18 gru Wysoka kara UODO dla Virgin Mobile Polska
Prezes Urzędu Ochrony Danych Osobowych po raz kolejny w wyniku przeprowadzonego postępowania nałożył karę w wysokości 1,9 mln zł za naruszenie przepisów o ochronie danych osobowych – tym razem na spółkę Virgin Mobile Polska.
Kontrola UODO została przeprowadzona po zgłoszeniu przez Spółkę naruszenia ochrony danych osobowych w grudniu 2019 r. Polegało ono na uzyskaniu przez nieuprawnioną osobę dostępu do dużej ilości danych części abonentów usług przedpłaconych, w tym imienia i nazwiska, numeru PESEL, serii i numeru dowodu osobistego. Na skutek nieprawidłowości wynikających z przeprowadzonej kontroli, Prezes UODO podjął decyzję o wszczęciu postępowania administracyjnego wobec spółki.
Zaniechania w ochronie danych osobowych
Przeprowadzone postępowanie wykazało, że w spółce nie dokonywano regularnych testów, pomiarów i oceny skuteczności stosowanych przez nią środków technicznych oraz organizacyjnych, które miały zapewnić bezpieczeństwo przetwarzanych danych osobowych. W ocenie organu nadzorczego stanowi to naruszenie zasady poufności i rozliczalności danych, o których mowa w RODO. Kontrola Prezesa UODO wykazała, że te czynności były dokonywane jedynie w miarę potrzeb, tj. gdy pojawiały się podejrzenia zaistnienia luk w systemach informatycznych lub zmiany organizacyjne. Wobec czego Prezes UODO uznał, że opisane działania spółki nie zapewniały regularnego i kompleksowego monitorowania stosowanych zabezpieczeń.
Co więcej kontrola wykazała, że spółka nie przeprowadziła testów weryfikujących zabezpieczenia dotyczących przekazywania danych pomiędzy aplikacjami, które służą do rejestracji usług przedpłaconych. Jak się okazało, takie działania zostały podjęte dopiero po wystąpieniu wyżej opisanego incydentu, a luka w systemach informatycznych została wykorzystana przez osobę nieuprawnioną.
Wobec tego organ nadzorczy uznał, że:
- Naruszenie ma znaczną wagę i poważny charakter – istnieje wysokie ryzyko negatywnych skutków prawnych dla dużej liczby osób, np. wykorzystanie danych osobowych w celu zaciągnięcia zobowiązań w imieniu osób, których dane trafiły w niepowołane ręce;
- Wdrożenie i korzystanie z systemu służącego do przetwarzania danych, który nie zapewnia poprawnie działającej walidacji parametrów jest rażącym naruszeniem spółki jako administratora;
- Z uwagi na luki systemu informatycznego, ryzyko wycieku danych istniało od dawna.
Współpraca z UODO popłaca
Wydając decyzję o nałożeniu kary Prezes UODO wziął także pod uwagę okoliczności łagodzące, takie jak dobra współpraca spółki z organem nadzorczym, konkretne i szybkie działania, mające na celu usunięcie naruszenia oraz wdrożenie dodatkowych rozwiązań (normy ISO) gwarantujące bezpieczeństwo na wysokim poziomie.
W ocenie organu nałożona kara jest proporcjonalna do stwierdzonego naruszenia i do przychodów netto spółki za 2019 r. Ponadto ma ona także pomóc w uniknięciu tego typu zdarzeń w przyszłości oraz może zapobiec naruszeniom obowiązków wynikających z przepisów o ochronie danych osobowych.
Sprawa Virgin Mobile Polska dobitnie pokazuje, że jednorazowe wdrożenie RODO nie jest możliwe. Stosowanie zasad przetwarzania danych osobowych wymaga ciągłej aktywności i regularnego monitoringu aktualności stosowanych rozwiązań i zabezpieczeń.
