Den polska dataskyddsmyndigheten Urzędu Ochrony Danych Osobowych (UODO) har bötfällt PIKA Sp. z o.o. med 250 135 zloty för överträdelser av artiklarna 28.3 (c) och (f), 32.1 och 32.2 i dataskyddsförordningen (GDPR).
Av beslutet framgår att händelsen är relaterad till den sanktionsavgift som ålades Fortum Marketing and Sales Polska S.A. (läs mer om detta här). PIKA behandlade personuppgifter i egenskap av personuppgiftsbiträde för Fortums räkning.
Under sin utredning konstaterade UODO att obehöriga personer lyckats få tillgång till kunduppgifter. Dataintrånget inträffade i samband med att PIKA införde en förändring i företagets it-miljö. Som en del av denna förändring skapades ytterligare en kunddatabas för Fortum. Servern där databasen lagrades hade dock inte tillräckliga säkerhetsåtgärder, varför obehöriga kunde få tillgång till uppgifterna.
UODO konstaterade också att PIKA underlåtit att pseudonymisera och kryptera uppgifterna. Därutöver hade PIKA använt riktiga kunduppgifter i stället för testuppgifter för att testa systemändringarna. Av denna anledning drog UODO slutsatsen att PIKA underlåtit att vidta lämpliga tekniska och organisatoriska åtgärder för att säkerställa skyddet av personuppgifter i enlighet med artiklarna 28.3 (c) och (f), 32.1 och 32.2 GDPR.