Urzędu Ochrony Danych Osobowych nałożył na Virgin Mobile Polska 1,9 mln zł kary za brak wdrożonych odpowiednich środków technicznych i organizacyjnych zapewniających bezpieczeństwo przetwarzanych danych - podał urząd w poniedziałkowym komunikacie.
Kara związana jest z wyciekiem danych części klientów VMP, który ujawniono w końcu grudnia ub.r. Po tym, jak operator poinformował o nieuprawnionym dostępie do jednej z baz danych UODO przeprowadził kontrolę i następnie wszczął postępowanie administracyjne zakończone nałożeniem kary.
UODO stwierdził, że spółka naruszyła określone w RODO zasady poufności danych i rozliczalności.
„Virgin Mobile nie przeprowadzał regularnych i kompleksowych testów, pomiarów i oceny skuteczności zastosowanych środków technicznych i organizacyjnych mających zapewnić bezpieczeństwo przetwarzanych danych. Działania w tym zakresie były podejmowane jedynie przy okazji pojawiających się podejrzeń zaistnienia podatności, czy w związku ze zmianami organizacyjnymi” - czytamy w komunikacie UODO.
Ponadto – według Urzędu – nie były przeprowadzone testy weryfikujące zabezpieczenia związane z przekazywaniem danych między aplikacjami, które związane były z obsługą osób kupujących usługi przedpłacone. - Podatność związaną z wymianą danych w tych systemach wykorzystała osoba nieuprawniona do pozyskania danych niektórych klientów spółki – napisano w komunikacie.
UODO w toku postępowania nie zgodził się z administratorem, który utrzymywał, że testował i monitorował zastosowane środki techniczne, jak i organizacyjne mające zapewnić bezpieczeństwo danych osobowych. Organ nadzoru uznał, że te działania nie były ani regularne, ani kompleksowe, gdyż były podejmowane incydentalnie i nie obejmowały wszystkich systemów, w których przetwarzane są dane. UODO uznał, że wdrożenie systemu służącego do przetwarzania danych do użytku bez poprawnie działającej walidacji zakładanych parametrów jest rażącym naruszeniem ze strony administratora.
