Prezes Urzędu Ochrony Danych Osobowych (UODO) wydał kolejną decyzję nakładającą karę finansową za nieprzestrzeganie przepisów RODO wobec Virgin Mobile Polska. Urząd przeprowadził w spółce kontrolę po tym, jak osoby nieuprawnione zyskały dostęp do danych jej klientów wykorzystując lukę w działaniu aplikacji (w tym numery PESEL).Kontrola została wszczęta w wyniku zgłoszenia naruszenia ochrony danych przez Virgin Mobile Polska.
za jakie naruszenia została nałożona kara?
Prezes UODO zarzucił spółce, że naruszyła zasady poufności (wyciek danych) oraz rozliczalności (niemożliwość wykazania przetwarzania danych zgodnie z RODO).
W ocenie Prezesa UODO, przyczyną naruszenia w Virgin Mobile Polska było brak procedury regularnych sprawdzeń zapewniających testowanie, mierzenie i ocenianie skuteczności wdrożonych środków ochrony danych. Z tego powodu, spółka nie była w stanie wykryć błędu w działaniu systemu IT, który umożliwił wyciek danych.
Co prawda Virgin Mobile Polska przeprowadzała sprawdzenia systemów, były to jednak działania doraźne,przeprowadzane w razie podejrzenia ich podatności.
Prezes UODO stwierdził, że spółka nie tylko nie wprowadziła harmonogramu sprawdzeń, ale również niewłaściwie przeprowadziła analizę ryzyka dla danego systemu m.in. oceniając, że nie dotyczy go ryzyko nieuprawnionego dostępu osób trzecich lub nieuprawnionego ujawnienia danych osobom trzecim. W tej samej analizie jako niskie określono ryzyko braku podatności systemów informatycznych. Administrator danych nie identyfikował więc prawidłowo zagrożeń związanych z danym procesem przetwarzania danych i w konsekwencji nie dobrał odpowiednich środków organizacyjnych i technicznych by zapewnić ich bezpieczeństwo.
Zdaniem urzędu, spółka jedynie powierzchownie przeprowadziła analizę ryzyka, bo nie poprzedzono jej przeglądem środków technicznych i organizacyjnych już stosowanych w spółce. Analizę przeprowadzono tak, by w jej wyniku ustalić niski poziom ryzyka nie wymagający stosowania dalszych środków mających zapewnić zgodność przetwarzania z RODO.
wysoka kara mimo współdziałania spółki
Prezes UODO zwrócił uwagę, że nałożona kara uwzględnia postawę kontrolowanej spółki, która już w toku postępowania usunęła naruszenia, stosowała się do zaleceń urzędu i jeszcze przed wydaniem decyzji przeprowadziła przegląd i ocenę zabezpieczeń danych oraz wdrożyła normy ISO przewidujące regularne przeglądy i audytu zabezpieczeń i systemów zarządzania danymi osobowymi.
Spółka może zaskarżyć decyzję do wojewódzkiego sądu administracyjnego.
