Obowiązek informacyjny rodo

KOMPAS FORSAFE 2022/67

Kraj:

Polska

Data wydania decyzji:

16.11.2022 r.

Podmiot kontrolowany:

P4 Sp. z o.o.

Wysokość kary (EUR):

Podstawa prawna naruszenia

Art. 24 ust. 1, art. 25 ust. 1, art. 32 ust. 1 lit. b) i lit. d), art. 32 ust. 2 RODO.

Niewystarczające środki techniczne i organizacyjne zapewniające bezpieczeństwo informacji.

 

Przyczyna naruszenia

Naruszenie ochrony danych osobowych w Virgin Mobile Polska Sp. z o.o. wynikało z niewdrożenia odpowiednich środków technicznych i organizacyjnych, które zapewniałyby odpowiedni poziom bezpieczeństwa przetwarzania danych. W szczególności, brakowało regularnego testowania, mierzenia i oceniania skuteczności tych środków, co doprowadziło do uzyskania nieuprawnionego dostępu do danych osobowych abonentów usług przedpłaconych.

 

Opis wydarzeń

  1. Zgłoszenie naruszenia: W grudniu 2019 roku Virgin Mobile Polska zgłosiła naruszenie ochrony danych osobowych, które polegało na uzyskaniu przez osobę nieuprawnioną dostępu do danych 114 963 klientów.
  2. Kontrola: Prezes Urzędu Ochrony Danych Osobowych przeprowadził kontrolę, która wykazała, że Spółka nie wdrożyła odpowiednich środków technicznych i organizacyjnych, co umożliwiło nieuprawniony dostęp do danych.
  3. Stwierdzone uchybienia: Kontrola wykazała, że Spółka nie przeprowadzała regularnych testów zabezpieczeń systemu informatycznego, co przyczyniło się do naruszenia poufności danych.
  4. Działania naprawcze: Po incydencie Spółka podjęła działania naprawcze, w tym usunięcie podatności systemu informatycznego oraz wdrożenie procedur regularnego testowania i oceniania skuteczności środków bezpieczeństwa.
  5. Kara: 1 599 395 PLN

 

Źródło

Pełna treść decyzji organu nadzorczego

 

Aby uniknąć podobnych naruszeń, zalecamy:

  1. Wdrożenie regularnych testów: Zaleca się regularne testowanie, mierzenie i ocenianie skuteczności środków technicznych i organizacyjnych mających zapewnić bezpieczeństwo przetwarzania danych.
  2. Aktualizacja procedur: Należy zaktualizować dokumentację opisującą proces przetwarzania danych oraz zastosowane środki organizacyjne i techniczne, aby uwzględniała regularne testowanie i ocenianie skuteczności tych środków.
  3. Szkolenia dla pracowników: Zaleca się przeprowadzanie regularnych szkoleń dla pracowników w zakresie ochrony danych osobowych i bezpieczeństwa informacji.
  4. Monitorowanie systemów: Należy wprowadzić stałe monitorowanie systemów informatycznych w celu wykrywania i eliminowania potencjalnych podatności.

 

Jeśli potrzebujesz wsparcia w zakresie ochrony danych osobowych, zapraszamy do kontaktu

    * dane obowiązkowe.
    Administratorem danych osobowych jest FORSAFE Sp. z o.o. z siedzibą w Łodzi, przy ul. 1 Maja 31/33. Dane osobowe będą przetwarzane wyłącznie w prawnie usprawiedliwionym celu administratora danych. Każdemu przysługuje prawo dostępu do treści swoich danych i prawo poprawiania danych. Podanie danych osobowych jest dobrowolne ale konieczne dla świadczenia usług.

    Obowiązek informacyjny RODO