Na Fortum Marketing and Sales Polska S.A. (dalej: Fortum) jako na Administratora została nałożona kara pieniężna w wysokości ponad 4,9 mln zł. za niewdrożenie odpowiednich środków zapewniających bezpieczeństwo danych osobowych oraz brak weryfikacji podmiotu przetwarzającego – poinformował UODO.
W tej sprawie na podmiot przetwarzający – Pika sp. z o.o. (dalej: Pika lub podmiot przetwarzający) została nałożona kara w wysokości 250 tys. zł. Pika sp. z o.o. świadczyła na rzecz Administratora usługi w zakresie prowadzenia archiwum, w tym archiwum cyfrowego.
Na czym polegało naruszenie?
UODO stwierdził naruszanie po stronie Administratora, polegające na niewdrożeniu odpowiednich środków technicznych i organizacyjnych zapewniających bezpieczeństwo danych osobowych, które w następstwie skutkowało naruszeniem ich poufności. UODO stwierdził również naruszanie w zakresie braku wystarczającej weryfikacji podmiotu przetwarzającego – czy zapewnia wystarczające gwarancje wdrożenia odpowiednich środków technicznych i organizacyjnych, by przetwarzanie spełniało wymogi rozporządzenia 2016/679 i chroniło prawa osób, których dane dotyczą. UODO za wskazany zakres naruszeń zdecydował się na nałożenie kary o rekordowej wysokości.
Do naruszenia doszło w momencie wprowadzania zmiany w środowisku teleinformatycznym przez podmiot przetwarzający. Administrator dowiedział się o incydencie nie od podmiotu przetwarzającego, a od dwóch niezależnych internautów, którzy powiadomili go, że mają nieuprawniony dostęp do bazy. Warto zwrócić uwagę, że RODO nakłada obowiązek informowania o naruszeniach w zakresie przetwarzania danych osobowych. Przepisy narzucają bardzo krótki termin na zgłoszenie naruszenia do Prezesa UODO – powinno się to odbyć niezwłocznie, a od momentu stwierdzenia naruszenia do momentu wysłania zgłoszenia z zasady nie może upłynąć więcej niż 72 godziny. Faktycznie w kwietniu 2020 r. Administrator zgłosił naruszanie ochrony danych osobowych Prezesowi UODO. W zgłoszeniu wskazano, że naruszenie nastąpiło w związku z wprowadzaniem zmiany w środowisku teleinformatycznym. W celu optymalizacji usług świadczonych przez PIKA, utworzona została dodatkowa baza danych klientów Fortum. W zgłoszeniu z 2020 r. wskazano, że naruszanie dotyczyło danych osobowych dotyczących ponad 137 tys. osób. Baza danych, o której mowa obejmowała takie dane jak: imię i nazwisko, adres zamieszkania lub pobytu, nr PESEL, rodzaj, seria i numer dokumentu tożsamości, adres e-mail, numer telefonu, numer i adres punktu poboru oraz dane dotyczące umowy (np. data i nr umowy, rodzaj paliwa, nr licznika).
Jednocześnie Administrator (Fortum) zrezygnował z powiadomienia osób, których dane dotyczyły, o naruszeniu stwierdzając, że nie wystąpiło wysokie ryzyko „naruszania praw lub wolności osób fizycznych”. UODO miał w tej kwestii odrębne zdanie i zobowiązał Administratora m.in. do powiadomienia osób, których dane dotyczą. Ostatecznie Administrator wysłała stosowne informacje do ponad 90 tys. osób.
W toku wyjaśniania sprawy Prezes UODO wezwał PIKA na podstawie art. 58 ust. 1 lit. a) i e) rozporządzenia 2016/679 do złożenia wyjaśnień i wskazania m.in. czy Pika podjęła działania wewnętrzne weryfikujące bezpieczeństwo działania środowiska informatycznego, udowodnienia czy i w jaki sposób regularnie mierzyła i oceniała skuteczność zabezpieczeń technicznych i informatycznych.
Podmioty przetwarzające dane osobowe, zobowiązane są do zidentyfikowania procesów przetwarzania, dobrania odpowiednich środków ochrony fizycznej, informatycznej, prawnej czy wyznaczenia Inspektora Ochrony Danych (jeśli dotyczy art. 37 RODO) Należy zwrócić uwagę, iż podmioty przetwarzające dane osobowe pochodzące od innych podmiotów, w trakcie świadczenia usług na ich rzecz, ponoszą bezpośrednią odpowiedzialność za naruszenie przez nie przepisów RODO.
Ostatecznie po przeprowadzaniu postępowania sprawdzającego UODO zdecydował o nałożeniu kary administracyjnej na oba podmioty.
Administrator zgodnie z opinią urzędu posiadał wdrożone procedury, podpisał z podmiotem przetwarzającym (PIKA) – umowę powierzenia danych osobowych, co więcej nałożył w niej obowiązek na podmiot przetwarzający. UODO stwierdził jednak, że pomimo wdrożonych procedur i posiadanej wiedzy, Administrator na żadnym etapie nie przeprowadził nadzoru nad procesem przetwarzania. Administrator nie zweryfikował faktycznego funkcjonowania systemu ochrony danych osobowych w podmiocie przetwarzającym.
Jak zauważył UODO, RODO jest procesem wymagającym od Administratora ciągłego nadzoru, regularnego testowania, mierzenia i oceniania skuteczności dobranych środków bezpieczeństwa.
Decydując o nałożeniu na Fortum administracyjnej kary pieniężnej Prezes UODO – stosownie do treści art. 83 ust. 2 lit. a-k rozporządzenia 2016/679 wziął pod uwagę charakter i wagę naruszenia, stopień odpowiedzialności Fortum z uwzględnieniem wdrożonych środków technicznych i organizacyjnych, stosowne wcześniejsze naruszenia przepisów rozporządzenia 2016/6, kategorie danych osobowych, których dotyczyło naruszenie. Fortum i Pika w ramach postępowania przedstawiły sprawozdania finansowe za rok 2020. Prezes UODO wskazał, że nałożona pieniężna kara administracyjna powinna spełniać w szczególności kryterium proporcjonalności kary w rozumieniu wypracowanym w orzecznictwie TSUE. Wysokość opisanych kar wydaje się mieć szczególnie „odstraszający” charakter.
Wnioski
Chcąc wyciągnąć wnioski z opisanego kazusu… Warto zwrócić uwagę, na kwestie położenia nacisku na Administratorze jako podmiocie faktycznie odpowiedzialnym za nadzór nad danymi, które powierzył innym podmiotom. Zapoznając się z decyzją DKN.5130.2215.2020, możemy też prześledzić szczegółowość i wnikliwość Prezesa UODO w toku postępowania. Warto więc prowadzić ciągły nadzór nad procesem przetwarzania danych osobowych, identyfikować nowe procesy przetwarzania zachowując dbałość w zakresie ich zabezpieczania. Dodatkowo, warto korzystać z prawa do audytów w podmiotach, które przetwarzają dane osobowe w naszym imieniu. Dopasowywać środki ochrony do faktycznego ryzyka wynikające z przetwarzania danej bazy danych. Wybierając podwykonawcę lub podmiot, któremu powierzymy dane osobowe, poza umową powierzenia danych, warto poprosić o wypełnienia arkusza zwanego „Arkuszem zgodności z RODO” lub z (ang. GDPR Assessment,) który pozwoli nam na wstępnym etapie zweryfikować poziom zabezpieczeń wdrożonych w podmiocie, któremu chcemy powierzyć nasze dane.
Warto również zwrócić uwagę, iż przedsiębiorcy o wysokiej świadomości prawnej przykładają coraz większą wagę do kwestii odpowiedniego zabezpieczenia danych osobowych, nie tylko z uwagi na możliwość nałożenia na nich kar za nieprawidłowe przetwarzanie danych osobowych, ale równie ze względu na potencjalne skutki wizerunkowe
Podobnie, świadomość osób fizycznych w kwestii przysługujących im praw w tym zakresie jest coraz wyższa, o czym świadczy m.in. liczba skarg wpływających do Prezesa Urzędu Ochrony Danych Osobowych.
Wobec powyższego, oczywistym jest, iż właściwe wdrożenie przepisów RODO i ich monitorowanie, wpływa nie tylko na bezpieczeństwo przetwarzania, ale także na wizerunek i wiarygodność firmy na rynku.
Decyzja DKN.5130.2215.2020 (dostęp: https://www.uodo.gov.pl/decyzje/DKN.5130.2215.2020)