EDPO

EDPO - Ochrona Danych Osobowych
Magdalena Gujska 2020-12-29

Decyzją z dnia 3 grudnia 2020 Prezes UODO nałożył na Virgin Mobile karę w wysokości 1,9 mln złotych za naruszenie zasad poufności i rozliczalności, poprzez niewdrożenie odpowiednich środków technicznych i organizacyjnych, które doprowadziły do ujawnienia dużej ilości danych osobowych klientów.

O co chodzi?

22 grudnia ubiegłego roku nastąpił wyciek danych osobowych 123 391 klientów  rejestrujących się w usłudze prepaid tj. imienia, nazwiska, numeru PESEL lub numeru dokumentu potwierdzającego tożsamość części abonentów prepaid Virgin Mobile Polska. Spółka powiadomiła swoich klientów i Prezesa UODO, który wszczął kontrolę.

Postępowanie wykazało, że administrator nie wykonywał  regularnej oceny skuteczności zastosowanych środków technicznych i organizacyjnych mających zapewnić bezpieczeństwo przetwarzanych danych, a tylko w sytuacjach, kiedy zidentyfikowano słabość systemu lub zachodziły zmiany organizacyjne. „W toku postepowania okazało się, że wymiana danych między aplikacjami w systemie informatycznym miała następować po zweryfikowaniu pewnych parametrów z wniosków rejestracyjnych klientów usług prepaid. Chodziło o to, by program sprawdził, czy żądanie, w wyniku którego miały być przekazane dane, wpłynęło od uprawnionego podmiotu. W praktyce ta weryfikacja nie działała, a przed jej wdrożeniem mechanizm ten nie został przetestowany”, co zdaniem UODO przyczyniło się do nieuprawnionego dostępu do danych. Po tym incydencie administrator podjął natychmiastowe działania naprawcze, co stanowiło okoliczność łagodzącą podczas ustalania wysokości kary.

Virgin Mobile naruszyła swoim działaniem zasady przetwarzania danych osobowych określone w art. 5 RODO. Zgodnie z art. 83  RODO takie naruszenia zagrożone są wyższą karą pieniężną, tj.  w wysokości do 20 000 000 EUR, a w przypadku przedsiębiorstwa – w wysokości do 4 % jego całkowitego rocznego światowego obrotu z poprzedniego roku obrotowego, przy czym zastosowanie ma kwota wyższa. Kara nałożona na Virgin Mobile to 1.968.524,00 PLN, co stanowi równowartość 460.000 EUR.