PUODO nałożył karę administracyjną w wysokości ponad 4,9 mln zł za niewdrożenie odpowiednich środków technicznych i organizacyjnych zapewniających bezpieczeństwo danych osobowych oraz brak weryfikacji podmiotu przetwarzającego. Podmiot przetwarzający otrzymał karę w wysokości 250 tys. zł.

Urząd Ochrony Danych Osobowych poinformował o karze nałożonej na Fortum Marketing and Sales Polska S.A.

"Naruszenie ochrony danych polegało na skopiowaniu danych klientów administratora przez nieuprawnione osoby. Doszło do tego w momencie wprowadzania zmiany w środowisku teleinformatycznym. Zmiany tej dokonał  podmiot przetwarzający, z którym administrator współpracuje na podstawie zawartych  umów w tym umowy powierzenia przetwarzania danych osobowych.  W trakcie dokonywanych zmian utworzona została dodatkowa bazy danych klientów Fortum. Baza ta została jednak skopiowana przez nieuprawnione osoby, gdyż serwer, na którym została ona wdrożona, nie miał odpowiednio skonfigurowanych zabezpieczeń. Administrator dowiedział się o incydencie nie od podmiotu przetwarzającego, a od dwóch niezależnych internautów, którzy powiadomili go, że mają nieuprawniony dostęp do bazy."

 

Artykuł UODO TUTAJ