Według UODO, Virgin Mobile nie przeprowadzał regularnych i kompleksowych testów, pomiarów i oceny skuteczności zastosowanych środków technicznych i organizacyjnych mających zapewnić bezpieczeństwo przetwarzanych danych. Działania w tym zakresie były podejmowane jedynie przy okazji pojawiających się podejrzeń zaistnienia podatności, czy w związku ze zmianami organizacyjnymi. Nie były przeprowadzone testy weryfikujące zabezpieczenia związane z przekazywaniem danych między aplikacjami, które związane były z obsługą osób kupujących usługi przedpłacone. Oprócz tego, podatność związaną z wymianą danych w tych systemach, wykorzystała osoba nieuprawniona do pozyskania danych niektórych klientów spółki.

Szef Urzędu uznał, że w efekcie doszło do naruszenia ochrony danych, w wyniku którego nieuprawniona osoba uzyskała dane klientów z jednej z baz. I dlatego organ nadzoru przeprowadził w spółce kontrolę. W wyniku stwierdzonych nieprawidłowości wszczął następnie postępowania administracyjne zakończone nałożeniem kary.

MERITUM Ochrona danych osobowych ebook

Dominik Lubasz

Sprawdź  

Działania nie były regularne, ani kompleksowe

UODO w toku postępowania nie zgodził się z administratorem, który utrzymywał, że testował i monitorował zastosowane środki techniczne, jak i organizacyjne mające zapewnić bezpieczeństwo danych osobowych. Organ nadzoru uznał, że te działania nie były ani regularne, ani kompleksowe, gdyż były podejmowane incydentalnie i nie obejmowały wszystkich systemów, w których przetwarzane są dane.

Czytaj także: Prezes UODO ukarał firmę za utrudnianie rozpatrzenia skargi obywatela Niemiec>>
 

Jak informuje UODO, w toku postepowania okazało się, że wymiana danych między aplikacjami w systemie informatycznym miała następować po zweryfikowaniu pewnych parametrów z wniosków rejestracyjnych klientów usług prepaid. Chodziło o to, by program sprawdził, czy żądanie, w wyniku którego miały być przekazane dane, wpłynęło od uprawnionego podmiotu. W praktyce ta weryfikacja nie działała, a przed jej wdrożeniem mechanizm ten nie został przetestowany. Tymczasem podatność w tym procesie (polegająca na braku weryfikacji odpowiednich parametrów) wykorzystała osoba nieuprawniona, by pozyskać dane. Dopiero po tym incydencie podjęto odpowiednie działania związane z naprawą wspomnianej funkcjonalności w systemie informatycznym spółki.

Rażące naruszenie administratora

Organ nadzoru uznał, że wdrożenie systemu służącego do przetwarzania danych do użytku bez poprawnie działającej walidacji zakładanych parametrów jest rażącym naruszeniem administratora.

UODO podkreśla, że nakładając karę wziął pod uwagę, że naruszenie do którego doszło u operatora ma poważny charakter, gdyż stwarza wysokie ryzyko negatywnych skutków ochrony prawnej dla dużej liczby osób (np. ryzyko kradzieży tożsamości). - Należy pamiętać, że pomimo, iż osoby nieuprawnione miały krótkotrwały dostęp do systemów, ale wystarczający aby pobrać dużą liczbę danych.  Ponadto sam stan naruszenia był długotrwały – podatność zagrożenia wyciekiem danych istniała od dawna - czytamy w oświadczeniu Urzędu.

UODO podkreśla jednak,  że wziął pod uwagę również okoliczności łagodzące, jak np. dobrą współpracę administratora, szybkie usunięcie naruszenia po jego wykryciu, ale i wdrożenie dodatkowych rozwiązań, które mają dodatkowo podnieść bezpieczeństwo przetwarzanych danych.

Biorąc jednak pod uwagę skalę naruszeń i ich wagę UODO uznał, że zastosowanie innych środków naprawczych niż administracyjnej kary pieniężnej byłoby nieproporcjonalne. Kara pieniężna ma zaś sprawić, że spółka w przyszłości nie dopuści już do podobnych zaniedbań.

- Ta sprawa jest ciekawa nie tylko ze względu na wysokość  kary (1.968.524,00 PLN), która już sama w sobie może zrobić wrażenie. Ciekawa jest jednak również przyczyna ukarania, tj. niewdrożenie odpowiednich środków technicznych i organizacyjnych zapewniających stopień bezpieczeństwa odpowiadający ryzyku przetwarzania danych za pomocą systemów informatycznych służących do rejestracji danych osobowych abonentów usług przedpłaconych, którego wynikiem był wyciek danych w zakresie imienia i nazwiska, numeru ewidencyjnego PESEL, serii i numeru dowodu osobistego, numeru telefonu, numeru NIP oraz nazwy podmiotu obejmujących 114 963 klientów - komentuje radca prawny Artur Piechocki, radca prawny, partner zarządzający w kancelarii APLAW. Więcej>>