Organizacje przetwarzające dane osobowe, zgodnie z RODO mają obowiązek zapewnienia ich odpowiedniego bezpieczeństwa. Hiszpański organ nadzorczy (Agencia española protección datos, AEPD) nałożył łączną karę 48 tys. euro na spółkę NATURGY ENERGY GROUP S.A za naruszenie tego obowiązku.
Postępowanie skargowe
Klientka spółki złożyła skargę w wyniku zdarzenia, gdy dowiedziała się, że osoba trzecia użyła jej danych osobowych do zmiany adresu e-mail na jaki miały być przesyłane rachunki za energię elektryczną. W wyniku postępowania okazało się, że obca osoba, przedstawiająca się jako członek rodziny klientki, zadzwoniła na infolinie i zażądała wysłania jej kopii ostatniej faktury i wskazała adres e-mail, na który dokument ma zostać wysłany. W celu autoryzacji tych działań podała imię, nazwisko, numer referencyjny oraz ostatnie cyfry numeru bankowego klientki. Pracownik infolinii uznał wiec, że osoba trzecia posiada zgodę klientki na wskazane wyżej zmiany.
Analiza ryzyka w RODO
Nieautoryzowany dostęp
Hiszpański organ w swojej decyzji uznał, że doszło do naruszenia RODO. Bez zgody osoby pokrzywdzonej przesłano dwie faktury na adres e-mail obcej osoby, która przedstawiała się jako osoba spokrewniona. W związku z tym naruszony został art. 5 ust.1 lit. f RODO, który wymaga, aby dane osobowe były chronione przed niedozwolonym lub niezgodnym z prawem przetwarzaniem oraz przypadkową utratą, zniszczeniem lub uszkodzeniem, za pomocą odpowiednich środków technicznych lub organizacyjnych.
Agencja zauważyła również, że doszło do naruszenia art. 32 RODO, ponieważ środki bezpieczeństwa organizacji nie są odpowiednie i powinny zostać ulepszone, ponieważ nie były w stanie zapobiec wystąpieniu danego naruszenia.
Środki bezpieczeństwa
Spółka nie podjęła się obrony i przyjęła zasądzoną karę w wysokości 48 tys. euro. Nie zostało wyjaśnione, w jaki sposób osoba trzecia uzyskała dane osobowe klientki oraz dane niezbędne do autoryzacji.
Z tej decyzji można wywnioskować, że organizacje nie mogą udzielać dostępu do danych osobowych klientów osobom, które przedstawiają się jako członkowie rodziny. Tylko sama osoba, której dane dotyczą może decydować np. o zmianie adresu e-mail, na który korespondencja będzie dostarczana.
Treść decyzji w j. hiszpańskim:
https://www.aepd.es/es/documento/ps-00100-2022.pdf
