• Reklama
  • Zakładki
  • Kastomizacja
  • Newsletter
BrandsIT
POWIADOMIENIA Pokaż więcej
Najnowsze
Koncert, Palion, roblox, ing
Zobacz pierwszy koncert polskiego wykonawcy w Robloxie
Rozrywka Work&Life
dane, cyfryzacja, technologia, IT
Technologia dla wszystkich: jak zwiększyć dostępność cyfrową?
Tech Biznes Technologia
hpe
HPE wprowadza nową generację serwerów do przechowywania danych
Rozwiązania Technologia
Piotr Kawecki, ITBoom
Branża IT – jakie będzie kolejne 12 miesięcy?
Branża IT Biznes
Sony, SRG-A40 i SRG-A12, PTZ
Sony poszerza ofertę kamer PTZ
Rozwiązania Technologia
  • Biznes
  • Pieniądze
  • Rynki
  • Polityka
  • Technologia
  • Eco
  • Work&Life
  • MAGAZYN
  • Opinie
Czytasz: Rekordowa kara nałożona przez Prezesa UODO
Aa
BrandsITBrandsIT
  • Technologia
  • Biznes
  • Branża IT
  • Świat
  • Pieniądze
    • Inwestycje
    • Kryptowaluty
    • NFT
    • Praca
  • Polityka
    • Polska
    • Europa
    • Świat
  • Technologia
    • Startup
    • Cyberbezpieczeństwo
    • Rozwiązania
    • Gaming
    • Tech Biznes
  • Eco
    • Czysta energia
    • Pogoda i nauka
    • Pojazdy elektryczne
    • Polityka klimatyczna
  • Work&Life
    • W pracy
    • Miasto
    • Nauka
    • Rozrywka
    • Moda
  • Biznes
    • Branża IT
    • Branża deweloperska
    • Branża przemysłowa
    • Branża transportowa
    • Podatki i koszty
Follow US
  • Redakcja
  • Regulamin
  • Polityka prywatności
  • Polityka plików cookies
  • Oświadczenie o prywatności
© 2017-2022 BrandsIT. Brands Stream Sp. z o.o. All Rights Reserved.
BrandsIT > Marzec2022 > Rekordowa kara nałożona przez Prezesa UODO
Marzec2022

Rekordowa kara nałożona przez Prezesa UODO

Ewelina Szydłowska-Kędziera 11 miesięcy temu 7 min czytania
Udostępnij
7 min czytania
Dane osobowe
Udostępnij

Na Fortum Marketing and Sales Polska S.A. (dalej: Fortum) jako na Administratora została nałożona kara pieniężna w wysokości ponad 4,9 mln zł. za niewdrożenie odpowiednich środków zapewniających bezpieczeństwo danych osobowych oraz brak weryfikacji podmiotu przetwarzającego – poinformował UODO.

W tej sprawie na podmiot przetwarzający – Pika sp. z o.o. (dalej: Pika lub podmiot przetwarzający) została nałożona kara w wysokości 250 tys. zł. Pika sp. z o.o. świadczyła na rzecz Administratora usługi w zakresie prowadzenia archiwum, w tym archiwum cyfrowego.

Na czym polegało naruszenie?

UODO stwierdził naruszanie po stronie Administratora, polegające na niewdrożeniu odpowiednich środków technicznych i organizacyjnych zapewniających bezpieczeństwo danych osobowych, które w następstwie skutkowało naruszeniem ich poufności. UODO stwierdził również naruszanie w zakresie braku wystarczającej weryfikacji podmiotu przetwarzającego – czy zapewnia wystarczające gwarancje wdrożenia odpowiednich środków technicznych i organizacyjnych, by przetwarzanie spełniało wymogi rozporządzenia 2016/679 i chroniło prawa osób, których dane dotyczą. UODO za wskazany zakres naruszeń zdecydował się na nałożenie kary o rekordowej wysokości.

Do naruszenia doszło w momencie wprowadzania zmiany w środowisku teleinformatycznym przez podmiot przetwarzający. Administrator dowiedział się o incydencie nie od podmiotu przetwarzającego, a od dwóch niezależnych internautów, którzy powiadomili go, że mają nieuprawniony dostęp do bazy. Warto zwrócić uwagę, że RODO nakłada obowiązek informowania o naruszeniach w zakresie przetwarzania danych osobowych. Przepisy narzucają bardzo krótki termin na zgłoszenie naruszenia do Prezesa UODO – powinno się to odbyć niezwłocznie, a od momentu stwierdzenia naruszenia do momentu wysłania zgłoszenia z zasady nie może upłynąć więcej niż 72 godziny. Faktycznie w kwietniu 2020 r. Administrator zgłosił naruszanie ochrony danych osobowych Prezesowi UODO. W zgłoszeniu wskazano, że naruszenie nastąpiło w związku z wprowadzaniem zmiany w środowisku teleinformatycznym. W celu optymalizacji usług świadczonych przez PIKA, utworzona została dodatkowa baza danych klientów Fortum. W zgłoszeniu z 2020 r. wskazano, że naruszanie dotyczyło danych osobowych dotyczących ponad 137 tys. osób. Baza danych, o której mowa obejmowała takie dane jak: imię i nazwisko, adres zamieszkania lub pobytu, nr PESEL, rodzaj, seria i numer dokumentu tożsamości, adres e-mail, numer telefonu, numer i adres punktu poboru oraz dane dotyczące umowy (np. data i nr umowy, rodzaj paliwa, nr licznika).

Jednocześnie Administrator (Fortum) zrezygnował z powiadomienia osób, których dane dotyczyły, o naruszeniu stwierdzając, że nie wystąpiło wysokie ryzyko „naruszania praw lub wolności osób fizycznych”. UODO miał w tej kwestii odrębne zdanie i zobowiązał Administratora m.in. do powiadomienia osób, których dane dotyczą. Ostatecznie Administrator wysłała stosowne informacje do ponad 90 tys. osób.

W toku wyjaśniania sprawy Prezes UODO wezwał PIKA na podstawie art. 58 ust. 1 lit. a) i e) rozporządzenia 2016/679 do złożenia wyjaśnień i wskazania m.in. czy Pika podjęła działania wewnętrzne weryfikujące bezpieczeństwo działania środowiska informatycznego, udowodnienia czy i w jaki sposób regularnie mierzyła i oceniała skuteczność zabezpieczeń technicznych i informatycznych.

Podmioty przetwarzające dane osobowe, zobowiązane są do zidentyfikowania procesów przetwarzania, dobrania odpowiednich środków ochrony fizycznej, informatycznej, prawnej czy wyznaczenia Inspektora Ochrony Danych (jeśli dotyczy art. 37 RODO) Należy zwrócić uwagę, iż podmioty przetwarzające dane osobowe pochodzące od innych podmiotów, w trakcie świadczenia usług na ich rzecz, ponoszą bezpośrednią odpowiedzialność za naruszenie przez nie przepisów RODO.

Ostatecznie po przeprowadzaniu postępowania sprawdzającego UODO zdecydował o nałożeniu kary administracyjnej na oba podmioty.

Administrator zgodnie z opinią urzędu posiadał wdrożone procedury, podpisał z podmiotem przetwarzającym (PIKA) – umowę powierzenia danych osobowych, co więcej nałożył w niej obowiązek na podmiot przetwarzający. UODO stwierdził jednak, że pomimo wdrożonych procedur i posiadanej wiedzy, Administrator na żadnym etapie nie przeprowadził nadzoru nad procesem przetwarzania. Administrator nie zweryfikował faktycznego funkcjonowania systemu ochrony danych osobowych w podmiocie przetwarzającym.

Jak zauważył UODO, RODO jest procesem wymagającym od Administratora ciągłego nadzoru, regularnego testowania, mierzenia i oceniania skuteczności dobranych środków bezpieczeństwa.

Decydując o nałożeniu na Fortum administracyjnej kary pieniężnej Prezes UODO – stosownie do treści art. 83 ust. 2 lit. a-k rozporządzenia 2016/679 wziął pod uwagę charakter i wagę naruszenia, stopień odpowiedzialności Fortum z uwzględnieniem wdrożonych środków technicznych  i organizacyjnych,  stosowne wcześniejsze naruszenia przepisów rozporządzenia 2016/6, kategorie danych osobowych, których dotyczyło naruszenie. Fortum i Pika w ramach postępowania przedstawiły sprawozdania finansowe za rok 2020. Prezes UODO wskazał, że nałożona pieniężna kara administracyjna powinna spełniać  w szczególności kryterium proporcjonalności kary w rozumieniu wypracowanym w orzecznictwie TSUE. Wysokość opisanych kar wydaje się mieć szczególnie „odstraszający” charakter.

Wnioski

Chcąc wyciągnąć wnioski z opisanego kazusu… Warto zwrócić uwagę, na kwestie położenia nacisku na Administratorze jako podmiocie faktycznie odpowiedzialnym za nadzór nad danymi, które powierzył innym podmiotom. Zapoznając się z decyzją DKN.5130.2215.2020, możemy też prześledzić szczegółowość i wnikliwość Prezesa UODO w toku postępowania. Warto więc prowadzić ciągły nadzór nad procesem przetwarzania danych osobowych, identyfikować nowe procesy przetwarzania zachowując dbałość w zakresie ich zabezpieczania. Dodatkowo, warto korzystać z prawa do audytów w podmiotach, które przetwarzają dane osobowe w naszym imieniu. Dopasowywać środki ochrony do faktycznego ryzyka wynikające z przetwarzania danej bazy danych. Wybierając podwykonawcę lub podmiot, któremu powierzymy dane osobowe, poza umową powierzenia danych, warto poprosić o wypełnienia arkusza zwanego „Arkuszem zgodności z RODO” lub z (ang. GDPR Assessment,) który pozwoli nam na wstępnym etapie zweryfikować poziom zabezpieczeń wdrożonych w podmiocie, któremu chcemy powierzyć nasze dane.

Warto również zwrócić uwagę, iż przedsiębiorcy o wysokiej świadomości prawnej przykładają coraz większą wagę do kwestii odpowiedniego zabezpieczenia danych osobowych, nie tylko z uwagi na możliwość nałożenia na nich kar za nieprawidłowe przetwarzanie danych osobowych, ale równie  ze względu na potencjalne skutki wizerunkowe

Podobnie, świadomość osób fizycznych w kwestii przysługujących im praw w tym zakresie jest coraz wyższa, o czym świadczy m.in. liczba skarg wpływających do Prezesa Urzędu Ochrony Danych Osobowych.

Wobec powyższego, oczywistym jest, iż właściwe wdrożenie przepisów RODO  i ich monitorowanie, wpływa nie tylko na bezpieczeństwo przetwarzania, ale także na wizerunek i wiarygodność firmy na rynku.

Decyzja DKN.5130.2215.2020  (dostęp: https://www.uodo.gov.pl/decyzje/DKN.5130.2215.2020)

Skomentuj Skomentuj

Dodaj komentarz Anuluj pisanie odpowiedzi

Twój adres e-mail nie zostanie opublikowany. Wymagane pola są oznaczone *

- Reklama -

© 2017-2023 BrandsIT. Brands Stream Sp. z o.o. All Rights Reserved.

  • Redakcja
  • Regulamin
  • Polityka prywatności
  • Polityka plików cookies
  • Oświadczenie o prywatności
Zarządzaj swoją prywatnością
We use technologies like cookies to store and/or access device information. We do this to improve browsing experience and to show personalized ads. Consenting to these technologies will allow us to process data such as browsing behavior or unique IDs on this site. Not consenting or withdrawing consent, may adversely affect certain features and functions.
Funkcjonalne Zawsze aktywne
Przechowywanie lub dostęp do danych technicznych jest ściśle konieczny do uzasadnionego celu umożliwienia korzystania z konkretnej usługi wyraźnie żądanej przez subskrybenta lub użytkownika, lub wyłącznie w celu przeprowadzenia transmisji komunikatu przez sieć łączności elektronicznej.
Preferencje
Przechowywanie lub dostęp techniczny jest niezbędny do uzasadnionego celu przechowywania preferencji, o które nie prosi subskrybent lub użytkownik.
Statystyka
Przechowywanie techniczne lub dostęp, który jest używany wyłącznie do celów statystycznych. Przechowywanie techniczne lub dostęp, który jest używany wyłącznie do anonimowych celów statystycznych. Bez wezwania do sądu, dobrowolnego podporządkowania się dostawcy usług internetowych lub dodatkowych zapisów od strony trzeciej, informacje przechowywane lub pobierane wyłącznie w tym celu zwykle nie mogą być wykorzystywane do identyfikacji użytkownika.
Marketing
Przechowywanie lub dostęp techniczny jest wymagany do tworzenia profili użytkowników w celu wysyłania reklam lub śledzenia użytkownika na stronie internetowej lub na kilku stronach internetowych w podobnych celach marketingowych.
Zarządzaj opcjami Zarządzaj serwisami Zarządzaj dostawcami Przeczytaj więcej o tych celach
Zarządzaj opcjami
{title} {title} {title}

Removed from reading list

Undo