Wojewódzki Sąd Administracyjny w Warszawie podtrzymał karę UODO w wysokości 1,6 mln zł w sprawie spółki Virgin Mobile. Dotyczyła ona naruszenia ochrony danych osobowych abonentów na dużą skalę. Karę zapłacić musi jej następca prawny – P4 sp. z o.o.
Przypomnijmy, że w wyniku skargi Wojewódzki Sąd Administracyjny w Warszawie w wyroku z 21 października 2021 r. (II SA/Wa 272/21) uchylił decyzję Prezesa UODO w sprawie spółki Virgin Mobile. W decyzji tej organ nadzorczy wymierzył firmie telekomunikacyjnej administracyjną karę pieniężną w wysokości 1,9 mln zł. Ogólnie rzecz ujmując, kara była wynikiem nieprawidłowości we wdrożonych przez firmę środkach bezpieczeństwa. W szczególności brakowało rozwiązań pozwalających na regularne testowanie, mierzenie i ocenianie skuteczności przyjętych środków. W ocenie organu nadzorczego doprowadziło to do dużego wycieku danych osobowych abonentów z systemów wykorzystywanych do rejestracji danych osobowych w zakresie usług przedpłaconych.
Dlaczego decyzja ta została uchylona? Otóż sąd stwierdził nieprawidłowości w wymiarze kary, w szczególności nieuwzględnienie działań podejmowanych przez administrowania w celu zminimalizowania konsekwencji naruszenia.
Co istotne, nie zakwestionowano natomiast stwierdzenia nieprawidłowości w zakresie środków bezpieczeństwa danych.
Sprawa trafiła więc ponownie do Prezesa UODO, który dokonał ponownej oceny pod kątem wymiaru administracyjnej kary pieniężnej. W efekcie w kolejnej decyzji wymierzono niższą karę – w wymiarze ok. 1,6 mln zł.
Kara została nałożona na P4 Sp. z o.o. - następcę prawnego Virgin Mobile.
Spółka nie zgodziła się z tym wymiarem kary i wniosła skargę do Wojewódzkiego Sądu Administracyjnego. WSA w Warszawie w wyroku z 21 czerwca 2023 r. (sygn. akt. II SA/Wa 150/23) oddalił jednak tę skargę. Tym razem sąd uznał, że karę wymierzono prawidłowo. Podkreślił przy tym, że Prezes UODO właściwie ocenił kryteria wymiaru tej kary.
Sąd nie podzielił zarzutu, że następca prawny spółki Virgin Mobile nie ponosi odpowiedzialności za naruszenie, które miało w nieistniejącej już firmie.
W ocenie WSA następca prawny ponosi odpowiedzialność za naruszenie ochrony danych, które wystąpiło u poprzednika prawnego, ponieważ wstępuje we wszystkie prawa i obowiązki spółki przejmowanej.
Przechowywanie danych w chmurze polega na zapisywaniu i zarządzaniu danymi na zdalnych serwerach, które są dostępne przez internet. Zamiast przechowywać pliki na lokalnych dyskach twardych lub serwerach, użytkownicy mogą korzystać z infrastruktury dostarczanej przez dostawców usług chmurowych. Jest to wygodne i efektywne rozwiązanie, które zapewnia dostęp do danych z dowolnego miejsca, elastyczność, skalowalność oraz wysoki poziom bezpieczeństwa i niezawodności.
© Portal Poradyodo.pl