Ochrona danych osobowych /

RODO: Prawie 2 mln złotych kary za naruszenie RODO dla Virgin Mobile Polska

Prezes Urzędu Ochrony Danych Osobowych (UODO) wydał kolejną decyzję nakładającą karę finansową za nieprzestrzeganie przepisów RODO wobec Virgin Mobile Polska. Urząd przeprowadził w spółce kontrolę po tym, jak osoby nieuprawnione zyskały dostęp do danych jej klientów wykorzystując lukę w działaniu aplikacji (w tym numery PESEL).Kontrola została wszczęta w wyniku zgłoszenia naruszenia ochrony danych przez Virgin Mobile Polska.

za jakie naruszenia została nałożona kara?

Prezes UODO zarzucił spółce, że naruszyła zasady poufności (wyciek danych) oraz rozliczalności (niemożliwość wykazania przetwarzania danych zgodnie z RODO).

W ocenie Prezesa UODO, przyczyną naruszenia w Virgin Mobile Polska było brak procedury regularnych sprawdzeń zapewniających testowanie, mierzenie i ocenianie skuteczności wdrożonych środków ochrony danych. Z tego powodu, spółka nie była w stanie wykryć błędu w działaniu systemu IT, który umożliwił wyciek danych.

Co prawda Virgin Mobile Polska przeprowadzała sprawdzenia systemów, były to jednak działania doraźne,przeprowadzane w razie podejrzenia ich podatności.

Prezes UODO stwierdził, że spółka nie tylko nie wprowadziła harmonogramu sprawdzeń, ale również niewłaściwie przeprowadziła analizę ryzyka dla danego systemu m.in. oceniając, że nie dotyczy go ryzyko nieuprawnionego dostępu osób trzecich lub nieuprawnionego ujawnienia danych osobom trzecim. W tej samej analizie jako niskie określono ryzyko braku podatności systemów informatycznych. Administrator danych nie identyfikował więc prawidłowo zagrożeń związanych z danym procesem przetwarzania danych i w konsekwencji nie dobrał odpowiednich środków organizacyjnych i technicznych by zapewnić ich bezpieczeństwo.

Zdaniem urzędu, spółka jedynie powierzchownie przeprowadziła analizę ryzyka, bo nie poprzedzono jej przeglądem środków technicznych i organizacyjnych już stosowanych w spółce. Analizę przeprowadzono tak, by w jej wyniku ustalić niski poziom ryzyka nie wymagający stosowania dalszych środków mających zapewnić zgodność przetwarzania z RODO.

wysoka kara mimo współdziałania spółki

Prezes UODO zwrócił uwagę, że nałożona kara uwzględnia postawę kontrolowanej spółki, która już w toku postępowania usunęła naruszenia, stosowała się do zaleceń urzędu i jeszcze przed wydaniem decyzji przeprowadziła przegląd i ocenę zabezpieczeń danych oraz wdrożyła normy ISO przewidujące regularne przeglądy i audytu zabezpieczeń i systemów zarządzania danymi osobowymi.

Spółka może zaskarżyć decyzję do wojewódzkiego sądu administracyjnego.


Autor team leader DKP Legal anna szymielewicz
check full info of team member: Anna Szymielewicz

Skontaktuj się z nami

Flaga Polski.ZIELONA GÓRAPOLSKA
Jana Sobieskiego 2/3
65-071 Zielona Góra
+48 61 853 56 48[email protected]
Flaga Polski.KRAKÓWPOLSKA
Opolska 110
31-355 Kraków
+48 61 853 56 48[email protected]
Flaga Polski.WROCŁAWPOLSKA
Swobodna 1
50-088 Wrocław
+48 61 853 56 48[email protected]
Flaga Polski.WARSZAWAPOLSKA
Rondo ONZ 1
00-124 Warszawa
+48 22 300 16 74[email protected]
Flaga Polski.POZNAŃPOLSKA
Młyńska 16
61-729 Poznań
+48 61 853 56 48[email protected]