UODO zadecydował. Virgin Mobile Polska zapłaci 1,9 mln zł kary Strona główna Aktualności15.12.2020 08:02 UODO nałożył karę na Virgin Mobile Polska (fot. Flickr) Udostępnij: O autorze Michał Skorupka @MMSkorupka Urząd Ochrony Danych Osobowych nałożył na Virgin Mobile Polska karę w wysokości 1,9 mln zł. Jak przekazano w specjalnym komunikacie, decyzja ta jest efektem kontroli, jaką UODO przeprowadził w spółce po incydencie, w którym dostęp do danych klientów w jednej z baz uzyskała nieuprawniona osoba. Urząd uznał, że spółka nie przeprowadzała regularnych i kompleksowych testów, pomiarów i oceny skuteczności stosowanych środków technicznych i organizacyjnych, mających zapewnić bezpieczeństwo przetwarzanych danych. Zabrakło m.in. testów weryfikujących zabezpieczenia przekazywaniu danych między aplikacjami przy obsłudze osób kupujących usługi pre-paid. UODO podkreślił, że to właśnie podatność związaną z wymianą danych w tych systemach wykorzystała osoba nieuprawniona do pozyskania danych niektórych klientów spółki. - Dopiero po tym incydencie podjęto odpowiednie działania związane z naprawą wspomnianej funkcjonalności w systemie informatycznym spółki - czytamy na stronie UODO. ‼️ Prezes #UODO nałożył na @virginmobilepl karę w wysokości 1,9 mln zł za brak wdrożonych odpowiednich środków technicznych i organizacyjnych zapewniających bezpieczeństwo przetwarzanych danych ⤵️https://t.co/66LLSNT7xT— Urząd Ochrony Danych Osobowych (@UODOgov_pl) December 14, 2020 UODO w toku postępowania nie zgodził się z administratorem, który zapewniał, że testował i monitorował zastosowane środki techniczne, jak i organizacyjne mające zapewnić bezpieczeństwo danych osobowych. Zdaniem organu nadzoru, działania te były zarówno nieregularne, jak i niekompleksowe, ponieważ były podejmowane incydentalnie i nie obejmowały wszystkich systemów, w których przetwarzane są dane. Urząd stwierdził, że wdrożenie systemu służącego do przetwarzania danych do użytku bez dobrze działającej walidacji zakładanych parametrów jest rażącym naruszeniem administratora. Poinformował więc, że nakładając karę na operatora wziął pod uwagę poważny charakter owego naruszenia, gdyż stwarza ono wysokie ryzyko negatywnych skutków ochrony prawnej dla dużej liczby osób. Jako przykład wymieniono ryzyko kradzieży tożsamości. - Należy pamiętać, iż osoby nieuprawnione miały krótkotrwały dostęp do systemów, ale wystarczający aby pobrać dużą liczbę danych. Ponadto sam stan naruszenia był długotrwały, podatność zagrożenia wyciekiem danych istniała od dawna - czytamy na stronie Urzędu. W komunikacie poinformowano, że UODO wziął pod uwagę okoliczności łagodzące, jak np. dobrą współpracę administratora, szybkie usunięcie naruszenia po jego wykryciu oraz wdrożenie dodatkowych rozwiązań, które mają dodatkowo podnieść bezpieczeństwo przetwarzanych danych. UODO zdecydował, że zastosowanie innych środków naprawczych wobec Virgin Mobile Polska byłoby nieproporcjonalne do skali dopuszczonych się naruszeń. Zdaniem Urzędu to właśnie kara pieniężna sprawi, że spółka w przyszłości nie dopuści już do podobnych zaniedbań. Pełna treść decyzji jest dostępna pod tym linkiem. Biznes Bezpieczeństwo Udostępnij: © dobreprogramy Zgłoś błąd w publikacji Zobacz także Prezes UODO nakłada karę w transgranicznym postępowaniu. To pierwsza taka sytuacja 13 lip 2020 Klaudia Stawska Internet Biznes Bezpieczeństwo 19 Kara 100 tys. zł. dla Głównego Geodety Kraju. W Geoportalu były m.in. numery ksiąg wieczystych 17 lip 2020 Karolina Modzelewska Bezpieczeństwo 84 Kolejna kara dla Facebooka za wykorzystywanie danych. Tym razem zapłaci 6,5 mln dolarów 25 maj 2020 Arkadiusz Stando Internet Biznes Bezpieczeństwo 32 Morele.net może zapłacić rekordową karę. Sąd nie przyjął argumentów spółki 4 wrz 2020 Arkadiusz Stando Internet Biznes Bezpieczeństwo 245
Udostępnij: O autorze Michał Skorupka @MMSkorupka Urząd Ochrony Danych Osobowych nałożył na Virgin Mobile Polska karę w wysokości 1,9 mln zł. Jak przekazano w specjalnym komunikacie, decyzja ta jest efektem kontroli, jaką UODO przeprowadził w spółce po incydencie, w którym dostęp do danych klientów w jednej z baz uzyskała nieuprawniona osoba. Urząd uznał, że spółka nie przeprowadzała regularnych i kompleksowych testów, pomiarów i oceny skuteczności stosowanych środków technicznych i organizacyjnych, mających zapewnić bezpieczeństwo przetwarzanych danych. Zabrakło m.in. testów weryfikujących zabezpieczenia przekazywaniu danych między aplikacjami przy obsłudze osób kupujących usługi pre-paid. UODO podkreślił, że to właśnie podatność związaną z wymianą danych w tych systemach wykorzystała osoba nieuprawniona do pozyskania danych niektórych klientów spółki. - Dopiero po tym incydencie podjęto odpowiednie działania związane z naprawą wspomnianej funkcjonalności w systemie informatycznym spółki - czytamy na stronie UODO. ‼️ Prezes #UODO nałożył na @virginmobilepl karę w wysokości 1,9 mln zł za brak wdrożonych odpowiednich środków technicznych i organizacyjnych zapewniających bezpieczeństwo przetwarzanych danych ⤵️https://t.co/66LLSNT7xT— Urząd Ochrony Danych Osobowych (@UODOgov_pl) December 14, 2020 UODO w toku postępowania nie zgodził się z administratorem, który zapewniał, że testował i monitorował zastosowane środki techniczne, jak i organizacyjne mające zapewnić bezpieczeństwo danych osobowych. Zdaniem organu nadzoru, działania te były zarówno nieregularne, jak i niekompleksowe, ponieważ były podejmowane incydentalnie i nie obejmowały wszystkich systemów, w których przetwarzane są dane. Urząd stwierdził, że wdrożenie systemu służącego do przetwarzania danych do użytku bez dobrze działającej walidacji zakładanych parametrów jest rażącym naruszeniem administratora. Poinformował więc, że nakładając karę na operatora wziął pod uwagę poważny charakter owego naruszenia, gdyż stwarza ono wysokie ryzyko negatywnych skutków ochrony prawnej dla dużej liczby osób. Jako przykład wymieniono ryzyko kradzieży tożsamości. - Należy pamiętać, iż osoby nieuprawnione miały krótkotrwały dostęp do systemów, ale wystarczający aby pobrać dużą liczbę danych. Ponadto sam stan naruszenia był długotrwały, podatność zagrożenia wyciekiem danych istniała od dawna - czytamy na stronie Urzędu. W komunikacie poinformowano, że UODO wziął pod uwagę okoliczności łagodzące, jak np. dobrą współpracę administratora, szybkie usunięcie naruszenia po jego wykryciu oraz wdrożenie dodatkowych rozwiązań, które mają dodatkowo podnieść bezpieczeństwo przetwarzanych danych. UODO zdecydował, że zastosowanie innych środków naprawczych wobec Virgin Mobile Polska byłoby nieproporcjonalne do skali dopuszczonych się naruszeń. Zdaniem Urzędu to właśnie kara pieniężna sprawi, że spółka w przyszłości nie dopuści już do podobnych zaniedbań. Pełna treść decyzji jest dostępna pod tym linkiem. Biznes Bezpieczeństwo Udostępnij: © dobreprogramy Zgłoś błąd w publikacji