Zarzuty wobec Spółki

Zakresem kontroli przeprowadzonej przez Prezesa UODO w Spółce, w konsekwencji zgłoszenia przez Spółkę naruszenia ochrony danych osobowych, objęty został sposób przetwarzania danych, w tym sposób ich zabezpieczenia, w ramach świadczenia usług telekomunikacyjnych abonentom usług przedpłaconych.

Prezes UODO stwierdził naruszenie przez Virgin Mobile przepisów RODO polegające na niewdrożeniu odpowiednich środków technicznych i organizacyjnych zapewniających stopień bezpieczeństwa odpowiadający ryzyku przetwarzania danych za pomocą systemów informatycznych służących do rejestracji danych osobowych abonentów usług przedpłaconych, co doprowadziło do uzyskania przez osobę nieuprawnioną dostępu do tych danych.

Ochrona danych osobowych – aktualna lista szkoleń Sprawdź

Nieuprawniona osoba uzyskała dostęp do 142 222 rekordów potwierdzeń rejestracji usług przedpłaconych, zawierających dane osobowe 114 963 klientów w zakresie imienia i nazwiska, numeru ewidencyjnego PESEL, serii i numeru dowodu osobistego, numeru telefonu, numeru NIP oraz nazwy podmiotu.

Z ustaleń Prezesa UODO wynika, że do wycieku danych osobowych doszło na skutek uzyskania nieuprawnionego dostępu do danych abonentów usług przedpłaconych poprzez wykorzystanie podatności systemu informatycznego, tj. usługi generującej potwierdzenia dokonania rejestracji kart prepaid. Z decyzji usunięte zostały szczegóły techniczne dotyczące systemu, jednak wywnioskować można, że podatność systemu związana była z brakiem odpowiedniej weryfikacji wszystkich wymaganych parametrów przy rejestracji kart przedpłaconych poprzez aplikację, obsługiwaną przez system, do którego dostęp uzyskała nieuprawniona osoba.

Prezes UODO zarzucił Spółce, że środki techniczne i organizacyjne, jakie stosowała od maja 2018 r., były poddawane przeglądom oraz uaktualniane jedynie w miarę potrzeb, w sytuacji wystąpienia zmian organizacyjnych lub prawnych. Zdaniem Prezesa UODO, w Spółce nie było przeprowadzane kompleksowe regularne testowanie, mierzenie i ocenianie skuteczności środków technicznych i organizacyjnych mających zapewnić bezpieczeństwo przetwarzania. Dopiero w sytuacjach, gdy pojawiało się podejrzenie zaistnienia podatności, prowadzone były prace mające na celu zabezpieczenie przed daną podatnością. Co więcej, przed wystąpieniem naruszenia ochrony danych osobowych, Spółka nie przeprowadzała testów nastawionych na weryfikację zabezpieczeń aplikacji i obsługującego ją systemu informatycznego, z którego wyciekły dane osobowe.

W ocenie Prezesa UODO, Spółka nie wypełniła obowiązków wynikających z RODO, związanych z doborem skutecznych środków technicznych i organizacyjnych zapewniających bezpieczeństwo przetwarzanych danych, w tym zdolność do ciągłego zapewnienia poufności, integralności, dostępności i odporności systemów i usług przetwarzania

Co prawda, Spółka przyjęła określone procedury dotyczące m.in. metodyki analizy ryzyka, procedury klasyfikacji poziomów bezpieczeństwa informacji, polityki bezpieczeństwa informacji, procedury zarządzenia systemem informatycznym. Jednak, Prezes UODO wskazał, że środki te nie były skuteczne, bowiem nie zawierały uregulowań dotyczących regularnego testowania, mierzenia oraz oceniania skuteczności środków technicznych i organizacyjnych mających zapewnić bezpieczeństwo. Prezes UODO za niewystarczające uznał dokonywanie testów jedynie w sytuacjach pojawiającego się zagrożenia. Zdaniem Prezesa UODO, konieczne jest bowiem wprowadzenie takiej procedury, która określać będzie konkretny harmonogram działań zapewniających regularną weryfikację skuteczności wdrożonych środków.

Uzasadnienie nałożenia kary

Nałożenie na Virgin Mobile kary i jej wysokość Prezes UODO uzasadnił:

  • naruszeniem przez Spółkę podstawowych zasad wynikających z RODO, tj. zasady poufności danych oraz zasady rozliczalności,
  • skalą naruszeń i ich wagą,
  • poważnym charakterem naruszenia, stwarzającym wysokie ryzyko negatywnych skutków ochrony prawnej dla dużej liczby osób (np. ryzyko kradzieży tożsamości),
  • długotrwałym istnieniem stanu naruszenia (według Prezesa UODO podatność zagrożenia wyciekiem danych istniała od dawna).

Jak wynika z komunikatu opublikowanego na stronie urzędu, Prezes UODO uznał, że: „zastosowanie innych środków naprawczych niż administracyjnej kary pieniężnej byłoby nieproporcjonalne. Kara pieniężna ma zaś sprawić, że spółka w przyszłości nie dopuści już do podobnych zaniedbań.”

Pomimo usunięcia przez Spółkę uchybień oraz dobrej współpracy Spółki z organem nadzorczym podczas kontroli, jak i podjętej w celu usunięcia naruszenia oraz złagodzenia jego ewentualnych negatywnych skutków, w ocenie Prezesa UODO, zastosowana administracyjna kara pieniężna była proporcjonalna. Niniejsze okoliczności stanowiły jednak okoliczności łagodzące i mające wpływ na obniżenie wysokości wymierzonej kary.

Wskazówki praktyczne wynikające z decyzji

Prezes UODO w wydawanych decyzjach konsekwentnie podkreśla wagę weryfikowania przyjętych w danej organizacji procedur i stosowanych środków ochrony danych. Podstawowe wnioski z tym związane, po lekturze omawianej decyzji, sprowadzają się do następujących obowiązków:

1. nieustannej, kompleksowej weryfikacji przyjętych w danym podmiocie środków organizacyjnych i technicznych związanych z ochroną danych osobowych;

Jak wskazuje Prezes UODO: „kompleksowość tej weryfikacji powinna być oceniana przez pryzmat adekwatności do ryzyk oraz proporcjonalności w stosunku do stanu wiedzy technicznej, kosztów wdrażania oraz charakteru, zakresu, kontekstu i celów przetwarzania”.

2. regularnego dokonywania przeglądów, niezależnie od sytuacji wystąpienia zmian, czy podejrzenia zaistnienia podatności;

Prezes UODO wyjaśnia, że weryfikacja zabezpieczeń przy wprowadzaniu zmian organizacyjnych, prawnych lub w przypadku podejrzenia wystąpienia naruszenia integralności systemu nie stanowi właściwej oceny skuteczności przyjętych środków technicznych i organizacyjnych, tylko analizę ryzyka, która powinna być dokonywana odrębnie od przeglądów. Analiza ryzyka jest bowiem właściwa dla procesów wdrażania zmian. Przeglądy natomiast powinny być wykonywane niezależnie.

3. badania prawdopodobieństwa wystąpienia danego rodzaju zdarzenia / naruszenia na podstawie wszelkich możliwych okoliczności, nie tylko w oparciu o częstotliwość występowania określonych przypadków w danej organizacji;

Prezes UODO słusznie podkreśla, iż niewystąpienie określonego zdarzenia w przeszłości nie oznacza, że nie wystąpi ono w przyszłości.

To ważna decyzja nie tylko ze względu na zawarte w niej wyjaśnienia i wskazówki, ale także z tego powodu, że zwraca uwagę na jakość zabezpieczeń stosowanych przez firmy telekomunikacyjne, których bazy danych bez wątpienia są jednymi z największych. Z pewnością będzie to miało wpływ na podniesienie świadomości podmiotów danych / użytkowników telefonów w tym zakresie. Należy mieć także nadzieję, że konsekwencją będzie bardziej ostrożne powierzanie swoich danych osobowych nieznanym aplikacjom, czy usługom oferowanych przez operatorów sieci.

Decyzja Prezesa UODO z 3.12.2020 r., sygn. DKN.5112.1.2020

Wszystkie aktualności n.ius® po zalogowaniu. Nie posiadasz dostępu? Przetestuj. Sprawdź