UODO nałożył 4,9 mln zł kary na Fortum Marketing and Sales

Naruszenie ochrony danych polegało na skopiowaniu danych klientów administratora przez nieuprawnione osoby. Doszło do tego w momencie wprowadzania zmiany w środowisku teleinformatycznym - przekazał Urząd Ochrony Danych Osobowych w komunikacie.

Według Urzędu, zmiany tej dokonał podmiot przetwarzający, z którym administrator współpracuje na podstawie zawartych umów, w tym umowy powierzenia przetwarzania danych osobowych. W trakcie dokonywanych zmian utworzona została dodatkowa baza danych klientów Fortum, została ona jednak skopiowana przez nieuprawnione osoby, gdyż serwer, na którym została wdrożona, nie miał odpowiednio skonfigurowanych zabezpieczeń - wyjaśnił Urząd.

Zaznaczył też, że administrator dowiedział się o incydencie nie od podmiotu przetwarzającego, a od dwóch niezależnych internautów, którzy powiadomili go, że mają nieuprawniony dostęp do bazy.

W toku postępowania Urząd ustalił, że spółka w umowie z podmiotem przetwarzającym określiła wymogi bezpieczeństwa danych osobowych, które należy zastosować, m.in. pseudonimizację i szyfrowanie danych osobowych. Jednak w trakcie procesu dokonywania zmian w systemie zostały użyte rzeczywiste dane osobowe klientów administratora, a skuteczność zastosowanych zabezpieczeń nie została zweryfikowana przed przekazaniem do Fortum nowego rozwiązania. Ponadto funkcje bezpieczeństwa nie były testowane w trakcie prowadzonych w tym celu prac.

UODO uzasadnia karę nałożoną na Fortum Marketing and Sales

W opinii Urzędu, naruszenie wynikało z niezastosowania przez podmiot przetwarzający podstawowych zasad bezpieczeństwa - niezabezpieczenia danych osobowych przed dostępem osób nieuprawnionych. Zatem ponosi on bezpośrednią odpowiedzialność za naruszenie ochrony danych osobowych klientów administratora, a tak rażące zaniedbanie w procesie przetwarzania danych osobowych, w przypadku profesjonalnego podmiotu stanowi okoliczność obciążającą i wiąże się z nałożoną na niego administracyjną karą pieniężną - poinformował UODO.

Z kolei podmiot przetwarzający otrzymał karę w wysokości 250 tys. zł.

Szczegóły oraz pełna treść decyzji. ⤵️https://t.co/wbXRNEZWvB

— Urząd Ochrony Danych Osobowych (@UODOgov_pl) March 1, 2022

W toku postępowania administrator wyjaśnił, że od podmiotu przetwarzającego nie otrzymał wyników analizy ryzyka, koncepcji zmian projektów funkcjonalnych i technicznych oraz innych, alternatywnych rozwiązań. UODO poinformował też, że administrator na żadnym etapie wdrożenia nie prowadził nadzoru nad tym, czy faktycznie przebiega ono zgodnie z powszechnie obowiązującymi standardami.

Spółka Fortum nie egzekwowała od podmiotu przetwarzającego realizacji umów, nie stosowała się do własnej praktyki wdrażania zmian w środowisku IT opartej o wewnętrzne regulacje, oraz nie weryfikowała podmiotu przetwarzającego w zakresie prowadzonych działań mających na celu usprawnienie funkcjonowania usługi - stwierdził Urząd.