Została nałożona rekordowa kara RODO na Fortum Marketing and Sales Polska S.A. (zakład energetyczny) w wysokości ponad 4,9 mln zł! Karę otrzymał również podmiot będący dla Fortum Marketing and Sales Polska S.A. podmiotem przetwarzającym – PIKA Sp. z o.o. w wysokości ponad 250 tyś zł!

Rekordowa kara RODO – Fortum Marketing and Sales Polska S.A.

Wysokość kary – 4 911 732zł

Za co?

Kara RODO została nałożona na Fortum za: niewdrożenie odpowiednich środków technicznych i organizacyjnych zapewniających bezpieczeństwo danych osobowych, skutkujących naruszeniem ich poufności oraz za brak weryfikacji podmiotu przetwarzającego odnośnie zapewnienia wystarczających gwarancji wdrożenia odpowiednich środków technicznych i organizacyjnych, by przetwarzanie spełniało wymogi RODO i chroniło prawa osób, których dotyczą

Co się wydarzyło?

Fortum Marketing and Sales Polska Spółka Akcyjna zgłosiła Prezesowi UODO naruszenie ochrony danych osobowych, które polegało na skopiowaniu danych klientów administratora przez osoby nieuprawnione – doszło do tego w momencie wprowadzenia zmian w systemie, który jest cyfrowym archiwum służącym do przechowywania dokumentów i informacji na temat klientów. Zmiana wynikała z chęci zwiększenia wydajności działania systemu – polegała na utworzeniu dodatkowej bazy danych klientów Fortum, która następnie została skopiowana przez nieuprawnione podmioty.? Do wykrycia podatności, która doprowadziła do nieuprawnionego dostępu do dodatkowej bazy danych doszło dzięki dwóm niezależnym internautom, którzy poinformowali administratora, że posiadają dostęp do bazy klientów Fortum.?Zmiany tej (a tym samym stworzenia owej bazy danych) dokonywał podmiot przetwarzający – PIKA Sp. z o.o.” Skopiowana” baza danych zawierała informacje o klientach Fortum:
– imię i nazwisko,
– adres zamieszkania lub pobytu,
– nr PESEL,
– rodzaj, seria i numer dokumentu tożsamości,
– adres e-mail,
– numer telefonu,
– numer i adres punktu poboru,
– dane dotyczące umowy (np. data i nr umowy, rodzaj paliwa, nr licznika).

❗ Naruszenie dotyczyło danych osobowych 137 314 osób klientów Fortum. ❗ Po przeanalizowaniu zgłoszenia, organ nadzorczy wszczął postępowanie, w wyniku którego zadecydowano o nałożeniu kary na administratora, a także podmiot przetwarzający. Dlaczego? Co na to RODO? Do naruszenia doszło w wyniku działania Podmiotu Przetwarzającego realizującego na rzecz Administratora usługę – należy tu rozpatrzyć sytuację obu stron tego zdarzenia.

Nasze rady – jak uniknąć kary RODO?

Ucz się na błędach innych!

1. Podmiot przetwarzający

Ponosi bezpośrednią odpowiedzialność za naruszenie ochrony danych osobowych klientów administratora – w trakcie dokonywania zmian w systemie dane osobowe nie były pseudonimizowane ani szyfrowane, co w postanowieniach umownych z administratorem, spółka zadeklarowała się robić. Dodatkowo, skuteczność zabezpieczeń nowego rozwiązania nie została sprawdzona przed przekazaniem go Fortum. Funkcje bezpieczeństwa nie były też testowane w trakcie prowadzenia prac. Administrator nie otrzymał też wyników analizy ryzyka od podmiotu przetwarzającego.

❗ Pamiętaj ❗

Podmiot przetwarzający zobligowany jest do przestrzegania postanowień umowy powierzenia przetwarzania danych osobowych zawartej między nim, a administratorem. W zamiarze wprowadzania zmian w miejscach przetwarzania danych osobowych niezbędne jest przeprowadzanie testów bezpieczeństwa już w fazie projektowania! Pamiętajmy o pseudonimizacji (zastępowaniu określonych danych innymi, aby uniemożliwić identyfikację osób, których dane dotyczą) i szyfrowaniu danych osobowych – dzięki czemu obniżone zostaje ryzyko wystąpienia naruszenia.

2. Administrator Danych Osobowych

Administrator nie wymagał od podmiotu przetwarzającego takich dokumentów jak wyniki analizy ryzyka, projektu zmian. Nie prowadził nadzoru nad tym, czy wdrożenie zmiany w systemie informatycznych przebiega zgodnie z RODO. Nie egzekwował od podmiotu przetwarzającego realizacji umów i nie stosował się do własnej praktyki wdrażania zmian w środowisku IT. Administrator również nie dokonywał regularnych testów sprawdzających skuteczność zachowywania bezpieczeństwa przetwarzania danych osobowych przez podmiot przetwarzający.

❗ Pamiętaj ❗

Administrator powinien wdrożyć odpowiednie środki techniczne i organizacyjne, aby zapewnić bezpieczeństwo przetwarzania danych osobowych w organizacji. Nie powinno jednak być to działanie jednorazowe – wprowadzone środki musza być regularnie testowane, a w razie potrzeby zmieniane.

Chcesz być na bieżąco z karami RODO? Zapraszamy do śledzenia naszego bloga i polubienia naszego profilu na Facebooku: https://www.facebook.com/Standarder-Sp-z-oo-Ochrona-Danych-Osobowych-207629525933920
Chcesz wiedzieć więcej na temat RODO? – sprawdź nasz kurs: https://www.e-kursyrodo.pl/kurs/rodo-kurs-ogolny-2/