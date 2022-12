Urząd Ochrony Danych Osobowych ponownie zajmował się sprawą naruszenia ochrony danych osobowych przez Virgin Mobile. P4, operator sieci Play, do którego należy również Virgin Mobile, ma zapłacić prawie 1,6 mln zł kary.

Urząd Ochrony Danych Osobowych (UODO) kolejny raz zajmował się sprawą naruszenia przepisów RODO przez Virgin Mobile Polska Sp. z o.o.. Prawnym następcą "Dziewicy" jest spółka P4, operator sieci Play. Naruszenie, o którym mowa wyżej, polegać miało na braku odpowiednich środków technicznych i organizacyjnych zapewniających stopień bezpieczeństwa odpowiadający ryzyku przetwarzania danych za pomocą systemów informatycznych, służących do rejestracji danych osobowych abonentów usług przedpłaconych. Doprowadziło to do uzyskania przez osobę nieuprawnioną dostępu do tych danych, co stanowiło również naruszenie zasady integralności i poufności.

Sprawa sięga 2019 roku

W grudniu 2019 roku do UODO wpłynęło zgłoszenie naruszenia ochrony danych osobowych, w którym administrator poinformował o naruszeniu ochrony danych osobowych abonentów, polegającym na uzyskaniu przez osobę nieuprawnioną dostępu do tych danych i pozyskaniu potwierdzeń rejestracji, zawierających dane osobowe. W związku z tym zgłoszeniem, urząd zdecydował o przeprowadzeniu w spółce Virgin Mobile Polska kontroli zgodności przetwarzania danych osobowych z przepisami o ochronie danych osobowych.

Po przeprowadzeniu postępowania administracyjnego Urząd Ochrony Danych Osobowych wydał 3 grudnia 2020 roku decyzję o nałożeniu na Virgin Mobile Polska administracyjnej karę pieniężną w wysokości 1 968 524,00 zł. Decyzja ta została zaskarżona przez spółkę, a 21 października 2021 roku Wojewódzki Sąd Administracyjny w Warszawie ją uchylił. Sąd stwierdził, że skarga wniesiona przez Virgin Mobile Polska jest uzasadniona, choć nie wszystkie podniesione w niej zarzuty mogły być uznane za zasadne.

W wyroku stwierdzono, że przyjęte przez spółkę procedury mogłyby być skuteczne, gdyby w ramach wdrożonych procedur zawierały również uregulowania dotyczące regularnego testowania, mierzenia i oceniania skuteczności przyjętych środków technicznych i organizacyjnych mających zapewnić bezpieczeństwo przetwarzania i które byłyby przez spółkę Virgin przestrzegane. Brak wprowadzonych uregulowań przyczynił się do wystąpienia naruszenia ochrony danych osobowych. Zdaniem sądu, Urząd Ochrony Danych Osobowych przy określaniu wysokości kary nie rozważył dostatecznie okoliczności w postaci podejmowanych przez spółkę Virgin działań w celu zminimalizowania szkody poniesionej przez osoby.

Ponowne rozpatrzenie sprawy

UODO ponownie zbadał sprawę naruszenia danych osobowych klientów Virgin Mobile oraz ponownie wydał decyzję o nałożeniu kary karę administracyjnej. Urząd zwrócił uwagę, że art. 5 RODO wskazuje zasady dotyczące przetwarzania danych osobowych, które muszą być respektowane przez wszystkich administratorów. Dane osobowe muszą być przede wszystkim przetwarzane w sposób zapewniający ich odpowiednie bezpieczeństwo. Aby przetwarzanie odbywało się zgodnie z RODO, administrator wdraża odpowiednie środki techniczne i organizacyjne, oceniając przy tym, czy stopień bezpieczeństwa jest odpowiedni. Administrator uwzględnia ryzyko wiążące się z przetwarzaniem danych, w szczególności wynikające z przypadkowego lub niezgodnego z prawem zniszczenia, utraty, modyfikacji, nieuprawnionego ujawnienia lub nieuprawnionego dostępu do danych osobowych przesyłanych, przechowywanych lub w inny sposób przetwarzanych.

Urząd Ochrony Danych Osobowych stwierdził, że spółka Virgin Mobile Polska naruszyła zasadę poufności, której prawidłowa realizacja zapewnia, że dane nie są udostępniane osobom nieuprawnionym, w przypadku wystąpienia naruszenia ochrony danych osobowych. Do naruszenia ochrony danych osobowych abonentów doszło w wyniku wykorzystania podatności systemu informatycznego.

UODO zwraca uwagę, że przyjęte przez spółkę Virgin Mobile Polska środki mogłyby być skuteczne, gdyby w ramach wdrożonych procedur zawierały również uregulowania dotyczące regularnego testowania, mierzenia i oceniania skuteczności przyjętych środków technicznych i organizacyjnych mających zapewnić bezpieczeństwo przetwarzania. W praktyce administrator w ogóle nie podejmował takich działań.

Brak wyżej wskazanych uregulowań przyczynił się, zdaniem UODO, do wystąpienia naruszenia danych osobowych. Odpowiednie działania zostały podjęte zostały dopiero po zaistnieniu naruszenia w grudniu 2019 roku. Ostatni kompleksowy przegląd środków technicznych i organizacyjnych został przeprowadzony w maju 2018 roku, zatem w momencie rozpoczęcia stosowania RODO. Spółka mimo przyjętych rozwiązań nie była w stanie wykryć podatności ze względu na brak regularnych testów.

Urząd wskazał, że dokonywanie przeglądów jednorazowo lub w sytuacji wystąpienia zmiany organizacyjnej lub prawnej, jak również podejmowanie działań dopiero w przypadku podejrzenia zaistnienia podatności, nie może zostać uznane za regularne testowanie, mierzenie i ocenianie skuteczności zastosowanych środków technicznych i organizacyjnych. Spółka Virgin Mobile Polska nie wdrożyła zatem wymogów RODO w sposób prawidłowy, co doprowadziło do naruszenia ochrony danych osobowych jej abonentów.

Źródło zdjęć: TK Kurikawa / Shutterstock.com

Źródło tekstu: UODO