A A+ A++

W marcu 2022 r. Prezes Urzędu Ochrony Danych Osobowych nałożył administracyjną karę pieniężną na spółkę Fortum Marketing and Sales Polska S.A., zajmująca się sprzedażą energii elektrycznej i paliwa gazowego. Nie byłoby w tym nic nadzwyczajnego, gdyby nie wysokość administracyjnej kary pieniężnej – aż 4 911 732 zł! Wraz z ww. spółką został również ukarany podmiot przetwarzający tj. PIKA sp. z o.o. która była odpowiedzialna m.in. za prowadzenie archiwum cyfrowego administratora. Tutaj kara zdecydowanie niższa, bo wynosząca 250 135 zł.

Budzi to zdziwienie wśród administratorów danych osobowych, bowiem jest to najwyższa kara od początku obowiązywania RODO w Polsce. Poprzednim niechlubnym rekordzistą był operator portalu internetowego morele.net, z karą w wysokości ponad 2,8 miliona złotych.

Wszystko zaczęło się od tego, że ukarana spółka w kwietniu 2020 r. zgłosiła organowi nadzorczemu naruszenie ochrony danych osobowych. Dotyczyć ono miało nowoutworzonej bazy danych, zawierającej szereg danych osobowych klientów administratora, w tym m.in.: imion i nazwisk, adresów zamieszkania, nr PESEL, nr dokumentów tożsamości, adresów poboru,  numerów telefonów, czy też szczegółów dotyczących zawartych umów z odbiorcami energii. Zgłoszone naruszenie dotyczyć miało danych osobowych około 100 tysięcy osób i trwać przez 5 dni.

Dalej, administrator złożył równocześnie zawiadomienie o podejrzeniu popełnienia przestępstwa przez podmiot przetwarzający, zarzucając mu uzyskanie bezprawnego dostępu do informacji w związku z nieuprawnionym skopiowaniem bazy danych klientów (art. 267 KK).

Wskutek przeprowadzonego postępowania organ nadzorczy ustalił, że podmiot przetwarzający – w osobie jednego jego pracownika – przeprowadził prace serwisowe na serwerach ukaranej spółki. Prace polegały na utworzeniu nowego serwera, a następnie na migracji danych ze starego serwera należącego do administratora. Pracownik odpowiedzialny za konfigurację nowego serwera nie przeprowadził testów bezpieczeństwa, w tym w zakresie zapewnienia bezpiecznego kanału komunikacji pomiędzy serwerami służącymi do przetwarzania danych osobowych. Zdaniem regulatora, to nieostrożne działanie doprowadziło w konsekwencji do naruszenia poufności danych osobowych i ich wycieku.

Jednak zdaniem Prezesa Urzędu Ochrony Danych Osobowych zawinił zarówno administrator, jak i podmiot przetwarzający. Administrator nie wdrożył odpowiednich środków technicznych i organizacyjnych zapewniających bezpieczeństwo danych osobowych oraz nie zweryfikował, czy podmiot przetwarzający zapewnia odpowiednie gwarancje ich wdrożenia. W konsekwencji naruszył on szereg przepisów RODO. Podmiot przetwarzający – poprzez brak wdrożenia odpowiednich środków technicznych i organizacyjnych – nie zapewnił natomiast odpowiedniego zabezpieczenia danych osobowych i ich poufności.

Ustalono także, że podmiot przetwarzający działał zarówno wbrew przepisom RODO, ale również z naruszeniem postanowień umowy powierzenia przetwarzania danych osobowych i swoich własnych wewnętrznych procedur.

Jaki z tego morał oraz wskazówki na przyszłość dla innych administratorów?

Zdaniem organu, sam fakt podpisania umowy powierzenia przetwarzania danych osobowych nie jest wystarczający, aby uznać, że administrator odpowiednio zweryfikował podmiot przetwarzający pod kątem spełnienia przez niego wymogów wynikających z RODO. Z obowiązku przeprowadzenia stosownej oceny podmiotu przetwarzającego nie zwalnia również fakt wieloletniej współpracy i korzystanie z usług konkretnego podmiotu przetwarzającego przed rozpoczęciem stosowania przepisów RODO, tj. przed 25 maja 2018 roku. W ten sposób administrator próbował odeprzeć zarzuty regulatora w tej sprawie. Decyzja UODO zawiera również inne wskazówki, które mogą przydać się administratorom w praktyce.

Podobno Spółka wniosła od treści decyzji odwołanie, zatem na tą chwilę pozostaje nam śledzić jej losy dalej. My również będziemy monitorować ten obszar.

Treść decyzji:

https://www.uodo.gov.pl/decyzje/DKN.5130.2215.2020

Komunikat UODO dotyczący nałożonych kar w tej sprawie:

https://uodo.gov.pl/pl/138/2304


Oryginalne źródło: ZOBACZ
0komentarze
0
Udostępnij na fb
Udostępnij na twitter
Udostępnij na WhatsApp

Oryginalne źródło ZOBACZ

Subskrybuj
Powiadom o

Dodaj kanał RSS

Musisz być zalogowanym aby zaproponować nowy kanal RSS

Dodaj kanał RSS
0 komentarzy
Informacje zwrotne w treści
Wyświetl wszystkie komentarze
Poprzedni artykułUczestnicy Warsztatu Terapii Zajęciowej w Dobroszycach uczyli się przesadzania roślin
Następny artykułUnikalny radziecki czołg powołany do życia. Może przetrwać wybuch jądrowy