Prezes Urzędu Ochrony Danych Osobowych (PUODO) nałożył najwyższą do tej pory karę finansową za naruszenie przepisów RODO. Blisko 5 milionów złotych kary zostało nałożone na firmę z Gdańska za naruszenie poufności danych klientów. Dodatkowo karą wysokości 250 tysięcy złotych został ukarany procesor administratora.
Naruszenie dotyczyło 95 tysięcy rekordów zawierających dane osobowe. W zakres danych wchodziły oprócz imienia i nazwiska i miejsca zamieszkania również numery PESEL oraz oznaczenia dokumentów tożsamości. Samo naruszenie nastąpiło w momencie, w którym procesor aktualizował narzędzie dostępowe do bazy danych dla administratora. Przez błąd techniczny osoby nieuprawnione uzyskały dostęp do bazy danych. Administrator po otrzymaniu informacji od osób trzecich natychmiast zareagował i usunął możliwość dostępu oraz poinformował Urząd o powstałym naruszeniu.
Po otrzymaniu informacji o incydencie PUODO wszczął postępowanie wyjaśniające, w którym nakazał administratorowi powiadomienie osób których dane dotyczą o naruszeniu. Zgodnie z uzasadnieniem decyzji PUODO, ukarany podmiot prawidłowo zawarł umowę powierzenia przetwarzania danych osobowych z procesorem, jednak z nieustalonych powodów od 2018 roku nie przeprowadził u swojego procesora audytu lub innych działań mających na celu ustalenie, czy stosowane przez procesora zabezpieczenia i procedury są adekwatne do zaobserwowanych ryzyk.
Decyzja PUODO jest nowością w działalności polskiego organu nadzorczego. Kara nałożona została bowiem na administratora m.in. za brak należytej kontroli i nadzoru nad działaniami podmiotów przetwarzających, którym powierzono dane osobowe. Kara, którą został ukarany procesor za faktyczne spowodowanie naruszenia poufności danych jest wielokrotnie niższa niż ta nałożona na administratora.
Administrator więc, niezależnie od tego z kim podpisaną ma umowę na świadczenie usług, powinien traktować umowę powierzenia nie jako standardowy dokument załączany do umowy, a faktyczne wymaganie zachowania określonych standardów ochrony danych. Administrator powinien weryfikować zdolności procesora do poprawnego przetwarzania powierzonych danych, jak również stosowanie się do standardu przewidzianego w umowie powierzenia.
Decyzja PUODO jest czytelnym sygnałem potwierdzającym konieczność prowadzenia nadzoru nad działaniami firmy, której powierzyliśmy dane osobowe. Oznacza to przynajmniej cyklicznie przesyłanie ankiet bezpieczeństwa potwierdzających zasady stosowne w organizacji partnera jak również cykliczne audyty.
Urząd postanowił wskazać jak ważna jest ochrona danych nie tylko pod względem formalnym, ale również praktycznym. Formalne podejście do audytów i kontroli, poprzez bazowanie wyłącznie na ankietach i procedurach zdalnych, w niektórych przypadkach może okazać się niewystarczające.
