Prezes Urzędu Ochrony Danych Osobowych nałożył na Virgin Mobile Polska 1,9 mln zł kary. Sprawa dotyczy incydentu sprzed niemal roku, gdy operator ujawnił, że doszło do wycieku danych ok. 12 proc. klientów usługi pre-paid. Obejmowały imiona, nazwiska, numery PESEL lub numery dowodu osobistych. Wówczas UODO wszczął kontrolę i postępowanie, którego efektem jest nałożona sankcja.

Operator przejęty w międzyczasie przez Play został ukarany za brak wdrożonych odpowiednich środków technicznych i organizacyjnych zapewniających bezpieczeństwo przetwarzanych danych.

UODO stwierdził, że spółka naruszyła określone w RODO zasady poufności danych i rozliczalności. Mianowicie Virgin Mobile nie przeprowadzał regularnych i kompleksowych testów, pomiarów i oceny skuteczności zastosowanych środków technicznych i organizacyjnych, które miały zabezpieczyć przetwarzane dane.

UODO: firma nie starała się jak należy

Wprawdzie administrator utrzymywał, że testował i monitorował zabezpieczenia, ale zdaniem UODO zrobił za mało. W ocenie urzędu działania te były incydentalne i nie obejmowały wszystkich systemów, w których przetwarzane są dane.

W toku postepowania okazało się, że wymiana danych między aplikacjami w systemie informatycznym miała następować po zweryfikowaniu pewnych parametrów z wniosków rejestracyjnych klientów usług prepaid. W praktyce weryfikacja nie działała, co wykorzystał atakujący.

UODO odkrył również, że przed wdrożeniem mechanizm ten nie został przetestowany. Takie podejście uznał za rażące naruszenie. Stwierdzono ponadto, że stan zagrożenia był długotrwały – podatność istniała od dawna.

Dopiero po incydencie operator podjął działania, by naprawić błąd.

Według UODO naruszenie miało poważny charakter. Urząd wziął natomiast pod uwagę okoliczności łagodzące, jak np. dobrą współpracę administratora, szybkie usunięcie naruszenia po jego wykryciu i wdrożenie dodatkowych zabezpieczeń.