bg
Chcę wiedzieć o...
Strona główna
Artykuły
Rekordowa kara PUODO dla administratora

Rekordowa kara PUODO dla administratora

Dodano: 2022-03-09

Z tego Legal Flasha dowiedzą się Państwo o rekordowej karze, którą nałożył PUODO na administratora za naruszenie ochrony danych osobowych.

19 stycznia br. Prezes Urzędu Ochrony Danych Osobowych (dalej: PUODO) wydał decyzję w sprawie niewdrożenia odpowiednich środków technicznych i organizacyjnych zapewniających bezpieczeństwo danych osobowych. Sprawa dotyczyła naruszenia poufności danych oraz braku weryfikacji, czy podmiot przetwarzający zapewnia wystarczające gwarancje przetwarzania zgodnie z wymogami rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych; dalej: RODO). W wyniku postępowania wszczętego z urzędu PUODO nałożył na spółkę Fortum Marketing and Sales Polska S.A. administracyjną karę pieniężną w wysokości ponad 4,9 miliona złotych. Podmiot przetwarzający dane w imieniu administratora, który nie zapewnił bezpieczeństwa danych osobowych, w tym ich poufności – spółka PIKA Sp. z o.o. – został ukarany sankcją pieniężną w wysokości ponad 250 tysięcy złotych.

Przyczyną wszczęcia postępowania było naruszenie ochrony danych osobowych polegające na nieuprawnionym skopiowaniu bazy danych klientów. Doszło do tego w wyniku działań podjętych przez procesora w celu usprawnienia usługi informatycznej świadczonej dla administratora.

Głównym zarzutem PUODO wobec administratora danych było niedołożenie należytej staranności do kontroli podmiotu przetwarzającego dane na jego zlecenie. Przed zawarciem umowy powierzenia przetwarzania danych osobowych administrator nie przeprowadził dodatkowej weryfikacji podmiotu przetwarzającego. Administrator przed incydentem nie realizował prawa kontroli, o którym mowa w art. 28 ust. 3 lit. h) RODO, pod kątem zapewnienia przez procesora środków wymaganych w celu zapewnienia bezpieczeństwa przetwarzania.

Podmiotowi przetwarzającemu PUODO zarzucił natomiast zastosowane środków technicznych i organizacyjnych jedynie w bardzo ograniczonym stopniu odpowiadającym wymogom określonym w art. 32 ust. 1 i 2 RODO. Procesor działał również wbrew umowie powierzenia przetwarzania danych osobowych, w której zobowiązał się m.in. do wdrożenia pseudonimizacji danych. W konsekwencji, w ocenie PUODO, zarówno administrator danych, jak i procesor, nie wdrożyli odpowiednich środków technicznych i organizacyjnych mających zapewnić bezpieczeństwo przetwarzania danych osobowych.

Na wysokość rekordowo wysokiej kary pieniężnej nałożonej na administratora wpływ miały m.in. znaczna waga i poważny charakter naruszenia, a także wysoki stopień odpowiedzialności administratora za naruszenie. Brak jakiegokolwiek realnego nadzoru nad procesorem skutkował znacznym zaostrzeniem kary pieniężnej, aby była ona skuteczna, proporcjonalna i odstraszająca.

Z pełną treścią decyzją mogą Państwo zapoznać się pod adresem: https://www.uodo.gov.pl/decyzje/DKN.5130.2215.2020

Rekomendacje CZTR:

Wszystkim podmiotom będącym administratorami danych osobowych rekomendujemy przykładanie szczególnej wagi do odpowiedniej weryfikacji usługodawców przed powierzeniem im danych osobowych do przetwarzania, a także bieżącego kontrolowania prawidłowości przetwarzania danych w trakcie współpracy z procesorami.

Artykuły powiązane

ZUS odzyskał ponad 150 mln zł dzięki kontrolom zwolnień lekarskich w pierwszej połowie 2025 roku

W pierwszych sześciu miesiącach 2025 roku Zakład Ubezpieczeń Społecznych zdołał odzyskać aż 150,5 mln zł poprzez dokładn...

VAT w odszkodowaniu z OC – decyzja Sądu Najwyższego przesunięta na wrzesień

Sąd Najwyższy odroczył do 24 września 2025 roku podjęcie uchwały, która miała rozstrzygnąć, czy podatek VAT powinien być...

Zastrzeżony PESEL a ubezpieczenie OC – koniec z polisami na cudze dane

Od 27 listopada 2025 roku w życie wejdą przepisy, które umożliwią ubezpieczycielom sprawdzanie, czy numer PESEL osoby ub...