UODO nakłada karę 4,9 mln zł za naruszenie danych osobowych

Wyciek danych dotyczył 137 000 osób
Wyciek danych dotyczył 137 000 osób

Na jedną z firm sektora energetycznego Prezes UODO nałożył najwyższą jak dotąd administracyjną karę pieniężną. Przyczyną było niewdrożenie odpowiednich środków technicznych i organizacyjnych zapewniających bezpieczeństwo danych osobowych. Jakie wnioski z kary płyną dla podmiotów ochrony zdrowia?

Kara została nałożona na Fortum Marketing and Sales Polska S.A. i wyniosła aż 4,9 mln złotych. Co jeszcze bardziej zaskakujące, tą samą decyzją ukarany został również podmiot przetwarzający – PIKA Sp. z o.o. W tym przypadku kara pieniężna wyniosła 250 tys. złotych.

Pobierz bezpłatny raport o bezpieczeństwie danych w placówkach ochrony zdrowia
Pobierz bezpłatny raport o bezpieczeństwie danych w placówkach ochrony zdrowia

Na czym polegało naruszenie?

Po przeanalizowaniu zgłoszenia otrzymanego od administratora danych osobowych, Prezes UODO wszczął postępowanie administracyjne w sprawie naruszenia przepisów o ochronie danych osobowych. W trakcie postępowania ustalone zostało, że naruszenie polegało na dostępie i skopiowaniu danych klientów administratora przez osoby nieuprawnione.

Doszło do tego na skutek wprowadzania modyfikacji, za którą odpowiedzialny był podmiot przetwarzający, realizujący na rzecz administratora obsługę systemu informatycznego. Modyfikacja skutkowała dostępem do danych przez osoby nieuprawione, gdyż serwer, na którym zostały umieszczone dane, nie miał odpowiednio skonfigurowanych zabezpieczeń. Mimo tak rażącego uchybienia, administrator uzyskał informacje o naruszeniu nie od podmiotu przetwarzającego, z którym współpracował, lecz niezależnie od dwóch osób, które zidentyfikowały możliwość dostępu do bazy danych osobowych klientów Spółki.

Wyciek dotyczył ponad 137 tys. klientów Fortum, a ujawnione dane to m.in. numer PESEL, imię i nazwisko, adres zamieszkania lub pobytu, adres e-mail, numer telefonu, rodzaj seria i numer dokumentu tożsamości, numer i adres punktu poboru mediów oraz dane dotyczące umowy.

Mimo tak dużej skali oraz tak szerokiego zakresu danych, których dotyczył wyciek, Fortum jako administrator danych osobowych nie zawiadomił osób, których dane dotyczą, o naruszeniu oraz możliwych negatywnych skutkach dla tych osób, ponieważ dokonana przez niego ocena nie wykazała, by nastąpiło wysokie ryzyko naruszenia praw lub wolności osób fizycznych. Innego zdania był Prezes UODO, który ocenił ryzyko jako wysokie.

W związku z tym organ nadzorczy wystosował do administratora zalecenie podjęcia działań minimalizujących negatywne skutki naruszenia, czyli niezwłoczne zawiadomienie osób dotkniętych naruszeniem i przekazanie im stosownych zaleceń oraz podjęcie działań mających wyeliminować podobne nieprawidłowości w przyszłości. Fortum zgodnie z zaleceniami zawiadomiła osoby, których dane dotyczą, o czym – w odpowiedzi na pismo z Urzędu – poinformowała organ. Spółka przestawiła też wyniki analizy, w której zawarła korektę liczby osób objętych wysokim ryzykiem naruszenia praw i wolności. Według Spółki, o naruszeniu powinno być powiadomionych prawie 96 tys. osób, ponieważ pozostałe z nich to osoby zmarłe lub osoby prawne (klienci biznesowi).

Skąd tak wysoka kara?

Administrator podjął współpracę z podmiotem przetwarzającym na podstawie podpisanych umów, w tym umowy powierzenia przetwarzania danych osobowych. Administrator w umowach określił wymogi bezpieczeństwa danych, które należy zastosować (m.in. pseudonimizację i szyfrowanie danych osobowych). Jednakże w trakcie procesu dokonywania przez podmiot przetwarzający zmian w systemie, zostały użyte rzeczywiste dane osobowe klientów administratora, a skuteczność zastosowanych zabezpieczeń nie została zweryfikowana przed przekazaniem do Fortum nowego rozwiązania. Ponadto funkcje bezpieczeństwa nie zostały przetestowane w trakcie prowadzonych w tym celu prac.

W ocenie Prezesa UODO Fortum nie egzekwowała od podmiotu przetwarzającego właściwego wykonania umowy powierzenia przetwarzania danych osobowych, a także nie weryfikowała działań podmiotu przetwarzającego. PIKA zaś działała niezgodnie z powszechnie znanymi normami ISO dotyczącymi bezpieczeństwa informacji, a więc także wbrew postanowieniom własnej „Polityki bezpieczeństwa”, która do tych norm się odwołuje, oraz nie stosowała się do postanowień umowy powierzenia przetwarzania danych osobowych.

Wnioski z incydentu

Powodem naruszenia było niezastosowanie przez podmiot przetwarzający podstawowych zasad bezpieczeństwa polegających na zabezpieczeniu danych osobowych przed nieuprawnionym dostępem. Jednakże zgodnie ze wskazaniem UODO, to administrator wdraża odpowiednie środki techniczne i organizacyjne mające zapewnić przetwarzanie zgodne z przepisami RODO. Ma on również obowiązek regularnego testowania przyjętych rozwiązań i kontroli podmiotu przetwarzającego.

Mając na względzie powyższe okoliczności, Prezes UODO podjął decyzje o nałożeniu rekordowej kary na Administratora (4,9 mln zł) oraz kary na Podmiot Przetwarzający (250 tys. zł). Jak dotąd, w podobnych sytuacjach wyłączenie Administrator otrzymywał karę pieniężną, gdyż to on jest odpowiedzialny za wdrożenie odpowiednich środków zabezpieczających.

Ten precedens zapewne doprowadzi do tego, że podmioty przetwarzające będą w sposób bardziej wnikliwy projektowały i testowały zabezpieczenia systemów służących do przetwarzania danych osobowych, których właścicielem jest administrator danych osobowych, gdyż także one będą ponosiły konsekwencje finansowe naruszenia ochrony danych.

Zobacz webinar: Jak placówki medyczne mogą chronić się przed hakerami?