Urząd Ochrony Danych Osobowych nałożył najwyższą w swej historii karę za naruszenie RODO. Około 4,9 mln zł ma zapłacić dostawca prądu i gazu, spółka Fortum Marketing and Sales Polska, za to, że nie zadbał wystarczająco o dane swych klientów.
Kara ta to przede wszystkim wynik braku nadzoru nad firmą, która na zlecenie administratora danych wdrażała nowe narzędzie informatyczne. Fortum miało zawartą z nią umowę powierzenia przetwarzania danych osobowych, zgodnie z którą powinna zostać przeprowadzana pseudonimizacja danych. Niestety podmiot przetwarzający pracował na niezabezpieczonych danych, kopiując bazę klientów na niezabezpieczony serwer. Do tej kopii mieli dostęp dwaj niezależni internauci, którzy powiadomili o tym fakcie Fortum. Bezpośrednią winę za incydent ponosi więc podwykonawca, który działał niezgodnie z powszechnie znanymi normami ISO. On również został ukarany i ma zapłacić 250 tys. zł.
Dużo wyższa sankcja nałożona na Fortum wynika z faktu, że to ta spółka jako administrator danych powinna wdrożyć procedury gwarantujące bezpieczeństwo danych.
„Zgodnie z RODO to administrator wdraża odpowiednie środki techniczne i organizacyjne, aby przetwarzanie odbywało się zgodnie z przepisami rozporządzenia” ‒ podkreślono w komunikacie UODO.
Podczas postępowania spółka miała przyznać, że wdrożenie nowego rozwiązania technologicznego powinno zostać poprzedzone analizą ewentualnych zagrożeń. Wyników takiej analizy nie otrzymała jednak od podmiotu przetwarzającego. Podobnie jak koncepcji zmian projektów czy też alternatywnych rozwiązań. Mimo to zlecono przeprowadzenie zmian. Zdaniem UODO oznacza to, że administrator nie stosował się do własnych procedur i nie prowadził nadzoru nad wdrożeniem zmian.
„Gdyby administrator dokonał weryfikacji sposobu realizacji przez podmiot przetwarzający zmian mających na celu usprawnienie działania systemu przetwarzającego dane osobowe, gdyby wymagał przedstawienia planu prac i dalsze ich wdrożenie zgodnie z przyjętą przez Fortum procedurą, znacząco obniżyłby ryzyko uzyskania dostępu przez osoby nieuprawnione do danych przetwarzanych w tym systemie. Tym samym mógłby zminimalizować ryzyko naruszenia praw lub wolności osób fizycznych” ‒ zauważa UODO w swym komunikacie. ©℗