.svg)
Gwałtowny spadek wartości firmy z 6 miliardów dolarów do postępowania upadłościowego dostarcza cennych lekcji dla milionów użytkowników na całym świecie, w tym w Polsce, jednocześnie stanowiąc ostrzeżenie dla każdego przedsiębiorstwa przetwarzającego dane osobowe szczególnie chronione.
Anatomia Korporacyjnego Upadku
Stan na czerwiec 2025 roku pokazuje kulminację kryzysu 23andMe, który osiągnął punkt krytyczny w marcu, gdy firma złożyła wniosek o ochronę przed bankructwem zgodnie z rozdziałem 11 amerykańskiego prawa upadłościowego. Decyzji tej towarzyszyły druzgocące straty finansowe wynoszące 174 miliony dolarów w samym pierwszym kwartale oraz siedmioprocentowy spadek przychodów.
W maju 2025 roku gigant biotechnologiczny Regeneron Pharmaceuticals wyłonił się zwycięsko z licytacji upadłościowej, oferując 256 milionów dolarów za aktywa 23andMe. Kwota ta stanowi jedynie ułamek szczytowej wyceny spółki sprzed zaledwie czterech lat, ilustrując dramatyczną erozję wartości rynkowej.
Katalizatorem upadku stał się masowy wyciek danych z 2023 roku, który skompromitował informacje genetyczne 6,9 miliona użytkowników. Szczególnie wrażliwe okazały się dane 1,4 miliona osób korzystających z funkcji „Family Tree". Konsekwencje tego naruszenia doprowadziły do ugody zawartej we wrześniu 2024 roku, zobowiązującej firmę do wypłaty 30 milionów dolarów odszkodowań, wdrożenia trzyletniego programu monitoringu bezpieczeństwa oraz zapewnienia bezpłatnych usług ochrony tożsamości dla poszkodowanych użytkowników.
Konsekwencje dla Polskich Użytkowników
Polscy klienci 23andMe stają obecnie przed bezprecedensową niepewnością dotyczącą przyszłości ich danych genetycznych. Przejęcie przez Regeneron, mimo obietnic kontynuacji dotychczasowych polityk prywatności, fundamentalnie zmienia strukturę własności danych. Profile genetyczne 14,1 miliona użytkowników, w tym polskich klientów, staną się własnością firmy farmaceutycznej, której główne interesy biznesowe mogą nie być spójne z ochroną prywatności konsumentów.
Chociaż Regeneron zobowiązał się do niewykorzystywania tych danych do celów badawczych bez wyraźnej zgody użytkowników, eksperci ds. prywatności ostrzegają przed potencjalnymi scenariuszami przyszłości. W przypadku trudności finansowych Regeneron, te bazy danych genetycznych mogłyby zostać sprzedane jako aktywa korporacyjne, na co wskazuje precedens przejęcia MyHeritage przez amerykańską spółkę w 2022 roku, które pokazało, jak bazy danych użytkowników mogą zmieniać właściciela w ramach transakcji korporacyjnych.
Kompleksowość problemu ujawnia się przy rozważeniu praw do usunięcia danych. Nawet polscy klienci egzekwujący swoje prawa wynikające z Ogólnego Rozporządzenia o Ochronie Danych, szczególnie artykułu 17 dotyczącego „prawa do bycia zapomnianym", nie mogą zagwarantować całkowitego usunięcia danych. Firmy zazwyczaj zachowują zanonimizowane dane genetyczne do prowadzonych badań oraz dokumenty transakcyjne wymagane przez przepisy podatkowe.
Należy jednak podkreślić, że nawet w przypadku anonimizacji danych istnieje rosnące ryzyko ich ponownej identyfikacji poprzez zaawansowane techniki analizy big data i uczenia maszynowego, co stanowi przedmiot intensywnych debat w środowisku naukowym i regulacyjnym. Fizyczne próbki DNA, będące podstawą całego procesu testowania, są rutynowo przechowywane przez laboratoria przez okres od dziesięciu do piętnastu lat w celach kontroli jakości, co czyni całkowite ich wyeliminowanie praktycznie niemożliwym.
Działania Ochronne dla Polskich Klientów
Wobec rozwijającej się sytuacji polscy klienci powinni rozważyć szereg środków ochronnych. Najważniejszym krokiem pozostaje formalne złożenie wniosku o usunięcie danych za pośrednictwem oficjalnych kanałów 23andMe, z wyraźnym powołaniem się na artykuł 17 RODO i żądaniem pisemnego potwierdzenia wykonania. Użytkownicy powinni jednocześnie cofnąć wszystkie zgody na przetwarzanie danych w celach badawczych za pośrednictwem ustawień swoich kont.
Monitorowanie postępowania upadłościowego staje się kluczowe dla zrozumienia przyszłych rozwojów sytuacji. Oficjalny administrator upadłości, firma Stretto, publikuje kluczowe aktualizacje dotyczące procedur prawnych i praw użytkowników. Szczególnie istotny pozostaje termin 14 lipca 2025 roku dla zgłaszania roszczeń związanych z wyciekiem danych w ramach postępowania upadłościowego.
Polscy użytkownicy zachowują teoretyczny dostęp do pozwów zbiorowych w Stanach Zjednoczonych za pośrednictwem platform takich jak LegalShield, jednak praktyczne realizacje tego scenariusza są niezwykle rzadkie i ograniczone dla osób spoza USA ze względu na bariery procedurale, językowe i finansowe. Alternatywnie, zgłoszenie sprawy do polskiego Rzecznika Praw Obywatelskich może zapewnić dodatkowe wsparcie rzecznicze.
Poza środkami prawnymi użytkownicy powinni natychmiast przeprowadzić audyt ustawień prywatności swoich kont, wdrożyć unikalne, silne hasła we wszystkich platformach oraz włączyć uwierzytelnianie dwuskładnikowe wszędzie tam, gdzie jest dostępne. Biorąc pod uwagę ograniczone bezpłatne usługi monitorowania dark webu w Polsce, użytkownicy powinni korzystać z serwisów powiadamiania o wyciekach danych, takich jak Have I Been Pwned, oraz zachować podwyższoną czujność wobec prób phishingu.
W przypadku doświadczania potencjalnych naruszeń prywatności odpowiednim działaniem regulacyjnym pozostaje skontaktowanie się z Prezesem Urzędu Ochrony Danych Osobowych. Chociaż skargi złożone w Polsce nie zawsze prowadzą do formalnych postępowań, przyczyniają się do zwiększenia świadomości regulacyjnej w zakresie transgranicznych kwestii ochrony danych.
Ramy Regulacyjne: Standardy Europejskie a Globalna Rzeczywistość
Zgodnie z prawem polskim i szerszymi ramami RODO dane genetyczne otrzymują najwyższy poziom ochrony jako szczególna kategoria informacji osobistych. Przetwarzanie takich danych wymaga wyraźnej zgody na konkretne, jasno określone cele, podczas gdy administratorzy danych muszą wdrożyć zaawansowane środki bezpieczeństwa, w tym pseudonimizację i szyfrowanie end-to-end.
Prezes UODO posiada uprawnienia do nakładania kar finansowych do wysokości 20 milionów euro lub czterech procent globalnych obrotów za naruszenia RODO. Jednakże egzekwowanie przepisów wobec firm spoza UE, takich jak 23andMe (a obecnie Regeneron), stwarza znaczące praktyczne wyzwania, podkreślając ograniczenia jurysdykcyjnej władzy regulacyjnej w globalnej gospodarce cyfrowej.
Implikacje Strategiczne dla Polskich Przedsiębiorstw
Kryzys 23andMe wykracza poza prostą historię porażki korporacyjnej, ujawniając systemowe podatności w ochronie danych biomedycznych i wrażliwych w erze cyfrowej. Przypadek ten ilustruje fundamentalny konflikt interesów inherentny w modelach biznesowych opartych na monetyzacji danych, gdzie informacje użytkowników jednocześnie stanowią główny aktyw firmy i najbardziej atrakcyjny cel dla cyberprzestępców.
Obecne ustawodawstwo upadłościowe, szczególnie w Stanach Zjednoczonych, wydaje się nieadekwatnie dostosowane do realiów gospodarki opartej na danych. Traktowanie baz danych użytkowników jako zbywalnych aktywów w postępowaniach upadłościowych fundamentalnie podważa ochronę prywatności właśnie wtedy, gdy firmy są najbardziej podatne na zagrożenia.
Brak międzynarodowo zharmonizowanych standardów przechowywania próbek biologicznych i powiązanych danych genetycznych tworzy luki regulacyjne, które stają się szczególnie problematyczne podczas przejść korporacyjnych lub upadłości.
Droga Naprzód
Studium przypadku 23andMe podkreśla, że solidne polityki prywatności, zaawansowane zabezpieczenia techniczne oraz regularne audyty bezpieczeństwa ewoluowały z opcjonalnych usprawnień do krytycznych komponentów strategii biznesowej, szczególnie dla firm operujących z wrażliwymi kategoriami danych. W połączonej globalnej gospodarce, gdzie naruszenia danych mogą wywołać wydarzenia prowadzące do zagłady korporacyjnej, proaktywna ochrona prywatności reprezentuje nie tylko zgodność regulacyjną, ale fundamentalną strategię przetrwania biznesowego.
Gdy saga 23andMe kontynuuje się poprzez sądy upadłościowe i przeglądy regulacyjne, stanowi ona przestrogę dotyczącą rzeczywistych kosztów zarządzania danymi w XXI wieku. Dla polskich użytkowników uwikłanych w ten korporacyjny upadek natychmiastowym priorytetem pozostaje ochrona wszelkich pozostałych praw do prywatności przy jednoczesnym rzecznictwie na rzecz silniejszych międzynarodowych ram, które mogą zapobiec podobnym katastrofom w przyszłości.
