1,9 mln zł kary za RODO dla Virgin Mobile
Prezes UODO ukarał Virgin Mobile. To efekt kontroli po wycieku danych klientów sprzed roku.
Incydentalny przegląd zabezpieczeń to nie regularne testowanie środków technicznych – uzasadnia UODO nałożoną karę.
Prezes Urzędu Ochrony Danych Osobowych nałożył na Virgin Mobile Polska 1,9 mln zł kary. Sprawa dotyczy incydentu sprzed niemal roku, gdy operator ujawnił, że doszło do wycieku danych ok. 12 proc. klientów usługi pre-paid. Obejmowały imiona, nazwiska, numery PESEL lub numery dowodu osobistych. Wówczas UODO wszczął kontrolę i postępowanie, którego efektem jest nałożona sankcja.
Operator przejęty w międzyczasie przez Play został ukarany za brak wdrożonych odpowiednich środków technicznych i organizacyjnych zapewniających bezpieczeństwo przetwarzanych danych.
UODO stwierdził, że spółka naruszyła określone w RODO zasady poufności danych i rozliczalności. Mianowicie Virgin Mobile nie przeprowadzał regularnych i kompleksowych testów, pomiarów i oceny skuteczności zastosowanych środków technicznych i organizacyjnych, które miały zabezpieczyć przetwarzane dane.
UODO: firma nie starała się jak należy
Wprawdzie administrator utrzymywał, że testował i monitorował zabezpieczenia, ale zdaniem UODO zrobił za mało. W ocenie urzędu działania te były incydentalne i nie obejmowały wszystkich systemów, w których przetwarzane są dane.
W toku postepowania okazało się, że wymiana danych między aplikacjami w systemie informatycznym miała następować po zweryfikowaniu pewnych parametrów z wniosków rejestracyjnych klientów usług prepaid. W praktyce weryfikacja nie działała, co wykorzystał atakujący.
UODO odkrył również, że przed wdrożeniem mechanizm ten nie został przetestowany. Takie podejście uznał za rażące naruszenie. Stwierdzono ponadto, że stan zagrożenia był długotrwały – podatność istniała od dawna.
Dopiero po incydencie operator podjął działania, by naprawić błąd.
Według UODO naruszenie miało poważny charakter. Urząd wziął natomiast pod uwagę okoliczności łagodzące, jak np. dobrą współpracę administratora, szybkie usunięcie naruszenia po jego wykryciu i wdrożenie dodatkowych zabezpieczeń.
Podobne aktualności
Dane milionów pracowników MŚP są zagrożone
Połowa MŚP przekazuje dane pracowników biurom rachunkowo – księgowym, z tego 23 proc. w ogóle ich nie zabezpiecza. W sektorze pracuje 7,3 mln osób.
Skarga na X w Polsce. Zarzut bezprawnego wykorzystania danych
Platforma X wykorzystała dane 60 mln europejskich użytkowników bez ich zgody - twierdzi organizacja.