GDPR.pl – ochrona danych osobowych w UE, RODO, IOD
Portal o unijnym rozporządzeniu o ochronie danych osobowych

UODO nakłada rekordową karę

Udostępnij publikację:

Polski organ nadzorczy właściwy do spraw ochrony danych osobowych (Prezes Urzędu Ochrony Danych Osobowych; UODO) nałożył administracyjną karę pieniężną w rekordowej wysokości – prawie 5 milionów złotych, a dokładnie – 4 911 732 złotych. Ukaraną jest spółka Fortum Marketing and Sales Polska S.A., zajmująca się sprzedażą energii elektrycznej i paliwa gazowego. Regulator w tej samej decyzji ukarał również podmiot przetwarzający – PIKA sp. z o. o. – odpowiedzialny m.in. za prowadzenie archiwum cyfrowego administratora. Wysokość kary dla tego ostatniego to 250 135 złotych.

UODO nakłada rekordową karę

To najwyższa kara, jaką nałożył UODO od początku obowiązywania RODO w Polsce. Poprzednim rekordzistą był operator portalu internetowego morele.net, z karą w wysokości ponad 2,8 miliona złotych.

Gigantyczna kara nałożona przez Prezesa UODO na sklep internetowy

Administrator zgłasza naruszenie i sugeruje przestępstwo

Z treści decyzji wynika, że ukarana spółka w kwietniu 2020 roku zgłosiła organowi nadzorczemu naruszenie ochrony danych osobowych. Dotyczyć ono miało nowoutworzonej bazy danych, zawierającej szereg danych osobowych klientów administratora, w tym m.in.: imion i nazwisk, adresów zamieszkania, nr PESEL, nr dokumentów tożsamości, adresów poboru,  numerów telefonów, czy też szczegółów dotyczących zawartych umów z odbiorcami energii. Zgłoszone naruszenie dotyczyć miało danych osobowych około 100 tysięcy osób i trwać przez 5 dni.

Rekordowa kara dla Morele.net utrzymana

 

Co ciekawe i dość zaskakujące, administrator złożył równocześnie zawiadomienie o podejrzeniu popełnienia przestępstwa przez podmiot przetwarzający, zarzucając mu uzyskanie bezprawnego dostępu do informacji w związku z nieuprawnionym skopiowaniem bazy danych klientów (art. 267 KK).

UODO wszczął postępowanie

W toku przeprowadzonego postępowania organ nadzorczy ustalił, że podmiot przetwarzający – w osobie jednego jego pracownika – przeprowadził prace serwisowe na serwerach ukaranej spółki. Prace polegały na utworzeniu nowego serwera, a następnie na migracji danych ze starego serwera należącego do administratora. Pracownik odpowiedzialny za konfigurację nowego serwera nie przeprowadził testów bezpieczeństwa, w tym w zakresie zapewnienia bezpiecznego kanału komunikacji pomiędzy serwerami służącymi do przetwarzania danych osobowych. Zdaniem regulatora, to nieostrożne działanie doprowadziło w konsekwencji do naruszenia poufności danych osobowych i ich wycieku.

szkolenie – RODO w marketingu i e-commerce

Winne obie strony

Zdaniem UODO, zawinił zarówno administrator, jak i podmiot przetwarzający. Ten pierwszy nie wdrożył odpowiednich środków technicznych i organizacyjnych zapewniających bezpieczeństwo danych osobowych oraz nie zweryfikował, czy podmiot przetwarzający zapewnia odpowiednie gwarancje ich wdrożenia. W konsekwencji naruszył on szereg przepisów RODO. Podmiot przetwarzający – poprzez brak wdrożenia odpowiednich środków technicznych i organizacyjnych – nie zapewnił natomiast odpowiedniego zabezpieczenia danych osobowych i ich poufności.

Brak odpowiednich testów

Organ nadzorczy wskazał w decyzji, że zastosowane przez podmiot przetwarzający środki techniczne i organizacyjne jedynie w bardzo ograniczonym stopniu odpowiadały wymaganiom przepisów RODO. Poszczególne etapy prac serwisowych nie były prowadzone na podstawie ściśle określonych procedur. Co ważne, nie odbyły się również odpowiednie testy bezpieczeństwa przed zapełnieniem serwera prawdziwymi danymi osobowymi klientów administratora. Dość zaskakujące w tej sprawie jest to, że podmiot przetwarzający działać miał zarówno wbrew przepisom RODO, ale również z naruszeniem postanowień umowy powierzenia przetwarzania danych osobowych i swoich własnych wewnętrznych procedur.

UODO zwrócił również uwagę, że administrator – na żadnym etapie wdrażania zmian w systemach informatycznych – nie nadzorował, czy prace przebiegają zgodnie z odpowiednimi standardami oraz umową powierzenia. Co więcej, nie dokonywał on regularnego przeglądu stosowanych środków technicznych i organizacyjnych służących odpowiedniemu zabezpieczeniu danych osobowych.

Cenne wskazówki dla innych administratorów

Decyzja UODO zawiera cenne wskazówki dla administratorów powierzających przetwarzanie danych osobowych lub zamierzających podjąć działania w tym zakresie. Organ nadzorczy wskazał bowiem m.in., że sam fakt podpisania umowy powierzenia przetwarzania danych osobowych nie jest wystarczający aby uznać, że administrator odpowiednio zweryfikował podmiot przetwarzający pod kątem spełnienia przez niego wymogów wynikających z RODO. Z obowiązku przeprowadzenia stosownej oceny podmiotu przetwarzającego nie zwalnia również – jak podkreśla UODO – fakt wieloletniej współpracy i korzystanie z usług konkretnego podmiotu przetwarzającego przed rozpoczęciem stosowania przepisów RODO, tj. przed 25 maja 2018 roku. W ten sposób administrator próbował odeprzeć zarzuty regulatora w tej sprawie. Decyzja UODO zawiera również inne wskazówki, które mogą przydać się administratorom w praktyce.

Spółka odwołała się od decyzji UODO. Będziemy oczywiście przyglądać się tej sprawie.

Treść decyzji:

https://www.uodo.gov.pl/decyzje/DKN.5130.2215.2020

Komunikat UODO dotyczący nałożonych kar w tej sprawie:

https://uodo.gov.pl/pl/138/2304

 

 

Jesteśmy częścią grupy Omni Modo
Odwiedź nas na naszych profilach
Newsletter
Ustawienia cookies