Obowiązek informacyjny rodo

22 gru 2020

KOMPAS FORSAFE PL 2020/22 – Kara dla Virgin Mobile Polska Sp. z o.o.


Minął tydzień od decyzji PUODO o nałożeniu kary na Virgin Mobile Polska Sp. z o.o. w wysokości 1,9 mln zł za brak wdrożonych odpowiednich środków technicznych i organizacyjnych zapewniających bezpieczeństwo przetwarzanych danych.

Równo rok temu, pomiędzy 18 a 22 grudnia osoba nieuprawniona uzyskała do bazy danych operatora i pobrała znaczną liczbę danych klientów.

Wyciek danych zawierających dane osobowe, numery PESEL i dowodów tożsamości dotknął dokładnie 114 963 klientów oferty przedpłaconej Virgin Mobile. W toku postępowania PUODO przeprowadzonego po zgłoszeniu przez Administratora naruszenia okazało się, że wymiana danych między aplikacjami w systemie informatycznym miała następować po zweryfikowaniu pewnych parametrów z wniosków rejestracyjnych klientów usług prepaid. Chodziło o to, by program sprawdził, czy żądanie, w wyniku którego miały być przekazane dane, wpłynęło od uprawnionego podmiotu. W praktyce jednak ta weryfikacja nie działała, a przed jej wdrożeniem mechanizm ten nie został przetestowany. Tymczasem tą właśnie podatność w procesie (polegającą na braku weryfikacji odpowiednich parametrów) wykorzystała osoba nieuprawniona, by pozyskać dane. Dopiero po tym incydencie podjęto odpowiednie działania związane z naprawą wspomnianej funkcjonalności w systemie informatycznym spółki. Zdaniem UODO wycieku można było uniknąć, gdyby Virgin Mobile przeprowadziła wcześniej odpowiednie testy.

Szczegóły tej decyzji znajdziecie na stronie: https://www.uodo.gov.pl/decyzje/DKN.5112.1.2020

Pobierz KOMPAS FORSAFE_PL_2020_22