwuskładnikowe wszędzie tam, gdzie jest dostępne. Biorąc pod uwagę ograniczone bezpłatne usługi monitorowania dark webu w Polsce, użytkownicy powinni korzystać z serwisów powiadamiania o wyciekach danych, takich jak Have I Been Pwned, oraz zachować podwyższoną czujność wobec prób phishingu.

W przypadku doświadczania potencjalnych naruszeń prywatności odpowiednim działaniem regulacyjnym pozostaje skontaktowanie się z Prezesem Urzędu Ochrony Danych Osobowych. Chociaż skargi złożone w Polsce nie zawsze prowadzą do formalnych postępowań, przyczyniają się do zwiększenia świadomości regulacyjnej w zakresie transgranicznych kwestii ochrony danych.

Ramy Regulacyjne: Standardy Europejskie a Globalna Rzeczywistość

Zgodnie z prawem polskim i szerszymi ramami RODO dane genetyczne otrzymują najwyższy poziom ochrony jako szczególna kategoria informacji osobistych. Przetwarzanie takich danych wymaga wyraźnej zgody na konkretne, jasno określone cele, podczas gdy administratorzy danych muszą wdrożyć zaawansowane środki bezpieczeństwa, w tym pseudonimizację i szyfrowanie end-to-end.

Prezes UODO posiada uprawnienia do nakładania kar finansowych do wysokości 20 milionów euro lub czterech procent globalnych obrotów za naruszenia RODO. Jednakże egzekwowanie przepisów wobec firm spoza UE, takich jak 23andMe (a obecnie Regeneron), stwarza znaczące praktyczne wyzwania, podkreślając ograniczenia jurysdykcyjnej władzy regulacyjnej w globalnej gospodarce cyfrowej.

Implikacje Strategiczne dla Polskich Przedsiębiorstw

Kryzys 23andMe wykracza poza prostą historię porażki korporacyjnej, ujawniając systemowe podatności w ochronie danych biomedycznych i wrażliwych w erze cyfrowej. Przypadek ten ilustruje fundamentalny konflikt interesów inherentny w modelach biznesowych opartych na monetyzacji danych, gdzie informacje użytkowników jednocześnie stanowią główny aktyw firmy i najbardziej atrakcyjny cel dla cyberprzestępców.

Obecne ustawodawstwo upadłościowe, szczególnie w Stanach Zjednoczonych, wydaje się nieadekwatnie dostosowane do realiów gospodarki opartej na danych. Traktowanie baz danych użytkowników jako zbywalnych aktywów w postępowaniach upadłościowych fundamentalnie podważa ochronę prywatności właśnie wtedy, gdy firmy są najbardziej podatne na zagrożenia.

Brak międzynarodowo zharmonizowanych standardów przechowywania próbek biologicznych i powiązanych danych genetycznych tworzy luki regulacyjne, które stają się szczególnie problematyczne podczas przejść korporacyjnych lub upadłości.

Droga Naprzód

Studium przypadku 23andMe podkreśla, że solidne polityki prywatności, zaawansowane zabezpieczenia techniczne oraz regularne audyty bezpieczeństwa ewoluowały z opcjonalnych usprawnień do krytycznych komponentów strategii biznesowej, szczególnie dla firm operujących z wrażliwymi kategoriami danych. W połączonej globalnej gospodarce, gdzie naruszenia danych mogą wywołać wydarzenia prowadzące do zagłady korporacyjnej, proaktywna ochrona prywatności reprezentuje nie tylko zgodność regulacyjną, ale fundamentalną strategię przetrwania biznesowego.

Gdy saga 23andMe kontynuuje się poprzez sądy upadłościowe i przeglądy regulacyjne, stanowi ona przestrogę dotyczącą rzeczywistych kosztów zarządzania danymi w XXI wieku. Dla polskich użytkowników uwikłanych w ten korporacyjny upadek natychmiastowym priorytetem pozostaje ochrona wszelkich pozostałych praw do prywatności przy jednoczesnym rzecznictwie na rzecz silniejszych międzynarodowych ram, które mogą zapobiec podobnym katastrofom w przyszłości.

Najnowsze artykuły:

Europa w połowie drogi: jak NIS2 zmienia oblicze cyberbezpieczeństwa w biznesie
NIS2 a Ciągłość Działania w Energetyce – Od Zgodności do Rzeczywistej Odporności Operacyjnej
Zarządzanie Ciągłością Działania wg NIS2
Aktualizacja planów reagowania kryzysowego - niezbędna
Jak Fatalny Audyt Doprowadził do Upadku Jednej z Największych Firm Audytorskich

Kategorie:

Geopolityka a biznes
Ochrona ludności
Bezpieczeństwo łańcucha dostaw
Zarządzanie kryzysowe
Incydenty
Testy
Szkolenia
Wydarzenia
Komunikacja kryzysowa
Audyt
Zarządzanie ryzykiem
Sygnaliści
Zgodność
Cyberbezpieczeństwo
Ciągłość działania

Oferta Davidson Consulting:

Business ContinuityZarządzanie ryzykiemCyberbezpieczeństwoRozmowy o ryzykuRaporty

Najnowsze artykuły

Europa w połowie drogi: jak NIS2 zmienia oblicze cyberbezpieczeństwa w biznesie

Osiem miesięcy po oficjalnym terminie wdrożenia dyrektywy NIS2, europejski krajobraz cyberbezpieczeństwa przypomina mozaikę – z niektórymi państwami na czele transformacji cyfrowej, podczas gdy inne wciąż zmagają się z politycznymi impasami i opóźnieniami legislacyjnymi.
Czytaj dalej
Artykuł

Europa w połowie drogi: jak NIS2 zmienia oblicze cyberbezpieczeństwa w biznesie

Cyberbezpieczeństwo
Ciągłość działania
Zgodność
nis2, podmioty kluczowe, administracja, unia europejska, dyrektywa
Energetyka
Górnictwo
Transport i logistyka
Wodociągi
Żywność

Aktualizacja planów reagowania kryzysowego - niezbędna

Zjawiska, które kiedyś określaliśmy mianem "zdarzeń stulecia", stały się naszą nową rzeczywistością.
Czytaj dalej
Komentarz

Aktualizacja planów reagowania kryzysowego - niezbędna

Ochrona ludności
Zarządzanie kryzysowe
pożary, klimat, los angeles, powódź, wielka woda, zarządzanie kryzysowe, ochrona ludności
Ekologia
Organizacje pozarządowe

Jak Fatalny Audyt Doprowadził do Upadku Jednej z Największych Firm Audytorskich

W świecie korporacyjnych finansów audyt pełni rolę fundamentalnego strażnika wiarygodności i przejrzystości.
Czytaj dalej
Komentarz

Jak Fatalny Audyt Doprowadził do Upadku Jednej z Największych Firm Audytorskich

Audyt
Ciągłość działania
Zarządzanie ryzykiem
Zgodność
audyt, arthur andersen, upadek, ciągłość, compliance,
Bankowość i rynki finansowe

Jak sygnaliści chronią Twój biznes? Przypadek Community Health Network

Skuteczny system zgłaszania nieprawidłowości to dziś jeden z kluczowych elementów nowoczesnego zarządzania ryzykiem.
Czytaj dalej
Artykuł

Jak sygnaliści chronią Twój biznes? Przypadek Community Health Network

Sygnaliści
Zarządzanie kryzysowe
Zgodność
sygnaliści, zgodność, prawo, case study, community health network, whistleblower, whitleblow software.
Ochrona zdrowia
Przejdź do wszystkich wpisów