Systemy te służyły do rejestracji danych osobowych abonentów usług przedpłaconych, a brak zastosowanych w nich odpowiednich środków technicznych i organizacyjnych doprowadził do uzyskania przez osobę nieuprawnioną dostępu do tych danych. Urząd ponownie zajmował się tą samą sprawą naruszenia przepisów RODO przez tę spółkę i po raz kolejny stwierdził naruszenie przepisów.

Zaniedbania w rejestracji danych osobowych abonentów usług przedpłaconych

Do Urzędu Ochrony Danych Osobowych w grudniu 2019 r. wpłynęło zgłoszenie naruszenia ochrony danych osobowych, w którym administrator poinformował o naruszeniu ochrony danych osobowych abonentów, polegającym na uzyskaniu przez osobę nieuprawnioną dostępu do tych danych i pozyskaniu potwierdzeń rejestracji, zawierających dane osobowe.

Czytaj także: Wyciekły dane pacjenta - prezes UODO nałożył karę>>

W związku ze zgłoszonym naruszeniem UODO zdecydował o przeprowadzeniu w spółce Virgin Mobile Polska Sp. z o.o. kontroli zgodności przetwarzania danych osobowych z przepisami o ochronie danych osobowych.
Po przeprowadzeniu postępowania administracyjnego organ nadzorczy wydał 3 grudnia 2020 r. decyzję, nakładającą na spółkę Virgin Mobile Polska Sp. z o.o. administracyjną karę pieniężną w wysokości 1.968.524,00 zł. Administrator jednak w całości zaskarżył decyzję UODO, wnosząc o jej uchylenie. Wyrokiem z 21 października 2021 r. Wojewódzki Sąd Administracyjny w Warszawie (sygn. akt: II SA/Wa 272/21) uchylił zaskarżoną decyzję stwierdzając, iż skarga wniesiona przez spółkę Virgin jest uzasadniona, choć nie wszystkie podniesione w niej zarzuty mogły być uznane za zasadne.

 


Były działania, ale mało skuteczne

Sąd uznał za trafną ocenę UODO, że przyjęte przez spółkę procedury mogłyby być skuteczne, gdyby w ramach wdrożonych procedur zawierały również uregulowania dotyczące regularnego testowania, mierzenia i oceniania skuteczności przyjętych środków technicznych i organizacyjnych mających zapewnić bezpieczeństwo przetwarzania i które byłyby przez spółkę Virgin przestrzegane. Brak wprowadzonych uregulowań przyczynił się do wystąpienia naruszenia ochrony danych osobowych. Sąd jednak wskazał, że organ przy określaniu wysokości kary dostatecznie nie rozważył okoliczności w postaci podejmowanych przez spółkę Virgin działań w celu zminimalizowania szkody poniesionej przez osoby.

Sprawa do ponownego rozpatrzenia

Mając na względzie wyrok sądu, UODO dokonał ponownej analizy materiału dowodowego i ponownie wydał decyzję administracyjną nakładającą karę. Organ zwrócił w niej uwagę, że art. 5 RODO wskazuje zasady dotyczące przetwarzania danych osobowych, które muszą być respektowane przez wszystkich administratorów. Przede wszystkim dane osobowe muszą być przetwarzane w sposób zapewniający ich odpowiednie bezpieczeństwo. Aby przetwarzanie odbywało się zgodnie z RODO administrator wdraża odpowiednie środki techniczne i organizacyjne, oceniając przy tym, czy stopień bezpieczeństwa jest odpowiedni. Administrator uwzględnia ryzyko jakie wiąże się z przetwarzaniem, w szczególności wynikające z przypadkowego lub niezgodnego z prawem zniszczenia, utraty, modyfikacji, nieuprawnionego ujawnienia lub nieuprawnionego dostępu do danych osobowych przesyłanych, przechowywanych lub w inny sposób przetwarzanych.

W ocenie UODO spółka Virgin naruszyła zasadę poufności, której prawidłowa realizacja zapewnia, że dane nie są udostępniane osobom nieuprawnionym, w przypadku wystąpienia naruszenia ochrony danych osobowych.

Konieczne regularne testy i sprawdzanie

UODO stwierdził, że do naruszenia ochrony danych osobowych abonentów doszło w wyniku wykorzystania podatności systemu informatycznego. Zdaniem organu nadzorczego,  przyjęte przez spółkę Virgin środki mogłyby być skuteczne, gdyby w ramach wdrożonych procedur zawierały również uregulowania dotyczące regularnego testowania, mierzenia i oceniania skuteczności przyjętych środków technicznych i organizacyjnych mających zapewnić bezpieczeństwo przetwarzania. W praktyce więc administrator w ogóle nie podejmował takich działań.

Zdaniem organu nadzorczego brak tych uregulowań przyczynił się do wystąpienia naruszenia danych osobowych. Działania takie podjęte zostały dopiero po zaistnieniu naruszenia w grudniu 2019 roku.

Co istotne w tej sprawie ostatni kompleksowy przegląd środków technicznych i organizacyjnych został przeprowadzony w maju 2018 roku, zatem w momencie rozpoczęcia stosowania RODO. Spółka mimo przyjętych rozwiązań nie była w stanie wykryć podatności ze względu na brak regularnych testów.

Po przeprowadzeniu postępowania w tej sprawie ustalono, że spółka Virgin nie wdrożyła w  sposób prawidłowy wymogów RODO, co doprowadziło do naruszenia ochrony danych osobowych abonentów.