Zdaniem urzędu spółka naruszyła określone w RODO zasady poufności danych i rozliczalności.
- Virgin Mobile nie przeprowadzał regularnych i kompleksowych testów, pomiarów i oceny skuteczności zastosowanych środków technicznych i organizacyjnych mających zapewnić bezpieczeństwo przetwarzanych danych. Działania w tym zakresie były podejmowane jedynie przy okazji pojawiających się podejrzeń zaistnienia podatności, czy w związku ze zmianami organizacyjnymi - czytamy w komunikacie UODO.
Czytaj także: Kara za brak współpracy z UODO
Urząd uznał ponadto, że spółka nie przeprowadzała testów weryfikujących zabezpieczenia związane z przekazywaniem danych między aplikacjami, które związane były z obsługą osób kupujących usługi przedpłacone. To nie wszystko. UODo informuje, że podatność związaną z wymianą danych w tych systemach, wykorzystała osoba nieuprawniona do pozyskania danych niektórych klientów spółki.
Organ nadzoru przeprowadził w spółce kontrolę, a po wykryciu nieprawidłowości wszczął postępowania administracyjne i ukarał spółkę.
Organ nadzoru uznał, że testowanie i monitorowanie zastosowanych środków technicznych i organizacyjnych mające zapewnić bezpieczeństwo danych osobowych było podejmowane incydentalnie i nie obejmowało wszystkich systemów, w których przetwarzane są dane.
- W toku postepowania okazało się, że wymiana danych między aplikacjami w systemie informatycznym miała następować po zweryfikowaniu pewnych parametrów z wniosków rejestracyjnych klientów usług prepaid. Chodziło o to, by program sprawdził, czy żądanie, w wyniku którego miały być przekazane dane, wpłynęło od uprawnionego podmiotu - pisze UODO. Weryfikacja zdaniem urzędu nie miała zastosowania w praktyce. - Tymczasem podatność w tym procesie (polegająca na braku weryfikacji odpowiednich parametrów) wykorzystała osoba nieuprawniona, by pozyskać dane. Dopiero po tym incydencie podjęto odpowiednie działania związane z naprawą wspomnianej funkcjonalności w systemie informatycznym spółki - dodaje UODO. Organ nadzoru uznał, że takie działanie to rażące naruszenie administratora danych.
UODO przy nakładaniu kary wziął pod uwagę możliwość pobrania dużej liczbę danych oraz długotrwałość stanu naruszenia.
