Rekordowa kara dla administratora za naruszenie ochrony danych
Na Fortum Marketing and Sales Polska S.A. została nałożona administracyjna kara pieniężna w wysokości ponad 4,9 mln zł. za niewdrożenie odpowiednich środków technicznych i organizacyjnych zapewniających bezpieczeństwo danych osobowych oraz brak weryfikacji podmiotu przetwarzającego. Z kolei podmiot przetwarzający otrzymał karę w wysokości 250 tys. zł.
Po przeanalizowaniu zgłoszenia naruszenia danych osobowych od Fortum Marketing and Sales Polska S.A., organ nadzorczy wszczął z urzędu postępowanie administracyjne w sprawie naruszenia przepisów o ochronie danych osobowych przez ww. spółkę.
Naruszenie ochrony danych polegało na skopiowaniu danych klientów administratora przez nieuprawnione osoby. Doszło do tego w momencie wprowadzania zmiany w środowisku teleinformatycznym.
Zmiany tej dokonał podmiot przetwarzający, z którym administrator współpracuje na podstawie zawartych umów w tym umowy powierzenia przetwarzania danych osobowych. W trakcie dokonywanych zmian utworzona została dodatkowa bazy danych klientów Fortum. Baza ta została jednak skopiowana przez nieuprawnione osoby, gdyż serwer, na którym została ona wdrożona, nie miał odpowiednio skonfigurowanych zabezpieczeń.
Administrator dowiedział się o incydencie nie od podmiotu przetwarzającego, a od dwóch niezależnych internautów, którzy powiadomili go, że mają nieuprawniony dostęp do bazy.
W toku przeprowadzonego postępowania Urząd ustalił, że spółka w postanowieniach umownych z podmiotem przetwarzającym określiła wymogi w zakresie bezpieczeństwa danych osobowych, które należy zastosować, m.in. pseudonimizację i szyfrowanie danych osobowych.
W trakcie procesu dokonywania zmian w systemie zostały użyte rzeczywiste dane osobowe klientów administratora, a skuteczność zastosowanych zabezpieczeń nie została zweryfikowana przed przekazaniem do Fortum nowego rozwiązania. Ponadto funkcje bezpieczeństwa nie były testowane w trakcie prowadzonych w tym celu prac.
Podmiot przetwarzający działał niezgodnie z powszechnie znanymi normami ISO, a jednocześnie wbrew postanowieniom własnej „Polityki bezpieczeństwa”, która do tych norm się odwołuje. Nie stosował się również do postanowień umowy powierzenia przetwarzania danych osobowych, w której zobowiązał się m.in. do wdrożenia pseudonimizacji danych, którą miał traktować jako mechanizm gwarantujący odpowiedni poziom bezpieczeństwa danych. Gdyby wówczas osoba nieuprawniona weszła w posiadanie poddanych pseudonimizacji danych, np. w wyniku wystąpienia naruszenia ochrony danych osobowych, to nie byłaby w stanie ich przypisać do konkretnej osoby bez dysponowania dodatkowymi informacjami o tej osobie.
Zaistniałe naruszenie wynikało z niezastosowania przez Podmiot przetwarzający podstawowych zasad bezpieczeństwa polegających na niezabezpieczeniu danych osobowych przed dostępem osób nieuprawnionych. Zatem ponosi on bezpośrednią odpowiedzialność za naruszenie ochrony danych osobowych klientów administratora, a tak rażące zaniedbanie w procesie przetwarzania danych osobowych, w przypadku profesjonalnego podmiotu stanowi okoliczność obciążającą i wiąże się z nałożoną na niego administracyjną karą pieniężną.
W toku postępowania administrator wyjaśnił, że zastosowanie konkretnego rozwiązania mającego na celu poprawienie przez podmiot przetwarzający wydajności usługi, powinno zostać poprzedzone analizą uwzględniającą zarówno korzyści, jak i potencjalne zagrożenia wynikające z konkretnego, zaplanowanego rozwiązania. Administrator jednak takich wyników analizy ryzyka nie otrzymał od podmiotu przetwarzającego. Nie otrzymał również koncepcji zmian projektów funkcjonalnych i technicznych oraz innych, alternatywnych rozwiązań. W toku postepowania ustalono jednak, że administrator w toku dokonywania zmian nie wymagał od podmiotu przetwarzającego przedstawienia ww. dokumentacji. Administrator zgłosił potrzebę usprawnienia działania systemu, a po otrzymaniu informacji o wprowadzeniu nowego rozwiązania przystąpił do pracy i testowania nowego rozwiązania.
Co w tej sprawie jest równie ważne, to fakt, że administrator pomimo wdrożonych procedur oraz posiadanej wiedzy, jak zgodnie z powszechnie stosowanymi praktykami powinno przebiegać wprowadzanie zmian w systemach informatycznych, na żadnym etapie wdrożenia nie prowadził nadzoru nad tym, czy wdrożenie faktycznie przebiega zgodnie z powszechnie obowiązującymi standardami. Spółka Fortum nie egzekwowała od podmiotu przetwarzającego realizacji umów, nie stosowała się do własnej praktyki wdrażania zmian w środowisku IT opartej o wewnętrzne regulacje oraz nie weryfikowała podmiotu przetwarzającego w zakresie prowadzonych działań mających na celu usprawnienie funkcjonowania usługi. A przecież zgodnie z RODO to administrator wdraża odpowiednie środki techniczne i organizacyjne, aby przetwarzanie odbywało się zgodnie z przepisami rozporządzenia. Wdrożenie środków technicznych i organizacyjnych powinno polegać nie tylko na jednorazowym zastosowaniu przez administratora odpowiednich przepisów, zasad przetwarzania danych osobowych w danej organizacji, ale także na dokonywaniu regularnych przeglądów tych środków, a w razie potrzeby na uaktualnianiu wcześniej przyjętych rozwiązań.
Co więcej na administratorze spoczywa także obowiązek regularnego testowania, mierzenia i oceniania skuteczności środków technicznych i organizacyjnych mających zapewnić bezpieczeństwo przetwarzania. Zarówno wprowadzenie odpowiednich środków bezpieczeństwa, jak i ich sprawdzanie nie jest działaniem jednorazowym. Powinno ono przybrać formę ciągłego procesu, w ramach którego administrator dokonuje przeglądu i w razie potrzeby uaktualnia przyjęte wcześniej zabezpieczenia.
Gdyby administrator dokonał weryfikacji sposobu realizacji przez podmiot przetwarzający zmian mających na celu usprawnienie działania systemu przetwarzającego dane osobowe, gdyby wymagał przedstawienia planu prac i dalsze ich wdrożenie zgodnie z przyjętą przez Fortum procedurą, znacząco obniżyłby ryzyko uzyskania dostępu przez osoby nieuprawnione do danych przetwarzanych w tym systemie. Tym samym mógłby zminimalizować ryzyko naruszenia praw lub wolności osób fizycznych.
Mając na względzie okoliczności ustalone organ nadzorczy stwierdził, iż zaistniały przesłanki uzasadniające nałożenie na Administratora oraz na Podmiot Przetwarzający administracyjnych kar pieniężnych.