UODO po raz kolejny zbadał naruszenie ochrony danych osobowych przez Virgin Mobile
Urząd Ochrony Danych Osobowych stwierdzając naruszenie przepisów RODO, zdecydował o nałożeniu administracyjnej kary pieniężnej w wysokości prawie 1,6 mln. zł na P4 Sp. z o.o. z siedzibą w Warszawie, następcę prawnego Virgin Mobile Polska Sp. z o.o.
Organ nadzorczy ponownie zajmował się tą samą sprawą naruszenia przepisów RODO przez tę spółkę i po raz kolejny stwierdził naruszenie przepisów RODO polegające na niewdrożeniu przez Virgin Mobile Polska Sp. z o.o., której następcą prawnym jest P4 Sp. z o.o., odpowiednich środków technicznych i organizacyjnych zapewniających stopień bezpieczeństwa odpowiadający ryzyku przetwarzania danych za pomocą systemów informatycznych. Systemy te służyły do rejestracji danych osobowych abonentów usług przedpłaconych, a brak zastosowanych w nich odpowiednich środków technicznych i organizacyjnych doprowadził do uzyskania przez osobę nieuprawnioną dostępu do tych danych, a co stanowiło również naruszenie zasady integralności i poufności.
Do Urzędu Ochrony Danych Osobowych w grudniu 2019 r. wpłynęło zgłoszenie naruszenia ochrony danych osobowych, w którym administrator poinformował o naruszeniu ochrony danych osobowych abonentów, polegającym na uzyskaniu przez osobę nieuprawnioną dostępu do tych danych i pozyskaniu potwierdzeń rejestracji, zawierających dane osobowe.
W związku ze zgłoszonym naruszeniem UODO zdecydował o przeprowadzeniu w spółce Virgin Mobile Polska Sp. z o.o. kontroli zgodności przetwarzania danych osobowych z przepisami o ochronie danych osobowych.
Wówczas po przeprowadzeniu postępowania administracyjnego organ nadzorczy wydał 3 grudnia 2020 r. decyzję, nakładającą na spółkę Virgin Mobile Polska Sp. z o.o. administracyjną karę pieniężną w wysokości 1.968.524,00 zł. Administrator jednak w całości zaskarżył decyzję UODO, wnosząc o jej uchylenie. Wyrokiem z 21 października 2021 r. Wojewódzki Sąd Administracyjny w Warszawie (sygn. akt: II SA/Wa 272/21) uchylił zaskarżoną decyzję stwierdzając, iż skarga wniesiona przez spółkę Virgin jest uzasadniona, choć nie wszystkie podniesione w niej zarzuty mogły być uznane za zasadne.
Sąd uznał za trafną ocenę UODO, że przyjęte przez spółkę procedury mogłyby być skuteczne, gdyby w ramach wdrożonych procedur zawierały również uregulowania dotyczące regularnego testowania, mierzenia i oceniania skuteczności przyjętych środków technicznych i organizacyjnych mających zapewnić bezpieczeństwo przetwarzania i które byłyby przez spółkę Virgin przestrzegane. Brak wprowadzonych uregulowań przyczynił się do wystąpienia naruszenia ochrony danych osobowych. Sąd jednak wskazał, że organ przy określaniu wysokości kary dostatecznie nie rozważył okoliczności w postaci podejmowanych przez spółkę Virgin działań w celu zminimalizowania szkody poniesionej przez osoby.
Do ponownego rozpatrzenia
Mając na względzie wyrok sądu, UODO dokonał ponownej analizy materiału dowodowego i ponownie wydał decyzję administracyjną nakładającą karę. Organ zwrócił uwagę, że art. 5 RODO wskazuje zasady dotyczące przetwarzania danych osobowych, które muszą być respektowane przez wszystkich administratorów. Przede wszystkim dane osobowe muszą być przetwarzane w sposób zapewniający ich odpowiednie bezpieczeństwo. Aby przetwarzanie odbywało się zgodnie z RODO administrator wdraża odpowiednie środki techniczne i organizacyjne, oceniając przy tym, czy stopień bezpieczeństwa jest odpowiedni. Administrator uwzględnia ryzyko jakie wiąże się z przetwarzaniem, w szczególności wynikające z przypadkowego lub niezgodnego z prawem zniszczenia, utraty, modyfikacji, nieuprawnionego ujawnienia lub nieuprawnionego dostępu do danych osobowych przesyłanych, przechowywanych lub w inny sposób przetwarzanych.
W ocenie UODO spółka Virgin naruszyła zasadę poufności, której prawidłowa realizacja zapewnia, że dane nie są udostępniane osobom nieuprawnionym, w przypadku wystąpienia naruszenia ochrony danych osobowych.
Administratorze regularnie testuj, mierz, sprawdzaj
Do naruszenia ochrony danych osobowych abonentów doszło w wyniku wykorzystania podatności systemu informatycznego. Warto w tym miejscu zaznaczyć, że przyjęte przez spółkę Virgin środki mogłyby być skuteczne, gdyby w ramach wdrożonych procedur zawierały również uregulowania dotyczące regularnego testowania, mierzenia i oceniania skuteczności przyjętych środków technicznych i organizacyjnych mających zapewnić bezpieczeństwo przetwarzania. W praktyce więc administrator w ogóle nie podejmował takich działań.
Zdaniem organu nadzorczego brak tych uregulowań przyczynił się do wystąpienia naruszenia danych osobowych. Działania takie podjęte zostały dopiero po zaistnieniu naruszenia w grudniu 2019 roku.
Co istotne w tej sprawie ostatni kompleksowy przegląd środków technicznych i organizacyjnych został przeprowadzony w maju 2018 roku, zatem w momencie rozpoczęcia stosowania RODO.
Spółka mimo przyjętych rozwiązań nie była w stanie wykryć podatności ze względu na brak regularnych testów.
Dokonywanie przeglądów jednorazowo lub w sytuacji wystąpienia zmiany organizacyjnej lub prawnej, jak również podejmowanie działań dopiero w przypadku podejrzenia zaistnienia podatności, nie może zostać uznane za regularne testowanie, mierzenie i ocenianie skuteczności zastosowanych środków technicznych i organizacyjnych.
Po przeprowadzeniu postępowania w tej sprawie ustalono, że spółka Virgin nie wdrożyła w sposób prawidłowy wymogów RODO, co doprowadziło do naruszenia ochrony danych osobowych abonentów.