Polen: Fortum bötfälls med 4,9 miljoner zloty för otillräckliga säkerhetsåtgärder

Den polska dataskyddsmyndigheten Urzędu Ochrony Danych Osobowych (UODO) har bötfällt Fortum Marketing and Sales Polska S.A. med 4 911 732 zloty för överträdelser av artiklarna 5.1 (f), 24.1, 25.1, 28.1, 32.1 och 32.2 i dataskyddsförordningen (GDPR).

Av beslutet framgår att UODO inlett sin granskning efter att Fortum anmält en personuppgiftsincident som gällde kopiering av en kunddatabas av obehöriga tredje parter. UODO noterade att personuppgiftsincidenten inträffat när PIKA Sp. z o. o., Fortums personuppgiftsbiträde, infört förändringar i IKT-miljön, eftersom den server där databasen installerats saknade lämplig konfiguration för att garantera säkerheten vid överföring sv uppgifter från den nya servern till andra IKT-element i Fortum-miljön som används för att behandla personuppgifter.

UODO konstaterade att Fortum inte genomfört revisioner för att kontrollera att PIKA i egenskap av personuppgiftsbiträde korrekt uppfyllt sina skyldigheter enligt dataskyddsförordningen, vilket innebär en överträdelse av artikel 25.1 GDPR. Dessutom konstaterade UODO att de tekniska och organisatoriska åtgärder som Fortum implementerat endast i mycket begränsad utsträckning uppfyllde de krav som anges i artikel 32 GDPR då Fortum bland annat inte följt bolagets egna praxis vid förändringar i IT-miljön och inte utfört nödvändiga kontroller av personuppgiftsbiträdet.

Med hänsyn till de fastställda omständigheterna konstaterade UODO att det var motiverat att utfärda administrativa sanktionsavgifter mot Fortum på 4 911 732 zloty. Även personuppgiftsbiträdet PIKA bötfälldes med 250 000 zloty (läs mer om detta här).

Mer information

Myndighet: Urzędu Ochrony Danych Osobowych (UODO)

Land: Polen

Lagrum: Art. 5 GDPR, art. 24 GDPR, art. 25 GDPR, art. 28 GDPR, art. 32 GDPR

Sanktionsavgift: 4 911 732  zloty

Mottagare: Fortum Marketing and Sales Polska S.A.

Beslutsnummer: DKN.5130.2215.2020

Beslutsdatum: 2022-01-19

Källa: Beslut

Relaterade nyheter

Områden

I fokus

Länder

Taggar

Populära kurser

Expertis

Gå kurs med oss

06 OKT

Säkerhet för
icke-tekniker

Få en övergripande introduktion till säkerhet vid behandling av personuppgifter.

13 OKT

Privacy by Design
& Privacy by Default

Öka dina kunskaper om GDPR:s krav på inbyggt dataskydd och dataskydd som standard.

10 NOV

Artificiell intelligens & personuppgifter

Få en genomgång av de viktigaste reglerna för AI ur ett dataskyddsperspektiv.