UODO nałożył 1,9 mln kary dla Virgin Mobile Polska

Prezes Urzędu Ochrony Danych Osobowych nałożył na Virgin Mobile Polska karę w wysokości 1,9 mln zł za brak wdrożonych odpowiednich środków technicznych i organizacyjnych zapewniających bezpieczeństwo przetwarzanych danych.

Publikacja: 14.12.2020 13:33

UODO nałożył 1,9 mln kary dla Virgin Mobile Polska

Foto: Adobe Stock

Zdaniem urzędu spółka naruszyła określone w RODO zasady poufności danych i rozliczalności.

- Virgin Mobile nie przeprowadzał regularnych i kompleksowych testów, pomiarów i oceny skuteczności zastosowanych środków technicznych i organizacyjnych mających zapewnić bezpieczeństwo przetwarzanych danych. Działania w tym zakresie były podejmowane jedynie przy okazji pojawiających się podejrzeń zaistnienia podatności, czy w związku ze zmianami organizacyjnymi - czytamy w komunikacie UODO.

Czytaj także: Kara za brak współpracy z UODO

Urząd uznał ponadto, że spółka nie przeprowadzała testów weryfikujących zabezpieczenia związane z przekazywaniem danych między aplikacjami, które związane były z obsługą osób kupujących usługi przedpłacone. To nie wszystko. UODo informuje, że podatność związaną z wymianą danych w tych systemach, wykorzystała osoba nieuprawniona do pozyskania danych niektórych klientów spółki.

Organ nadzoru przeprowadził w spółce kontrolę, a po wykryciu nieprawidłowości wszczął postępowania administracyjne i ukarał spółkę.

Organ nadzoru uznał, że testowanie i monitorowanie zastosowanych środków technicznych i organizacyjnych mające zapewnić bezpieczeństwo danych osobowych było podejmowane incydentalnie i nie obejmowało wszystkich systemów, w których przetwarzane są dane.

- W toku postepowania okazało się, że wymiana danych między aplikacjami w systemie informatycznym miała następować po zweryfikowaniu pewnych parametrów z wniosków rejestracyjnych klientów usług prepaid. Chodziło o to, by program sprawdził, czy żądanie, w wyniku którego miały być przekazane dane, wpłynęło od uprawnionego podmiotu - pisze UODO. Weryfikacja zdaniem urzędu nie miała zastosowania w praktyce. - Tymczasem podatność w tym procesie (polegająca na braku weryfikacji odpowiednich parametrów) wykorzystała osoba nieuprawniona, by pozyskać dane. Dopiero po tym incydencie podjęto odpowiednie działania związane z naprawą wspomnianej funkcjonalności w systemie informatycznym spółki - dodaje UODO. Organ nadzoru uznał, że takie działanie to rażące naruszenie administratora danych.

UODO przy nakładaniu kary wziął pod uwagę możliwość pobrania dużej liczbę danych oraz długotrwałość stanu naruszenia.

Zdaniem urzędu spółka naruszyła określone w RODO zasady poufności danych i rozliczalności.

- Virgin Mobile nie przeprowadzał regularnych i kompleksowych testów, pomiarów i oceny skuteczności zastosowanych środków technicznych i organizacyjnych mających zapewnić bezpieczeństwo przetwarzanych danych. Działania w tym zakresie były podejmowane jedynie przy okazji pojawiających się podejrzeń zaistnienia podatności, czy w związku ze zmianami organizacyjnymi - czytamy w komunikacie UODO.

2 / 3
artykułów
Czytaj dalej. Subskrybuj
Podatki
Sprzedali odziedziczone mieszkanie. Zapędy fiskusa musiał zastopować sąd
Zawody prawnicze
Czystki w krakowskich prokuraturach. To ewenement w skali całego kraju
Sądy i trybunały
Pracownicy sądów i prokuratur przedstawili swoje żądania Bodnarowi
Zadania
Zielona rewolucja w polskich miastach. Muszą stworzyć plany klimatyczne
Materiał Promocyjny
Jakie są główne zalety systemów do zarządzania zasobami ludzkimi?
Sądy i trybunały
Ujawniono drugi przypadek inwigilowania Pegasusem sędziego w Polsce
Prawo karne
Polak skazany na dożywocie w Kongu jest już na wolności