Federalny Komisarz Ochrony Danych i Wolności Informacji (BfDI) – niemiecki, federalny organ nadzorczy ds. ochrony danych osobowych – nałożył dwie kary o łącznej wysokości 45 milionów euro (około 191 milionów złotych) na Vodafone GmbH. Spółka jest niemiecką odnogą Vodafone – jednej z największych firm telekomunikacyjnych na świecie. Organ nadzorczy zarzucił administratorowi m.in. niewystarczającą kontrolę działań podmiotu przetwarzającego czy też słabe zabezpieczenia dostępu do kont na portalach związanych z działalnością firmy.
Nieodpowiednia weryfikacja podmiotów przetwarzających
Ukarana spółka, prowadząc swoją działalność gospodarczą (branża telekomunikacyjna), współpracowała z innymi podmiotami, które przetwarzały dane osobowe jako podmioty przetwarzające. Pracownicy tych podmiotów wykorzystywali dostarczane przez Vodafone dane, m.in. po to, aby pośredniczyć w zawieraniu umów z administratorem. Niektóre osoby mające dostęp do tych danych, miały jednak wykorzystywać je w różnych – niekoniecznie zgodnych z prawem – celach. Wśród wymienionych przez BfDI nadużyć wskazano, m.in. przypadki oszustw, fikcyjne umowy, czy zmiany umów ze szkodą dla konsumentów.
Organ nadzorczy uznał, że taka sytuacja obciąża odpowiedzialnością administratora, który powinien był wypełnić obowiązki nakładane na niego przez artykuł 28 RODO. Niewystarczająca weryfikacja standardów bezpieczeństwa zapewnianych przez podmiot przetwarzający, stała się podstawą nałożenia kary opiewającej na 15 milionów euro (około 63 miliony złotych).
Luki w bezpieczeństwie
Największym naruszeniem RODO stwierdzonym przez regulatora w toku postępowania, było niewłaściwe skonstruowanie systemu zabezpieczeń dostępu do kont użytkowników. Organ nadzorczy ustalił, że wykorzystując portal MeinVodafone (portal online służący do świadczenia usług przez firmę) i gorącą linię służącą bezpośredniemu kontaktowi z działem obsługi klienta, można było wyeksploatować słabości systemu identyfikacji. W ocenie organu nadzorczego, możliwe było, m.in. uzyskanie dostępu do profilów eSIM przez osoby nieuprawnione.
Organ nadzorczy uznał, że zabezpieczenia stosowane przez administratora były niewystarczające, a przyjęte przez niego środki techniczne i organizacyjne – nieadekwatne do ryzyka i realizowanych procesów przetwarzania. W związku z tym administratorowi wymierzona została druga kara, w wysokości 30 milionów euro (około 128 milionów złotych).
Współpraca administratora z organem
Niemiecki organ nadzorczy zwrócił uwagę na wzorową współpracę z administratorem w toku postępowania. W ocenie regulatora, nieprawidłowości zostały niezwłocznie usunięte, a systemy IT i procedury bezpieczeństwa poprawione, aby uwzględniać zidentyfikowane ryzyka i niebezpieczeństwa.
Źródło:
https://www.bfdi.bund.de/SharedDocs/Pressemitteilungen/EN/2025/06_Geldbu%C3%9Fe-Vodafone.html
