Na skutek uwzględnienia skargi kasacyjnej Prezesa Urzędu Ochrony Danych Osobowych Naczelny Sąd Administracyjny uchylił zaskarżony wyrok Wojewódzkiego Sądu Administracyjnego w Warszawie w sprawie naruszenia przepisów o ochronie danych osobowych przez Fortum Marketing and Sales S.A. i Pika Sp. z o.o.

Wcześniej WSA uchylił decyzję Prezesa UODO nakładającą administracyjne kary pieniężne na Fortum jako administratora danych osobowych oraz na Pikę jako podmiot przetwarzający. Sprawa dotyczyła odpowiedzialności administratora oraz podmiotu przetwarzającego za naruszenie przepisów RODO.

Sprawa sięga kwietnia 2020 r., kiedy Fortum zgłosiło organowi nadzorczemu naruszenie ochrony danych osobowych. Naruszenie było związane z wprowadzeniem zmian w środowisku teleinformatycznym pełniącego funkcję cyfrowego archiwum. W odpowiedzi na sygnalizowane przez Fortum problemy z wydajnością systemu podmiot przetwarzający – spółka Pika – podjął działania modernizacyjne polegające na utworzeniu dodatkowej bazy danych i zasileniu jej danymi klientów administratora.

Jednak nowo utworzoną bazę udostępniono w sposób nieprawidłowy, co umożliwiło osobom nieuprawnionym dostęp do danych klientów oraz ich skopiowanie.

Szeroki zakres ujawnionych danych obejmował m.in. imiona i nazwiska, adresy zamieszkania, numery PESEL, dane dokumentów tożsamości, dane kontaktowe oraz informacje dotyczące zawartych umów. Ostatecznie ustalono, że naruszenie ochrony danych osobowych dotyczyło danych ponad 95 tys. osób fizycznych.

Administrator początkowo uznał, że nie zaszło wysokie ryzyko naruszenia praw lub wolności osób, których dane dotyczą - i nie powiadomił ich o incydencie.

Dopiero później, po interwencji Prezesa UODO, doszło do zawiadomienia osób, których dane udostępniono, oraz do przekazania im zaleceń mających ograniczyć potencjalne skutki naruszenia.

więcej:

https://uodo.gov.pl/pl/138/4088

UODO