Pierwsza kara UODO dla firmy telekomunikacyjnej
Karę w wysokości 1,9 mln zł nałożono na Virgin Mobile Polska. Jest to efekt braku odpowiednich środków technicznych i organizacyjnych zapewniających bezpieczeństwo danych.
Nieprzetestowany system
O kontroli w Virgin Mobile Polska pisaliśmy tutaj>> W jej następstwie wszczęte zostało postępowanie w sprawie naruszenia przepisów o ochronie danych. W jego toku stwierdzono, że spółka naruszyła zasady poufności danych i rozliczalności. Nie przeprowadzała bowiem regularnych i kompleksowych testów, pomiarów i oceny skuteczności zastosowanych środków technicznych i organizacyjnych mających zapewnić bezpieczeństwo przetwarzanych danych. Tego typu działania były inicjowane jedynie w przypadku pojawiających się podejrzeń zaistnienia podatności ewentualnie w przypadku zmian organizacyjnych. Poza tym nie obejmowały wszystkich systemów, w których przetwarzane są dane.
Zdaniem Prezesa UODO spółka nie przeprowadzała też testów weryfikujących zabezpieczenia związane z przekazywaniem danych między aplikacjami, które związane były z obsługą kupujących usługi przedpłacone. Wymiana danych między aplikacjami w systemie IT miała być poprzedzana pewnych parametrów z wniosków rejestracyjnych klientów usług prepaid. Innymi słowy program miał sprawdzać, czy żądanie, w wyniku którego miały być przekazane dane, wpłynęło od uprawnionego podmiotu. Ta weryfikacja jednak w praktyce nie działała, poza tym mechanizm ten nie był testowany przed wdrożeniem.
W efekcie doszło do nieuprawnionego pozyskania danych niektórych klientów spółki w wyniku wykorzystania podatności związanej z wymianą w danych we wskazanych aplikacjach (brak weryfikacji niektórych parametrów. Jak zauważył organ nadzorczy, spółka podjęła działania związane z naprawą teh funkcjonalności w systemie IT dopiero po wystąpieniu naruszenia..
Jak wskazał Prezes UODO, wdrożenie systemu służącego do przetwarzania danych do użytku bez poprawnie działającej walidacji zakładanych parametrów jest naruszeniem ochrony danych.
Dlaczego tak surowa kara
Duża kwota kary wynika m.in. z oceny naruszenia jako poważnego, stwarzającego wysokie ryzyko wystąpienia negatywnych dla dużej liczby osób (np. kradzieży tożsamości). Nawet krótkotrwały dostęp do danych wystarczałby bowiem do pobrania ich dużej liczby. Poza tym sama podatność zagrożenia wyciekiem danych istniała dość długo. Jednocześnie wzięto pod uwagę pewne okoliczności łagodzące, w tym dobrą współpracę administratora, szybkie usunięcie naruszenia po jego wykryciu, ale i wdrożenie dodatkowych rozwiązań, które mają dodatkowo podnieść bezpieczeństwo przetwarzanych danych.
Orzecznictwo:
- decyzja Prezesa UODO z 3 grudni 2020 r. (DKN.5112.1.2020)
- Strona internetowa UODO (uodo.gov.pl)
- Kara za przetwarzanie danych osobowych w rozmowach telefonicznych bez podstawy prawnej
- Informacja publiczna na wniosek dziennikarza – czy podlega anonimizacji
- Pozyskanie zaświadczenia o niekaralności z Krajowego Rejestru Karnego może skutkować naruszeniem RODO
- Santander Bank Polska z wysoką karą UODO za niezgłoszenie naruszenia ochrony danych
- Zwalczanie nadużyć w komunikacji elektronicznej – nowe zadania firm telekomunikacyjnych
- Linie lotnicze nie informują o usunięciu danych osobowych
Wideo: Przegląd orzecznictwa (sierpień – listopad 2022 r.) – cz. III – decyzje zagranicznych organów nadzorczych
Poznaj najważniejsze orzeczenia zagranicznych organów nadzorczych. W podsumowaniu poruszamy zagadnienia związane m.in. z geolokalizacją, prawem dostępem do danych, cyberatakiem na gminę czy rozpoznawaniem twarzy.
