Den polska dataskyddsmyndigheten Urzędu Ochrony Danych Osobowych (UODO) har bötfällt Fortum Marketing and Sales Polska S.A. med 4 911 732 zloty för överträdelser av artiklarna 5.1 (f), 24.1, 25.1, 28.1, 32.1 och 32.2 i dataskyddsförordningen (GDPR).
Av beslutet framgår att UODO inlett sin granskning efter att Fortum anmält en personuppgiftsincident som gällde kopiering av en kunddatabas av obehöriga tredje parter. UODO noterade att personuppgiftsincidenten inträffat när PIKA Sp. z o. o., Fortums personuppgiftsbiträde, infört förändringar i IKT-miljön, eftersom den server där databasen installerats saknade lämplig konfiguration för att garantera säkerheten vid överföring sv uppgifter från den nya servern till andra IKT-element i Fortum-miljön som används för att behandla personuppgifter.
UODO konstaterade att Fortum inte genomfört revisioner för att kontrollera att PIKA i egenskap av personuppgiftsbiträde korrekt uppfyllt sina skyldigheter enligt dataskyddsförordningen, vilket innebär en överträdelse av artikel 25.1 GDPR. Dessutom konstaterade UODO att de tekniska och organisatoriska åtgärder som Fortum implementerat endast i mycket begränsad utsträckning uppfyllde de krav som anges i artikel 32 GDPR då Fortum bland annat inte följt bolagets egna praxis vid förändringar i IT-miljön och inte utfört nödvändiga kontroller av personuppgiftsbiträdet.
Med hänsyn till de fastställda omständigheterna konstaterade UODO att det var motiverat att utfärda administrativa sanktionsavgifter mot Fortum på 4 911 732 zloty. Även personuppgiftsbiträdet PIKA bötfälldes med 250 000 zloty (läs mer om detta här).