Incydent wydarzył się blisko sześć lat temu. Podczas modernizacji systemu teleinformatycznego nieprawidłowo utworzono bazę danych klientów, co umożliwiło osobom nieuprawnionym dostęp do jej zawartości oraz jej skopiowanie. Dane dotyczyły ok. 95 tys. osób i obejmowały m.in. imiona i nazwiska, adresy zamieszkania, numery PESEL, dane dokumentów tożsamości, dane kontaktowe oraz informacje dotyczące zawartych umów. Dopiero po interwencji UODO osoby, których dane dotyczą, zostały poinformowane o naruszeniu oraz rekomendowanych działaniach mających ograniczyć jego potencjalne skutki.
Administratorem danych była spółka Fortum Marketing and Sales S.A., zaś spółka Pika Sp. z o.o. współpracująca w pracach nad systemem pełniła rolę podmiotu przetwarzającego dane. Urząd Ochrony Danych Osobowych ustalił, że zarówno administrator, jak i podmiot przetwarzający nie wdrożyli odpowiednich środków technicznych oraz organizacyjnych wymaganych przez RODO.
Nie wolno używać prawdziwych danych do testów
Z decyzji wynika, że:
- spółka Fortum przed zawarciem umowy powierzenia nie zweryfikowała, czy Pika zapewniała wystarczające gwarancje bezpieczeństwa; nie skorzystała też z przysługującego jej prawa kontroli (wynikającego z art. 28 ust. 3 lit. h RODO), a także nie sprawowała realnego nadzoru nad procesem wprowadzania zmian w systemie.
- Pika nie testowała zabezpieczeń na etapie prac rozwojowych, wykorzystywała rzeczywiste dane osobowe do celów testowych bez ich uprzedniej pseudonimizacji oraz nie przeprowadziła pełnej konfiguracji zabezpieczeń technicznych, w tym tak podstawowych jak firewall.
Zobacz też szkolenie online w LEX: Weryfikacja podmiotów przetwarzających przez administratora danych >
W ocenie UODO doszło do naruszenia zasady poufności danych oraz do niedopełnienia obowiązku zapewnienia bezpieczeństwa przetwarzania. Spółki otrzymały kary:
- Fortum - blisko 5 mln zł za naruszenie art. 5 ust. 1 lit. f), art. 25 ust. 1, art. 28 ust. 1 oraz art. 32 ust. 1 i 2 RODO,
- Pika - ponad 250 tys. zł za naruszenie art. 32 ust. 1 i 2 w związku z art. 28 ust. 3 lit. c) i f) RODO.
Czytaj w LEX: Standardowe klauzule umowne między administratorami a podmiotami przetwarzającymi (SCC) >
WSA i NSA odmiennie oceniły sprawę
Była to pierwsza decyzja, w której organ nadzorczy ukarał za naruszenie RODO i administratora, i podmiot przetwarzający. Wojewódzki Sąd Administracyjny w Warszawie ocenił ją surowo. Uznał, że UODO nie wykazał w sposób wystarczający i przekonujący ustalonego stanu faktycznego, ograniczył się do przytoczenia sprzecznych stanowisk stron oraz nie przeprowadził pełnej oceny dowodów. W jego ocenie postępowanie dowodowe należałoby uzupełnić o ustalenia dotyczące standardów technicznych i praktyk rynkowych, a także na konieczność rozważenia, czy dodatkowe audyty mogły zapobiec incydentowi. W efekcie uchylił decyzję.
Czytaj też w LEX: Analiza ryzyka jako podstawa do realizacji obowiązków administratora >
Z wyrokiem nie zgodził się Naczelny Sąd Administracyjny, który uwzględnił skargę kasacyjną urzędu. W jego ocenie WSA błędnie zakwestionował kompletność ustaleń faktycznych i zasadność oceny dowodów. NSA stwierdził, że kwestia nadzoru administratora nad czynnościami podejmowanymi przez podmiot przetwarzający została przez organ nadzorczy szczegółowo i wyczerpująco opisana oraz przeanalizowana w uzasadnieniu decyzji. Nie zgodził się też z zarzutem WSA, że konieczne było ustalenie czy w rozpoznawanej sprawie doszło do „wycieku” danych, czy też pojawiła się tam „jedynie krótkotrwała możliwość uzyskania dostępu do danych osobowych przez osoby nieuprawnione”.
NSA uchylił wyrok WSA i przekazał sprawę do ponownego rozpoznania, wskazując, że sąd niższej instancji uzna przy tym kompletność ustaleń faktycznych.
Ponowy wyrok WSA potwierdza ustalenia UODO
Po raz drugi Wojewódzki Sąd Administracyjny ocenił w Warszawie wypowiedział się o sprawie w wyroku z 20 maja 2026 r. (sygn. II SA/Wa 458/26). Jak podaje UODO, tym razem sąd zgodził się, że doszło do naruszenia przepisów RODO, zarówno przez administratora (Fortum), jak i podmiot przetwarzający (Pika). Stwierdził, że kary nałożone na oba podmioty były skuteczne, proporcjonalne i odstraszające. Uznał, że organ nadzorczy wyjaśnił wszystkie okoliczności sprawy, materiał dowodowy został zebrany prawidłowo oraz poddany wszechstronnej i wymaganej prawem ocenie.
Czytaj też w LEX: Analiza ryzyka w ochronie danych osobowych vs. analiza ryzyka w cyberbezpieczeństwie >
WSA potwierdził również, że administrator nie sprawował odpowiedniego nadzoru nad podmiotem przetwarzającym. Orzeczenie potwierdza, że administrator nie jest zwolniony z obowiązku zapewnienia bezpieczeństwa procesów przetwarzania danych osobowych i ponosi odpowiedzialność za jego zagwarantowanie.
