"UODO stwierdził, że spółka naruszyła określone w RODO zasady poufności danych i rozliczalności. Virgin Mobile nie przeprowadzał regularnych i kompleksowych testów, pomiarów i oceny skuteczności zastosowanych środków technicznych i organizacyjnych mających zapewnić bezpieczeństwo przetwarzanych danych" - czytamy w komunikacie instytucji.
Problemów było więcej. Narażone na wycieki były choćby dane osób korzystających z usług przedpłaconych i innych aplikacji współpracujących z Virgin Mobile.
"Oprócz tego, podatność związaną z wymianą danych w tych systemach, wykorzystała osoba nieuprawniona do pozyskania danych niektórych klientów spółki" - poinformował Urząd Ochrony Danych Osobowych.
To właśnie dostęp do danych nieuprawnionej osoby zainteresował UODO, który zdecydował się na kontrolę.
Choć administrator systemów utrzymywał, że regularnie kontrolował bezpieczeństwo danych, UODO nie podzieliło tego zdania. W trakcie kontroli ustalił natomiast, że kontrole nie były ani regularne, ani kompleksowe. "Były podejmowane incydentalnie i nie obejmowały wszystkich systemów, w których przetwarzane są dane" - czytamy dalej.
"UODO nakładając karę wziął pod uwagę, że naruszenie do którego doszło u operatora ma poważny charakter, gdyż stwarza wysokie ryzyko negatywnych skutków ochrony prawnej dla dużej liczby osób (np. ryzyko kradzieży tożsamości). Należy pamiętać, że pomimo, iż osoby nieuprawnione miały krótkotrwały dostęp do systemów, ale wystarczający aby pobrać dużą liczbę danych" - informuje instytucja.
Nie zmienia to jednak faktu, że kara mogła być bardziej dotkliwa. Urząd wziął jednak pod uwagę wzorową współpracę z Virgin Mobile oraz szybkie decyzje, które doprowadziły do usunięcia nieprawidłowości.
