W 2022 r. Prezes UODO nałożył wysoką karę na spółkę Fortum Marketing and Sales Polska za nieprawidłowości w zabezpieczaniu danych osobowych. W październiku kara UODO została jednak uchylona przez Wojewódzki Sąd Administracyjny w Warszawie. Jak wskazał sąd, Prezes UODO nie ustalił stanu faktycznego sprawy. Więcej na ten temat w artykule.
O decyzji Prezesa UODO dotyczącej spółki Fortum Marketing and Sales Polska było głośno na początku 2022 r. Organ nadzorczy wymierzył wówczas tej spółce bardzo wysoką karę pieniężną – blisko 5 mln zł. Spółka zgłosiła naruszenie ochrony danych polegające na ich wycieku i przejęciu przez nieuprawnione osoby. Miało to miejsce podczas wprowadzania zmian w systemie IT przez podmiot przetwarzający, który zresztą też został ukarany.
Administratorowi zarzucono brak nadzoru nad stosowaniem przez procesora środków bezpieczeństwa przewidzianych w umowie powierzenia m.in. pseudonimizacji i szyfrowania. Poza tym wytknięto brak systematycznego testowania stosowanych środków bezpieczeństwa.
Więcej na temat decyzji Prezesa UODO z 19 stycznia 2022 r. (DKN.5130.2215.2020) w artykule: Prawie 5 mln zł kary dla Fortum Marketing and Sales Polska!
Jak można się było spodziewać, zarówno administrator jak i procesor wnieśli skargę na tę decyzję do WSA w Warszawie. Sąd uchylił zaś zaskarżoną decyzję i przekazał sprawę do ponownego rozpoznania. W uzasadnieniu wskazał, że Prezes UODO nie wyjaśnił wszystkich okoliczności istotnych dla rozstrzygnięcia sprawy. Wprawdzie przywołał wyjaśnienia stron postępowania, ale nie poddał ich analizie i nie ocenił wiarygodności. Nie wskazał bowiem, w jakim zakresie dał im wiarę, a w jakim (i dlaczego) tej wiarygodności odmówił.
W efekcie w ogóle nie ustalił stanu faktycznego, naruszając art. 7 Kodeksu postępowania administracyjnego (zasada prawdy obiektywnej). Zgodnie z tym przepisem organy z urzędu lub na wniosek stron podejmują wszelkie czynności niezbędne do:
dokładnego wyjaśnienia stanu faktycznego,
załatwienia sprawy.
W ocenie sądu Prezes UODO winien ustalić:
czy w sprawie w istocie doszło do wycieku danych
co było technicznie możliwe do wykonania po stronie administratora
jak wyglądają standardy i praktyki w zakresie wykonywania zmian w systemach IT,
czy należycie wdrożono techniczne i organizacyjne środki bezpieczeństwa,
czy nieprzeprowadzenie audytów lub inspekcji przez spółkę Fortum przyczyniło się do wystąpienia naruszenia danych osobowych.
wyrok Wojewódzkiego Sądu Administracyjnego w Warszawie z 10 października 2022 r.II SA/Wa 567/22
Przechowywanie danych w chmurze polega na zapisywaniu i zarządzaniu danymi na zdalnych serwerach, które są dostępne przez internet. Zamiast przechowywać pliki na lokalnych dyskach twardych lub serwerach, użytkownicy mogą korzystać z infrastruktury dostarczanej przez dostawców usług chmurowych. Jest to wygodne i efektywne rozwiązanie, które zapewnia dostęp do danych z dowolnego miejsca, elastyczność, skalowalność oraz wysoki poziom bezpieczeństwa i niezawodności.
© Portal Poradyodo.pl
