27.08.2022

Rekordowa kara za naruszenie RODO – ponad 4,9 mln zł

Krzysztof Jarosiński

Nieprzestrzeganie przepisów RODO może być bardzo kosztowne, o czym przekonała się spółka Fortum Marketing and Sales Polska S.A. (dalej jako: “Fortum” lub “Administrator”) na którą Prezes Urzędu Ochrony Danych (dalej: “PUODO”) nałożył karę w wysokości ponad 4,9 mln zł. Kara w wysokości 250 tys. zł została także nałożona na PIKA Sp. z o.o. (dalej jako: “Podmiot przetwarzający” lub “Procesor”) przetwarzająca dane w imieniu Fortum na podstawie zawartej umowy powierzenia.

Administrator nie wdrożył odpowiednich środków technicznych i organizacyjnych zapewniających bezpieczeństwo danych osobowych oraz nie zweryfikował Podmiotu przetwarzającego.

Organ nadzorczy (PUODO) uznał, że doszło do naruszenia ochrony danych polegającego na skopiowaniu danych klientów Administratora przez nieuprawnione osoby. Doszło do tego w momencie wprowadzania zmiany w środowisku teleinformatycznym przez Podmiot przetwarzający. W trakcie wprowadzania zmian została utworzona dodatkowa baza danych klientów Fortum, która została skopiowana przez nieuprawnione osoby. Spowodowane to było brakiem odpowiednio skonfigurowanych zabezpieczeń serwera, na którym baza danych została wdrożona.

Urząd ustalił, że Podmiot przetwarzający działał niezgodnie z normami ISO, wbrew ustalonej przez siebie “Polityce bezpieczeństwa”, a także nie wywiązał się z zawartej umowy powierzenia, gdzie określono wymogi w zakresie bezpieczeństwa danych osobowych, które Procesor miał stosować. Zgodnie z umową był on zobowiązany do pseudonimizacji i szyfrowania przetwarzanych danych osobowych, co jak ustalił organ nadzorczy, nie miało miejsca. Gdyby Podmiot przetwarzający zastosował środki bezpieczeństwa, to osoby nieuprawnione weszłyby w posiadanie wyłącznie spseudominizowanych danych, których nie można byłoby przypisać do konkretnej osoby bez posiadania dodatkowych informacji o tej osobie.

PUODO podkreślił, że Administrator powinien dokonywać regularnych przeglądów wdrożonych technicznych i organizacyjnych środków mających na celu zwiększenie bezpieczeństwa danych, a także w razie potrzeby je uaktualniać.

Jak widać kary za niestosowanie RODO potrafią być dotkliwe, dlatego tak istotne jest, aby zawczasu odpowiednio wdrożyć odpowiednie praktyki w organizacji. Jeśli szukacie Państwo wsparcia w tym zakresie, to zachęcamy do kontaktu w celu uzyskania szczegółowych informacji.

Posiadamy wieloletnie doświadczenie w zakresie wdrożeń w podmiotach gospodarczych dokumentacji przetwarzania i ochrony danych osobowych, m.in. polityk bezpieczeństwa oraz instrukcji zarządzania systemami informatycznymi. Zapewniamy kompleksowe doradztwo prawne mające na celu wypełnienie wszystkich wymogów RODO.

Krzysztof Jarosiński

Radca prawny