Co spowodowało naruszenie ochrony danych w archiwum cyfrowym Fortum Marketing and Sales S.A. obsługiwanym przez Pikę?

Naruszenie wystąpiło podczas modernizacji środowiska teleinformatycznego. Pika utworzyła dodatkową bazę i błędnie ją skonfigurowała, udostępniając dane osobom nieuprawnionym; dotyczyło to ponad 95 tysięcy osób fizycznych.

Jakie kary administracyjne nałożył UODO na Fortum Marketing and Sales S.A. i Pikę po incydencie danych?

Nałożono blisko 5 mln zł na Fortum (jako administratora) i ponad 250 tys. zł na Pikę (jako podmiot przetwarzający).

Jakie uchybienia zarzucił Prezes UODO Fortum Marketing and Sales S.A. w tej sprawie?

Fortum przed zawarciem umowy nie dokonało rzetelnej weryfikacji gwarancji bezpieczeństwa wykonawcy i w trakcie współpracy nie korzystało z prawa do audytu i kontroli.

Jakie błędy w zakresie zabezpieczeń stwierdzono po stronie spółki Pika jako podmiotu przetwarzającego?

Brak należytego testowania zabezpieczeń, użycie rzeczywistych danych klientów w celach testowych bez pseudonimizacji oraz brak w pełni skonfigurowanych podstawowych zabezpieczeń sieciowych.

Co Naczelny Sąd Administracyjny orzekł o znaczeniu czasu ekspozycji danych dla utraty poufności?

NSA podkreślił, że kwestia utraty poufności danych została jednoznacznie stwierdzona i nie zależy ona od czasu, przez jaki dane były dostępne dla osób nieuprawnionych.

Prawo internetu i ochrony danych

Milionowe kary za wyciek danych utrzymane. NSA: administrator odpowiada za brak nadzoru nad podmiotem przetwarzającym

Odpowiedzialność za ochronę danych spoczywa na administratorze i procesorze. Ważny wyrok NSAShutterstock

Martyna Mroczek-Kowalik

3 marca, 13:43

Naczelny Sąd Administracyjny wydał istotne rozstrzygnięcie dotyczące podziału obowiązków w zakresie ochrony danych osobowych. Sąd stanął po stronie Prezesa Urzędu Ochrony Danych Osobowych, potwierdzając, że administrator danych ponosi realną odpowiedzialność za brak nadzoru nad podmiotem, któremu powierza przetwarzanie informacji.

Skrót artykułu

Sprawa, która swój początek miała w 2020 roku, dotyczy naruszenia ochrony danych osobowych klientów spółki Fortum Marketing and Sales S.A. To polski oddział fińskiego koncernu energetycznego, zajmujący się sprzedażą energii elektrycznej, gazu oraz ciepła sieciowego. Drugim podmiotem zaangażowanym w spór jest spółka Pika, która profesjonalnie zarządza dokumentacją i archiwizacją cyfrową. Jako podmiot przetwarzający, Pika świadczyła usługi na rzecz Fortum, operując na ogromnych zbiorach danych obejmujących m.in. numery PESEL, adresy zamieszkania oraz szczegóły umów tysięcy odbiorców energii.

Pozostało 88% treści

Wybierz pakiet i czytaj bez ograniczeń.

Bądź na bieżąco ze zmianami w prawie i podatkach.
Czytaj raporty, analizy i wyjaśnienia ekspertów.

Sprawdź ofertę

Jesteś subskrybentem? ZALOGUJ SIĘ

Pozostało 88% treści

Wybierz pakiet i czytaj bez ograniczeń.

Bądź na bieżąco ze zmianami w prawie i podatkach.
Czytaj raporty, analizy i wyjaśnienia ekspertów.

Sprawdź ofertę

Jesteś subskrybentem? ZALOGUJ SIĘ

Autopromocja

NIS2 w Polsce. Jak przygotować firmę na nowe wymogi cyberbezpieczeństwa Praktyczny przewodnik wdrożenia NIS2 Sprawdź

Źródło: edgp.gazetaprawna.pl/Dziennik Gazeta Prawna

Materiał chroniony prawem autorskim - wszelkie prawa zastrzeżone.