REKORDOWA KARA ZA BRAK NADZORU NAD PODMIOTEM PRZETWARZAJĄCYM DANE OSOBOWE, 2 marca 2022

Na spółkę Fortum Marketing and Sales Polska S.A. Prezes Urzędu Ochrony Danych Osobowych nałożył administracyjną karę pieniężną w wysokości ponad 4,9 mln zł za niewdrożenie odpowiednich środków technicznych i organizacyjnych zapewniających bezpieczeństwo danych osobowych oraz brak weryfikacji podmiotu przetwarzającego. Z kolei podmiot przetwarzający otrzymał karę w wysokości 250 tys. zł.

Naruszenie ochrony danych polegało na tym, że w momencie wprowadzania zmiany w środowisku teleinformatycznym, doszło do skopiowania danych klientów administratora przez nieuprawnione osoby. Do naruszenia doszło w wyniku działania podmiotu przetwarzającego, z którym administrator współpracował na podstawie zawartych umów, w tym umowy powierzenia przetwarzania danych osobowych. Podmiot przetwarzający dane miał wprowadzić zmiany do systemu spełniającego rolę archiwum cyfrowego dokumentów i informacji na temat klientów administratora, w celu zwiększenia wydajności działania tego repozytorium. W trakcie dokonywanych zmian nieupoważnione osoby utworzyły dodatkową bazę danych klientów Fortum. Serwer, na którym została ona wdrożona, nie miał odpowiednio skonfigurowanych zabezpieczeń. Administrator dowiedział się o incydencie nie od podmiotu przetwarzającego, a od dwóch niezależnych internautów, którzy powiadomili go, że mają nieuprawniony dostęp do bazy.

Administrator zgłosił incydent naruszenia ochrony danych do UODO, jednak początkowo zrezygnował z powiadomienia osób, których dane dotyczą, o tym naruszeniu, gdyż w jego ocenie nie wystąpiło wysokie ryzyko naruszenia praw lub wolności osób fizycznych. Z taką oceną Prezes UODO się nie zgodził wskazując, że z uwagi na szeroki zakres ujawnionych danych klientów Fortum wystąpiło wysokie ryzyko naruszenia praw lub wolności osób fizycznych. Stanowisko Prezesa UODO wydaje się słuszne mając na względzie, że naruszenie dotyczyło danych ponad 120 000 osób oraz, że zakres kategorii danych, których dotyczyło naruszenie, był bardzo szeroki (obejmował: imię i nazwisko, adres zamieszkania lub pobytu, nr PESEL, rodzaj, serię i numer dokumentu tożsamości, adres e-mail, numer telefonu, numer i adres punktu poboru oraz dane dotyczące umowy, np. data i nr umowy, rodzaj paliwa, nr licznika).

W toku przeprowadzonego postępowania Urząd ustalił, że spółka w postanowieniach umownych z podmiotem przetwarzającym określiła wymogi w zakresie bezpieczeństwa danych osobowych, które należy zastosować, m.in. pseudonimizację i szyfrowanie danych osobowych. Jednak w trakcie współpracy z podmiotem przetwarzającym, spółka Fortum nie egzekwowała od podmiotu przetwarzającego realizacji umownie ustalonych środków bezpieczeństwa, nie stosowała się do własnej polityki wdrażania zmian w środowisku IT opartej o wewnętrzne regulacje oraz nie weryfikowała podmiotu przetwarzającego w zakresie prowadzonych działań mających na celu usprawnienie funkcjonowania usługi cyfrowego archiwum.

Prezes UODO podkreślił, że wdrożenie technicznych i organizacyjnych środków zabezpieczeń powinno polegać na implementowaniu przez administratora odpowiednich procedur i zasad przetwarzania danych osobowych w danej organizacji, ale także na dokonywaniu regularnych przeglądów tych środków, a w razie potrzeby na uaktualnianiu uprzednio przyjętych zabezpieczeń. Obowiązkiem administratora danych jest nadzorowanie podmiotów, którym powierza dane osobowe i bieżące kontrolowanie, czy podmioty przetwarzające stosują odpowiednie zabezpieczania. Na administratorze spoczywa obowiązek regularnego testowania, mierzenia i oceniania skuteczności środków technicznych i organizacyjnych mających zapewnić bezpieczeństwo przetwarzania. Zarówno wprowadzenie odpowiednich środków bezpieczeństwa, jak i ich weryfikacja nie może być działaniem jednorazowym. Powinien to być proces ciągły, w ramach którego administrator dokonuje przeglądu i w razie potrzeby uaktualnia przyjęte wcześniej zabezpieczenia.

Jest to kolejna decyzja, w której Prezes UODO podkreślił, że samo przygotowanie przez administratora dokumentacji regulującej kwestie dotyczące przetwarzania i bezpieczeństwa danych osobowych nie zapewnia zgodności z RODO i nie zabezpiecza przed nałożeniem kary administracyjnej. Konieczna jest również realizacja zasad i procedur opisanych w tej dokumentacji w praktyce, w tym w szczególności poprzez stosowanie realnego i efektywnego nadzoru nad podmiotami przetwarzającymi dane na zlecenia administratora.

Emilia May
Adwokat
T: +48 58 782 00 50
E: may@millercanfield.com

Zastrzeżenie: Niniejsza publikacja została przygotowana dla klientów i współpracowników kancelarii Miller Canfield na podstawie faktów i informacji aktualnych w dacie jej wydania, które mogą ulec zmianie. Celem publikacji jest zwrócenie uwagi na wskazane w niej zmiany prawne i nie powinna stanowić wyłącznej podstawy do podjęcia jakiejkolwiek decyzji dotyczącej określonego kierunku działania. Informacje te nie mogą być traktowane jako porada prawna ani nie zastępują szczegółowej opinii prawnej w konkretnej sprawie. W każdym przypadku należy skorzystać z usług doradców prawnych w celu weryfikacji, czy odpowiednie przepisy prawa mają zastosowanie do określonej sytuacji.