Z tego Legal Flasha dowiedzą się Państwo o rekordowej karze, którą nałożył PUODO na administratora za naruszenie ochrony danych osobowych.
19 stycznia br. Prezes Urzędu Ochrony Danych Osobowych (dalej: PUODO) wydał decyzję w sprawie niewdrożenia odpowiednich środków technicznych i organizacyjnych zapewniających bezpieczeństwo danych osobowych. Sprawa dotyczyła naruszenia poufności danych oraz braku weryfikacji, czy podmiot przetwarzający zapewnia wystarczające gwarancje przetwarzania zgodnie z wymogami rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych; dalej: RODO). W wyniku postępowania wszczętego z urzędu PUODO nałożył na spółkę Fortum Marketing and Sales Polska S.A. administracyjną karę pieniężną w wysokości ponad 4,9 miliona złotych. Podmiot przetwarzający dane w imieniu administratora, który nie zapewnił bezpieczeństwa danych osobowych, w tym ich poufności – spółka PIKA Sp. z o.o. – został ukarany sankcją pieniężną w wysokości ponad 250 tysięcy złotych.
Przyczyną wszczęcia postępowania było naruszenie ochrony danych osobowych polegające na nieuprawnionym skopiowaniu bazy danych klientów. Doszło do tego w wyniku działań podjętych przez procesora w celu usprawnienia usługi informatycznej świadczonej dla administratora.
Głównym zarzutem PUODO wobec administratora danych było niedołożenie należytej staranności do kontroli podmiotu przetwarzającego dane na jego zlecenie. Przed zawarciem umowy powierzenia przetwarzania danych osobowych administrator nie przeprowadził dodatkowej weryfikacji podmiotu przetwarzającego. Administrator przed incydentem nie realizował prawa kontroli, o którym mowa w art. 28 ust. 3 lit. h) RODO, pod kątem zapewnienia przez procesora środków wymaganych w celu zapewnienia bezpieczeństwa przetwarzania.
Podmiotowi przetwarzającemu PUODO zarzucił natomiast zastosowane środków technicznych i organizacyjnych jedynie w bardzo ograniczonym stopniu odpowiadającym wymogom określonym w art. 32 ust. 1 i 2 RODO. Procesor działał również wbrew umowie powierzenia przetwarzania danych osobowych, w której zobowiązał się m.in. do wdrożenia pseudonimizacji danych. W konsekwencji, w ocenie PUODO, zarówno administrator danych, jak i procesor, nie wdrożyli odpowiednich środków technicznych i organizacyjnych mających zapewnić bezpieczeństwo przetwarzania danych osobowych.
Na wysokość rekordowo wysokiej kary pieniężnej nałożonej na administratora wpływ miały m.in. znaczna waga i poważny charakter naruszenia, a także wysoki stopień odpowiedzialności administratora za naruszenie. Brak jakiegokolwiek realnego nadzoru nad procesorem skutkował znacznym zaostrzeniem kary pieniężnej, aby była ona skuteczna, proporcjonalna i odstraszająca.
Z pełną treścią decyzją mogą Państwo zapoznać się pod adresem: https://www.uodo.gov.pl/decyzje/DKN.5130.2215.2020
Rekomendacje CZTR:
Wszystkim podmiotom będącym administratorami danych osobowych rekomendujemy przykładanie szczególnej wagi do odpowiedniej weryfikacji usługodawców przed powierzeniem im danych osobowych do przetwarzania, a także bieżącego kontrolowania prawidłowości przetwarzania danych w trakcie współpracy z procesorami.
