Organ nadzorczy nałożył kolejne kary zarówno na administratora danych, jak i podmiot przetwarzający.
Podmiot przetwarzający (PIKA Sp. z o.o.), z którym współpracował Administrator (Fortum Marketing and Sales Polska S.A.) na podstawie zawartej umowy powierzenia, dokonywał zmian w zakresie teleinformatycznym.
W trakcie tych działań utworzono dodatkową bazę danych klientów administratora. Dane te zostały skopiowane. Powodem tego były nieodpowiednio skonfigurowane zabezpieczenia serwera, na którym znajdowała się baza danych. Nowoutworzona baza danych zawierała dane takie jak m.in. imię i nazwisko, adres zamieszkania, numer PESEL, rodzaj, seria i numer dokumentu tożsamości.
Ponadto, podmiot przetwarzający nie powiadomił Administratora o incydencie, a Fortum dowiedziało się o tym od zwykłych użytkowników sieci internetowej.
Wprawdzie w umowie powierzenia znajdowały się zapisy odnośnie obowiązków procesora w zakresie zabezpieczenia danych np. dotyczące pseudonimizacji danych, ale podczas dokonywania zmian użyto prawdziwe dane osobowe. W przypadku zastosowania pseudonimizacji, nawet gdyby nieuprawniony podmiot uzyskał dostęp do tych danych, to nie byłaby możliwa identyfikacja konkretnej osoby.
Ponadto nie zweryfikowano wykorzystywanych zabezpieczeń oraz nie przeprowadzono uprzedniego testu bezpieczeństwa.
Organ nadzorczy stwierdził, że podmiot przetwarzający nie przestrzegał zawartej umowy, ale również własnej polityki bezpieczeństwa oraz norm ISO. Co więcej, organ zwrócił uwagę, iż takie naruszenie nie powinno mieć miejsca w przypadku podmiotu profesjonalnego, jakim był podmiot przetwarzający.
Procesor nie przeprowadził też analizy ryzyka, natomiast administrator o taka analizę nie wnosił.
Uchybienia Administratora polegały również na tym, że nie nadzorował dokonywania zmian przez podmiot przetwarzający, pomimo posiadania odpowiedniej wiedzy w tym zakresie. Ponadto Administrator nie prowadził działań, które egzekwowałyby realizację postanowień umownych przez procesora oraz nie weryfikował wprowadzonych przez niego środków bezpieczeństwa.
Fortum nie zawiadomił też osób, których dane dotyczą, o naruszeniu.
W konsekwencji, w ocenie Prezesa UODO, zarówno na administrator, jak i procesor, nie wdrożyli odpowiednich środków technicznych i organizacyjnych mających zapewnić bezpieczeństwo przetwarzania danych osobowych znajdujących się w systemie informatycznym podlegającemu zmianom, co skutkowało naruszeniem poufności danych, czym naruszyli przepisy RODO.
Ostatecznie, na Fortum została nałożona kara w wysokości ponad 4,9 mln zł., a na podmiot przetwarzający grzywna w wysokości 250 tys. zł.
Czego uczy nas ta kara?
Warto w tej kwestii podkreślić, że nawet jeżeli skorzystamy z usług profesjonalnego podmiotu przetwarzającego, to i tak musimy dbać o odpowiedni stopień ochrony danych. Pomimo, że w niniejszym przypadku to procesor „zawinił”, grzywna na niego nałożona była o wiele niższa niż kara nałożona na administratora. Należy zatem zaznaczyć, że powierzenie przetwarzania danych i zawarcie nawet najlepiej skonstruowanej umowy z procesorem, nie zwalnia nas jako administratora danych, od podejmowania regularnych działań sprawdzających podmiot przetwarzający.