Spółka Panek SA nie wdrożyła skutecznych środków technicznych i organizacyjnych mających na celu zabezpieczenie przetwarzanych danych, mimo przeprowadzonej analizy ryzyka. Co więcej, nie testowała zastosowanych rozwiązań ani nie oceniała ich efektywności, przez co nie była świadoma ich niedostatecznej skuteczności. W konsekwencji Prezes Urzędu Ochrony Danych Osobowych (PUODO) nałożył na firmę karę w wysokości 1 527 855 zł, a na obsługującą ją spółkę ITCenter – dodatkową sankcję w kwocie 20 037 zł.
Do naruszenia ochrony danych doszło podczas przebudowy strony internetowej. Brak odpowiedniej komunikacji między administratorem a firmą przetwarzającą dane sprawił, że pracownik podwykonawcy przypadkowo umieścił na nowej stronie pliki zawierające dane klientów ze starego serwisu. Pliki te zostały zindeksowane przez Google i stały się publicznie dostępne. Ujawnione informacje obejmowały m.in. imiona, nazwiska, adresy e-mail, adresy zamieszkania oraz zaszyfrowane hasła klientów. Wyciek objął 21 453 osób – zarówno klientów, jak i pracowników firmy.
PUODO, po przeprowadzeniu postępowania, ustalił, że administrator strony nie sprawował odpowiedniego nadzoru nad procesem wdrożenia zmian. Polegał na zapewnieniach firmy IT, że zastosowane rozwiązania są wystarczające. Jednak brak testów, odpowiedniej analizy wpływu zmian na bezpieczeństwo oraz brak szczegółowych zapisów w umowie powierzenia przetwarzania danych doprowadziły do ujawnienia wrażliwych informacji.
Aby uniknąć podobnych incydentów, firmy przetwarzające dane osobowe powinny:
- analizować wpływ każdej zmiany na poziom bezpieczeństwa,
- zachować maksymalną ostrożność przy przenoszeniu zasobów zawierających dane osobowe,
- przed wdrożeniem zmian określić jasne zasady ich realizacji,
- upewnić się, że operacja zakończyła się sukcesem nie tylko pod względem technicznym, ale także zgodności z RODO.
Administratorzy danych mają obowiązek wdrażania skutecznych środków zabezpieczających oraz regularnego testowania ich efektywności. Odpowiedzialność za ochronę danych osobowych spoczywa na nich, nawet jeśli korzystają z usług podmiotów zewnętrznych.
