Co spowodowało naruszenie ochrony danych w archiwum cyfrowym Fortum Marketing and Sales S.A. obsługiwanym przez Pikę?

Naruszenie wystąpiło podczas modernizacji środowiska teleinformatycznego. Pika utworzyła dodatkową bazę i błędnie ją skonfigurowała, udostępniając dane osobom nieuprawnionym; dotyczyło to ponad 95 tysięcy osób fizycznych.

Jakie kary administracyjne nałożył UODO na Fortum Marketing and Sales S.A. i Pikę po incydencie danych?

Nałożono blisko 5 mln zł na Fortum (jako administratora) i ponad 250 tys. zł na Pikę (jako podmiot przetwarzający).

Jakie uchybienia zarzucił Prezes UODO Fortum Marketing and Sales S.A. w tej sprawie?

Fortum przed zawarciem umowy nie dokonało rzetelnej weryfikacji gwarancji bezpieczeństwa wykonawcy i w trakcie współpracy nie korzystało z prawa do audytu i kontroli.

Jakie błędy w zakresie zabezpieczeń stwierdzono po stronie spółki Pika jako podmiotu przetwarzającego?

Brak należytego testowania zabezpieczeń, użycie rzeczywistych danych klientów w celach testowych bez pseudonimizacji oraz brak w pełni skonfigurowanych podstawowych zabezpieczeń sieciowych.

Co Naczelny Sąd Administracyjny orzekł o znaczeniu czasu ekspozycji danych dla utraty poufności?

NSA podkreślił, że kwestia utraty poufności danych została jednoznacznie stwierdzona i nie zależy ona od czasu, przez jaki dane były dostępne dla osób nieuprawnionych.

Prawo internetu i ochrony danych

Milionowe kary za wyciek danych utrzymane. NSA: administrator odpowiada za brak nadzoru nad podmiotem przetwarzającym

Odpowiedzialność za ochronę danych spoczywa na administratorze i procesorze. Ważny wyrok NSAShutterstock

Martyna Mroczek-Kowalik

dzisiaj, 13:43

Naczelny Sąd Administracyjny wydał istotne rozstrzygnięcie dotyczące podziału obowiązków w zakresie ochrony danych osobowych. Sąd stanął po stronie Prezesa Urzędu Ochrony Danych Osobowych, potwierdzając, że administrator danych ponosi realną odpowiedzialność za brak nadzoru nad podmiotem, któremu powierza przetwarzanie informacji.

Skrót artykułu

Sprawa, która swój początek miała w 2020 roku, dotyczy naruszenia ochrony danych osobowych klientów spółki Fortum Marketing and Sales S.A. To polski oddział fińskiego koncernu energetycznego, zajmujący się sprzedażą energii elektrycznej, gazu oraz ciepła sieciowego. Drugim podmiotem zaangażowanym w spór jest spółka Pika, która profesjonalnie zarządza dokumentacją i archiwizacją cyfrową. Jako podmiot przetwarzający, Pika świadczyła usługi na rzecz Fortum, operując na ogromnych zbiorach danych obejmujących m.in. numery PESEL, adresy zamieszkania oraz szczegóły umów tysięcy odbiorców energii.

Fortum i Pika. Wyciek danych osobowych 95 tysięcy klientów

Naruszenie ochrony danych wystąpiło podczas prac modernizacyjnych środowiska teleinformatycznego, które pełniło funkcję cyfrowego archiwum. W odpowiedzi na zgłaszane przez administratora problemy z wydajnością spółka Pika utworzyła dodatkową bazę danych. Podczas przenoszenia informacji doszło jednak do nieprawidłowej konfiguracji, w wyniku czego baza stała się dostępna dla osób nieuprawnionych. Skala incydentu była znacząca, gdyż dotyczyła danych ponad 95 tysięcy osób fizycznych.

Pozostało 86% treści

Możesz czytać nasze artykuły dzięki partnerowi PWC.
Załóż konto lub zaloguj się
i zyskaj dostęp na 14 dni za darmo.

ZACZNIJ KORZYSTAĆ JUŻ DZIŚ

Jesteś subskrybentem? ZALOGUJ SIĘ

Pozostało 86% treści

Możesz czytać nasze artykuły dzięki partnerowi PWC.
Załóż konto lub zaloguj się
i zyskaj dostęp na 14 dni za darmo.

ZACZNIJ KORZYSTAĆ JUŻ DZIŚ

Jesteś subskrybentem? ZALOGUJ SIĘ

Autopromocja

Równość i przejrzystość wynagrodzeń Szkolenie: 12 marca 2026 Sprawdź

Źródło: edgp.gazetaprawna.pl/Dziennik Gazeta Prawna

Materiał chroniony prawem autorskim - wszelkie prawa zastrzeżone.