Kontynuacja sprawy Virgin Mobile Polska – kara za brak środków bezpieczeństwa danych abonentów
Prezes UODO nałożył karę 1,6 mln zł na P4 Sp. z o.o., następcę prawnego Virgin Mobile Polska Sp. z o.o. Tak wysoka kara była wynikiem niewdrożenia środków bezpieczeństwa przez Virgin Mobile.
Pierwsza decyzja dotycząca Virgin Mobile uchylona przez sąd
Nie jest to pierwsza kara dotycząca Virgin Mobile. Spółka ta była już ukarana karą w wysokości 1,9 mln zł za brak regularnych i kompleksowych testów, pomiarów i oceny skuteczności zastosowanych środków technicznych i organizacyjnych. Więcej na ten temat przeczytasz tutaj>>
Karę uchylił jednak Wojewódzki Sąd Administracyjny w Warszawie w wyroku z 21 października 2021 r. (II SA/Wa 272/21). Sąd stwierdził m.in. nieprawidłowy wymiar kary, ponieważ organ nadzorczy nie uwzględnił podejmowanych przez spółkę Virgin Mobile Polska działań w celu zminimalizowania szkody poniesionej przez osoby.
Niewystarczające zabezpieczenia u operatora telekomunikacyjnego
Wobec tego sprawa została rozpoznana ponownie. Organ nadzorczy ponownie stwierdził, że Virgin Mobile Polska Sp. z o.o. nie wdrożyła środków technicznych i organizacyjnych odpowiednich do poziomu ryzyka przetwarzania w ramach systemów IT. Wyciek danych abonentów był efektem wykorzystania podatności tych systemów. Systemy te były wykorzystywane do rejestracji danych osobowych abonentów usług przedpłaconych.
Administrator powinien uwzględnić ryzyko wiążące się z przetwarzaniem, wynikające zwłaszcza z przypadkowego lub niezgodnego z prawem:
- zniszczenia,
- utraty,
- modyfikacji,
- nieuprawnionego ujawnienia,
- nieuprawnionego dostępu do danych osobowych
przesyłanych, przechowywanych lub w inny sposób przetwarzanych.
W efekcie niezastosowania w nich odpowiednich środków bezpieczeństwa dostęp do danych uzyskała osoba nieuprawniona. Doszło więc do naruszenia zasad integralności i poufności.
Zabrakło regularnego testowania środków bezpieczeństwa
W ocenie Prezesa UODO, gdyby spółka przewidziała rozwiązania w zakresie regularnego testowania, mierzenia i oceniania skuteczności przyjętych środków technicznych i organizacyjnych mających zapewnić bezpieczeństwo przetwarzania. Tymczasem takich działań nie podjęto przed wystąpieniem naruszenia. W konsekwencji spółka nie mogła wykryć podatności ze względu na brak regularnych testów.
Jednorazowe przeglądy środków bezpieczeństwa nie są wystarczające. Konieczne jest regularne testowanie , mierzenie i ocenianie skuteczności zastosowanych środków technicznych i organizacyjnych.
- decyzja Prezesa UODO z 16 listopada 2022 r. (DKN.5112.1.2020)
- Pracownik w delegacji – jak wygląda przekazywanie jego danych osobowych do państwa trzeciego
- Mechanizmy dochodzenia roszczeń w związku z wdrożeniem ram ochrony danych UE - USA
- Upoważnienie do przetwarzania danych osobowych czy oświadczenie o poufności
- TSUE: Identyfikator personalizacji reklam zaliczany do danych osobowych według RODO
- Kara za przetwarzanie danych osobowych w rozmowach telefonicznych bez podstawy prawnej
- Zgoda marketingowa – czy także od firmy lub instytucji
Wideo: Przegląd orzecznictwa (sierpień – listopad 2022 r.) – cz. III – decyzje zagranicznych organów nadzorczych
Poznaj najważniejsze orzeczenia zagranicznych organów nadzorczych. W podsumowaniu poruszamy zagadnienia związane m.in. z geolokalizacją, prawem dostępem do danych, cyberatakiem na gminę czy rozpoznawaniem twarzy.
