Niemal 5 milionów złotych kary nałożył Prezes UODO na spółkę Fortum Marketing and Sales Polska S.A. Ukarany został również podmiot przetwarzający, choć już w niższej kwocie 250.000 zł. W podsumowaniu decyzji Prezes UODO stwierdził, że nałożone kary spełniają przewidziane dla nich funkcje. Z pewnością natomiast są one odstraszające.
Czego dotyczyło naruszenie?
Naruszenie polegało na niewdrożeniu odpowiednich środków technicznych i organizacyjnych zapewniających bezpieczeństwo danych osobowych, skutkującym naruszeniem ich poufności, oraz na braku weryfikacji podmiotu przetwarzającego, czy zapewnia wystarczające gwarancje wdrożenia odpowiednich środków technicznych i organizacyjnych.
Jaka została nałożona kara?
Prezes UODO nałożył administracyjną karę pieniężną w wysokości:
- dla administratora: 4.911.732 zł,
- dla podmiotu przetwarzającego: 250.135 zł.
Dlaczego została nałożona kara?
Administrator i podmiot przetwarzający naruszyli poufność 120.428 osób, których dane zostały skopiowane z bazy danych przez osoby do tego nieuprawnione. Pomimo tego, administrator nie zdecydował się na poinformowanie ich o naruszeniu i możliwych negatywnych jego konsekwencjach. Uznał bowiem, że nie zaistniało wysokie ryzyko naruszenia ich praw lub wolności. W trakcie postępowania ustalono, że zawiadomienie osób powinno objąć 96 711 osób.
Jakich danych dotyczyło naruszenie? Zakres danych różnił się w zależności od osób, mógł jednak obejmować dane takie jak imię i nazwisko, adres zamieszkania lub pobytu, nr PESEL, rodzaj, serię i numer dokumentu tożsamości, adres e-mail, numer telefonu, numer i adres punktu poboru oraz dane dotyczące umowy (np. data i nr umowy, rodzaj paliwa, nr licznika).
Zdaniem organu nadzorczego, ukarane podmioty dopuściły się naruszeń w odniesieniu do wdrożenia odpowiednich środków technicznych i organizacyjnych zapewniających bezpieczeństwo danych osobowych. Wskazał też, że administrator nie prowadził nadzoru nad działaniami podmiotu przetwarzającego, jak również nie kontrolował w jaki sposób przetwarzane są przez niego powierzone dane osobowe.
Wymierzając karę Prezes UODO wziął pod uwagę takie elementy jak:
- wcześniejsze naruszenia,
- szeroki zakres danych,
- przetwarzanie ich na dużą skalę,
- profesjonalny charakter tego przetwarzania.
Okolicznościami łagodzącymi były:
- czas trwania naruszenia,
- jego nieumyślność,
- podjęcie działań w celu zminimalizowania szkody osób, których dotyczyło naruszenie,
- współpraca z organem nadzorczym (Spółka zawiadomiła w toku postępowania osoby, których dane dotyczą o naruszeniu zgodnie z zasadami określonymi w RODO).
Wnioski?
Ze stanu faktycznego w opisywanej decyzji można wyciągnąć wiele lekcji. Pamiętajmy, że
- przetwarzając dane osobowe należy zadbać o ich zabezpieczenie na każdym etapie tego przetwarzania,
- nie zwalnia z tego obowiązku skorzystanie z usług profesjonalnego podmiotu przetwarzającego,
- posiadanie procedur nie wystarczy – trzeba je jeszcze skutecznie wdrożyć,
- mierzenie skuteczności stosowanych środków ochrony danych nie jest czynnością jednorazową,
- przed dokonaniem wyboru podmiotu przetwarzającego należy ustalić, czy daje on gwarancję prawidłowego przetwarzania przez zastosowanie adekwatnych środków ochrony danych,
- warto korzystać z uprawnień kontrolnych względem podmiotu przetwarzającego.
Link do decyzji: https://www.uodo.gov.pl/decyzje/DKN.5130.2215.2020