fbTrack
REKLAMA
REKLAMA

Firma

UODO nałożył 1,9 mln kary dla Virgin Mobile Polska

Virgin
Adobe Stock
Prezes Urzędu Ochrony Danych Osobowych nałożył na Virgin Mobile Polska karę w wysokości 1,9 mln zł za brak wdrożonych odpowiednich środków technicznych i organizacyjnych zapewniających bezpieczeństwo przetwarzanych danych.

Zdaniem urzędu spółka naruszyła określone w RODO zasady poufności danych i rozliczalności.

- Virgin Mobile nie przeprowadzał regularnych i kompleksowych testów, pomiarów i oceny skuteczności zastosowanych środków technicznych i organizacyjnych mających zapewnić bezpieczeństwo przetwarzanych danych. Działania w tym zakresie były podejmowane jedynie przy okazji pojawiających się podejrzeń zaistnienia podatności, czy w związku ze zmianami organizacyjnymi - czytamy w komunikacie UODO.

Urząd uznał ponadto, że spółka nie przeprowadzała testów weryfikujących zabezpieczenia związane z przekazywaniem danych między aplikacjami, które związane były z obsługą osób kupujących usługi przedpłacone. To nie wszystko. UODo informuje, że podatność związaną z wymianą danych w tych systemach, wykorzystała osoba nieuprawniona do pozyskania danych niektórych klientów spółki.

Organ nadzoru przeprowadził w spółce kontrolę, a po wykryciu nieprawidłowości wszczął postępowania administracyjne i ukarał spółkę.

Organ nadzoru uznał, że testowanie i monitorowanie zastosowanych środków technicznych i organizacyjnych mające zapewnić bezpieczeństwo danych osobowych było podejmowane incydentalnie i nie obejmowało wszystkich systemów, w których przetwarzane są dane.

- W toku postepowania okazało się, że wymiana danych między aplikacjami w systemie informatycznym miała następować po zweryfikowaniu pewnych parametrów z wniosków rejestracyjnych klientów usług prepaid. Chodziło o to, by program sprawdził, czy żądanie, w wyniku którego miały być przekazane dane, wpłynęło od uprawnionego podmiotu - pisze UODO. Weryfikacja zdaniem urzędu nie miała zastosowania w praktyce. - Tymczasem podatność w tym procesie (polegająca na braku weryfikacji odpowiednich parametrów) wykorzystała osoba nieuprawniona, by pozyskać dane. Dopiero po tym incydencie podjęto odpowiednie działania związane z naprawą wspomnianej funkcjonalności w systemie informatycznym spółki - dodaje UODO. Organ nadzoru uznał, że takie działanie to rażące naruszenie administratora danych.

UODO przy nakładaniu kary wziął pod uwagę możliwość pobrania dużej liczbę danych oraz długotrwałość stanu naruszenia.

Źródło: UODO
REKLAMA
REKLAMA
REKLAMA
NAJNOWSZE Z RP.PL
REKLAMA
REKLAMA
REKLAMA
REKLAMA: automatycznie wyświetlimy artykuł za 15 sekund.
REKLAMA
REKLAMA