Pierwsza kara UODO dla firmy telekomunikacyjnej

Dodano: 16 grudnia 2020
Pierwsza kara UODO dla firmy telekomunikacyjnej

Karę w wysokości 1,9 mln zł nałożono na Virgin Mobile Polska. Jest to efekt braku odpowiednich środków technicznych i organizacyjnych zapewniających bezpieczeństwo danych.

Nieprzetestowany system

O kontroli w Virgin Mobile Polska pisaliśmy tutaj>> W jej następstwie wszczęte zostało postępowanie w sprawie naruszenia przepisów o ochronie danych. W jego toku stwierdzono, że spółka naruszyła zasady poufności danych i rozliczalności. Nie przeprowadzała bowiem regularnych i kompleksowych testów, pomiarów i oceny skuteczności zastosowanych środków technicznych i organizacyjnych mających zapewnić bezpieczeństwo przetwarzanych danych. Tego typu działania były inicjowane jedynie w przypadku pojawiających się podejrzeń zaistnienia podatności ewentualnie w przypadku zmian organizacyjnych. Poza tym nie obejmowały wszystkich systemów, w których przetwarzane są dane.

Zdaniem Prezesa UODO spółka nie przeprowadzała też testów weryfikujących zabezpieczenia związane z przekazywaniem danych między aplikacjami, które związane były z obsługą kupujących usługi przedpłacone. Wymiana danych między aplikacjami w systemie IT miała być poprzedzana pewnych parametrów z wniosków rejestracyjnych klientów usług prepaid. Innymi słowy program miał sprawdzać, czy żądanie, w wyniku którego miały być przekazane dane, wpłynęło od uprawnionego podmiotu. Ta weryfikacja jednak w praktyce nie działała, poza tym mechanizm ten nie był testowany przed wdrożeniem.

W efekcie doszło do nieuprawnionego pozyskania danych niektórych klientów spółki w wyniku wykorzystania podatności związanej z wymianą w danych we wskazanych aplikacjach (brak weryfikacji niektórych parametrów. Jak zauważył organ nadzorczy, spółka podjęła działania związane z naprawą teh funkcjonalności w systemie IT dopiero po wystąpieniu naruszenia..

Uwaga

Jak wskazał Prezes UODO, wdrożenie systemu służącego do przetwarzania danych do użytku bez poprawnie działającej walidacji zakładanych parametrów jest naruszeniem ochrony danych.

Dlaczego tak surowa kara

Duża kwota kary wynika m.in. z oceny naruszenia jako poważnego, stwarzającego wysokie ryzyko wystąpienia negatywnych dla dużej liczby osób (np. kradzieży tożsamości). Nawet krótkotrwały dostęp do danych wystarczałby bowiem do pobrania ich dużej liczby. Poza tym sama podatność zagrożenia wyciekiem danych istniała dość długo. Jednocześnie wzięto pod uwagę pewne okoliczności łagodzące, w tym dobrą współpracę administratora, szybkie usunięcie naruszenia po jego wykryciu, ale i wdrożenie dodatkowych rozwiązań, które mają dodatkowo podnieść bezpieczeństwo przetwarzanych danych.

Orzecznictwo:

  • decyzja Prezesa UODO z 3 grudni 2020 r. (DKN.5112.1.2020)
Źródło:

Czytelnicy tego artykułu skorzystali również z poniższych narzędzi

Nasi partnerzy i zdobyte nagrody


© Portal Poradyodo.pl

Poznaj kluczowe zagadnienia, z jakimi możesz się zetknąć podczas codziennej pracy IODO.
E-kurs dla początkującego Inspektora Danych Osobowych. Rzetelna wiedza i praktyczne ćwiczenia.

SPRAWDŹ »

x
wiper-pixel