Zdążyliśmy przyzwyczaić się już do nakładania wysokich kar pieniężnych przez Prezesa Urzędu Ochrony Danach Osobowych. Najwyższa do tej pory kara wynosiła 2,8 miliona złotych i została nałożona na Morele.net- podmiot działający w branży e- commerce. Pojawiła się jednak nowa decyzja organu nadzorczego nakładająca karę w wysokości 4,9 mln złotych na spółkę Fortum Marketing and Service Polska S.A. za niewdrożenie odpowiednich środków technicznych i organizacyjnych zapewniających bezpieczeństwo danych osobowych, a także za nieodpowiednie zweryfikowanie procesora. Co interesujące, w sprawie została nałożona także druga kara pieniężna w wysokości 250 tys. złotych- na podmiot przetwarzający.
Stan faktyczny
Spółka Fortum działająca w branży energetycznej w zakresie obrotu energią elektryczną i paliwem gazowym, w ramach swojej działalności współpracuje z PIKA Sp. z o.o. (dalej PIKA). Spółka wspomaga działania w zakresie usług prowadzenia archiwum cyfrowego.
Postępowanie kontrolne zainicjowane zostało przez zgłoszenie naruszenia ochrony danych osobowych przekazane przez Fortum do organu nadzorczego. Do naruszenia doszło w czasie wprowadzenia zmian w systemie do przechowywania dokumentów zawierających szereg informacji na temat klientów administratora. Zmiany miały na celu utworzenie nowej bazy i poprawienie wydolności systemu. Proces przeprowadzony został przez procesora- spółkę PIKA.
Naruszenie polegało na skopiowaniu przez nieuprawniony podmiot bazy zawierającej dane klientów administratora. Skopiowane informacje dotyczyły ponad 100 tys. podmiotów, gdzie ponad 90 tys. z nich należało do osób fizycznych. Dane obejmowały takie informacje jak: imię, nazwisko, adres zamieszkania, numer PESEL, numery dokumentów tożsamości czy szczegóły zawartych umów z odbiorcami energii.
Administrator nie zdecydował się powiadomić o zaistniałej sytuacji osoby, których dane uległy naruszeniu. Biorąc pod uwagę kategorie danych osobowych, a także czas trwania zdarzenia organ nadzorczy określił, że naruszenie ma znaczną wagę i poważny charakter, ponieważ może doprowadzić do szkód majątkowych lub niemajątkowych dla osób, których dane zostały naruszone. Prawdopodobieństwo wystąpienia takiej sytuacji jest wysokie. W związku z tym organ nakazał administratorowi podjęcie stosownych działań w postaci powiadomienia podmiotów danych o zdarzeniu.
Zarzuty
W pierwszej kolejności Urząd Ochrony Danych Osobowych zarzucił brak realizowania prawa kontroli podmiotu przetwarzającego, które wskazane jest w art. 28 ust. 3 lit. h) RODO.
Ponadto, postępowanie wykazało, że administrator nie egzekwował realizacji postanowień, które łączyły podmioty na podstawie zawartych umów, a także nie weryfikował podmiotu przetwarzającego w zakresie zleconych działań, w szczególności w przypadku przebiegu omawianego procesu rozbudowania bazy.
Urząd Ochrony danych osobowych stwierdził, że samo podpisanie umowy powierzenia przetwarzania danych osobowych pomiędzy administratorem a procesorem nie jest wystarczające. Nie można bowiem na tej podstawie uznać, że administrator zweryfikował podmiot przetwarzający pod kątem wymogów wynikających z Rozporządzenia RODO.
Kara za naruszenie także dla procesora
Urząd Ochrony danych osobowych wskazał, że naruszenie wynikało z niezastosowania przez procesora podstawowych zasad bezpieczeństwa polegających na niezabezpieczeniu danych osobowych przed dostępem osób nieuprawnionych. Procesor świadcząc profesjonalne usługi w zakresie dostarczania systemów informatycznych oraz posiadając odpowiednią wiedzę w tym zakresie nie zastosował odpowiednich standardów bezpieczeństwa. Zasilił bowiem rzeczywistymi danymi bazę w fazie testowej, natomiast umożliwienie dostępu do bazy osobom nieuprawnionym pozwoliło na jej skopiowanie.
W związku z powyższym prezes Urzędu Ochrony danych osobowych podjął decyzję o nałożeniu kary pieniężnej także na podmiot przetwarzający.
Jakie wnioski dla administratorów?
Decyzja wydana w tej sprawie pokazuje, jak niezwykle ważna jest weryfikacja podmiotów przetwarzających przez administratora. W tym aspekcie samo podpisanie umowy powierzenia przetwarzania danych osobowych może okazać się niewystarczające. Tylko rzeczywiste audyty procesorów są w stanie wskazać luki oraz zastosowanie niewystarczających środków technicznych lub organizacyjnych w danym procesie. Przeprowadzenie audytu procesorów daje nam także możliwość wskazania rekomendacji co do kontynuacji współpracy z podmiotem przetwarzającym, a także sugestie ewentualnych zmian. Wprowadzając zmiany w procesach przetwarzających dane osobowe powinno się pamiętać o przeprowadzaniu testów bezpieczeństwa już w fazie projektowania.
Ponadto, omawiana decyzja jest przykładem na to, że podmiot przetwarzający także może ponieść bezpośrednią odpowiedzialność za naruszenie ochrony danych osobowych powierzonych mu przez administratora.
