L'APD polonaise a infligé une amende d'un million d'euros à Fortum Marketing and Sales Polska SA. L'entreprise avait signalé une violation de données à l'APD conformément à l'art. 33 RGPD. Au cours de son enquête, la DPA a découvert que des personnes non autorisées avaient réussi à accéder aux données des clients et à les détourner. La violation de données s'est produite au moment de l'introduction d'un changement dans l'environnement informatique de l'entreprise. Le changement a été effectué par un agent de traitement. Dans le cadre du changement, une base de données client Fortum supplémentaire a été créée. Cependant, le serveur sur lequel la base de données était stockée ne disposait pas de mesures de sécurité suffisantes, c'est pourquoi les personnes non autorisées ont réussi à accéder aux données. La DPA a également constaté que le processeur n'avait pas réussi à pseudonymiser et à chiffrer les données. De plus, l'agent de traitement utilisait des données client réelles, plutôt que des données de test, pour tester les modifications apportées au système. Pour cette raison, la DPA a conclu que le responsable du traitement n'avait pas pris les mesures techniques et organisationnelles appropriées pour assurer la protection des données personnelles. En outre, la DPA a estimé que le responsable du traitement aurait été tenu de surveiller le travail du sous-traitant pour s'assurer que la protection des données personnelles est garantie en permanence.