Stan faktyczny

W kwietniu 2020 r. firma Fortum Marketing and Sales SA (dalej: „Fortum” lub „Administrator”) zgłosiła Prezesowi UODO naruszenie ochrony danych osobowych. Zgodnie ze zgłoszeniem doszło do skopiowania danych klientów Administratora w związku z wprowadzeniem zmiany w środowisku teleinformatycznym w ramach systemu służącego do cyfrowej archiwizacji dokumentów. W zakresie tego systemu Fortum współpracował z PIKA sp. z o.o. (dalej: „PIKA” lub „podmiot przetwarzający”).

W kwietniu 2020 r. Fortum zgłosił Prezesowi UODO naruszenie ochrony danych osobowych. W zgłoszeniu wskazano, że doszło do skopiowania danych klientów Fortum. To zdarzenie miało związek z wprowadzeniem zmiany w środowisku teleinformatycznym dla ww. usługi w celu poprawienia wydajności działania całego repozytorium. Naruszenie dotyczyło nowej bazy danych, zawierającej takie informacje o klientach Fortum, jak: imię i nazwisko, adres zamieszkania lub pobytu, numer PESEL, rodzaj, seria i numer dokumentu tożsamości, adres e-mail, numer telefonu, numer i adres punktu poboru oraz dane dotyczące umowy (np. data i numer umowy, rodzaj paliwa, numer licznika). Wskazano, że naruszenie dotyczy 137 314 osób.

Najpierw, w kwietniu, Prezes UODO wszczął postępowanie administracyjne z urzędu wobec Fortum. W odpowiedzi na zawiadomienie firma wyjaśniła, że wprowadzone zmiany i sposób ich wprowadzenia nie zostały z nią skonsultowane przez PIKA. Fortum współpracuje z PIKA na podstawie umowy przechowywania (archiwum dokumentów) wraz z usługami towarzyszącymi zawartej w 2016 r. oraz umowy powierzenia przetwarzania z maja 2018 r. W piśmie z czerwca 2018 r., w odpowiedzi na pytania organu, Administrator wyjaśnił, że przed zawarciem umowy powierzenia przetwarzania nie przeprowadził dodatkowej weryfikacji podmiotu przetwarzającego, ponieważ Fortum od wielu lat współpracuje z PIKA – jest to lider na rynku usług archiwizacji i digitalizacji. Wcześniej nie dochodziło do incydentów bezpieczeństwa. Fortum przyznał, że nie realizował względem PIKA prawa kontroli z art. 28 ust. 3 lit. h RODO[1]. W maju 2020 r., czyli po stwierdzeniu naruszenia, Administrator wysłał do podmiotu przetwarzającego ankietę, stanowiącą pierwszy element procesu weryfikacji.

W wyjaśnieniach z czerwca 2020 r. Fortum wskazał, że PIKA, wdrażając zmianę, nie zastosowała się do przyjętych procedur i nie przedstawiła Administratorowi koncepcji zmian ani projektów funkcjonalnych lub technicznych.

Następnie, w piśmie z lipca 2020 r., Prezes UODO zawiadomił PIKA o uznaniu jej za stronę prowadzonego postępowania administracyjnego. Składając wyjaśnienia, PIKA wskazała, że nie konsultowała z Administratorem wdrożenia zmian w oprogramowaniu. Fortum zgłosił problem w działaniu oprogramowania. PIKA zidentyfikowała przyczynę i rozpoczęła rozwiązywanie problemu bez konsultacji z Fortum.

Rozstrzygnięcie i argumenty Prezesa UODO

W decyzji z 19 stycznia 2022 r. Prezes UODO:

  • stwierdził naruszenie przez Fortum art. 5 ust. 1 lit. f, art. 24 ust. 1, art. 25 ust. 1, art. 28 ust. 1 oraz art. 32 ust. 1 i 2 RODO, tj. niewdrożenie odpowiednich środków technicznych i organizacyjnych zapewniających bezpieczeństwo danych osobowych, skutkujące naruszeniem ich poufności, oraz brak weryfikacji podmiotu przetwarzającego, czy zapewnia on wystarczające gwarancje wdrożenia odpowiednich środków technicznych i organizacyjnych, by przetwarzanie spełniało wymogi RODO i chroniło prawa osób, których dane dotyczą, i nałożył za naruszenie ww. przepisów administracyjną karę pieniężną w wysokości 4 911 732 zł;
  • stwierdził naruszenie przez PIKA art. 32 ust. 1 i 2 oraz art. 32 ust. 1 i 2 w związku z art. 28 ust. 3 lit. c i f RODO, tj. niewdrożenie odpowiednich środków technicznych i organizacyjnych zapewniających bezpieczeństwo danych osobowych, w tym zapewnienie ich poufności, i nałożył na PIKA administracyjną karę pieniężną w wysokości 250 135 zł.

Organ wskazał, że:

  • nie ustanowiono odpowiednich zabezpieczeń bazy danych, w której przetwarzane są dane osobowe, co doprowadziło do nieuprawnionego dostępu (wprowadzenie takich zabezpieczeń jest jednym z wzorcowych elementów bezpieczeństwa na podstawie normy ISO 27001:2017-06);
  • nie dokonano pseudonimizacji danych osobowych w nowo powstałej bazie, co w połączeniu z brakiem innych skutecznych zabezpieczeń doprowadziło do wystąpienia naruszenia ochrony danych;
  • polityki stosowane przez PIKA nie zawierały szczegółowych postanowień odnośnie do sposobu dokonywania zmian w systemach informatycznych służących do przetwarzania danych osobowych;
  • ewidencjonowanie przez PIKA prac dla klientów w wewnętrznym systemie nie jest wystarczające do zapewnienia bezpieczeństwa danych osobowych, gdyż poszczególne etapy prac nie są dostatecznie udokumentowane;
  • PIKA działała wbrew umowie powierzenia przetwarzania zawartej z Fortum, ponieważ nie została wdrożona pseudonimizacja;
  • PIKA nie zachowała należytej staranności, zasilając rzeczywistymi danymi osobowymi nowo utworzoną bazę danych;
  • Fortum nie prowadził nadzoru nad tym, jak faktycznie przebiega wdrożenie zmian w usłudze;
  • Fortum, jako administrator, nie jest zwolniony z realizacji obowiązków związanych z zapewnieniem bezpieczeństwa danych osobowych ze względu na korzystanie z usług podmiotu przetwarzającego;
  • Fortum nie przeprowadzał u podmiotu przetwarzającego audytów, w tym inspekcji na podstawie art. 28 ust. 3 lit. h RODO, podczas gdy jest to jeden z istotniejszych środków bezpieczeństwa – to uprawnienie jest powiązane z obowiązkiem nałożonym na administratora z art. 28 ust. 1 RODO, czyli wyborem odpowiedniego podmiotu przetwarzającego.

Prezes UODO uznał, że ani Administrator, ani podmiot przetwarzający nie wdrożyli odpowiednich środków technicznych i organizacyjnych mających zapewnić bezpieczeństwo przetwarzania danych osobowych, co stanowi naruszenie art. 32 RODO.

Ponadto Prezes UODO uznał, że długotrwała współpraca stron, która nie jest poparta okresowym, systematycznym przeprowadzaniem audytów bądź inspekcji, nie gwarantuje, że procesor w sposób prawidłowy wykona zadania wymagane przepisami oraz wynikające z umowy powierzenia przetwarzania. Dotychczasowa współpraca może stanowić wyłącznie punkt wyjścia do wykonywania weryfikacji podmiotu przetwarzającego. Zawarcie umowy powierzenia przetwarzania bez przeprowadzenia odpowiedniej weryfikacji nie jest wystarczające do spełnienia przez administratora obowiązków z art. 28 ust. 1 RODO.

Komentarz

W niniejszej sprawie Prezes UODO po raz pierwszy nałożył w jednym postępowaniu administracyjnym karę pieniężną jednocześnie na administratora i podmiot przetwarzający. Decyzja ta jest przełomowa ze względu na to, że pokazuje, jak istotne jest wykonywanie przez administratora obowiązku z art. 28 ust. 1 RODO, czyli weryfikowanie podmiotu przetwarzającego przed zawarciem umowy powierzenia przetwarzania.

Ponadto organ nadzorczy uznał, że obowiązek podmiotu przetwarzającego z art. 28 ust. 3 lit. h RODO, czyli udostępnienie administratorowi wszelkich informacji niezbędnych do wykazania spełnienia obowiązków z art. 28 RODO oraz umożliwianie administratorowi lub audytorowi upoważnionemu przez administratora przeprowadzania audytów, w tym inspekcji, powinien być – zdaniem organu – skorelowany z faktycznym przeprowadzeniem przez administratora takich audytów. Innymi słowy, korzystanie z usług outsourcingu nie zwalnia administratora z nadzoru nad takim podmiotem przetwarzającym, w tym ze sprawdzania, czy realizuje on zawartą umowę powierzenia przetwarzania. W praktyce oznacza to, że każdy administrator, który korzysta z usług outsourcingu, powinien zweryfikować, czy przeprowadził sprawdzenie procesora przed zawarciem umowy, w trybie art. 28 ust. 3 RODO, oraz powinien zaplanować przeprowadzanie audytów u procesora zgodnie z art. 28 ust. 3 lit. h RODO.

[1] Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych).