UODO zadecydował. Virgin Mobile Polska zapłaci 1,9 mln zł kary
Urząd Ochrony Danych Osobowych nałożył na Virgin Mobile Polska karę w wysokości 1,9 mln zł. Jak przekazano w specjalnym komunikacie, decyzja ta jest efektem kontroli, jaką UODO przeprowadził w spółce po incydencie, w którym dostęp do danych klientów w jednej z baz uzyskała nieuprawniona osoba.
Urząd uznał, że spółka nie przeprowadzała regularnych i kompleksowych testów, pomiarów i oceny skuteczności stosowanych środków technicznych i organizacyjnych, mających zapewnić bezpieczeństwo przetwarzanych danych. Zabrakło m.in. testów weryfikujących zabezpieczenia przekazywaniu danych między aplikacjami przy obsłudze osób kupujących usługi pre-paid. UODO podkreślił, że to właśnie podatność związaną z wymianą danych w tych systemach wykorzystała osoba nieuprawniona do pozyskania danych niektórych klientów spółki. - Dopiero po tym incydencie podjęto odpowiednie działania związane z naprawą wspomnianej funkcjonalności w systemie informatycznym spółki - czytamy na stronie UODO.
UODO w toku postępowania nie zgodził się z administratorem, który zapewniał, że testował i monitorował zastosowane środki techniczne, jak i organizacyjne mające zapewnić bezpieczeństwo danych osobowych. Zdaniem organu nadzoru, działania te były zarówno nieregularne, jak i niekompleksowe, ponieważ były podejmowane incydentalnie i nie obejmowały wszystkich systemów, w których przetwarzane są dane.
Urząd stwierdził, że wdrożenie systemu służącego do przetwarzania danych do użytku bez dobrze działającej walidacji zakładanych parametrów jest rażącym naruszeniem administratora. Poinformował więc, że nakładając karę na operatora wziął pod uwagę poważny charakter owego naruszenia, gdyż stwarza ono wysokie ryzyko negatywnych skutków ochrony prawnej dla dużej liczby osób. Jako przykład wymieniono ryzyko kradzieży tożsamości.
- Należy pamiętać, iż osoby nieuprawnione miały krótkotrwały dostęp do systemów, ale wystarczający aby pobrać dużą liczbę danych. Ponadto sam stan naruszenia był długotrwały, podatność zagrożenia wyciekiem danych istniała od dawna - czytamy na stronie Urzędu.
W komunikacie poinformowano, że UODO wziął pod uwagę okoliczności łagodzące, jak np. dobrą współpracę administratora, szybkie usunięcie naruszenia po jego wykryciu oraz wdrożenie dodatkowych rozwiązań, które mają dodatkowo podnieść bezpieczeństwo przetwarzanych danych.
UODO zdecydował, że zastosowanie innych środków naprawczych wobec Virgin Mobile Polska byłoby nieproporcjonalne do skali dopuszczonych się naruszeń. Zdaniem Urzędu to właśnie kara pieniężna sprawi, że spółka w przyszłości nie dopuści już do podobnych zaniedbań.
Pełna treść decyzji jest dostępna pod tym linkiem.
