5 mln zł kary dla administratora i 250 tys. zł – dla procesora, w jednym postępowaniu

Pod koniec stycznia br. Prezes UODO nałożył na spółkę (Administratora) 4,9 mln zł kary, a na spółkę z nią współpracującą (Podmiot Przetwarzający) – zajmujący się archiwizacją danych – z którą Administrator miał zawartą umowę powierzenia – dodatkowo, 250 tys. zł.

Powodem tak surowego wyroku był fakt, że spółka-Administrator nie kontrolowała w sposób wystarczający spółki–Podmiotu Przetwarzającego, czego efektem był wyciek danych w trakcie wprowadzania u Administratora nowej zmiany programistycznej w środowisku informatycznym. Do wycieku doszło za sprawą pracownika Podmiotu Przetwarzającego.

Prezes UODO wezwał Administratora do wskazania, czy i jakie ta spółka oraz Podmiot Przetwarzający przyjęły środki zabezpieczenia technicznego i organizacyjnego zgodnie z RODO jak również do wskazania czy i w jaki sposób Administrator oraz Podmiot Przetwarzający dokonywały regularnego testowania, mierzenia i oceniania skuteczności środków technicznych i organizacyjnych mających zapewnić bezpieczeństwo przetwarzanych danych osobowych w spółkach. Zmiana programistyczna, podczas której nastąpiło naruszenie, polegała na dodaniu do środowiska informatycznego Administratora dodatkowego komputera (serwera bazodanowego) w celu poprawienia wydajności wyszukiwania dokumentów. Miało to zdecydowanie skrócić czas, w którym informacje z systemu są dostępne dla użytkownika końcowego.

Urząd wskazał, że zastosowanie konkretnego rozwiązania, powinno zostać poprzedzone tzw. analizą ryzyka wdrożenia takiego rozwiązania i powinien być przygotowany szczegółowy plan zabezpieczenia wykonywanych operacji, czego zarówno Administrator, Podmiot Przetwarzający nie uczyniły. Ukarane spółki nie zastosowały również nie poddały danych osobowych tzw. pseudonimizacji.

W decyzji nakładającej kary czytamy, iż „regularne testowanie, mierzenie i ocenianie skuteczności środków technicznych i organizacyjnych mających zapewnić bezpieczeństwo przetwarzanych danych, w tym stosowanych procedur, służy także zapewnieniu realizacji obowiązku zapewnieniu, aby ochrona danych osobowych była uwzględniana m.in. w fazie projektowania(…).” UODO zwrócił także uwagę, że należy systematycznie przeprowadzać audyty, w tym inspekcje w podmiotach, którym powierzyliśmy przetwarzanie danych osobowych (w ramach np. outsourcingu usług, jakim jest np. zarządzanie archiwizacja danych), czego również spółki nie dokonały. Organ stwierdził, iż spółce-Administratorowi bardziej zależało na jak najszybszym zwiększeniu wydajności systemu, kosztem bezpieczeństwa danych przetwarzanych, co zasługiwało na karę.