Niemal 5 mln zł kary za brak nadzoru nad danymi klientów Fortum. UODO egzekwuje przepisy
4,9 mln zł kary nałożył Prezes Urzędu Ochrony Danych Osobowych na spółkę Fortum Marketing and Sales Polska za niewdrożenie odpowiednich środków, zapewniających bezpieczeństwo danych osobowych oraz brak weryfikacji podmiotu je przetwarzającego. Z kolei podmiot przetwarzający otrzymał karę w wysokości 250 tys. zł.
2022-03-01, 10:47
"Naruszenie ochrony danych polegało na skopiowaniu danych klientów administratora przez nieuprawnione osoby. Doszło do tego w momencie wprowadzania zmiany w środowisku teleinformatycznym" - poinformował UODO w komunikacie.
Według Urzędu, zmiany tej dokonał podmiot przetwarzający, z którym administrator współpracuje na podstawie zawartych umów, w tym umowy powierzenia przetwarzania danych osobowych. W trakcie dokonywanych zmian utworzona została dodatkowa baza danych klientów Fortum, została ona jednak skopiowana przez nieuprawnione osoby, gdyż serwer, na którym została wdrożona, nie miał odpowiednio skonfigurowanych zabezpieczeń - wyjaśnił Urząd.
Brak podstawowych zasad bezpieczeństwa
UODO zaznaczył, że administrator dowiedział się o incydencie nie od podmiotu przetwarzającego, a od dwóch niezależnych internautów, którzy powiadomili go, że mają nieuprawniony dostęp do bazy.
W toku postępowania Urząd ustalił, że spółka w umowie z podmiotem przetwarzającym określiła wymogi bezpieczeństwa danych osobowych, które należy zastosować, m.in. pseudonimizację i szyfrowanie danych osobowych. Jednak w trakcie procesu dokonywania zmian w systemie zostały użyte rzeczywiste dane osobowe klientów administratora, a skuteczność zastosowanych zabezpieczeń nie została zweryfikowana przed przekazaniem do Fortum nowego rozwiązania. Ponadto funkcje bezpieczeństwa nie były testowane w trakcie prowadzonych w tym celu prac.
REKLAMA
W opinii Urzędu, naruszenie wynikało z niezastosowania przez podmiot przetwarzający podstawowych zasad bezpieczeństwa - niezabezpieczenia danych osobowych przed dostępem osób nieuprawnionych.
"Zatem ponosi on bezpośrednią odpowiedzialność za naruszenie ochrony danych osobowych klientów administratora, a tak rażące zaniedbanie w procesie przetwarzania danych osobowych, w przypadku profesjonalnego podmiotu stanowi okoliczność obciążającą i wiąże się z nałożoną na niego administracyjną karą pieniężną" - poinformował UODO.
Brak nadzoru administratora
W toku postępowania administrator wyjaśnił, że od podmiotu przetwarzającego nie otrzymał wyników analizy ryzyka, koncepcji zmian projektów funkcjonalnych i technicznych oraz innych, alternatywnych rozwiązań. UODO poinformował też, że administrator na żadnym etapie wdrożenia nie prowadził nadzoru nad tym, czy faktycznie przebiega ono zgodnie z powszechnie obowiązującymi standardami.
"Spółka Fortum nie egzekwowała od podmiotu przetwarzającego realizacji umów, nie stosowała się do własnej praktyki wdrażania zmian w środowisku IT opartej o wewnętrzne regulacje, oraz nie weryfikowała podmiotu przetwarzającego w zakresie prowadzonych działań mających na celu usprawnienie funkcjonowania usługi" - stwierdził Urząd.
REKLAMA
Fortum Marketing and Sales Polska to sprzedawca prądu, gazu i ciepła dla gospodarstw domowych i firm. Spółka odwołała się od decyzji Prezesa UODO.
- Po przeprowadzeniu analizy decyzji podjęliśmy decyzję o przygotowaniu i złożeniu skargi do WSA w Warszawie na powyższą decyzję - poinformował rzecznik Fortum Jacek Ławrecki.
Przypomniał przy tym, wyciek danych miał miejsce w kwietniu 2020 r. i dotyczył umów sprzedaży prądu i gazu.
PR24.pl, PAP, DoS
REKLAMA
REKLAMA