Wróciła sprawa wycieku danych z Virgin

Urząd Ochrony Danych Osobowych zdecydował o nałożeniu administracyjnej kary pieniężnej w wysokości prawie 1,6 mln. zł na P4 (właściciela marki Virgin Mobile).

Urząd ponownie zajmował się tą samą sprawą naruszenia przepisów RODO i po raz kolejny stwierdził naruszenie przepisów RODO polegające na niewdrożeniu przez Virgin Mobile Polska odpowiednich środków zapewniających stopień bezpieczeństwa odpowiadający ryzyku przetwarzania danych za pomocą systemów informatycznych. Systemy te służyły do rejestracji danych osobowych abonentów usług przedpłaconych.

Do Urzędu Ochrony Danych Osobowych w grudniu 2019 r. wpłynęło zgłoszenie naruszenia ochrony danych osobowych, w którym administrator poinformował o uzyskaniu przez osobę nieuprawnioną dostępu do tych danych i pozyskaniu potwierdzeń rejestracji, zawierających dane osobowe.

Po przeprowadzeniu postępowania Urząd wydał 3 grudnia 2020 r. decyzję, nakładającą na spółkę Virgin Mobile Polska administracyjną karę pieniężną w wysokości 1.968.524 zł. Administrator jednak w całości zaskarżył decyzję UODO, wnosząc o jej uchylenie. Wojewódzki Sąd Administracyjny uchylił zaskarżoną decyzję stwierdzając, iż skarga wniesiona przez spółkę Virgin jest uzasadniona.

Sąd wskazał, że UODO przy określaniu wysokości kary dostatecznie nie rozważył okoliczności w postaci podejmowanych przez Virgin działań w celu zminimalizowania szkody poniesionej przez osoby.

UODO dokonał ponownej analizy materiału dowodowego i ponownie wydał decyzję administracyjną nakładającą karę 1.6 mln zł.

Urząd zwrócił uwagę, że art. 5 RODO wskazuje zasady dotyczące przetwarzania danych osobowych, które muszą być respektowane przez wszystkich administratorów. 

Do naruszenia ochrony danych osobowych abonentów doszło w wyniku wykorzystania podatności systemu informatycznego. Przyjęte przez spółkę Virgin środki mogłyby być skuteczne, gdyby w ramach wdrożonych procedur zawierały również uregulowania dotyczące regularnego testowania, mierzenia i oceniania skuteczności przyjętych środków technicznych i organizacyjnych mających zapewnić bezpieczeństwo przetwarzania. W praktyce więc administrator w ogóle nie podejmował takich działań.