4,9 mln zł kary nałożył Prezes Urzędu Ochrony Danych Osobowych na spółkę Fortum Marketing and Sales Polska za niewdrożenie odpowiednich środków, zapewniających bezpieczeństwo danych osobowych oraz brak weryfikacji podmiotu je przetwarzającego - poinformował we wtorek UODO.
Z kolei podmiot przetwarzający otrzymał karę w wysokości 250 tys. zł - zaznaczył urząd.
Naruszenie ochrony danych polegało na skopiowaniu danych klientów administratora przez nieuprawnione osoby. Doszło do tego w momencie wprowadzania zmiany w środowisku teleinformatycznym - przekazał UODO w komunikacie.
Według Urzędu, zmiany tej dokonał podmiot przetwarzający, z którym administrator współpracuje na podstawie zawartych umów, w tym umowy powierzenia przetwarzania danych osobowych. W trakcie dokonywanych zmian utworzona została dodatkowa baza danych klientów Fortum, została ona jednak skopiowana przez nieuprawnione osoby, gdyż serwer, na którym została wdrożona, nie miał odpowiednio skonfigurowanych zabezpieczeń - wyjaśnił Urząd.
Zaznaczył też, że administrator dowiedział się o incydencie nie od podmiotu przetwarzającego, a od dwóch niezależnych internautów, którzy powiadomili go, że mają nieuprawniony dostęp do bazy.
W toku postępowania Urząd ustalił, że spółka w umowie z podmiotem przetwarzającym określiła wymogi bezpieczeństwa danych osobowych, które należy zastosować, m.in. pseudonimizację i szyfrowanie danych osobowych. Jednak w trakcie procesu dokonywania zmian w systemie zostały użyte rzeczywiste dane osobowe klientów administratora, a skuteczność zastosowanych zabezpieczeń nie została zweryfikowana przed przekazaniem do Fortum nowego rozwiązania. Ponadto funkcje bezpieczeństwa nie były testowane w trakcie prowadzonych w tym celu prac.
W opinii Urzędu, naruszenie wynikało z niezastosowania przez podmiot przetwarzający podstawowych zasad bezpieczeństwa - niezabezpieczenia danych osobowych przed dostępem osób nieuprawnionych. Zatem ponosi on bezpośrednią odpowiedzialność za naruszenie ochrony danych osobowych klientów administratora, a tak rażące zaniedbanie w procesie przetwarzania danych osobowych, w przypadku profesjonalnego podmiotu stanowi okoliczność obciążającą i wiąże się z nałożoną na niego administracyjną karą pieniężną - poinformował UODO.
W toku postępowania administrator wyjaśnił, że od podmiotu przetwarzającego nie otrzymał wyników analizy ryzyka, koncepcji zmian projektów funkcjonalnych i technicznych oraz innych, alternatywnych rozwiązań. UODO poinformował też, że administrator na żadnym etapie wdrożenia nie prowadził nadzoru nad tym, czy faktycznie przebiega ono zgodnie z powszechnie obowiązującymi standardami.
Spółka Fortum nie egzekwowała od podmiotu przetwarzającego realizacji umów, nie stosowała się do własnej praktyki wdrażania zmian w środowisku IT opartej o wewnętrzne regulacje, oraz nie weryfikowała podmiotu przetwarzającego w zakresie prowadzonych działań mających na celu usprawnienie funkcjonowania usługi - stwierdził Urząd.
Fortum odwołał się od decyzji Prezesa UODO o 4,9 mln zł kary
Firma Fortum odwołała się od decyzji Prezesa Urzędu Ochrony Danych Osobowych o nałożeniu na spółkę Fortum Marketing and Sales Polska 4,9 mln zł kary za m.in. niewdrożenie odpowiednich środków, zapewniających bezpieczeństwo danych osobowych.
"Po przeprowadzeniu analizy decyzji Prezesa UODO podjęliśmy decyzję o przygotowaniu i złożeniu skargi do WSA w Warszawie na powyższą decyzję" - poinformował PAP rzecznik Fortum Jacek Ławrecki. Jak przypomniał, wyciek danych miał miejsce w kwietniu 2020 r. i dotyczył umów sprzedaży prądu i gazu.
"Jeden z naszych dostawców pracował nad poprawą wydajności wyszukiwania dokumentów w bazie danych i nie zastosował odpowiednich zabezpieczeń. Natychmiast po otrzymaniu informacji o sprawie zablokowaliśmy dostęp, poinformowaliśmy Prezesa UODO oraz naszych klientów" - wyjaśnił Ławrecki.
(PAP)
wkr/ mmu/
