+48 33 498 37 35 biuro@msdslegal.pl

5 mln zł kary dla administratora i 250 tys. zł – dla procesora, w jednym postępowaniu

 

 

 

5 mln zł kary dla administratora i 250 tys. zł – dla procesora, w jednym postępowaniu

25 kwi 2022 | Aktualności

Pod koniec stycznia br. Prezes UODO nałożył na spółkę (Administratora) 4,9 mln zł kary, a na spółkę z nią współpracującą (Podmiot Przetwarzający) – zajmujący się archiwizacją danych – z którą Administrator miał zawartą umowę powierzenia – dodatkowo, 250 tys. zł.

Powodem tak surowego wyroku był fakt, że spółka-Administrator nie kontrolowała w sposób wystarczający spółki–Podmiotu Przetwarzającego, czego efektem był wyciek danych w trakcie wprowadzania u Administratora nowej zmiany programistycznej w środowisku informatycznym. Do wycieku doszło za sprawą pracownika Podmiotu Przetwarzającego.

Prezes UODO wezwał Administratora do wskazania, czy i jakie ta spółka oraz Podmiot Przetwarzający przyjęły środki zabezpieczenia technicznego i organizacyjnego zgodnie z RODO jak również do wskazania czy i w jaki sposób Administrator oraz Podmiot Przetwarzający dokonywały regularnego testowania, mierzenia i oceniania skuteczności środków technicznych i organizacyjnych mających zapewnić bezpieczeństwo przetwarzanych danych osobowych w spółkach. Zmiana programistyczna, podczas której nastąpiło naruszenie, polegała na dodaniu do środowiska informatycznego Administratora dodatkowego komputera (serwera bazodanowego) w celu poprawienia wydajności wyszukiwania dokumentów. Miało to zdecydowanie skrócić czas, w którym informacje z systemu są dostępne dla użytkownika końcowego.

Urząd wskazał, że zastosowanie konkretnego rozwiązania, powinno zostać poprzedzone tzw. analizą ryzyka wdrożenia takiego rozwiązania i powinien być przygotowany szczegółowy plan zabezpieczenia wykonywanych operacji, czego zarówno Administrator, Podmiot Przetwarzający nie uczyniły. Ukarane spółki nie zastosowały również nie poddały danych osobowych tzw. pseudonimizacji.

W decyzji nakładającej kary czytamy, iż „regularne testowanie, mierzenie i ocenianie skuteczności środków technicznych i organizacyjnych mających zapewnić bezpieczeństwo przetwarzanych danych, w tym stosowanych procedur, służy także zapewnieniu realizacji obowiązku zapewnieniu, aby ochrona danych osobowych była uwzględniana m.in. w fazie projektowania(…).” UODO zwrócił także uwagę, że należy systematycznie przeprowadzać audyty, w tym inspekcje w podmiotach, którym powierzyliśmy przetwarzanie danych osobowych (w ramach np. outsourcingu usług, jakim jest np. zarządzanie archiwizacja danych), czego również spółki nie dokonały. Organ stwierdził, iż spółce-Administratorowi bardziej zależało na jak najszybszym zwiększeniu wydajności systemu, kosztem bezpieczeństwa danych przetwarzanych, co zasługiwało na karę.

Bądź na bieżąco z prawnymi nowościami!

Dołącz do naszej społeczności na LinkedIn, aby śledzić najnowsze artykuły, porady ekspertów oraz zmiany w przepisach.

Najnowsze wpisy

Godziny otwarcia

PON – PT
8:00 – 17:00

Jeśli potrzebujesz naszego wsparcia

Skontaktuj się z nami! Gwarantujemy indywidualne podejście do każdego Klienta!

MSDS LEGAL SZCZOTKA SZCZYGIEŁ S.K.A.

43-300 Bielsko-Biała
ul. Stojałowskiego 63/6

© 2024 MSDS LEGAL | Materiały i treści zamieszczone na niniejszej stronie internetowej podlegają ochronie przewidzianej przepisami prawa. Ich kopiowanie i rozpowszechnianie wymaga zgody uprawnionego. Aktualności mają charakter wyłącznie informacyjny i nie stanowią porady prawnej.