Prezes Urzędu Ochrony Danych Osobowych nałożył kolejną wysoką karę administracyjną za naruszenie przepisów RODO. Sankcję majątkową w wysokości 1.968.524,00 zł będzie musiała ponieść Virgin Mobile Polska, spółka z ograniczoną odpowiedzialnością.

Zgłoszenie naruszenia ochrony danych osobowych do Prezesa UODO złożyła spółka. Zgodnie z procedurą wszczęto zatem kontrolę, w wyniku której Prezes UODO, stwierdził naruszenie określonych w RODO zasad poufności i rozliczalności. Do naruszenia doszło z powodu niewdrożenia odpowiednich środków technicznych i organizacyjnych, zapewniających odpowiedni stopień bezpieczeństwa danych osobowych.

Prezes UODO uznał, że spółka nie przeprowadzała regularnych i kompleksowych testów, pomiarów i oceny skuteczności wdrożonych przez siebie środków technicznych i organizacyjnych, które miały zapewnić bezpieczeństwo przetwarzania, za pomocą systemów informatycznych, danych osobowych abonentów usług przedpłaconych. Jak się okazało, działania w tym zakresie były podejmowane sporadycznie. Miały miejsce jedynie w sytuacjach, gdy pojawiały się podejrzenia słabości zabezpieczeń lub następowały zmiany organizacyjne. Ponadto Prezes UODO wskazał, że spółka nie przeprowadzała również testów weryfikujących zabezpieczenia, związane z przekazywaniem danych między aplikacjami, które związane były z obsługą osób kupujących usługi przedpłacone. Niestety, podatność związaną z wymianą danych w tych systemach, wykorzystała osoba nieuprawniona. Uzyskała dane 114 963 klientów z jednej z baz, obejmujące: imię i nazwisko, PESEL, serię i numer dowodu osobistego, numer telefonu, NIP oraz nazwę podmiotu. Prezes UODO uznał jednoznacznie, że doszło do naruszenia ochrony danych. 

Postępowanie zakończyło się nałożeniem na spółkę kary administracyjnej w wysokości 1.968.524,00 zł. Na wysokość kary wpłynęło to, że naruszenie miało poważny charakter. Rodziło wysokie ryzyko negatywnych skutków ochrony prawnej dla dużej liczby osób. Co więcej, dostęp do systemów był na tyle długotrwały by umożliwić pobranie dużej liczby danych. Jak się okazuje kara mogłaby być jeszcze wyższa. Prezes UODO wziął jednak pod uwagę okoliczności łagodzące. Dobra współpraca z administratorem danych, szybkie usunięcie naruszenia oraz wdrożenie dodatkowych rozwiązań służących podniesieniu bezpieczeństwa przetwarzanych danych osobowych, wpłynęły korzystnie na wysokość kary.

Pełna treść komunikatu Prezes UODO oraz wydanej decyzji dostępna jest tutaj.