Aktualizacja publikacji z 21 grudnia 2020 r.
Prezes Urzędu Ochrony Danych Osobowych 14 grudnia 2020 r. poinformował o nałożeniu – w drodze decyzji administracyjnej (link do decyzji został usunięty ze strony UODO) – kary w wysokości 1,9 mln zł na Virgin Mobile Polska (VM), której następcą prawnym jest obecnie P4 Sp. z o.o.
Postępowanie kontrolne, w wyniku którego nałożono karę, zostało wszczęte po otrzymaniu zgłoszenia od VM o wystąpieniu naruszenia ochrony danych osobowych w grudniu 2019 r.
SZCZEGÓŁY NARUSZENIA
Naruszenie dotyczyło abonentów usług przedpłaconych, a polegało na uzyskaniu przez osobę nieuprawnioną dostępu do danych osobowych i pozyskaniu przez nią 142 222 rekordów potwierdzeń rejestracji usług przedpłaconych. Zawierały one dane osobowe 114 963 klientów w zakresie imienia i nazwiska, numeru ewidencyjnego PESEL, serii i numeru dowodu osobistego, numeru telefonu, numeru NIP oraz nazwy podmiotu, co – w ocenie organu – stanowiło źródło wysokiego ryzyka dla praw i wolności osób fizycznych.
WNIOSKI WYNIKAJĄCE Z DECYZJI PREZESA UODO
Niewystarczające testowanie stosowanych zabezpieczeń
Po przeprowadzeniu postępowania kontrolnego, organ nadzorczy stwierdził, iż w VM nie było przeprowadzane kompleksowe i regularne testowanie, mierzenie i ocenianie skuteczności środków technicznych i organizacyjnych mających zapewnić właściwą ochronę przetwarzania danych osobowych. Organ zarzucił brak wdrożenia procedur określających sposoby przeprowadzania oraz częstotliwość tych testów.
Testowanie stosowanych środków ochrony, zgodnie z art. 32 ust. 1 lit. d RODO stanowi obowiązek każdego podmiotu przetwarzającego dane osobowe, z którego VM wywiązało się połowicznie. Organizacja weryfikowała i modyfikowała poziom skuteczności wdrożonych zabezpieczeń tylko w sytuacjach, gdy zachodziły przesłanki wskazujące o wystąpieniu podatności.
Brak rzetelności przy przeprowadzaniu analizy ryzyka
Ponadto organ nadzorczy wskazał, iż VM nie przeprowadziło rzetelnie analizy ryzyka, wręcz uznało, iż jej przeprowadzenie miało „na celu jedynie wykazanie, iż nie występuje wysokie ryzyko naruszenia praw i wolności osób fizycznych, a co za tym idzie, że nie jest konieczne wdrażanie dodatkowych środków technicznych i organizacyjnych”.
Prawidłowo przeprowadzona analiza ryzyka kluczem do właściwej ochrony danych
VM mogło uniknąć naruszenia ochrony danych, gdyby poprawnie przeprowadzono analizę ryzyka. Jak wskazano w decyzji „analiza ryzyka przeprowadzana przez administratora danych osobowych powinna zostać udokumentowana oraz uzasadniona na podstawie przede wszystkim określenia stanu faktycznego, istniejącego w momencie jej przeprowadzania. Należy wziąć pod uwagę w szczególności charakterystykę zachodzących procesów, aktywa, podatności, zagrożenia oraz istniejące zabezpieczenia, w ramach zachodzących procesów przetwarzania danych osobowych.”
AKTUALIZACJA
PIERWSZY WYROK WSA W WARSZAWIE
Administrator odwołał się od decyzji Prezesa UODO do Wojewódzkiego Sądu Administracyjnego w Warszawie (WSA). Skarżący podniósł mi.in., że organ nadzorczy przy ustalaniu wysokości kary nie uwzględnił działań podjętych przez administratora w celu zminimalizowania szkody poniesionej przez osoby.
Sąd w wyroku z 21 października 2021 r. (sygn. akt. II SA/Wa 272/21) uchylił decyzję Prezesa UODO. WSA uznał, że decyzja Prezesa UODO naruszała przepisy prawa procesowego (w zakresie oceny okoliczności faktycznych), jak również przepisy prawa materialnego (w zakresie zasadności wysokości kary). W wyroku WSA nałożył na organ nadzorczy obowiązek ponownego zbadania sprawy.
KOLEJNA DECYZJA PREZESA UODO
W związku z wyrokiem WSA Prezes UODO przeprowadził kolejne postępowanie, w wyniku którego wydał nową decyzję nakładającą na VM administracyjną karę pieniężną w wysokości 1,6 mln zł. W ocenie organu nadzorczego VM naruszyła zasadę poufności, przez co w wyniku incydentu dane zostały udostępnione osobom nieuprawnionym. W decyzji Prezes UODO podkreślił, że przyjęte przez VM środki techniczne mogły być skuteczne, gdyby były regularnie testowane oraz przeprowadzana by była ocena ich skuteczności.
Takich działań administrator jednak nie podejmował, co przyczyniło się do wystąpienia naruszenia ochrony danych osobowych. Ustalając wysokość administracyjnej kary pieniężnej, Prezes UODO uwzględnił jako okoliczności łagodzące działania podjęte przez VM w celu zminimalizowania skali naruszenia. Osobom nieuprawnionym udało się pobrać tylko niespełna 14% wszystkich rekordów znajdujących się w bazie właśnie dzięki działaniom administratora. Miało to wpływ na obniżenie wysokości kary względem tej nałożonej pierwotną, uchyloną decyzją.
VM PO RAZ KOLEJNY ODWOŁAŁO SIĘ DO WSA
Mimo obniżenia wysokości kary spółka postanowiła ponownie odwołać się od wydanej decyzji. Jako jeden z zarzutów podano nieistnienie już spółki Virgin Mobile, w miejsce której weszła P4 Sp. z o.o.
WSA w wyroku z dnia 21 czerwca 2023 r. (sygn. akt. II SA/Wa 150/23) tym razem oddalił skargę administratora. W ocenie sądu „skutkiem przejęcia przez P4 Virgin Mobile było wstąpienie we wszystkie prawa i obowiązki spółki przejmowanej, także obowiązki publicznoprawne, w tym odpowiedzialność za delikty administracyjne.”
Ponadto WSA uznał, że tym razem organ nadzorczy dokonał prawidłowej oceny stanu faktycznego. W ocenie WSA Prezes UODO podczas ustalania wysokości nałożonej kary pieniężnej uwzględnił okoliczności mające na nią wpływ.
Orzeczenie jest wciąż nieprawomocne, a więc administrator najprawdopodobniej wniósł skargę kasacyjną do Naczelnego Sądu Administracyjnego (NSA).