Surowa kara za niedopilnowanie przetwarzania danych osobowych
Za dopuszczenie do skopiowania przez firmę współpracującą danych osobowych klientów na spółkę Fortum Marketing and Sales Polska S.A. została nałożona administracyjna kara pieniężna w wysokości ponad 4,9 mln zł. Podmiot przetwarzający, który skopiował te dane, został przez Prezesa Urzędu Ochrony Danych Osobowych ukarany grzywną w wysokości 250 tys. zł.
Co dokładnie znalazło się w decyzji Prezesa UODO nakładającej karę.
Jak poinformował UODO, naruszenie ochrony danych polegało na skopiowaniu danych klientów administratora przez nieuprawnione osoby. Doszło do tego w momencie wprowadzania zmiany w środowisku teleinformatycznym. W trakcie dokonywanych zmian utworzona została dodatkowa bazy danych klientów Fortum. Baza ta została jednak skopiowana przez nieuprawnione osoby, gdyż serwer, na którym została ona wdrożona, nie miał odpowiednio skonfigurowanych zabezpieczeń. Administrator danych dowiedział się o incydencie nie od podmiotu przetwarzającego, a od dwóch niezależnych internautów, którzy powiadomili go, że mają nieuprawniony dostęp do bazy.
W toku przeprowadzonego postępowania Urząd ustalił, że spółka w postanowieniach umownych z podmiotem przetwarzającym określiła wymogi w zakresie bezpieczeństwa danych osobowych, które należy zastosować, m.in. pseudonimizację i szyfrowanie danych osobowych. Według kontrolerów, podmiot przetwarzający działał niezgodnie z powszechnie znanymi normami ISO, a jednocześnie wbrew postanowieniom własnej „Polityki bezpieczeństwa”, która do tych norm się odwołuje. Nie stosował się również do postanowień umowy powierzenia przetwarzania danych osobowych, w której zobowiązał się m.in. do wdrożenia pseudonimizacji danych, którą miał traktować jako mechanizm gwarantujący odpowiedni poziom bezpieczeństwa danych.
Zdaniem ekspertów UODO, naruszenie wynikało z niezastosowania przez podmiot przetwarzający podstawowych zasad bezpieczeństwa polegających na niezabezpieczeniu danych osobowych przed dostępem osób nieuprawnionych. Zatem ponosi on bezpośrednią odpowiedzialność za naruszenie ochrony danych osobowych klientów administratora, a tak rażące zaniedbanie w procesie przetwarzania danych osobowych, w przypadku profesjonalnego podmiotu stanowi okoliczność obciążającą i wiąże się z nałożoną na niego administracyjną karą pieniężną – czytamy w informacji o kontroli.
W postępowaniu ustalono, że administrator w toku dokonywania zmian nie wymagał od podmiotu przetwarzającego przedstawienia dokumentacji analizy ryzyka dla projektowanych zmian. Administrator zgłosił potrzebę usprawnienia działania systemu, a po otrzymaniu informacji o wprowadzeniu nowego rozwiązania przystąpił do pracy i testowania nowego rozwiązania.
Kontrolerzy UODO stwierdzili też, że administrator pomimo wdrożonych procedur oraz posiadanej wiedzy, jak zgodnie z powszechnie stosowanymi praktykami powinno przebiegać wprowadzanie zmian w systemach informatycznych, na żadnym etapie wdrożenia nie prowadził nadzoru nad tym, czy wdrożenie faktycznie przebiega zgodnie z powszechnie obowiązującymi standardami.
Wdrożenie środków technicznych i organizacyjnych powinno polegać nie tylko na jednorazowym zastosowaniu przez administratora odpowiednich przepisów, zasad przetwarzania danych osobowych w danej organizacji, ale także na dokonywaniu regularnych przeglądów tych środków, a w razie potrzeby na uaktualnianiu wcześniej przyjętych rozwiązań – czytamy w informacji o kontroli.
Jak podkreśla UODO, na administratorze spoczywa także obowiązek regularnego testowania, mierzenia i oceniania skuteczności środków technicznych i organizacyjnych mających zapewnić bezpieczeństwo przetwarzania. Zarówno wprowadzenie odpowiednich środków bezpieczeństwa, jak i ich sprawdzanie nie jest działaniem jednorazowym. Powinno ono przybrać formę ciągłego procesu, w ramach którego administrator dokonuje przeglądu i w razie potrzeby uaktualnia przyjęte wcześniej zabezpieczenia.
Źródło:
www.prawo.pl, z dn. 2.03.2022 r.
aktualności PUODO https://uodo.gov.pl/pl/138/2304