Urząd Ochrony Danych Osobowych w dniu 13 kwietnia 2023 r. nałożył karę pieniężną w wysokości ponad 33 tys. zł na przedsiębiorstwo z branży ubezpieczeniowej za utratę poufności danych osobowych klientów po ataku hakerskim na swoje komputery.
Administrator prowadzi działalność związaną m. in. z oceną ryzyka, szacowaniem strat i usługami brokerów ubezpieczeniowych. Pod koniec 2020 r. doszło do utraty poufności danych 800 byłych i obecnych klientów (m. in. imiona, nazwiska, adresy, nr PESEL, dane dot. zdrowia), które były zawarte w umowach ubezpieczenia z różnymi towarzystwami ubezpieczeniowymi. Co ważne, wyciek miał miejsce wskutek ataku hakerskiego na komputery administratora. Ten powierzył przetwarzanie danych klientów firmie zajmującej się kompleksową obsługą informatyczną, jednak nie była ona w stanie zapobiec wyciekowi danych. Prezes UODO podkreśla, że obowiązkiem administratora jest zweryfikowanie, czy podmioty przetwarzające dane osobowe zapewniają wystarczające gwarancje wdrożenia odpowiednich środków technicznych i organizacyjnych, aby przetwarzanie to spełniało wymogi RODO i chroniło prawa osób, których dane dotyczą. W omawianej sprawie administrator źle zweryfikował kompetencje podmiotu przetwarzającego dane – przeprowadził jedynie rozmowę i nie miał zastrzeżeń. PUODO wyjaśnia dodatkowo, że dobra i długoletnia współpraca między administratorem, a podmiotem przetwarzającym to jedynie punkt wyjścia przy dokonywaniu weryfikacji prawidłowości gwarancji wdrożenia odpowiednich środków technicznych i organizacyjnych. Co więcej, samo podpisanie umowy powierzenia przetwarzania danych osobowych bez dokonania oceny podmiotu nie może być uznane za realizację obowiązku przeprowadzenia postepowania weryfikującego podmiot przetwarzający. W związku z powyższym na administratora nałożono karę o wartości ponad 33 tys. zł.
