Obowiązek informacyjny rodo

KOMPAS FORSAFE 2020/20

Kraj:

Polska

Data wydania decyzji:

14.12.2020 r.

Podmiot kontrolowany:

Virgin Mobile Polska Sp. z o.o.

Wysokość kary (EUR):

443.000

Podstawa prawna naruszenia

Art. 5 ust. 1 pkt f), ust. 2, art. 25 ust. 1, art. 32 ust 1 pkt b), d), ust. 2 RODO.

Niewystarczające środki techniczne i organizacyjne zapewniające bezpieczeństwo informacji.

 

Przyczyna naruszenia

Naruszenie ochrony danych osobowych przez Virgin Mobile Polska Sp. z o.o. wynikało z niewdrożenia odpowiednich środków technicznych i organizacyjnych, które zapewniałyby odpowiedni poziom bezpieczeństwa przetwarzania danych. W szczególności, brakowało regularnego testowania, mierzenia i oceniania skuteczności tych środków, co doprowadziło do wykorzystania podatności systemu informatycznego przez osobę nieuprawnioną.

 

Opis wydarzeń

  1. Zgłoszenie naruszenia: W grudniu 2019 roku Virgin Mobile Polska zgłosiła naruszenie ochrony danych osobowych, które polegało na uzyskaniu przez osobę nieuprawnioną dostępu do danych abonentów usług przedpłaconych. Osoba ta pozyskała 142 222 rekordy potwierdzeń rejestracji usług przedpłaconych, zawierające dane osobowe 114 963 klientów.
  2. Kontrola UODO: Prezes Urzędu Ochrony Danych Osobowych (UODO) przeprowadził kontrolę, która wykazała, że Spółka nie wdrożyła odpowiednich środków technicznych i organizacyjnych, co naruszało przepisy RODO.
  3. Stwierdzone uchybienia: Kontrola ujawniła, że Spółka nie przeprowadzała regularnych testów zabezpieczeń systemu informatycznego, co umożliwiło wykorzystanie podatności systemu przez osobę nieuprawnioną.
  4. Działania naprawcze: Po incydencie Spółka podjęła działania naprawcze, w tym usunięcie podatności systemu oraz wdrożenie procedur zapewniających regularne testowanie i ocenianie skuteczności środków bezpieczeństwa.
  5. Wysokość kary: 1 968 524 PLN.

 

Źródło

Pełna treść decyzji organu nadzorczego

 

Aby uniknąć podobnych naruszeń, zalecamy:

  1. Regularne testowanie i ocena zabezpieczeń: Regularne testowanie, mierzenie i ocenianie skuteczności wdrożonych środków technicznych i organizacyjnych, aby zapewnić odpowiedni poziom bezpieczeństwa przetwarzania danych.
  2. Dokumentacja i procedury: Opracowanie i wdrożenie szczegółowych procedur dotyczących regularnego testowania i oceny zabezpieczeń, a także dokumentowanie wszystkich przeprowadzonych działań.
  3. Szkolenia dla pracowników: Przeprowadzenie regularnych szkoleń dla pracowników w zakresie ochrony danych osobowych i bezpieczeństwa informacji.
  4. Audyt zewnętrzny: Regularne przeprowadzanie audytów zewnętrznych w celu weryfikacji skuteczności wdrożonych środków bezpieczeństwa.

 

Jeśli potrzebujesz wsparcia w zakresie ochrony danych osobowych, zapraszamy do kontaktu

    * dane obowiązkowe.
    Administratorem danych osobowych jest FORSAFE Sp. z o.o. z siedzibą w Łodzi, przy ul. 1 Maja 31/33. Dane osobowe będą przetwarzane wyłącznie w prawnie usprawiedliwionym celu administratora danych. Każdemu przysługuje prawo dostępu do treści swoich danych i prawo poprawiania danych. Podanie danych osobowych jest dobrowolne ale konieczne dla świadczenia usług.

    Obowiązek informacyjny RODO