Karę w wysokości 1,9 mln zł nałożono na Virgin Mobile Polska. Jest to efekt braku odpowiednich środków technicznych i organizacyjnych zapewniających bezpieczeństwo danych.
O kontroli w Virgin Mobile Polska pisaliśmy tutaj>> W jej następstwie wszczęte zostało postępowanie w sprawie naruszenia przepisów o ochronie danych. W jego toku stwierdzono, że spółka naruszyła zasady poufności danych i rozliczalności. Nie przeprowadzała bowiem regularnych i kompleksowych testów, pomiarów i oceny skuteczności zastosowanych środków technicznych i organizacyjnych mających zapewnić bezpieczeństwo przetwarzanych danych. Tego typu działania były inicjowane jedynie w przypadku pojawiających się podejrzeń zaistnienia podatności ewentualnie w przypadku zmian organizacyjnych. Poza tym nie obejmowały wszystkich systemów, w których przetwarzane są dane.
Zdaniem Prezesa UODO spółka nie przeprowadzała też testów weryfikujących zabezpieczenia związane z przekazywaniem danych między aplikacjami, które związane były z obsługą kupujących usługi przedpłacone. Wymiana danych między aplikacjami w systemie IT miała być poprzedzana pewnych parametrów z wniosków rejestracyjnych klientów usług prepaid. Innymi słowy program miał sprawdzać, czy żądanie, w wyniku którego miały być przekazane dane, wpłynęło od uprawnionego podmiotu. Ta weryfikacja jednak w praktyce nie działała, poza tym mechanizm ten nie był testowany przed wdrożeniem.
W efekcie doszło do nieuprawnionego pozyskania danych niektórych klientów spółki w wyniku wykorzystania podatności związanej z wymianą w danych we wskazanych aplikacjach (brak weryfikacji niektórych parametrów. Jak zauważył organ nadzorczy, spółka podjęła działania związane z naprawą teh funkcjonalności w systemie IT dopiero po wystąpieniu naruszenia..
Jak wskazał Prezes UODO, wdrożenie systemu służącego do przetwarzania danych do użytku bez poprawnie działającej walidacji zakładanych parametrów jest naruszeniem ochrony danych.
Duża kwota kary wynika m.in. z oceny naruszenia jako poważnego, stwarzającego wysokie ryzyko wystąpienia negatywnych dla dużej liczby osób (np. kradzieży tożsamości). Nawet krótkotrwały dostęp do danych wystarczałby bowiem do pobrania ich dużej liczby. Poza tym sama podatność zagrożenia wyciekiem danych istniała dość długo. Jednocześnie wzięto pod uwagę pewne okoliczności łagodzące, w tym dobrą współpracę administratora, szybkie usunięcie naruszenia po jego wykryciu, ale i wdrożenie dodatkowych rozwiązań, które mają dodatkowo podnieść bezpieczeństwo przetwarzanych danych.
Orzecznictwo:
Przechowywanie danych w chmurze polega na zapisywaniu i zarządzaniu danymi na zdalnych serwerach, które są dostępne przez internet. Zamiast przechowywać pliki na lokalnych dyskach twardych lub serwerach, użytkownicy mogą korzystać z infrastruktury dostarczanej przez dostawców usług chmurowych. Jest to wygodne i efektywne rozwiązanie, które zapewnia dostęp do danych z dowolnego miejsca, elastyczność, skalowalność oraz wysoki poziom bezpieczeństwa i niezawodności.
© Portal Poradyodo.pl
