Prawie 5 mln zł kary za błąd pracownika procesora

Trzeba powiedzieć, że każda kolejna informacja o decyzjach administracyjnych wydawanych przez nasz krajowy organ ochrony danych osobowych pokazuje coraz większą “odwagę” w miarkowani tychże kar.

Dziś Prezes UODO opublikował decyzję z połowy stycznia 2022 r., w której nałożył dwie administracyjne kary pieniężne:

1) stwierdzając naruszenie przez Fortum Marketing and Sales Polska S.A. z siedzibą w Gdańsku przy ul. Marynarki Polskiej 197 art. 5 ust. 1 lit. f), art. 24 ust. 1, art. 25 ust. 1, art. 28 ust. 1 oraz art. 32 ust. 1 i 2 rozporządzenia 2016/679, polegające na niewdrożeniu odpowiednich środków technicznych i organizacyjnych zapewniających bezpieczeństwo danych osobowych, skutkującym naruszeniem ich poufności, oraz na braku weryfikacji podmiotu przetwarzającego, czy zapewnia wystarczające gwarancje wdrożenia odpowiednich środków technicznych i organizacyjnych, by przetwarzanie spełniało wymogi rozporządzenia 2016/679 i chroniło prawa osób, których dane dotyczą, nakłada na Fortum Marketing and Sales Polska S.A. z siedzibą w Gdańsku przy ul. Marynarki Polskiej 197, za naruszenie art. 5 ust. 1 lit. f), art. 25 ust. 1, art. 28 ust. 1 oraz art. 32 ust. 1 i 2 rozporządzenia 2016/679, administracyjną karę pieniężną w wysokości 4 911 732 PLN (słownie: cztery miliony dziewięćset jedenaście tysięcy siedemset trzydzieści dwa PLN),

2) stwierdzając naruszenie przez PIKA Sp. z o.o. z siedzibą w Gdańsku przy ul. Spadochroniarzy 7 art. 32 ust. 1 i 2 oraz art. 32 ust. 1 i 2 w związku z art. 28 ust. 3 lit. c) i f) rozporządzenia Parlamentu Europejskiego i Rady UE 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) (Dz. Urz. UE L 119 z 4.05.2016, str. 1, Dz. Urz. UE L 127 z 23.05.2018, str. 2 oraz Dz. Urz. UE L 74 z 4.03.2021, str. 35), dalej: „rozporządzenie 2016/679”, polegające na niewdrożeniu odpowiednich środków technicznych i organizacyjnych zapewniających bezpieczeństwo danych osobowych, w tym zapewnienie ich poufności nakłada na PIKA Sp. z o.o. z siedzibą w Gdańsku przy ul. Spadochroniarzy 7 administracyjną karę pieniężną w wysokości 250 135 PLN (słownie: dwieście pięćdziesiąt tysięcy sto trzydzieści pięć PLN),

W wyjaśnieniach wskazano, że ujawnione zostały dane łącznie 120 428 osób, z czego o naruszeniu należało zawiadomić 95 711 osób. Pozostała liczba to klienci biznesowi oraz osoby zmarłe.

Według stanu faktycznego opisanego w decyzji administracyjnej:

do naruszenia doszło w wyniku działania Podmiotu Przetwarzającego realizującego na rzecz Administratora usługę […], tj. PIKA Fortum wyjaśniła, że w momencie zidentyfikowania systemu, którego dane były narażone, poinformowała dostawcę usługi (tj. PIKA), który od razu wyłączył system oraz zablokował dostępy.

Administrator, na etapie wyjaśnień, wskazał, że naruszenie było związane:

z faktem wprowadzenia zmiany programistycznej w środowisku informatycznym dla usługi […]. Zmiana polegała na dodaniu do środowiska […] dodatkowego komputera (serwera bazodanowego) dla bazy danych działającej w oparciu o rozwiązanie […] w celu poprawienia wydajności wyszukiwania dokumentów. Miało to zdecydowanie skrócić czas, w którym informacje z systemu […] są dostępne dla użytkownika końcowego. Fortum wskazała, że rozwiązanie takie znacznie przyśpiesza wyszukiwanie dokumentów i jest popularnym rozwiązaniem w tego typu usługach.

Nadto co ważne to organ nadzorczy przypomniał podstawy tworzenia testowych baz danych:

Zgodnie z normą PN-EN ISO/IEC 27002:2017-06 zaleca się unikania stosowania danych zawierających dane identyfikujące osobę lub inne poufne dane w charakterze danych testowych. Jeżeli dane identyfikujące osobę są wykorzystywane podczas testów, zaleca się ochronienie wszystkich wrażliwych szczegółów i kontekstu poprzez ich usuniecie lub modyfikację. Ww. norma dopuszcza możliwość wykorzystania danych rzeczywistych do celów testowych, niemniej dane te powinny podlegać szczególnej ochronie. Przede wszystkim w przypadku gdy do celów testowych wykorzystywane są dane rzeczywiste, w testowanych aplikacjach powinny być zastosowane takie same procedury kontroli dostępu, jak te stosowane w systemach produkcyjnych.

W zakresie działania pracownika podmiotu przetwarzającego należy wskazać, że:

PIKA w wyjaśnieniach z […] sierpnia 2020 r. poinformowała ponadto, że zlecenie utworzenia serwera dla bazy działającej w oparciu o rozwiązanie […] przekazane zostało osobie o odpowiednich kwalifikacjach, w zleceniu wskazano również, że realizacja postulatu zabezpieczenia transmisji jest wykonywana przez odpowiednią konfigurację […], co zostało także wskazane w treści zlecenia wewnętrznego (załącznik nr 4 do ww. wyjaśnień PIKA). Analiza treści wskazanego zlecenia nie potwierdza jednak wyjaśnień PIKA.. Przedstawiona dokumentacja nie zawiera dowodu na to, że została zlecona konfiguracja […]. Jest to tylko zlecenie utworzenia wirtualnego serwera z aplikacją […]. Zlecenie nie zawiera wprost zobowiązania do skonfigurowania […]. PIKA nie przedstawiła też dowodów na to, że sprawdziła poprawność wykonania zlecenia. Sprawdzenie wykonania tego zlecenia nie było również weryfikowane przez Administratora. Zaznaczyć należy, że jako przyczynę zaistnienia naruszenia ochrony danych osobowych, PIKA wskazała na błąd w pierwotnej konfiguracji nowego serwera polegający na […].

oraz

W stanie faktycznym przedmiotowej sprawy do naruszenia ochrony danych osobowych (wycieku danych) doszło w wyniku błędu jednego pracownika Podmiotu Przetwarzającego posiadającego według niego odpowiednie kwalifikacje do wykonania tego zadania, który konfigurując nowy serwer działający w oparciu o rozwiązanie […], nie […], w konsekwencji czego nie został zapewniony bezpieczny kanał komunikacji pomiędzy serwerami środowiska Fortum, wykorzystywanymi do przetwarzania danych osobowych.

oraz

Z materiału zebranego w toku przeprowadzonego postępowania administracyjnego wynika, co należy ponownie przytoczyć, iż Podmiot Przetwarzający rozpoczął swoje działania w wyniku zgłoszenia Administratora dotyczącego powolnego działania archiwum cyfrowego. Po przeprowadzeniu wewnętrznej analizy zwiększenia wydajności działania systemu zlecił utworzenie nowego serwera dla bazy danych działającej w oparciu o rozwiązanie […] dla Fortum. Po utworzeniu wskazanego rozwiązania nie zweryfikował, czy wykonana została odpowiednia konfiguracja […], co miało zapewnić zabezpieczenie transmisji danych nowego serwera z pozostałymi elementami teleinformatycznymi całego środowiska Fortum wykorzystywanego do przetwarzania danych osobowych. Następnie zasilił rzeczywistymi danymi osobowymi klientów Administratora nowoutworzoną bazę danych. W związku z tym, że realizowana dla Fortum zmiana była w trakcie wdrożenia, nie wszystkie stosowane przez podmiot przetwarzający zabezpieczenia mające na celu zapewnienie bezpieczeństwa przewarzania danych zostały zaimplementowane na moment zdarzenia powodującego naruszenie ochrony danych osobowych. Nie ulega zatem wątpliwości, że Podmiot Przetwarzający nie dochował należytej staranności w swoim postępowaniu w tym zakresie, co w konsekwencji świadczy o tym, że realizując zlecenie na rzecz Fortum nie podejmował wszelkich środków wymaganych na mocy art. 32 rozporządzenia 2016/679 oraz nie pomógł Administratorowi wywiązać się z obowiązku określonego w tym przepisie.

Prezes UODO wskazuję też jak ważne jest przeprowadzanie przez administratora audytów bezpieczeństwa podmiotów przetwarzających:

Zebrany w sprawie materiał również potwierdza, że przed wszczęciem postępowania administracyjnego Administrator nie przeprowadzał w podmiocie przetwarzającym audytów, w tym inspekcji, w celu sprawdzenia, czy PIKA w sposób prawidłowy realizuje swoje obowiązki wynikające z rozporządzenia 2016/679. Możliwość przeprowadzenia takich audytów, w tym inspekcji, wynika z art. 28 ust. 3 lit. h) rozporządzenia 2016/679, stosownie do którego, umowa powierzenia przetwarzania danych osobowych ma stanowić, że podmiot przetwarzający udostępnia administratorowi wszelkie informacje niezbędne do wykazania spełnienia obowiązków określonych w niniejszym artykule oraz umożliwia administratorowi lub audytorowi upoważnionemu przez administratora przeprowadzanie audytów, w tym inspekcji, i przyczynia się do nich.