Obowiązek informacyjny rodo
Równo rok temu, pomiędzy 18 a 22 grudnia osoba nieuprawniona uzyskała do bazy danych operatora i pobrała znaczną liczbę danych klientów.
Wyciek danych zawierających dane osobowe, numery PESEL i dowodów tożsamości dotknął dokładnie 114 963 klientów oferty przedpłaconej Virgin Mobile. W toku postępowania PUODO przeprowadzonego po zgłoszeniu przez Administratora naruszenia okazało się, że wymiana danych między aplikacjami w systemie informatycznym miała następować po zweryfikowaniu pewnych parametrów z wniosków rejestracyjnych klientów usług prepaid. Chodziło o to, by program sprawdził, czy żądanie, w wyniku którego miały być przekazane dane, wpłynęło od uprawnionego podmiotu. W praktyce jednak ta weryfikacja nie działała, a przed jej wdrożeniem mechanizm ten nie został przetestowany. Tymczasem tą właśnie podatność w procesie (polegającą na braku weryfikacji odpowiednich parametrów) wykorzystała osoba nieuprawniona, by pozyskać dane. Dopiero po tym incydencie podjęto odpowiednie działania związane z naprawą wspomnianej funkcjonalności w systemie informatycznym spółki. Zdaniem UODO wycieku można było uniknąć, gdyby Virgin Mobile przeprowadziła wcześniej odpowiednie testy.
Szczegóły tej decyzji znajdziecie na stronie: https://www.uodo.gov.pl/decyzje/DKN.5112.1.2020