Play ma zapłacić 1,6 mln zł za wyciek danych klientów Virgin Mobile. UODO podtrzymał grzywnę
Urząd Ochrony Danych Osobowych podtrzymał karę na operatora sieci telekomunikacyjnej Virgin Mobile, zmniejszając wysokość grzywny do prawie 1,6 mln zł. Telekom został ukarany za niewłaściwe zabezpieczenie danych swoich klientów.
W grudniu 2020 roku Urząd Ochrony Danych Osobowych nałożył na operatora Virgin Mobile karę w wysokości 1,97 mln zł. Stwierdził, że operator nie przeprowadzała regularnych i kompleksowych testów, pomiarów i oceny skuteczności stosowanych środków technicznych i organizacyjnych, mających zapewnić bezpieczeństwo przetwarzanych danych.
W uzasadnieniu grzywny wyliczono, że nie było np. testów weryfikujących zabezpieczenia przekazywaniu danych między aplikacjami przy obsłudze osób kupujących usługi prepaid. Podatność związaną z wymianą danych w tych systemach wykorzystała osoba nieuprawniona do pozyskania danych niektórych klientów spółki.
Chodzi o sytuację z grudnia 2019 roku, gdy Virgin Mobile Polska zaczął informować swoich klientów, że wskutek ataku hakerskiego doszło do przejęcia danych osobowych 12,5 proc. użytkowników ofert prepaidowych. Firma ostrzegała ich przed próbami wyłudzeń.
Sąd nakazał ponowne rozpatrzenie sprawy
Sprawę zgłoszono do Urzędu Ochrony Danych Osobowych. Jego decyzję o karze jesienią ub.r. zakwestionował Wojewódzki Sąd Administracyjny, do którego odwołał się operator Virgin Mobile.
WSA stwierdził, iż skarga wniesiona przez spółkę Virgin jest uzasadniona, choć nie wszystkie podniesione w niej zarzuty mogły być uznane za zasadne.
>>> Praca.Wirtualnemedia.pl - tysiące ogłoszeń z mediów i marketingu
W komunikacie UODO opisano, że WSA uznał za trafną ocenę Urzędy, że przyjęte przez spółkę procedury mogłyby być skuteczne, gdyby w ramach wdrożonych procedur zawierały również uregulowania dotyczące regularnego testowania, mierzenia i oceniania skuteczności przyjętych środków technicznych i organizacyjnych mających zapewnić bezpieczeństwo przetwarzania i które byłyby przez spółkę Virgin przestrzegane. Brak wprowadzonych uregulowań przyczynił się do wystąpienia naruszenia ochrony danych osobowych.
Przy czym sąd wskazał, że organ przy określaniu wysokości kary dostatecznie nie rozważył okoliczności w postaci podejmowanych przez spółkę Virgin działań w celu zminimalizowania szkody poniesionej przez osoby.
Operator Virgin Mobile ma zapłacić 1,6 mln zł
Na mocy orzeczenia sądowego Urząd Ochrony Danych Osobowych jeszcze raz przeanalizował materiał dowodowy. W komunikacie zwrócił uwagę, że art. 5 RODO wskazuje zasady dotyczące przetwarzania danych osobowych, które muszą być respektowane przez wszystkich administratorów.
- Przede wszystkim dane osobowe muszą być przetwarzane w sposób zapewniający ich odpowiednie bezpieczeństwo. Aby przetwarzanie odbywało się zgodnie z RODO administrator wdraża odpowiednie środki techniczne i organizacyjne, oceniając przy tym, czy stopień bezpieczeństwa jest odpowiedni. Administrator uwzględnia ryzyko jakie wiąże się z przetwarzaniem, w szczególności wynikające z przypadkowego lub niezgodnego z prawem zniszczenia, utraty, modyfikacji, nieuprawnionego ujawnienia lub nieuprawnionego dostępu do danych osobowych przesyłanych, przechowywanych lub w inny sposób przetwarzanych - wyliczono.
UODO uznał, że operator Virgin Mobile naruszył zasadę poufności, której prawidłowa realizacja zapewnia, że dane nie są udostępniane osobom nieuprawnionym, w przypadku wystąpienia naruszenia ochrony danych osobowych. Na operatora nałożono karę w wysokości prawie 1,6 mln zł.
Systemy te służyły do rejestracji #DaneOsobowe abonentów usług przedpłaconych, a brak zastosowanych w nich odpowiednich środków technicznych i organizacyjnych doprowadził do uzyskania przez osobę nieuprawnioną dostępu do tych danych.
— Urząd Ochrony Danych Osobowych (@UODOgov_pl) December 9, 2022
Więcej informacji ⤵️https://t.co/JQrr3RiRU3
Karę ma zapłacić Play
W połowie 2020 roku Virgin Mobile Polska został przejęty przez spółkę P4, operator sieci telekomunikacyjnej Play. Cenę ustalono na 59 mln zł. https://www.wirtualnemedia.pl/artykul/play-kupil-virgin-mobile-polska-za-59-mln-zl Spółka Virgin Mobile Polska została potem wchłonięta przez P4.
W kwietniu br. operator Play sfinalizował przejęcie UPC Polska za 7 mld zł. W trzecim kwartale br. grupa kapitałowa P4 przy wzroście przychodów z 1,83 do 2,42 mld zł osiągnęła 979 mln zł zysku EBITDAaL. Firma miała 16,79 mln klientów usług mobilnych i 1,97 mln korzystających z usług stacjonarnych.
Dołącz do dyskusji: Play ma zapłacić 1,6 mln zł za wyciek danych klientów Virgin Mobile. UODO podtrzymał grzywnę