Rekordowa kara, 4.9 mln zł, nałożona na polskiego administratora danych

Na firmę Fortum Marketing and Sales Polska S.A. została nałożona kara w wysokości ponad 4,9 mln zł za niewdrożenie odpowiednich środków technicznych i organizacyjnych w celu zapewnienia bezpieczeństwa danych osobowych oraz za brak weryfikacji osób przetwarzających dane osobowe. Z kolei na podmiot przetwarzający podlegający administratorowi nałożono karę w wysokości 250 000 zł.
Naruszenie dotyczyło skopiowania danych klientów administratora przez osoby nieuprawnione podczas dokonywania zmian w środowisku informatycznym. Za wprowadzenie zmian był odpowiedzialny podmiot przetwarzający. W trakcie zmiany utworzono dodatkową bazę danych klientów, a serwer, na którym ją umieszczono, nie miał odpowiedniej konfiguracji zabezpieczeń. Administrator dowiedział się o tym zdarzeniu nie od podmiotu przetwarzającego, lecz od dwóch osób, które na skutek działania procesora uzyskały nieuprawniony dostęp do bazy danych. Co więcej, w procesie dokonywania zmian w systemie zamiast danych testowych wykorzystano dane osobowe, a skuteczność zastosowanych zabezpieczeń nie została zweryfikowana przed wdrożeniem.
Podmiot przetwarzający działał z naruszeniem norm ISO odwołujących się do bezpieczeństwa informacji oraz postanowień własnej polityki bezpieczeństwa, która odwoływała się do tych norm. Procesor nie zastosował się również do postanowień umowy powierzenia, w której zobowiązał się do zapewnienia odpowiedniego poziomu bezpieczeństwa danych.
Wdrożenie rozwiązań mających na celu poprawę efektywności usług powinno być poprzedzone analizą uwzględniającą potencjalne korzyści i ryzyko związane z planowaną implementacją. Takiej analizy jednak nie przeprowadzono. Prezes UODO wskazał w uzasadnieniu swej decyzji, że administrator nie stosował się do własnych zasad wprowadzania zmian w środowisku informatycznym i nie badał zgodności z prawem działań podejmowanych przez podmiot przetwarzający.

NAJNOWSZE WPISY

ZNAJDŹ NAS