Wielu administratorów danych żywi mylne przekonanie, że zawarcie umowy z podmiotem przetwarzającym dane osobowe zwalnia ich z obowiązku kontrolowania go. Prezes Urzędu Ochrony Danych osobowych nałożył w ostatnim czasie karę opiewającą na kwotę blisko 5 mln zł na firmę, która dopuściła się takiego zaniedbania.
4,9 mln zł kary nałożonej na Fortum Marketing and Sales Polska S.A.
O tym, jak dotkliwe konsekwencje grożą za niedopełnienie obowiązku należytej ochrony danych, przekonała się w ostatnim czasie firma Fortum Marketing and Sales Polska S.A. Urząd Ochrony Danych Osobowych nałożył na nią karę w wysokości 4,9 mln złotych za niezapewnienie właściwych środków technicznych i organizacyjnych gwarantujących bezpieczeństwo danych, a także niedopełnienie obowiązku weryfikacji podmiotu przetwarzającego te dane.
Powyższy przypadek dowodzi, że UODO bardzo skrupulatnie przeprowadzana audyt ochrony danych osobowych, uwzględniając przy tym art. 28 ust. 1 rozporządzenia RODO. Wskazuje się w nim, że administrator może zlecić przetwarzanie danych innemu podmiotowi, ale wyłącznie takiemu, który jest w stanie zapewnić odpowiednie środki techniczne i organizacyjne dla bezpiecznego przetwarzania danych. W praktyce oznacza to, że administrator musi sprawować kontrolę nad procesem przetwarzania, to on ponosi bowiem odpowiedzialność za ewentualne uchybienia.
Nielegalne ujawnienie danych
W przypadku Fortum Marketing and Sales Polska S. A doszło do skopiowania danych klientów administratora przez nieuprawnione do tego osoby. Podczas wprowadzania zmian przez podmiot przetwarzający powstała dodatkowa baza danych klientów, która została skopiowana przez nieuprawnione do tego osoby. Przyczynił się do tego brak odpowiednio skonfigurowanych zabezpieczeń serwera.
Jak wynika z ustaleń UODO, podmiot przetwarzający nie wywiązał się z postanowień zawartej umowy, lekceważąc przy tym powszechnie obowiązujące zasady bezpieczeństwa. W rezultacie dane nie zostały w odpowiedni sposób zabezpieczone.
Konieczne kontrole podmiotów przetwarzających dane
Odnosząc się do sprawy, UODO stwierdził, iż administratorzy powinni przeprowadzać odpowiednie audyty podmiotów przetwarzających. Spółka Fortum nie zastosowała jednak takich środków bezpieczeństwa, doprowadzając w ten sposób do poważnego naruszenia danych. Podkreślono przy tym, że konieczność przeprowadzania tego typu kontroli wynika z art. 28 ust. 1 rozporządzenia 2016/679. Dzięki jej przeprowadzeniu możliwe jest określenie, czy podmiot przetwarzający jest w stanie zapewnić stosowne środki organizacyjne i techniczne dla ochrony danych.
- UODO ukarał Stołeczny Ośrodek dla Osób Nietrzeźwych - 1 lipca 2022
- Publiczne podawanie wagi niezgodne z zapisami RODO - 28 czerwca 2022
- Organy ochrony danych podejmują współpracę w sprawie platformy Vinted - 18 czerwca 2022