Spółka Panek SA stanęła w obliczu poważnych konsekwencji naruszenia przepisów RODO, czego rezultatem była kara finansowa nałożona przez Prezesa Urzędu Ochrony Danych Osobowych (PUODO). Incydent uwidocznił istotne braki w organizacji oraz wdrażaniu środków technicznych i organizacyjnych zapewniających bezpieczeństwo przetwarzania danych.
Jak doszło do naruszenia?
Problem pojawił się w trakcie przebudowy strony internetowej spółki. W wyniku braku odpowiedniej komunikacji między administratorem danych (spółką) a podmiotem przetwarzającym (firmą IT), doszło do błędu konfiguracji serwera. Pracownik podwykonawcy przypadkowo umieścił na nowej stronie pliki zawierające dane osobowe klientów i pracowników ze starego serwisu. Pliki te zostały zindeksowane przez Google, co sprawiło, że stały się publicznie dostępne.
Dane, które wyciekły, obejmowały:
- imiona i nazwiska,
- adresy e-mail,
- adresy zamieszkania,
- zaszyfrowane hasła dostępu do panelu klienta.
Incydent dotyczył łącznie 21 453 osób, w tym klientów i pracowników spółki.
Kary finansowe i odpowiedzialność
W wyniku postępowania PUODO, spółka Panek SA została ukarana grzywną w wysokości 1 527 855 zł, a firma IT obsługująca serwis – administracyjną karą pieniężną wynoszącą 20 037 zł. Wysokość kar wynikała z:
- skali naruszenia,
- liczby osób, których dane zostały ujawnione,
- rocznych obrotów administratora danych, zgodnie z przepisami RODO.
Błędy organizacyjne i brak nadzoru
Analiza incydentu ujawniła istotne braki w działaniach zarówno spółki, jak i podwykonawcy:
- Brak analizy ryzyka – Administrator danych nie zidentyfikował potencjalnych zagrożeń związanych z migracją danych.
- Niewystarczające środki ochrony – Wdrożone rozwiązania techniczne i organizacyjne nie były testowane ani oceniane pod kątem skuteczności.
- Brak nadzoru – Spółka nie monitorowała procesu przebudowy strony, zakładając, że firma IT zapewni odpowiedni poziom ochrony.
- Niejasna umowa o powierzeniu przetwarzania danych – Dokument nie uwzględniał szczególnych wymagań dotyczących strony internetowej jako zbioru danych osobowych.
Incydent pokazuje, jak kluczowe znaczenie ma odpowiednie zarządzanie bezpieczeństwem danych osobowych. PUODO podkreśla, że administrator danych jest odpowiedzialny za zapewnienie właściwego poziomu ochrony, nawet jeśli powierza przetwarzanie danych innemu podmiotowi.