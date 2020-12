Incydentalny przegląd zabezpieczeń to nie regularne testowanie środków technicznych - stwierdził Urząd Ochrony Danych Osobowych i nałożył na Virgin Mobile Polska karę w wysokości 1,9 mln zł.

Urząd Ochrony Danych Osobowych stwierdził, że Virgin Mobile Polska naruszył określone w RODO zasady poufności danych i rozliczalności. Spółka nie przeprowadzała regularnych i kompleksowych testów, pomiarów i oceny skuteczności zastosowanych środków technicznych i organizacyjnych mających zapewnić bezpieczeństwo przetwarzanych danych. Działania w tym zakresie były podejmowane jedynie przy okazji pojawiających się podejrzeń zaistnienia podatności, czy w związku ze zmianami organizacyjnymi. Ponadto, nie były przeprowadzone testy weryfikujące zabezpieczenia związane z przekazywaniem danych między aplikacjami, które związane były z obsługą osób kupujących usługi przedpłacone. Oprócz tego, podatność związaną z wymianą danych w tych systemach, wykorzystała osoba nieuprawniona do pozyskania danych niektórych klientów spółki.

Jak podaje UODO w komunikacie, w efekcie naruszenia ochrony danych, w wyniku którego nieuprawniona osoba uzyskała dane klientów z jednej z baz, organ nadzoru przeprowadził w spółce kontrolę. W wyniku stwierdzonych nieprawidłowości wszczęte zostało postępowania administracyjne, które zakończyło się nałożeniem kary w wysokości 1,9 mln zł.

Virgin Mobile Polska utrzymywał, że testował i monitorował zastosowane środki techniczne, jak i organizacyjne mające zapewnić bezpieczeństwo danych osobowych. UODO po kontroli uznał jednak, że te działania nie były ani regularne, ani kompleksowe, gdyż były podejmowane incydentalnie i nie obejmowały wszystkich systemów, w których przetwarzane są dane.

W toku postepowania okazało się, że wymiana danych między aplikacjami w systemie informatycznym miała następować po zweryfikowaniu pewnych parametrów z wniosków rejestracyjnych klientów usług prepaid. Chodziło o to, by program sprawdził, czy żądanie, w wyniku którego miały być przekazane dane, wpłynęło od uprawnionego podmiotu. W praktyce ta weryfikacja nie działała, a przed jej wdrożeniem mechanizm ten nie został przetestowany. Tymczasem podatność w tym procesie (polegająca na braku weryfikacji odpowiednich parametrów) wykorzystała osoba nieuprawniona, by pozyskać dane. Dopiero po tym incydencie podjęto odpowiednie działania związane z naprawą wspomnianej funkcjonalności w systemie informatycznym spółki. Organ nadzoru uznał, że wdrożenie systemu służącego do przetwarzania danych do użytku bez poprawnie działającej walidacji zakładanych parametrów jest rażącym naruszeniem administratora.

Nakładając karę, Urząd Ochrony Danych Osobowych wziął pod uwagę, że naruszenie do którego doszło u operatora ma poważny charakter, gdyż stwarza wysokie ryzyko negatywnych skutków ochrony prawnej dla dużej liczby osób, na przykład ryzyko kradzieży tożsamości. Osoby nieuprawnione miały krótkotrwały dostęp do systemów, ale wystarczający do pobrania dużej ilości danych. Sam stan naruszenia był długotrwały, podatność zagrożenia wyciekiem danych istniała od dawna.

UODO wziął pod uwagę również okoliczności łagodzące, takie jak dobra współpraca administratora, szybkie usunięcie naruszenia po jego wykryciu czy wdrożenie dodatkowych rozwiązań, które mają dodatkowo podnieść bezpieczeństwo przetwarzanych danych. Biorąc jednak pod uwagę skalę naruszeń i ich wagę urząd uznał, że zastosowanie innych środków naprawczych niż administracyjnej kary pieniężnej byłoby nieproporcjonalne. Kara pieniężna ma sprawić, że spółka w przyszłości nie dopuści już do podobnych zaniedbań.

Z pełną treścią decyzji Prezesa UODO można się zapoznać pod tym adresem.

