Obowiązek informacyjny rodo

KOMPAS FORSAFE 2022/16

Kraj:

Polska

Data wydania decyzji:

19.01.2022 r.

Podmiot kontrolowany:

PIKA Sp. z o.o.

Wysokość kary (EUR):

53.000

Podstawa prawna naruszenia

Art. 32 ust. 1 i 2 RODO.

Niewystarczające środki techniczne i organizacyjne zapewniające bezpieczeństwo informacji.

 

Przyczyna naruszenia

Naruszenie ochrony danych osobowych przez Fortum Marketing and Sales Polska S.A. oraz PIKA Sp. z o.o. wynikało z niewdrożenia odpowiednich środków technicznych i organizacyjnych zapewniających bezpieczeństwo danych osobowych. Fortum nie przeprowadziła weryfikacji podmiotu przetwarzającego (PIKA), a PIKA nie zabezpieczyła nowoutworzonej bazy danych przed dostępem osób nieuprawnionych.

Opis wydarzeń

  1. Zgłoszenie naruszenia: W kwietniu 2020 r. Fortum zgłosiła Prezesowi Urzędu Ochrony Danych Osobowych (UODO) naruszenie ochrony danych osobowych, które dotyczyło skopiowania danych klientów przez nieuprawnione podmioty.
  2. Przyczyna naruszenia: Naruszenie było związane z wprowadzeniem zmiany w środowisku teleinformatycznym przez PIKA, mającej na celu zwiększenie wydajności działania systemu archiwum cyfrowego. Zmiana polegała na utworzeniu dodatkowej bazy danych, która nie została odpowiednio zabezpieczona.
  3. Zakres naruszenia: Naruszenie dotyczyło danych osobowych 137 314 klientów Fortum, w tym imion, nazwisk, adresów, numerów PESEL, numerów dokumentów tożsamości, adresów e-mail, numerów telefonów oraz danych dotyczących umów.
  4. Działania podjęte przez Fortum: Fortum poinformowała UODO o naruszeniu oraz złożyła zawiadomienie o możliwości popełnienia przestępstwa do Prokuratury Okręgowej w Gdańsku. Fortum podjęła również działania mające na celu zawiadomienie osób, których dane dotyczyły naruszenie.
  5. Postępowanie administracyjne: Prezes UODO wszczął postępowanie administracyjne, w wyniku którego stwierdzono naruszenie przepisów RODO przez Fortum i PIKA. Nałożono administracyjne kary pieniężne: 4 911 732 PLN na Fortum oraz 250 135 PLN na PIKA.

Źródło

Pełna treść decyzji organu nadzorczego

 

Aby uniknąć podobnych naruszeń, zalecamy:

  1. Wdrożenie odpowiednich środków technicznych i organizacyjnych: Zaleca się wdrożenie środków zapewniających bezpieczeństwo danych osobowych, takich jak pseudonimizacja i szyfrowanie danych.
  2. Regularne testowanie i ocena skuteczności środków bezpieczeństwa: Należy regularnie testować, mierzyć i oceniać skuteczność wdrożonych środków technicznych i organizacyjnych.
  3. Weryfikacja podmiotów przetwarzających: Przed zawarciem umowy powierzenia przetwarzania danych osobowych, konieczne jest przeprowadzenie weryfikacji podmiotu przetwarzającego pod kątem spełnienia wymogów RODO.
  4. Nadzór nad podmiotami przetwarzającymi: Prowadzanie regularnych audytów i inspekcji podmiotów przetwarzających, aby upewnić się, że spełniają one wymogi RODO.
  5. Zawiadamianie osób, których dane dotyczą: W przypadku naruszenia ochrony danych osobowych, należy niezwłocznie zawiadomić osoby, których dane dotyczą, oraz przekazać im zalecenia dotyczące minimalizacji potencjalnych negatywnych skutków naruszenia.

 

Jeśli potrzebujesz wsparcia w zakresie ochrony danych osobowych, zapraszamy do kontaktu

    * dane obowiązkowe.
    Administratorem danych osobowych jest FORSAFE Sp. z o.o. z siedzibą w Łodzi, przy ul. 1 Maja 31/33. Dane osobowe będą przetwarzane wyłącznie w prawnie usprawiedliwionym celu administratora danych. Każdemu przysługuje prawo dostępu do treści swoich danych i prawo poprawiania danych. Podanie danych osobowych jest dobrowolne ale konieczne dla świadczenia usług.

    Obowiązek informacyjny RODO