Incydentalny przegląd zabezpieczeń to nie regularne testowanie środków technicznych – zdecydował prezes Urzędu Ochrony Danych Osobowych i nałożył na firmę Virgin Mobile Polska karę w wysokości 1,9 mln zł. Zarzucił jej brak wdrożonych odpowiednich środków technicznych i organizacyjnych zapewniających bezpieczeństwo przetwarzanych danych.
UODO stwierdził, że spółka naruszyła określone w RODO zasady poufności danych i rozliczalności.
„Virgin Mobile nie przeprowadzał regularnych i kompleksowych testów, pomiarów i oceny skuteczności zastosowanych środków technicznych i organizacyjnych mających zapewnić bezpieczeństwo przetwarzanych danych. Działania w tym zakresie były podejmowane jedynie przy okazji pojawiających się podejrzeń zaistnienia podatności oraz w związku ze zmianami organizacyjnymi. Ponadto, nie były przeprowadzone testy weryfikujące zabezpieczenia związane z przekazywaniem danych między aplikacjami, które związane były z obsługą osób kupujących usługi przedpłacone. Oprócz tego, podatność związaną z wymianą danych w tych systemach, wykorzystała osoba nieuprawniona do pozyskania danych niektórych klientów spółki” – czytamy na stronie Urzędu Ochrony Danych Osobowych.
W efekcie naruszenia ochrony danych organ nadzoru przeprowadził w spółce kontrolę. Stwierdził nieprawidłowości i wszczął następnie postępowania administracyjne. W toku postępowania UODO nie zgodził się z administratorem, który utrzymywał, że testował i monitorował zastosowane środki techniczne, jak i organizacyjne mające zapewnić bezpieczeństwo danych osobowych. Organ nadzoru uznał, że te działania nie były ani regularne, ani kompleksowe, gdyż były podejmowane incydentalnie i nie obejmowały wszystkich systemów, w których przetwarzane są dane. Stwierdził poza tym, że wdrożenie systemu służącego do przetwarzania danych do użytku bez poprawnie działającej walidacji zakładanych parametrów jest rażącym naruszeniem administratora.
Urząd wziął pod uwagę również okoliczności łagodzące, jak np. dobrą współpracę administratora, szybkie usunięcie naruszenia po jego wykryciu, ale i wdrożenie dodatkowych rozwiązań, które mają dodatkowo podnieść bezpieczeństwo przetwarzanych danych. Biorąc jednak pod uwagę skalę naruszeń i ich wagę UODO uznał, że zastosowanie innych środków naprawczych niż administracyjnej kary pieniężnej byłoby nieproporcjonalne. Kara pieniężna ma zaś sprawić, że spółka w przyszłości nie dopuści już do podobnych zaniedbań.
