Komunikat IOD-y – Kolejna kara za naruszenia RODO

Autor: Patryk Siewert pod red. Marcina Soczko — w kategorii Komunikaty IOD-y — 17 grudnia 2020

17

Gru
2020

Prezes Urzędu Ochrony Danych Osobowych w dniu 14 grudnia br. poinformował o nałożeniu – w drodze decyzji administracyjnej – kary w wysokości 1,9 mln zł na Virgin Mobile Polska (dalej VM).

Postępowanie kontrolne w wyniku którego nałożono karę, zostało wszczęte po otrzymaniu zgłoszenia od VM o wystąpieniu naruszenia ochrony danych osobowych w grudniu 2019 r.

SZCZEGÓŁY NARUSZENIA

Naruszenie dotyczyło abonentów usług przedpłaconych, a polegało na uzyskaniu przez osobę nieuprawnioną dostępu do danych osobowych i pozyskaniu przez nią 142 222 rekordów potwierdzeń rejestracji usług przedpłaconych. Zawierały one dane osobowe 114 963 klientów w zakresie imienia i nazwiska, numeru ewidencyjnego PESEL, serii i numeru dowodu osobistego, numeru telefonu, numeru NIP oraz nazwy podmiotu, co – w ocenie organu – stanowiło źródło wysokiego ryzyka dla praw i wolności osób fizycznych.

WNIOSKI WYNIKAJĄCE Z DECYZJI PREZESA UODO

Niewystarczające testowanie stosowanych zabezpieczeń 

Po przeprowadzeniu postępowania kontrolnego, organ nadzorczy stwierdził, iż w VM nie było przeprowadzane kompleksowe i regularne testowanie, mierzenie i ocenianie skuteczności środków technicznych i organizacyjnych mających zapewnić właściwą ochronę przetwarzania danych osobowych. Organ zarzucił brak wdrożenia procedur określających sposoby przeprowadzania oraz częstotliwość tych testów.


Testowanie stosowanych środków ochrony, zgodnie z art. 32 ust. 1 lit. d RODO stanowi obowiązek administratora przetwarzającego dane osobowe, z którego VM wywiązało się połowicznie. Organizacja weryfikowała i modyfikowała poziom skuteczności wdrożonych zabezpieczeń tylko w sytuacjach, gdy zachodziły przesłanki wskazujące o wystąpieniu podatności.

Brak rzetelności przy przeprowadzaniu analizy ryzyka

Ponadto organ nadzorczy wskazał, iż VM nie przeprowadziło rzetelnie analizy ryzyka, wręcz uznał, iż jej przeprowadzenie miało „na celu jedynie wykazanie, iż nie występuje wysokie ryzyko naruszenia praw i wolności osób fizycznych, a co za tym idzie, że nie jest konieczne wdrażanie dodatkowych środków technicznych i organizacyjnych”.

Prawidłowo przeprowadzona analiza ryzyka kluczem do właściwej ochrony danych

VM mogło uniknąć naruszenia ochrony danych, gdyby poprawnie przeprowadzono analizę ryzyka. Jak wskazano w decyzji „analiza ryzyka przeprowadzana przez administratora danych osobowych powinna zostać udokumentowana oraz uzasadniona na podstawie przede wszystkim określenia stanu faktycznego, istniejącego w momencie jej przeprowadzania. Należy wziąć pod uwagę w szczególności charakterystykę zachodzących procesów, aktywa, podatności, zagrożenia oraz istniejące zabezpieczenia, w ramach zachodzących procesów przetwarzania danych osobowych.”

Pogląd organu nadzorczego znajduje potwierdzenie w wyroku Wojewódzkiego Sądu Administracyjnego z 3 września 2020 r. w sprawie Morele.net (syg. II SA/Wa 2559/19), w którym stwierdzono, iż „zarządzanie ryzykiem jest fundamentem działań związanych z ochroną danych osobowych i ma charakter ciągłego procesu” oraz wskazano, iż rozwiązania, mające na celu zapewnienie bezpieczeństwa danych osobowych powinny być adekwatne do poziomu ryzyka i powinny uwzględniać „charakter danej organizacji oraz wykorzystywanych mechanizmów przetwarzania danych osobowych”.

Dołącz do dyskusji

Podanie adresu e-mail jest związane z moderacją treści komentarza, w szczególności z ewentualnym kontaktem z Użytkownikiem, w celu uzgodnienia ostatecznej treści, co stanowi prawnie uzasadniony interes administratora. Po opublikowaniu komentarza widoczna jest jedynie jego treść i data publikacji oraz imię autora, reszta danych jest niezwłocznie usuwana. Szczegóły dotyczące przetwarzania danych osobowych zawarte są w Polityce prywatności.


trzy × 4 =