Rekordowa kara nałożona przez UODO!

Autor: Malgorzata Cwynar pod red. Marcina Soczko — w kategorii Komunikaty IOD-y — 28 marca 2022

28

mar
2022

Prezes UODO nałożył najwyższą jak dotąd karę dla administratora za niewdrożenie odpowiednich środków technicznych i organizacyjnych zapewniających bezpieczeństwo danych osobowych oraz brak weryfikacji podmiotu przetwarzającego. Sankcja wynosi prawie 5 mln zł. Ta astronomiczna kara nałożona została decyzją z dnia 19 stycznia b.r. na dostawcę prądu i gazu, spółkę Fortum Marketing and Sales Polska. Rzecznik podmiotu poinformował, że Spółka zdecydowała się złożyć skargę do WSA w Warszawie na decyzję Prezesa UODO.

Co ciekawe, tą samą decyzją ukarany został również wspomniany wyżej podmiot przetwarzający, tj. PIKA Sp. z o. o. Sankcja dla podmiotu przetwarzającego wynosi 250 tys. zł. Spółka świadczyła administratorowi usługę prowadzenia archiwum, w tym archiwum cyfrowego.

JAK DOSZŁO DO NARUSZENIA?

Fortum Marketing and Sales Polska w kwietniu 2020 r. zgłosiła Prezesowi UODO naruszenie ochrony danych osobowych. Postępowanie w tej sprawie zostało wszczęte w maju 2020 r. Ustalono, że do naruszenia doszło w wyniku skopiowania danych klientów Spółki przez nieuprawnione osoby, co związane było ze zmianami przeprowadzanymi w systemie teleinformatycznym dla archiwum cyfrowego.

Za modyfikację odpowiedzialny był podmiot przetwarzający, czyli PIKA Sp. z o. o. Zmiana ta polegała na utworzeniu dodatkowej bazy klientów Fortum. O naruszeniu Spółka uzyskała informację nie od podmiotu przetwarzającego, lecz niezależnie od dwóch internautów, którzy odkryli możliwość dostępu do bazy danych Fortum.

ADMINISTRATOR NIE POWIADOMIŁ OSÓB, KTÓRYCH DOTYCZYŁO NARUSZENIE

Baza zawiera dane takie jak: imię i nazwisko, adres zamieszkania lub pobytu, nr PESEL, rodzaj, seria i numer dokumentu tożsamości, adres e-mail, numer telefonu, numer i adres punktu poboru mediów oraz dane dotyczące umowy (np. data i nr umowy, rodzaj paliwa, nr licznika).

Naruszenie dotyczyło 137 314 klientów Fortum. Administrator nie zawiadomił podmiotów danych o naruszeniu, ponieważ w jego ocenie nie wystąpiło wysokie ryzyko naruszenia praw lub wolności osób fizycznych. W ocenie Prezesa UODO jednak ryzyko jest wysokie. W związku z tym w kwietniu 2020 r. organ nadzorczy wystosował do administratora zalecenie podjęcia działań, po pierwsze, minimalizujących negatywne skutki naruszenia, tj.: niezwłoczne zawiadomienie osób dotkniętych naruszeniem i przekazanie im stosownych zaleceń oraz, po drugie, mających wyeliminować podobne nieprawidłowości w przyszłości.

Fortum zgodnie z zaleceniami Prezesa UODO zawiadomiła osoby, których dane dotyczą, o czym – w  odpowiedzi na pismo z Urzędu – poinformowała organ. Spółka przestawiła też wyniki analizy, w  której zawarła korektę liczby osób objętych wysokim ryzykiem naruszenia praw i wolności. Według Spółki o naruszeniu powinno być powiadomionych 95 711 osób, ponieważ pozostałe z nich to osoby zmarłe lub prawne (klienci biznesowi).

NIEZASTOSOWANIE PRZEZ PODMIOT PRZETWARZAJĄCY PODSTAWOWYCH ZASAD BEZPIECZEŃSTWA

Fortum współpracuje z podmiotem przetwarzającym na podstawie podpisanych umów, w tym umowy powierzenia przetwarzania danych osobowych. Administrator w umowach określił wymogi bezpieczeństwa danych, które należy zastosować (m.in. pseudonimizację i szyfrowanie danych osobowych). Zabezpieczenia nie zostały jednak wcześniej przetestowane.

W ocenie Prezesa UODO Fortum nie egzekwowała od PIKA Sp. z o. o. właściwego wykonania umowy powierzenia przetwarzania i „nie stosowała się do własnej praktyki wdrażania zmian w  środowisku IT opartej o wewnętrzne regulacje”, a także nie weryfikowała działań podmiotu przetwarzającego. PIKA zaś działała niezgodnie z powszechnie znanymi normami ISO dotyczącymi bezpieczeństwa informacji, a także nie stosowała się do postanowień umowy powierzenia przetwarzania danych osobowych.

Zdaniem Prezesa UODO powodem naruszenia było niezastosowanie przez podmiot przetwarzający podstawowych zasad bezpieczeństwa polegających na niezabezpieczeniu danych osobowych przed nieuprawnionym dostępem osób trzecich. Zatem to PIKA ponosi bezpośrednią odpowiedzialność za zaistniałe naruszenie.

ADMINISTRATOR ZAPEWNIA PRZETWARZANIE DANYCH ZGODNE Z PRZEPISAMI RODO

Prezes UODO przypomina, że zgodnie z RODO to administrator wdraża odpowiednie środki techniczne i organizacyjne mające zapewnić przetwarzanie zgodne z przepisami RODO. Ma on również obowiązek regularnego testowania przyjętych rozwiązań i prawo, a wręcz obowiązek, kontroli podmiotu przetwarzającego.

Organ nadzorczy podkreśla, że wdrożenie odpowiednich środków technicznych i organizacyjnych nie powinno polegać tylko na jednorazowym zastosowaniu przez administratora odpowiednich przepisów i zasad przetwarzania danych osobowych, ale także na dokonywaniu regularnych przeglądów tych środków.

Dołącz do dyskusji

Podanie adresu e-mail jest związane z moderacją treści komentarza, w szczególności z ewentualnym kontaktem z Użytkownikiem, w celu uzgodnienia ostatecznej treści, co stanowi prawnie uzasadniony interes administratora. Po opublikowaniu komentarza widoczna jest jedynie jego treść i data publikacji oraz imię autora, reszta danych jest niezwłocznie usuwana. Szczegóły dotyczące przetwarzania danych osobowych zawarte są w Polityce prywatności.


cztery + piętnaście =