Sprawa Fortum Marketing and Sales Polska – sąd uchyla karę UODO
W 2022 r. Prezes UODO nałożył wysoką karę na spółkę Fortum Marketing and Sales Polska za nieprawidłowości w zabezpieczaniu danych osobowych. W październiku kara UODO została jednak uchylona przez Wojewódzki Sąd Administracyjny w Warszawie. Jak wskazał sąd, Prezes UODO nie ustalił stanu faktycznego sprawy. Więcej na ten temat w artykule.
Astronomiczna kara dla Fortum Marketing and Sales
O decyzji Prezesa UODO dotyczącej spółki Fortum Marketing and Sales Polska było głośno na początku 2022 r. Organ nadzorczy wymierzył wówczas tej spółce bardzo wysoką karę pieniężną – blisko 5 mln zł. Spółka zgłosiła naruszenie ochrony danych polegające na ich wycieku i przejęciu przez nieuprawnione osoby. Miało to miejsce podczas wprowadzania zmian w systemie IT przez podmiot przetwarzający, który zresztą też został ukarany.
Administratorowi zarzucono brak nadzoru nad stosowaniem przez procesora środków bezpieczeństwa przewidzianych w umowie powierzenia m.in. pseudonimizacji i szyfrowania. Poza tym wytknięto brak systematycznego testowania stosowanych środków bezpieczeństwa.
Więcej na temat decyzji Prezesa UODO z 19 stycznia 2022 r. (DKN.5130.2215.2020) w artykule: Prawie 5 mln zł kary dla Fortum Marketing and Sales Polska!
WSA: Prezes UODO nie ustalił stanu faktycznego sprawy
Jak można się było spodziewać, zarówno administrator jak i procesor wnieśli skargę na tę decyzję do WSA w Warszawie. Sąd uchylił zaś zaskarżoną decyzję i przekazał sprawę do ponownego rozpoznania. W uzasadnieniu wskazał, że Prezes UODO nie wyjaśnił wszystkich okoliczności istotnych dla rozstrzygnięcia sprawy. Wprawdzie przywołał wyjaśnienia stron postępowania, ale nie poddał ich analizie i nie ocenił wiarygodności. Nie wskazał bowiem, w jakim zakresie dał im wiarę, a w jakim (i dlaczego) tej wiarygodności odmówił.
W efekcie w ogóle nie ustalił stanu faktycznego, naruszając art. 7 Kodeksu postępowania administracyjnego (zasada prawdy obiektywnej). Zgodnie z tym przepisem organy z urzędu lub na wniosek stron podejmują wszelkie czynności niezbędne do:
-
dokładnego wyjaśnienia stanu faktycznego,
-
załatwienia sprawy.
W ocenie sądu Prezes UODO winien ustalić:
-
czy w sprawie w istocie doszło do wycieku danych
-
co było technicznie możliwe do wykonania po stronie administratora
-
jak wyglądają standardy i praktyki w zakresie wykonywania zmian w systemach IT,
-
czy należycie wdrożono techniczne i organizacyjne środki bezpieczeństwa,
-
czy nieprzeprowadzenie audytów lub inspekcji przez spółkę Fortum przyczyniło się do wystąpienia naruszenia danych osobowych.
-
wyrok Wojewódzkiego Sądu Administracyjnego w Warszawie z 10 października 2022 r.II SA/Wa 567/22
- Kary RODO za naruszenia ochrony danych - przegląd orzeczeń zagranicznych organów nadzorczych
- Skarga do WSA na decyzję UODO – jak ją złożyć
- RODO w marketingu - ochrona danych osobowych przetwarzanych w celach marketingowych
- Kary za naruszenie RODO w Polsce - w jaki sposób ustala się ich wysokość
- Prawo do sprostowania danych osobowych zgodnie z RODO musi być realizowane niezwłocznie
- Wszystko o podstawach przetwarzania danych biometrycznych
Wideo: Przegląd orzecznictwa (sierpień – listopad 2022 r.) – cz. III – decyzje zagranicznych organów nadzorczych
Poznaj najważniejsze orzeczenia zagranicznych organów nadzorczych. W podsumowaniu poruszamy zagadnienia związane m.in. z geolokalizacją, prawem dostępem do danych, cyberatakiem na gminę czy rozpoznawaniem twarzy.
