Prezes Urzędu Ochrony Danych Osobowych (Prezes UODO) nałożył karę pieniężną na operatora telekomunikacyjnego Virgin Mobile Polska Sp. z o.o. Biorąc pod uwagę dotychczasowe kary polskiego organu nadzorczego kwota robi duże wrażenie – 1 900 000 zł. Jest to druga – co do wysokości – kara nałożona przez Prezesa UODO na podstawie przepisów RODO (pierwsza, w wysokości aż 2 800 000 zł, została nałożona we wrześniu 2019 r. na właściciela portalu Morele.net. Kara ta została podtrzymana przez Wojewódzki Sąd Administracyjny w Warszawie.
Kontrola u administratora
Organ nadzorczy przeprowadził w niniejszej sprawie postępowanie kontrolne z urzędu. Co ciekawe, powodem wszczęcia kontroli u ukaranego administratora było zgłoszone przez niego naruszenie ochrony danych osobowych swoich klientów. Absolutnie nie oznacza to, że zniechęcamy do zgłaszania naruszeń. Ze zgłoszenia wynikało, że bliżej nieokreślona nieuprawniona osoba uzyskała dostęp do danych osobowych abonentów spółki, korzystających z usług przedpłaconych. Wskutek tego zdarzenia, osoba ta pozyskała prawie 143 tysiące rekordów rejestracji usług przedpłaconych, zawierających dane osobowe 115 tysięcy klientów spółki. Mowa tutaj o szerokim zakresie udostępnionych danych osobowych, w tym m.in. imion, nazwisk, numerów PESEL, serii i numerów dowodów osobistych, numerów telefonów, czy też numerów NIP. Można więc powiedzieć, że skala naruszenia była znacząca.
Polski regulator ustalił w toku postępowania kontrolnego, że ukarany administrator nie przeprowadził testów weryfikujących zabezpieczenia związane z przekazywaniem danych osobowych między aplikacjami, które związane były z obsługą osób kupujących usługi przedpłacone. Ich celem – w założeniu – miało być weryfikowanie, czy wpływające żądanie udostępnienia danych osobowych pochodzi od osoby uprawnionej. W przypadku przedmiotowego naruszenia – w ocenie Prezesa UODO – weryfikacja ta nie zadziałała. Co więcej, organ nadzorczy ustalił, że spółka nie dokonała odpowiednich testów zastosowanych rozwiązań technicznych umożliwiających weryfikację osoby żądającej udostępnienia danych osobowych, przed ich wdrożeniem. Zaniedbania ukaranego administratora doprowadziły – w ocenie Prezesa UODO – do opisywanego naruszenia ochrony danych osobowych klientów operatora.
Obowiązek stałego testowania
Prezes UODO wskazał w swojej decyzji, że środki techniczne i organizacyjne zastosowane przez ukaranego administratora mogłyby być skuteczne, niemniej wymagałyby wdrożenia procedur zawierających kwestie regularnego testowania, mierzenia i oceniania skuteczności środków technicznych i organizacyjnych mających zapewnić bezpieczeństwo przetwarzania danych osobowych. Z ustaleń organu nadzorczego wynika jednak, że spółka nie uregulowała tych kwestii w wewnętrznej dokumentacji dotyczącej przetwarzania danych osobowych.
Zdaniem Prezesa UODO brak w przyjętych procedurach uregulowań zapewniających regularne testowanie, mierzenie i ocenianie skuteczności zastosowanych środków technicznych i organizacyjnych przyczynił się do wystąpienia naruszenia ochrony danych osobowych klientów administratora. Jednocześnie, zwrócił on uwagę w decyzji, że dokonywanie przeglądów dopiero w sytuacji wystąpienia zmiany organizacyjnej lub prawnej, czy też w przypadku podejrzenia zaistnienia podatności na naruszenia – jak miało to miejsce w tym przypadku – nie może zostać uznane za regularne testowanie, mierzenie i ocenianie skuteczności zastosowanych środków technicznych i organizacyjnych.
Prezes UODO wyraźnie podkreślił, że każdy administrator zobowiązany jest do weryfikacji zarówno doboru, jak i poziomu skuteczności stosowanych środków technicznych i organizacyjnych na każdym etapie przetwarzania danych osobowych. Kompleksowość tej weryfikacji powinna być oceniana przez pryzmat adekwatności do ryzyk oraz proporcjonalności w stosunku do stanu wiedzy technicznej, kosztów wdrażania oraz charakteru, zakresu, kontekstu i celów przetwarzania. Wydaje się, że wskazówki te mogą okazać się bardzo pomocne również dla innych administratorów.
Poważne naruszenie, ale dobra współpraca z administratorem
Prezes UODO wskazał w decyzji, że stwierdzone w toku postępowania naruszenia spółki, mają poważny charakter. Stwarzają one bowiem wysokie ryzyko wystąpienia negatywnych skutków dla ochrony danych osobowych dużej liczby osób (np. ryzyko kradzieży tożsamości). Co prawda osoba lub osoby nieuprawnione miały krótkotrwały dostęp do systemów teleinformatycznych administratora. Czas ten był jednak wystarczający, aby pobrać znaczną ilość danych osobowych klientów. Na niekorzyść spółki przemawiał również fakt, że w ocenie regulatora podatność systemu na zagrożenie wycieku danych osobowych trwała od dłuższego czasu.
Nakładając karę pieniężną, Prezes UODO wziął pod uwagę okoliczności łagodzące, jak np. dobrą współpracę z ukaranym administratorem, szybkie usunięcie naruszeń po ich wykryciu, jak również wdrożenie dodatkowych rozwiązań technicznych i organizacyjnych, które w założeniu mają dodatkowo podnieść bezpieczeństwo przetwarzanych danych osobowych.
Organ nadzorczy – uzasadniając znaczną wysokość kary – zauważył, że w jego ocenie wysokość kary z jednej strony stanowi adekwatną reakcję organu nadzorczego na znaczny stopień naruszenia obowiązków administratora, z drugiej jednak nie doprowadzi do istotnego pogorszenia sytuacji finansowej spółki. Ponadto, Prezes UODO wskazał w decyzji, że kara spełnia w tym przypadku także funkcję represyjną, jako że stanowić będzie odpowiedź na naruszenie przepisów RODO przez spółkę, ale i prewencyjną, bowiem przyczyni się do zapobiegania w przyszłości naruszeń, zarówno w związku z przetwarzaniem danych osobowych przez samą spółkę, jak i przez podmioty działające na jej zlecenie.
Pełna treść decyzji dostępna jest TUTAJ:
https://www.uodo.gov.pl/decyzje/DKN.5112.1.2020
