Niemal 5 mln zł kary za brak nadzoru nad danymi klientów Fortum. UODO egzekwuje przepisy
2022-03-01, 10:47
4,9 mln zł kary nałożył Prezes Urzędu Ochrony Danych Osobowych na spółkę Fortum Marketing and Sales Polska za niewdrożenie odpowiednich środków, zapewniających bezpieczeństwo danych osobowych oraz brak weryfikacji podmiotu je przetwarzającego. Z kolei podmiot przetwarzający otrzymał karę w wysokości 250 tys. zł.
"Naruszenie ochrony danych polegało na skopiowaniu danych klientów administratora przez nieuprawnione osoby. Doszło do tego w momencie wprowadzania zmiany w środowisku teleinformatycznym" - poinformował UODO w komunikacie.
Według Urzędu, zmiany tej dokonał podmiot przetwarzający, z którym administrator współpracuje na podstawie zawartych umów, w tym umowy powierzenia przetwarzania danych osobowych. W trakcie dokonywanych zmian utworzona została dodatkowa baza danych klientów Fortum, została ona jednak skopiowana przez nieuprawnione osoby, gdyż serwer, na którym została wdrożona, nie miał odpowiednio skonfigurowanych zabezpieczeń - wyjaśnił Urząd.
Brak podstawowych zasad bezpieczeństwa
UODO zaznaczył, że administrator dowiedział się o incydencie nie od podmiotu przetwarzającego, a od dwóch niezależnych internautów, którzy powiadomili go, że mają nieuprawniony dostęp do bazy.
W toku postępowania Urząd ustalił, że spółka w umowie z podmiotem przetwarzającym określiła wymogi bezpieczeństwa danych osobowych, które należy zastosować, m.in. pseudonimizację i szyfrowanie danych osobowych. Jednak w trakcie procesu dokonywania zmian w systemie zostały użyte rzeczywiste dane osobowe klientów administratora, a skuteczność zastosowanych zabezpieczeń nie została zweryfikowana przed przekazaniem do Fortum nowego rozwiązania. Ponadto funkcje bezpieczeństwa nie były testowane w trakcie prowadzonych w tym celu prac.
W opinii Urzędu, naruszenie wynikało z niezastosowania przez podmiot przetwarzający podstawowych zasad bezpieczeństwa - niezabezpieczenia danych osobowych przed dostępem osób nieuprawnionych.
"Zatem ponosi on bezpośrednią odpowiedzialność za naruszenie ochrony danych osobowych klientów administratora, a tak rażące zaniedbanie w procesie przetwarzania danych osobowych, w przypadku profesjonalnego podmiotu stanowi okoliczność obciążającą i wiąże się z nałożoną na niego administracyjną karą pieniężną" - poinformował UODO.
Brak nadzoru administratora
W toku postępowania administrator wyjaśnił, że od podmiotu przetwarzającego nie otrzymał wyników analizy ryzyka, koncepcji zmian projektów funkcjonalnych i technicznych oraz innych, alternatywnych rozwiązań. UODO poinformował też, że administrator na żadnym etapie wdrożenia nie prowadził nadzoru nad tym, czy faktycznie przebiega ono zgodnie z powszechnie obowiązującymi standardami.
"Spółka Fortum nie egzekwowała od podmiotu przetwarzającego realizacji umów, nie stosowała się do własnej praktyki wdrażania zmian w środowisku IT opartej o wewnętrzne regulacje, oraz nie weryfikowała podmiotu przetwarzającego w zakresie prowadzonych działań mających na celu usprawnienie funkcjonowania usługi" - stwierdził Urząd.
Fortum Marketing and Sales Polska to sprzedawca prądu, gazu i ciepła dla gospodarstw domowych i firm. Spółka odwołała się od decyzji Prezesa UODO.
- Po przeprowadzeniu analizy decyzji podjęliśmy decyzję o przygotowaniu i złożeniu skargi do WSA w Warszawie na powyższą decyzję - poinformował rzecznik Fortum Jacek Ławrecki.
Przypomniał przy tym, wyciek danych miał miejsce w kwietniu 2020 r. i dotyczył umów sprzedaży prądu i gazu.
PR24.pl, PAP, DoS