UODO nałożył 4,9 mln zł kary na Fortum Marketing and Sales
4,9 mln zł kary nałożył prezes Urzędu Ochrony Danych Osobowych na spółkę Fortum Marketing and Sales Polska za niewdrożenie odpowiednich środków, zapewniających bezpieczeństwo danych osobowych oraz brak weryfikacji podmiotu je przetwarzającego - poinformował we wtorek UODO. Z kolei podmiot przetwarzający otrzymał karę w wysokości 250 tys. zł - zaznaczył urząd.
Naruszenie ochrony danych polegało na skopiowaniu danych klientów administratora przez nieuprawnione osoby. Doszło do tego w momencie wprowadzania zmiany w środowisku teleinformatycznym - przekazał Urząd Ochrony Danych Osobowych w komunikacie.
Według Urzędu, zmiany tej dokonał podmiot przetwarzający, z którym administrator współpracuje na podstawie zawartych umów, w tym umowy powierzenia przetwarzania danych osobowych. W trakcie dokonywanych zmian utworzona została dodatkowa baza danych klientów Fortum, została ona jednak skopiowana przez nieuprawnione osoby, gdyż serwer, na którym została wdrożona, nie miał odpowiednio skonfigurowanych zabezpieczeń - wyjaśnił Urząd.
Zaznaczył też, że administrator dowiedział się o incydencie nie od podmiotu przetwarzającego, a od dwóch niezależnych internautów, którzy powiadomili go, że mają nieuprawniony dostęp do bazy.
W toku postępowania Urząd ustalił, że spółka w umowie z podmiotem przetwarzającym określiła wymogi bezpieczeństwa danych osobowych, które należy zastosować, m.in. pseudonimizację i szyfrowanie danych osobowych. Jednak w trakcie procesu dokonywania zmian w systemie zostały użyte rzeczywiste dane osobowe klientów administratora, a skuteczność zastosowanych zabezpieczeń nie została zweryfikowana przed przekazaniem do Fortum nowego rozwiązania. Ponadto funkcje bezpieczeństwa nie były testowane w trakcie prowadzonych w tym celu prac.
UODO uzasadnia karę nałożoną na Fortum Marketing and Sales
W opinii Urzędu, naruszenie wynikało z niezastosowania przez podmiot przetwarzający podstawowych zasad bezpieczeństwa - niezabezpieczenia danych osobowych przed dostępem osób nieuprawnionych. Zatem ponosi on bezpośrednią odpowiedzialność za naruszenie ochrony danych osobowych klientów administratora, a tak rażące zaniedbanie w procesie przetwarzania danych osobowych, w przypadku profesjonalnego podmiotu stanowi okoliczność obciążającą i wiąże się z nałożoną na niego administracyjną karą pieniężną - poinformował UODO.
Z kolei podmiot przetwarzający otrzymał karę w wysokości 250 tys. zł.
— Urząd Ochrony Danych Osobowych (@UODOgov_pl) March 1, 2022
Szczegóły oraz pełna treść decyzji. ⤵️https://t.co/wbXRNEZWvB
W toku postępowania administrator wyjaśnił, że od podmiotu przetwarzającego nie otrzymał wyników analizy ryzyka, koncepcji zmian projektów funkcjonalnych i technicznych oraz innych, alternatywnych rozwiązań. UODO poinformował też, że administrator na żadnym etapie wdrożenia nie prowadził nadzoru nad tym, czy faktycznie przebiega ono zgodnie z powszechnie obowiązującymi standardami.
Spółka Fortum nie egzekwowała od podmiotu przetwarzającego realizacji umów, nie stosowała się do własnej praktyki wdrażania zmian w środowisku IT opartej o wewnętrzne regulacje, oraz nie weryfikowała podmiotu przetwarzającego w zakresie prowadzonych działań mających na celu usprawnienie funkcjonowania usługi - stwierdził Urząd.
Dołącz do dyskusji: UODO nałożył 4,9 mln zł kary na Fortum Marketing and Sales