Prawie 5 mln zł kary dla Fortum Marketing and Sales Polska!
Astronomiczną karę pieniężną w wysokości ponad 4,9 mln zł musi zapłacić Fortum Marketing and Sales Polska S.A. Jest to wynik niewdrożenia właściwych rozwiązań w zakresie bezpieczeństwa oraz zaniechania weryfikacji podmiotu przetwarzającego. Sam proces również został ukarany karą pieniężną w wysokości 250 tys. zł.
Wyciek danych podczas zmian w systemie
Postępowanie w sprawie zostało wszczęte z urzędu w następstwie zgłoszenia naruszenia ochrony danych przez samą spółkę. Polegało ono na skopiowaniu danych klientów administratora przez nieuprawnione osoby. Do skopiowania doszło w momencie wprowadzania zmiany w środowisku teleinformatycznym przez podmiot przetwarzający, z którym współpracowała spółka.
Dostęp do danych (w postaci dodatkowo utworzonej bazy danych klientów) uzyskały podczas wprowadzania zmiany nieuprawione osoby, ponieważ serwer nie miał odpowiednio skonfigurowanych zabezpieczeń.
Zaniechano pseudonimizacji
Jak ustalono, spółka określiła wymogi w zakresie bezpieczeństwa danych w umowie powierzenia. Chodziło o pseudonimizację i szyfrowanie danych. Niestety w trakcie zmian w systemie zostały użyte rzeczywiste dane osobowe, a wykorzystywane zabezpieczenia nie były wcześniej weryfikowane ani testowanie. Co więcej, stwierdzono, że procesor nie przestrzegał powszechnie znanych norm ISO i ignorował własną politykę bezpieczeństwa, która do tych norm się odwoływała. Nie stosował również pseudonimizacji, choć do niej się zobowiązał.
Pseudonimizacja powoduje, że w sytuacji, gdyby osoba nieuprawniona weszła w posiadanie poddanych jej danych, to nie byłaby w stanie ich przypisać do konkretnej osoby bez dysponowania dodatkowymi informacjami o tej osobie.
Za naruszenie odpowiada ADO, ale też procesor
Prezes UODO przypisał odpowiedzialność za zdarzenie przede wszystkim administratorowi. Zarzucił, że ADO, mimo wdrożonych procedur, nie nadzorował, czy wdrożenie faktycznie przebiega zgodnie z powszechnie obowiązującymi standardami. Nie egzekwował też od podmiotu przetwarzającego wykonania umowy. Zabrakło też systematycznego testowania stosowanych środków bezpieczeństwa.
Jak wskazał Prezes UODO „Wdrożenie środków technicznych i organizacyjnych powinno polegać nie tylko na jednorazowym zastosowaniu przez administratora odpowiednich przepisów, zasad przetwarzania danych osobowych w danej organizacji, ale także na dokonywaniu regularnych przeglądów tych środków, a w razie potrzeby na uaktualnianiu wcześniej przyjętych rozwiązań.”
Natomiast samemu podmiotowi przetwarzającemu zarzucono niezabezpieczenie danych osobowych przed dostępem osób nieuprawnionych.
W ocenie Prezesa UODO także procesor powinien był w tej sytuacji przeprowadzić analizę ryzyka.
Innymi słowy, administrator mógł w tej sytuacji zminimalizować ryzyko poprzez:
- weryfikację sposobu realizacji przez podmiot przetwarzający zmian mających na celu usprawnienie działania systemu przetwarzającego dane osobowe,
- oczekiwanie od procesora przedstawienia planu prac i dalsze ich wdrożenie zgodnie z przyjętą przez Fortum procedurą.
- decyzja Prezesa UODO z 19 stycznia 2022 r. (DKN.5130.2215.2020)
- Procedura pracy z rozwiązaniami AI w firmie
- Czy parafia musi stosować zasady ochrony danych osobowych z RODO
- Czy upoważnienia do przetwarzania danych może wystawiać pełnomocnik administratora danych osobowych
- Realizacja zadań IOD wymaga dostępu do dokumentacji RODO i nie tylko
- Wpływ sztucznej inteligencji na ochronę danych osobowych
- Postępowanie z ryzykiem dla danych osobowych w związku z wdrożeniem sztucznej inteligencji AI
Wideo: Przegląd orzecznictwa (sierpień – listopad 2022 r.) – cz. III – decyzje zagranicznych organów nadzorczych
Poznaj najważniejsze orzeczenia zagranicznych organów nadzorczych. W podsumowaniu poruszamy zagadnienia związane m.in. z geolokalizacją, prawem dostępem do danych, cyberatakiem na gminę czy rozpoznawaniem twarzy.
