Sprawa naruszenia ochrony danych przez Fortum i podmiot przetwarzający trafi do ponownego rozpoznania

12/03/2026

Nsa, Puodo, Kara Za Naruszenie Rodo, Podmiot Przetwarzający, Niewłaściwe Zabezpieczenie Danych,

Naczelny Sąd Administracyjny uwzględnił skargę kasacyjną Prezesa UODO i uchylił wyrok Wojewódzkiego Sądu Administracyjnego w Warszawie. Sprawa dotyczy naruszenia ochrony danych osobowych ponad 95 tysięcy klientów spółki Fortum Marketing and Sales S.A. oraz odpowiedzialności podmiotu przetwarzającego – Pika Sp. z o.o.

Sprawa naruszenia ochrony danych przez Fortum i podmiot przetwarzający trafi do ponownego rozpoznania

Błędna konfiguracja bazy danych przez podmiot przetwarzający ujawniła dane 95 tysięcy klientów Fortum

W 2020 roku systemu spółka Pika, pełniąca rolę podmiotu przetwarzającego, podjęła prace modernizacyjne. Utworzyła dodatkową bazę danych zasiloną danymi klientów Fortum, ale skonfigurowała ją nieprawidłowo. W efekcie osoby nieuprawnione uzyskały dostęp do danych osobowych, takich jak imiona i nazwiska, numery PESEL, adresy zamieszkania, dane dokumentów tożsamości oraz informacje o zawartych umowach. Naruszenie ochrony danych osobowych dotyczyło ponad 95 tysięcy osób fizycznych. Administrator początkowo nie zgłosił incydentu, uznając, że nie wiąże się on z wysokim ryzykiem.

5 mln zł kary dla Fortum i ponad 250 tys. zł dla podmiotu przetwarzającego Pika

Prezes UODO ustalił, że Fortum jako administrator danych nie zweryfikował przed zawarciem umowy powierzenia, czy Pika zapewnia wystarczające gwarancje bezpieczeństwa, i nie sprawował realnego nadzoru nad pracami w systemie. Z kolei spółka Pika wykorzystywała rzeczywiste dane do celów testowych bez pseudonimizacji, nie testowała zabezpieczeń i przeprowadziła niekompletną konfigurację techniczną. Na tej podstawie PUODO nałożył na Fortum karę blisko 5 milionów złotych, a na spółkę Pika – ponad 250 tysięcy złotych. WSA uchylił tę decyzję, uznając ustalenia za niewystarczające. Sprawa ostatecznie trafiła przed NSA, który potwierdził kompletność materiału dowodowego i przekazał sprawę do ponownego rozpoznania.

Źródło: https://uodo.gov.pl/pl/138/4088

Masz pytania?

Jeśli masz więcej pytań dotyczących RODO i sztucznej inteligencji- więcej informacji znajdziesz w naszym serwisie. Przejrzyj nasze zasoby!

Jeżeli chcesz być na bieżąco z tematyką RODO, prawa nowych technologii i AI obserwuj nas!

Facebook https://www.facebook.com/odoserwis.pl.2016/

Linkedin https://www.linkedin.com/company/odoserwis-pl/

Wydawcą odoserwis.pl jest firma JDS Consulting świadcząca usługi outsourcingu Inspektora ochrony danych, doradztwa i audytu RODO; www.jds.com.pl

Jeżeli chciałbyś skorzystać z opinii lub porady prawnej nie wahaj się skontaktować z nami office@jds.com.pl ; www.jds.com.pl

Nsa, Puodo, Kara Za Naruszenie Rodo, Podmiot Przetwarzający, Niewłaściwe Zabezpieczenie Danych,

Zobacz również

Naruszenie ochrony danych

WSA potwierdził karę dla Polskiego Radia Szczecin

Wojewódzki Sąd Administracyjny w Warszawie oddalił skargę Polskiego Radia – Regionalnej Rozgłośni w Szczecinie na decyzję Prezesa UODO. Tym samym potwierdził, że Radio Szczecin musi zapłacić karę za naruszenie przepisów RODO. Chodzi o brak odpowiednich procedur i opubli(...)

Naruszenie ochrony danych

NSA podtrzymał karę dla Santander Bank Polska: były pracownik miał dostęp do danych przez 8 miesięcy

Naczelny Sąd Administracyjny oddalił skargę kasacyjną Santander Bank Polska S.A. i potwierdził decyzję Prezesa UODO. Bank, który nie poinformował pracowników o naruszeniu ochrony ich danych osobowych, musi niezwłocznie wywiązać się z tego obowiązku. Za naruszenie przepi(...)

Naruszenie ochrony danych

Fundacja Lumus ukarana przez PUODO

Prezes UODO Mirosław Wróblewski nałożył kary administracyjne na Fundację Lumus Zapłaci ona w sumie 22 920 zł za liczne naruszenia przepisów o ochronie danych osobowych. Wśród tych naruszeń znalazło się nieuprawnione ujawnienie danych beneficjentów pomocy prawnej, brak n(...)