Incydentalny przegląd zabezpieczeń nie należy do środków technicznych

RODO

Na spółkę Virgin Mobile Polska została nałożona kara w wysokości 1,9 milionów złotych za brak właściwych środków technicznych i organizacyjnych, które zapewniają bezpieczeństwo przetwarzania danych.

Skuteczność stosowanych środków bezpieczeństwa

Zdaniem Urzędu Ochrony Danych Osobowych spółka narusza wdrożone RODO, a mianowicie zasady poufności danych oraz rozliczalności. Virgin Mobile Polska nie przeprowadzała regularnych i kompleksowych testów ani pomiarów i oceny skuteczności stosowanych środków technicznych i organizacyjnych, które mają zapewniać bezpieczeństwo przetwarzania informacji. Ponadto, wszelkie czynności z tego zakresu były podejmowane tylko przy okazji pojawiających się przypadków podejrzeń dotyczących zaistnienia podatności, lub w związku z zachodzącymi zmianami organizacyjnymi. Dodatkowo Virgin Mobile Polska nie przeprowadziła testów weryfikujących zabezpieczeń związanych z przekazywaniem danych między aplikacjami dla osób kupujących przedpłacone usługi. Co więcej, wykorzystała to nieuprawniona osoba i pozyskała dane niektórych klientów.

Kontrola i postępowanie administracyjne wobec spółki Virgin Mobile Polska

W spółce został przeprowadzony audyt ochrony danych osobowych. UODO na podstawie nieprawidłowości wszczął postępowanie administracyjne. Organ nadzoru uznał, że w spółce nie były przeprowadzane ani kompleksowe, ani regularne środki techniczne zapewniające bezpieczeństwo danych osobowych. Stwierdził, że wszystkie działania podejmowane były incydentalnie i nie dotyczyły wszystkich systemów, które przetwarzają dane. Okazało się także, że w systemie informatycznym dane wymieniane były między aplikacjami po zweryfikowaniu parametrów z wniosków o rejestrację klientów usług prepaid. Program miał sprawdzać, czy żądanie z przekazaniem danych wpłynęło od klienta. Ta weryfikacja jednak nie działała i nie została nawet przetestowania. Podatność polegającą na braku weryfikacji parametrów, została wykorzystana przez nieuprawnioną osobę, która pozyskała dane. Dopiero ta sytuacja sprawiła, że spółka Virgin Mobile Polska podjęła się naprawy danej funkcjonalności w swoim systemie. Urząd Ochrony Danych Osobowych uznał, że działanie polegające na wdrożeniu systemu do przetwarzania danych bez odpowiednio działającej walidacji parametrów jest rażącym naruszeniem RODO.

Postępowanie zakończone nałożeniem kary

Na spółkę została nałożona kara pieniężna. Jej wysokość wynika z poważnego charakteru naruszenia, ponieważ stwarza ono wysokie ryzyko wystąpienia negatywnych skutków związanych z ochroną prawną dla wielu osób. Należy tutaj jeszcze wspomnieć, że mimo krótkotrwałego dostępu osób nieuprawnione, mogły one pobrać dużą ilość danych. Natomiast stan naruszenia był długotrwały – istniał już od dawna. Urząd Ochrony Danych Osobowych wymierzając karę, wziął też pod uwagę łagodzące okoliczności, takie jak dobra współpraca administratora, szybkie i sprawne usunięcie naruszenia oraz wdrożenie rozwiązań dodatkowych, które mają podnieść bezpieczeństwo ochrony przetwarzania danych.

Jeżeli juz odwiedziłeś naszą stronę - zapraszamy do przejrzenia cennika usług!

Dodaj komentarz

Twój adres email nie zostanie opublikowany. Pola, których wypełnienie jest wymagane, są oznaczone symbolem *

Wypełnij to pole
Wypełnij to pole
Proszę wprowadzić prawidłowy adres email.
You need to agree with the terms to proceed

Menu