Incydent wydarzył się blisko sześć lat temu. Podczas modernizacji systemu teleinformatycznego nieprawidłowo utworzono bazę danych klientów, co umożliwiło osobom nieuprawnionym dostęp do jej zawartości oraz jej skopiowanie. Dane dotyczyły ok. 95 tys. osób i obejmowały m.in. imiona i nazwiska, adresy zamieszkania, numery PESEL, dane dokumentów tożsamości, dane kontaktowe oraz informacje dotyczące zawartych umów. Dopiero po interwencji UODO osoby, których dane dotyczą, zostały poinformowane o naruszeniu oraz rekomendowanych działaniach mających ograniczyć jego potencjalne skutki.
Administratorem danych była spółka Fortum Marketing and Sales S.A., zaś spółka Pika Sp. z o.o. współpracująca w pracach nad systemem pełniła rolę podmiotu przetwarzającego dane. Urząd Ochrony Danych Osobowych ustalił, że zarówno administrator, jak i podmiot przetwarzający nie wdrożyli odpowiednich środków technicznych oraz organizacyjnych wymaganych przez RODO.
Nie wolno używać prawdziwych danych do testów
Z decyzji wynika, że:
- spółka Fortum przed zawarciem umowy powierzenia nie zweryfikowała, czy Pika zapewniała wystarczające gwarancje bezpieczeństwa; nie skorzystała też z przysługującego jej prawa kontroli (wynikającego z art. 28 ust. 3 lit. h RODO), a także nie sprawowała realnego nadzoru nad procesem wprowadzania zmian w systemie.
- Pika nie testowała zabezpieczeń na etapie prac rozwojowych, wykorzystywała rzeczywiste dane osobowe do celów testowych bez ich uprzedniej pseudonimizacji oraz nie przeprowadziła pełnej konfiguracji zabezpieczeń technicznych, w tym tak podstawowych jak firewall.
W ocenie UODO doszło do naruszenia zasady poufności danych oraz do niedopełnienia obowiązku zapewnienia bezpieczeństwa przetwarzania. Spółki otrzymały kary:
- Fortum - blisko 5 mln zł za naruszenie art. 5 ust. 1 lit. f), art. 25 ust. 1, art. 28 ust. 1 oraz art. 32 ust. 1 i 2 RODO,
- Pika - ponad 250 tys. zł za naruszenie art. 32 ust. 1 i 2 w związku z art. 28 ust. 3 lit. c) i f) RODO.
WSA i NSA odmiennie oceniły sprawę
Była to pierwsza decyzja, w której organ nadzorczy ukarał za naruszenie RODO i administratora, i podmiot przetwarzający. Wojewódzki Sąd Administracyjny w Warszawie ocenił ją surowo. Uznał, że UODO nie wykazał w sposób wystarczający i przekonujący ustalonego stanu faktycznego, ograniczył się do przytoczenia sprzecznych stanowisk stron oraz nie przeprowadził pełnej oceny dowodów. W jego ocenie postępowanie dowodowe należałoby uzupełnić o ustalenia dotyczące standardów technicznych i praktyk rynkowych, a także na konieczność rozważenia, czy dodatkowe audyty mogły zapobiec incydentowi. W efekcie uchylił decyzję.
Z wyrokiem nie zgodził się Naczelny Sąd Administracyjny, który uwzględnił skargę kasacyjną urzędu. W jego ocenie WSA błędnie zakwestionował kompletność ustaleń faktycznych i zasadność oceny dowodów. NSA stwierdził, że kwestia nadzoru administratora nad czynnościami podejmowanymi przez podmiot przetwarzający została przez organ nadzorczy szczegółowo i wyczerpująco opisana oraz przeanalizowana w uzasadnieniu decyzji. Nie zgodził się też z zarzutem WSA, że konieczne było ustalenie czy w rozpoznawanej sprawie doszło do „wycieku” danych, czy też pojawiła się tam „jedynie krótkotrwała możliwość uzyskania dostępu do danych osobowych przez osoby nieuprawnione”.
NSA uchylił wyrok WSA i przekazał sprawę do ponownego rozpoznania, wskazując, że sąd niższej instancji uzna przy tym kompletność ustaleń faktycznych.
