Żadna firma w Polsce nie dostała jeszcze tak gigantycznej kary od UODO

Dostali prawie 5 milionów kary! Kim są? Za co ta kara? Przecież administrator danych osobowych wiedział dobrze, jakie są procedury przetwarzania danych.

Żadna firma w Polsce nie dostała jeszcze tak gigantycznej kary od UODO
  • Monika Świetlińska
  • /
  • 10 marca 2022

Niechlubny rekordzista

Chodzi o spółkę Fortum Marketing and Sales Polska, która na naszym rynku funkcjonuje już 19 lat jako dostawca ciepła, a od 2016 roku na terenie całej Polski sprzedaje też energię elektryczną i gaz ziemny. Prąd w 100% pozyskuje z odnawialnych źródeł. Ale zdaje się nie dlatego będzie zapamiętana. Jest bowiem pierwszą w Polsce firmą, która nie stosując przepisów RODO będzie musiała zapłacić ogromną karę w wysokości ponad 4,9 mln zł.

Vinted na celowniku Polski, Francji i Litwy. Międzynarodowy skandal?Vinted na celowniku Polski, Francji i Litwy. Międzynarodowy skandal?Monika Świetlińska

Do tej pory najwyższą karę (sięgającą prawie 2,9 mln zł) za naruszenie przepisów RODO zapłaciła spółka Morele.net i było to w 2019 roku. Od tamtej pory żadna z firm nie była ukarana wyższą kwotą. Morele.net w 2018 roku w niedostateczny sposób zabezpieczyło dane osobowe swoich klientów i doszło do ich wycieku. 

Kiedy wybuchła pandemia, prezes Urzędu Ochrony Danych Osobowych był bardzie wyrozumiał dla firm i nie nakładał kar wysokich, choć kary same w sobie były nakładane. Jednak już w 2021 roku padł rekord ilości ukaranych firm, jednostek publicznych, w tym szkół a także działalności jednoosobowych. Ale nawet łączna suma ich kar nie była wysza od tej, którą nałożono teraz.

Za co kara na dostawcę energii?

Fortum Marketing and Sales Polska S.A. będzie musiało zapłacić ponad 4,9 mln zł, ale również podmiot przetwarzający otrzymał karę w wysokości 250 tys. zł.

- Naruszenie ochrony danych polegało na skopiowaniu danych klientów administratora przez nieuprawnione osoby. Doszło do tego w momencie wprowadzania zmiany w środowisku teleinformatycznym. Zmiany tej dokonał podmiot przetwarzający, z którym administrator współpracuje na podstawie zawartych umów w tym umowy powierzenia przetwarzania danych osobowych.  W trakcie dokonywanych zmian utworzona została dodatkowa bazy danych klientów Fortum. Baza ta została jednak skopiowana przez nieuprawnione osoby, gdyż serwer, na którym została ona wdrożona, nie miał odpowiednio skonfigurowanych zabezpieczeń - przekazuje Urząd Ochron Danych Osobowych.

10 wskazówek, jak korzystać z praw gwarantowanych przez RODO10 wskazówek, jak korzystać z praw gwarantowanych przez RODORafał Stępniewski

Co ciekawe, administrator dowiedział się o incydencie nie od podmiotu przetwarzającego, a od dwóch niezależnych internautów, którzy powiadomili go, że mają nieuprawniony dostęp do bazy. Spółka w postanowieniach umownych z podmiotem przetwarzającym, co prawda, określiła wymogi w zakresie bezpieczeństwa danych osobowych, które należy zastosować, m.in. pseudonimizację i szyfrowanie danych osobowych. Jednak przy dokonywaniu zmian w systemie skuteczność zastosowanych zabezpieczeń nie została zweryfikowana przed przekazaniem do Fortum nowego rozwiązania. Ponadto funkcje bezpieczeństwa nie były testowane w trakcie prowadzonych w tym celu prac.

Podmiot przetwarzający działał więc niezgodnie z powszechnie znanymi normami ISO, a jednocześnie wbrew postanowieniom własnej „Polityki bezpieczeństwa”, która do tych norm się odwołuje.

- Nie stosował się również do postanowień umowy powierzenia przetwarzania danych osobowych, w której zobowiązał się m.in. do wdrożenia pseudonimizacji danych, którą miał traktować jako mechanizm gwarantujący odpowiedni poziom bezpieczeństwa danych. Gdyby wówczas osoba nieuprawniona weszła w posiadanie poddanych pseudonimizacji danych, np. w wyniku wystąpienia naruszenia ochrony danych osobowych, to nie byłaby w stanie ich przypisać do konkretnej osoby bez dysponowania dodatkowymi informacjami o tej osobie - zaznacza UODO.

UODO: Pół miliona kary dla banku. Wszystko przez… uprawnienia byłego pracownikaUODO: Pół miliona kary dla banku. Wszystko przez… uprawnienia byłego pracownikaMartyna Kowalska

Naruszenie to powstało, bo podmiot przetwarzający, czyli Fortum, nie zabezpieczył danych osobowych przed dostępem osób nieuprawnionych. - Ponosi on bezpośrednią odpowiedzialność za naruszenie ochrony danych osobowych klientów administratora, a tak rażące zaniedbanie w procesie przetwarzania danych osobowych, w przypadku profesjonalnego podmiotu stanowi okoliczność obciążającą i wiąże się z nałożoną na niego administracyjną karą pieniężną - dodaje Urząd.

Prace na danych bez nadzoru

- Co w tej sprawie jest równie ważne, to fakt, że administrator pomimo wdrożonych procedur oraz posiadanej wiedzy, jak zgodnie z powszechnie stosowanymi praktykami powinno przebiegać wprowadzanie zmian w systemach informatycznych, na żadnym etapie wdrożenia nie prowadził nadzoru nad tym, czy wdrożenie faktycznie przebiega zgodnie z powszechnie obowiązującymi standardami. Spółka Fortum nie egzekwowała od podmiotu przetwarzającego realizacji umów, nie stosowała się do własnej praktyki wdrażania zmian w środowisku IT opartej o wewnętrzne regulacje oraz nie weryfikowała podmiotu przetwarzającego w zakresie prowadzonych działań mających na celu usprawnienie funkcjonowania usługi. A przecież zgodnie z RODO to administrator wdraża odpowiednie środki techniczne i organizacyjne, aby przetwarzanie odbywało się zgodnie z przepisami rozporządzenia — informuje Urząd Ochrony Danych Osobowych.

Na administratorze spoczywa obowiązek regularnego testowania, mierzenia i oceniania skuteczności środków technicznych i organizacyjnych mających zapewnić bezpieczeństwo przetwarzania.

Kara dla urzędu miasta za nieprzestrzeganie RODOKara dla urzędu miasta za nieprzestrzeganie RODOMichał Górecki

- Mając na względzie okoliczności ustalone organ nadzorczy stwierdził, iż zaistniały przesłanki uzasadniające nałożenie na Administratora oraz na Podmiot Przetwarzający administracyjnych kar pieniężnych - podsumowuje UODO.

Dziękujemy, że przeczytałaś/eś nasz artykuł do końca. Jeśli chcesz być na bieżąco z informacjami prawnymi, zapraszamy do naszego serwisu ponownie!
Jeżeli podobał Ci się artykuł podziel się z innymi udostępniając go w mediach społecznościowych - poniżej masz szybkie linki do udostępnień.

Security Magazine

Czy ten artykuł był przydatny?

Tagi: kary RODO umowy pracownik Usługi

Powiązane posty

Popularne Tagi

Prawo w praktyce

REKLAMA / WSPÓŁPRACA

Sprawdź się

Kliknij aby wrócić do strony głównej

Newsletter

Bądźmy w kontakcie! Zapisz się na newsletter, a raz na jakiś czas wyślemy Ci powiadomienie o najważniejszych tematach. Dla subskrybentów newslettera przygotowujemy specjalne wydarzenia np. webinaria. Nie pożałujesz!