Największa kara RODO w Polsce
Czego dotyczyło naruszenie?
W kwietniu 2020 r., spółka zajmująca się obrotem energią elektryczną i paliwem, zgłosiła organowi nadzorczemu (Prezesowi Urzędu ochrony Danych Osobowych) wystąpienie naruszenia ochrony danych osobowych, w którym to udział brał również podmiot przetwarzający. W związku z powolnym działaniem usługi (systemu będącego archiwum cyfrowym), spółka zgłosiła się do podmiotu przetwarzającego, który to w następstwie zgłoszenia, podjął działania, mające na celu zwiększenie jej wydajności oraz szybkości działania. W związku z tym, utworzona została dodatkowa baza danych klientów spółki, która następnie została skopiowana przez nieuprawnione podmioty.
Wśród skopiowanych danych, znajdywały się m.in. PESEL, rodzaj, seria i numer dokumentu tożsamości klienta, a także jego dane kontaktowe. Naruszenie dotyczyło danych osobowych prawie 140 tys. klientów administratora. Po stwierdzeniu wystąpienia naruszenia, administrator nie powiadomił klientów, których dane zostały bezprawnie skopiowane, stwierdzając, że nie nastąpiło wysokie ryzyko naruszenia praw lub wolności tych osób.
Z twierdzeniem tym nie zgodził się organ nadzorczy, wskazując w treści decyzji, na szeroki zakres danych, których naruszenie dotyczyło. Powiadomienie podmiotów danych o naruszeniu, nastąpiło dopiero po skierowaniu przez Prezesa Urzędu Ochrony Danych Osobowych wystąpienia do administratora danych. Ponadto organ nadzorczy zdecydował o wszczęciu postępowania administracyjnego.
Jakich ustaleń dokonano w toku prowadzenia postępowania?
W toku postępowania ujawniono m.in., że
1) do naruszenia doszło w wyniku czynności, podjętych przez podmiot przetwarzający, polegających na zmianie programistycznej w środowisku informatycznym (serwer na którym została wdrożona baza danych klientów administratora, nie został odpowiednio zabezpieczony)
2) z podmiotem przetwarzającym zawarto m.in. stosowną umowę powierzenia przetwarzania danych osobowych, ale nie przeprowadzono weryfikacji firmy, przed podjęciem z nią współpracy, a dodatkowo, administrator nie realizował wobec podmiotu przetwarzającego, prawa do skontrolowania go, o którym mowa w art. art. 28 ust. 3 lit. h) ogólnego rozporządzenia o ochronie danych – RODO
3) podmiot przetwarzający nie stosował się do postanowień zawartej z administratorem umowy powierzenia przetwarzania, jak również do norm ISO oraz przyjętej polityki bezpieczeństwa
4) podmiot przetwarzający nie przeprowadził analizy ryzyka w zw. z zamiarem podjęcia działań, mających na celu poprawienie wydajności usługi
5) dane użyte w procesie dokonywania zmian w systemie, były rzeczywistymi danymi klientów, których nie poddano pseudonimizacji, przewidzianej w umowie powierzenia przetwarzania
6) skuteczność zabezpieczeń, zastosowanych przy dokonywaniu zmian w systemie, nie została zweryfikowana
7) administrator nie prowadził nadzoru nad wdrażanymi w systemie informatycznym zmianami
8) administrator nie dopełnił obowiązku regularnego testowania, mierzenia i oceniania skuteczności zastosowanych środków technicznych i organizacyjnych, mających na celu zapewnienie bezpieczeństwa przetwarzania
9) administrator i podmiot przetwarzający, nie wdrożyli odpowiednich środków technicznych i organizacyjnych mających zapewnić bezpieczeństwo przetwarzania danych osobowych, znajdujących się w systemie informatycznym podlegającemu modyfikacjom
10) o wykryciu podatności, która doprowadziła do naruszenia, administratora poinformowało dwóch internautów, którzy weszli w posiadanie danych osobowych jego klientów
Rodzaj i wysokość nałożonej kary
Prezes Urzędu Ochrony Danych nałożył na spółkę, będącą administratorem danych osobowych oraz na podmiot przetwarzający administracyjną karę pieniężną w wysokości; dla administratora 4,9 mln zł, dla podmiotu przetwarzającego; 250 tys. zł. Przy wymierzaniu wysokości kary, organ nadzorczy wziął pod uwagę czas trwania naruszenia, nieumyślny charakter naruszenia, działania, które zostały podjęte celem zminimalizowania szkody podmiotów danych, współpracę z urzędem, a także wszystkie okoliczności obciążające oraz łagodzące. Ponadto w wydanej w analizowanej sprawie decyzji, organ stwierdził, że zastosowanie środków naprawczych, tj. upomnienie byłoby nieproporcjonalne do wagi naruszenia, a tym samym nałożona została kara, która na dzień dzisiejszy jest największą karą RODO w Polsce.