Przejdź do treści
Strona główna » Strefa wiedzy » 5 milionów złotych kary!

5 milionów złotych kary!

Niemal 5 milionów złotych kary nałożył Prezes UODO na spółkę Fortum Marketing and Sales Polska S.A. Ukarany został również podmiot przetwarzający, choć już w niższej kwocie 250.000 zł. W podsumowaniu decyzji Prezes UODO stwierdził, że nałożone kary spełniają przewidziane dla nich funkcje. Z pewnością natomiast są one odstraszające.

Czego dotyczyło naruszenie?

Naruszenie polegało na niewdrożeniu odpowiednich środków technicznych i organizacyjnych zapewniających bezpieczeństwo danych osobowych, skutkującym naruszeniem ich poufności, oraz na braku weryfikacji podmiotu przetwarzającego, czy zapewnia wystarczające gwarancje wdrożenia odpowiednich środków technicznych i organizacyjnych.

Jaka została nałożona kara?

Prezes UODO nałożył administracyjną karę pieniężną w wysokości:

  • dla administratora: 4.911.732 zł,
  • dla podmiotu przetwarzającego: 250.135 zł.
Dlaczego została nałożona kara?

Administrator i podmiot przetwarzający naruszyli poufność 120.428 osób, których dane zostały skopiowane z bazy danych przez osoby do tego nieuprawnione. Pomimo tego, administrator nie zdecydował się na poinformowanie ich o naruszeniu i możliwych negatywnych jego konsekwencjach. Uznał bowiem, że nie zaistniało wysokie ryzyko naruszenia ich praw lub wolności. W trakcie postępowania ustalono, że zawiadomienie osób powinno objąć 96 711 osób.

Jakich danych dotyczyło naruszenie? Zakres danych różnił się w zależności od osób, mógł jednak obejmować dane takie jak imię i nazwisko, adres zamieszkania lub pobytu, nr PESEL, rodzaj, serię i numer dokumentu tożsamości, adres e-mail, numer telefonu, numer i adres punktu poboru oraz dane dotyczące umowy (np. data i nr umowy, rodzaj paliwa, nr licznika).

Zdaniem organu nadzorczego, ukarane podmioty dopuściły się naruszeń w odniesieniu do wdrożenia odpowiednich środków technicznych i organizacyjnych zapewniających bezpieczeństwo danych osobowych. Wskazał też, że administrator nie prowadził nadzoru nad działaniami podmiotu przetwarzającego, jak również nie kontrolował w jaki sposób przetwarzane są przez niego powierzone dane osobowe.

Wymierzając karę Prezes UODO wziął pod uwagę takie elementy jak:

  • wcześniejsze naruszenia,
  • szeroki zakres danych,
  • przetwarzanie ich na dużą skalę,
  • profesjonalny charakter tego przetwarzania.  

Okolicznościami łagodzącymi były:

  • czas trwania naruszenia,
  • jego nieumyślność,
  • podjęcie działań w celu zminimalizowania szkody osób, których dotyczyło naruszenie,
  • współpraca z organem nadzorczym (Spółka zawiadomiła w toku postępowania osoby, których dane dotyczą o naruszeniu zgodnie z zasadami określonymi w RODO).
Wnioski?

Ze stanu faktycznego w opisywanej decyzji można wyciągnąć wiele lekcji. Pamiętajmy, że

  • przetwarzając dane osobowe należy zadbać o ich zabezpieczenie na każdym etapie tego przetwarzania,
  • nie zwalnia z tego obowiązku skorzystanie z usług profesjonalnego podmiotu przetwarzającego,
  • posiadanie procedur nie wystarczy – trzeba je jeszcze skutecznie wdrożyć,
  • mierzenie skuteczności stosowanych środków ochrony danych nie jest czynnością jednorazową,
  • przed dokonaniem wyboru podmiotu przetwarzającego należy ustalić, czy daje on gwarancję prawidłowego przetwarzania przez zastosowanie adekwatnych środków ochrony danych,
  • warto korzystać z uprawnień kontrolnych względem podmiotu przetwarzającego.

Link do decyzji: https://www.uodo.gov.pl/decyzje/DKN.5130.2215.2020

Tagi:

Dodaj komentarz

Twój adres e-mail nie zostanie opublikowany. Wymagane pola są oznaczone *