Kara w wysokości 4,9 mln zł to nowy rekord sankcji za naruszenie przepisów o ochronie danych osobowych. Taką karę Urząd Ochrony Danych Osobowych nałożył na spółkę, zajmującą się dostawą ciepła i energii elektrycznej na Pomorzu. Podwykonawca spółki, który przygotowywał dla niej nowe rozwiązania informatyczne, ma zapłacić karę w wysokości 250 tys zł.
Z informacji przedstawionych przez Urząd Ochrony Danych Osobowych wynika, że postępowanie w sprawie naruszenia RODO zostało wszczęte jeszcze w maju 2020 r., po tym jak spółka dostała informację od dwóch niezależnych internautów, że mają nieuprawniony dostęp do bazy danych tego podmiotu.
Zdaniem UODO naruszenie ochrony danych polegało na skopiowaniu danych klientów administratora przez nieuprawnione osoby. Doszło do tego w momencie wprowadzania zmiany w środowisku teleinformatycznym. Spółka chciała bowiem poprawić wydajność swoich usług i powierzyła to zadanie zewnętrznej firmie. Urząd ustalił, że w trakcie zmian w bazach teleinformatycznych utworzona została dodatkowa baza danych klientów Fortum. Dane z bazy wyciekły, gdyż serwer, na którym została ona wdrożona, nie miał odpowiednio skonfigurowanych zabezpieczeń.
Z informacji zgromadzonych w czasie postępowania wynika, że spółka w umowie zawartej z podmiotem przetwarzającym określiła wymogi bezpieczeństwa danych osobowych, które należy zastosować, m.in. pseudonimizację i szyfrowanie danych osobowych. Jak się później okazało, funkcjonowanie tych zabezpieczeń nie zostało przetestowane przez wykonawcę przed przekazaniem ich przedsiębiorcy.
Zarzuty UODO dotyczą tego, że takiego sprawdzenia nie wykonał także przedsiębiorca. Zdaniem urzędu spółka Fortum nie egzekwowała od podmiotu przetwarzającego wykonania umów, nie stosowała się do własnej praktyki wdrażania zmian w środowisku IT, opartej na wewnętrznych regulacjach i nie weryfikowała podmiotu przetwarzającego prowadzone działania, mające na celu usprawnienie funkcjonowania usługi.
Urząd przypomniał, że zgodnie z RODO to administrator wdraża odpowiednie środki techniczne i organizacyjne, aby przetwarzanie odbywało się zgodnie z przepisami rozporządzenia. Ma też obowiązek ich regularnego testowania.
Artykuł pochodzi z Systemu Legalis. Bądź na bieżąco, polub nas na Facebooku →