Prezes UODO nałożył karę 1,6 mln zł na P4 Sp. z o.o., następcę prawnego Virgin Mobile Polska Sp. z o.o. Tak wysoka kara była wynikiem niewdrożenia środków bezpieczeństwa przez Virgin Mobile.
Nie jest to pierwsza kara dotycząca Virgin Mobile. Spółka ta była już ukarana karą w wysokości 1,9 mln zł za brak regularnych i kompleksowych testów, pomiarów i oceny skuteczności zastosowanych środków technicznych i organizacyjnych. Więcej na ten temat przeczytasz tutaj>>
Karę uchylił jednak Wojewódzki Sąd Administracyjny w Warszawie w wyroku z 21 października 2021 r. (II SA/Wa 272/21). Sąd stwierdził m.in. nieprawidłowy wymiar kary, ponieważ organ nadzorczy nie uwzględnił podejmowanych przez spółkę Virgin Mobile Polska działań w celu zminimalizowania szkody poniesionej przez osoby.
Wobec tego sprawa została rozpoznana ponownie. Organ nadzorczy ponownie stwierdził, że Virgin Mobile Polska Sp. z o.o. nie wdrożyła środków technicznych i organizacyjnych odpowiednich do poziomu ryzyka przetwarzania w ramach systemów IT. Wyciek danych abonentów był efektem wykorzystania podatności tych systemów. Systemy te były wykorzystywane do rejestracji danych osobowych abonentów usług przedpłaconych.
Administrator powinien uwzględnić ryzyko wiążące się z przetwarzaniem, wynikające zwłaszcza z przypadkowego lub niezgodnego z prawem:
przesyłanych, przechowywanych lub w inny sposób przetwarzanych.
W efekcie niezastosowania w nich odpowiednich środków bezpieczeństwa dostęp do danych uzyskała osoba nieuprawniona. Doszło więc do naruszenia zasad integralności i poufności.
W ocenie Prezesa UODO, gdyby spółka przewidziała rozwiązania w zakresie regularnego testowania, mierzenia i oceniania skuteczności przyjętych środków technicznych i organizacyjnych mających zapewnić bezpieczeństwo przetwarzania. Tymczasem takich działań nie podjęto przed wystąpieniem naruszenia. W konsekwencji spółka nie mogła wykryć podatności ze względu na brak regularnych testów.
Jednorazowe przeglądy środków bezpieczeństwa nie są wystarczające. Konieczne jest regularne testowanie , mierzenie i ocenianie skuteczności zastosowanych środków technicznych i organizacyjnych.
Przechowywanie danych w chmurze polega na zapisywaniu i zarządzaniu danymi na zdalnych serwerach, które są dostępne przez internet. Zamiast przechowywać pliki na lokalnych dyskach twardych lub serwerach, użytkownicy mogą korzystać z infrastruktury dostarczanej przez dostawców usług chmurowych. Jest to wygodne i efektywne rozwiązanie, które zapewnia dostęp do danych z dowolnego miejsca, elastyczność, skalowalność oraz wysoki poziom bezpieczeństwa i niezawodności.
© Portal Poradyodo.pl
