Urząd Ochrony Danych Osobowych ponownie zbadał sprawę wycieku danych osobowych klientów z Virgin Mobile w końcu 2019 r. Stwierdził naruszenie przepisów RODO. Nałożył blisko 1,6 mln zł kary na P4 (Play), które w 2020 r. przejęło Virgin Mobile Polska za blisko 60 mln zł.

Wyciek miał objąć ok. 12 proc. klientów usługi pre-paid (imiona, nazwiska, numery PESEL lub dowodów osobistych). Nastąpił w wyniku ataku hakerskiego.

UODO twierdzi, że Virgin Mobile nie wdrożył odpowiednich środków technicznych i organizacyjnych zapewniających bezpieczeństwo przetwarzania danych. Skutkiem było uzyskanie przez osobę nieuprawnioną dostępu do nich (naruszenie zasady integralności i poufności wg RODO). Atakujący miał wykorzystać brak weryfikacji wymiany danych między aplikacjami w systemie informatycznym operatora.

W końcu 2020 r. UODO nałożył 1,97 mln zł kary za ten incydent.

Spółka odwołała się do sądu. WSA w październiku br. uchylił decyzję o karze. Uznał, że skarga wniesiona przez Virgin Mobile jest uzasadniona, jednak nie we wszystkim. Mianowicie przyznał rację UODO, iż operator mógł zastosować skuteczniejsze procedury w celu ochrony danych. Tym niemniej uznał, że urząd nie wziął pod uwagę działań spółki w celu ograniczenia szkód, jakie mogli ponieść klienci.

Stąd UODO po ponownym rozpatrzeniu sprawy nałożył 1,6 mln zł kary. Podtrzymuje stanowisko, iż operator nie wdrożył prawidłowo wymogów RODO, co doprowadziło do wycieku danych.