Naczelny Sąd Administracyjny uchylił wyrok sądu niższej instancji, przychylając się do stanowiska Prezesa UODO w sprawie nałożenia kar finansowych na spółki Fortum oraz Pika. Sprawa dotyczy incydentu bezpieczeństwa z 2020 roku, w wyniku którego dane ponad 95 tysięcy klientów stały się dostępne dla osób nieuprawnionych. Rozstrzygnięcie NSA potwierdza, że brak realnego nadzoru nad podmiotem przetwarzającym oraz zaniedbania w konfiguracji środowisk testowych stanowią bezpośrednie naruszenie przepisów RODO, za które finansową odpowiedzialność ponoszą oba zaangażowane podmioty.
Przyczyny i przebieg incydentu bezpieczeństwa
Bezpośrednią przyczyną naruszenia były prace modernizacyjne w cyfrowym archiwum, prowadzone przez podmiot przetwarzający (Pika Sp. z o.o.) na zlecenie administratora (Fortum Marketing and Sales S.A.). W celu poprawy wydajności systemu utworzono dodatkową bazę danych, która została niewłaściwie zabezpieczona, co umożliwiło osobom trzecim wgląd i skopiowanie zasobów. Zakres wycieku obejmował wrażliwe informacje, w tym numery PESEL, dane dokumentów tożsamości oraz szczegóły zawartych umów.
Istotnym błędem operacyjnym po stronie administratora było pierwotne zaniechanie powiadomienia osób dotkniętych incydentem. Fortum błędnie oszacowało ryzyko naruszenia praw i wolności osób fizycznych jako niskie, co spotkało się z późniejszą interwencją organu nadzorczego.
Uchybienia w nadzorze i standardach technicznych
Postępowanie wykazało szereg zaniedbań w obszarze zarządzania bezpieczeństwem informacji. Prezes UODO sformułował kluczowe zarzuty wobec obu stron relacji biznesowej:
- po stronie administratora: brak weryfikacji gwarancji bezpieczeństwa przed powierzeniem danych, rezygnacja z przysługującego prawa do audytu oraz brak nadzoru nad wdrażaniem zmian w środowisku IT.
- po stronie procesora: wykorzystywanie rzeczywistych danych osobowych w procesach testowych bez ich uprzedniej pseudonimizacji, brak testowania zabezpieczeń na etapie deweloperskim oraz błędy w konfiguracji infrastruktury technicznej (m.in. brak aktywnych zapór sieciowych).
Organ nadzorczy podkreślił, że praktyki te są niezgodne z uznanymi standardami międzynarodowymi, takimi jak normy ISO/IEC 27001 i 27002, które nakazują stosowanie identycznych środków ochrony w środowiskach testowych i produkcyjnych, o ile wykorzystywane są w nich dane rzeczywiste.
Rozstrzygnięcie prawne i wysokość kar
W konsekwencji stwierdzonych naruszeń, na administratora nałożono karę w wysokości blisko 5 mln zł, natomiast na podmiot przetwarzający ponad 250 tys. zł. Choć Wojewódzki Sąd Administracyjny początkowo podważył te decyzje, Naczelny Sąd Administracyjny uznał ustalenia organu nadzorczego za kompletne i rzetelne. NSA podkreślił, że dla stwierdzenia naruszenia wystarczające jest samo wystąpienie ryzyka utraty poufności, niezależnie od czasu trwania ekspozycji danych na czynniki zewnętrzne.