UODO nałożył na P4 sp z o.o karę w związku z naruszeniem zasad ochrony danych, jako następcę prawnego Virgin Mobile za niewdrożenie odpowiednich środków technicznych i organizacyjnych zapewniających stopień bezpieczeństwa odpowiadający ryzyku przetwarzania danych.Kara pierwotnie nałożona została w decyzji z roku 2019. Sprawa była przedmiotem postępowania przed WSA w Warszawie, który uchylił decyzję i przesłał sprawę do PUODO do ponownego rozpoznania.
Kara została pierwotnie nałożona na Virgin Mobile Polska Sp. z o.o w związku z zawiadomieniem o naruszeniu ochrony danych, polegającym na uzyskaniu przez osobę nieuprawnioną dostępu do tych danych i pozyskaniu potwierdzeń rejestracji, zawierających dane osobowe ponad 100 tys użytkowników. Pierwotna kara wystawiona była w wysokości … zł. Spółka zaskarżyła decyzję; WSKA w Warszawie (II SA/Wa 272/21) uchylił zaskarżoną decyzję, wskazując na szereg naruszeń, w tym prawa procesowego, ustalenia okoliczności faktycznych sprawy jak również przepisy prawa materialnego.
W wyniku ponownego rozpatrzenia sprawy, PUODO wymierzył karę w wysokości 1.599.395,00 zł. Za naruszenie obowiązku art. 32 RODO PUODO uznał brak regularnego testowania systemów służących ochronie danych. Systemy były uaktualniane w związku i w przypadku wykrycia określonej podatności, natomiast brak było aktywnego działania służącego zapewnieniu że odpowiadają one aktualnemu ryzyku dla praw i wolności. System mógł spełniać wymogi wskazane w analizie ryzykoa z art. 32 – ale nie wystarczy jednorazowe dokonanie takiej analizy, niezbędnym jest regularne sprawdzanie funkcjonalności systemów.
W toku postępowania spółka nie była w stanie wskazać, dlaczego doszło do naruszenia poufności danych. PUODO wskazał, że nie stanowi to okoliczności łagodzącej – obowiązkiem administratora jest, zgodnie z zasadą rozliczalności, wskazanie dlaczego doszło do naruszenia i ewentualne wykazanie, że nie wynikało ono z nie zastosowania odpowiednich środków ochrony danych. Jak wskazał PUODO, naruszeniem nie był sam wyciek, a rażące naruszenie zasad ochrony danych.
Za obciążające PUODO uznał następujące okoliczności sprawy :
- Charakter, waga i czas trwania naruszenia – Doszło do naruszenia poufności danych ponad 100 tys. abonentów usług przedpłaconych, które ponadto obejmowało szeroki zakres danych – w tym numer PESEL. Dodatkowo, jako że do pozyskania danych doszło w wyniku działania o charakterze przestępczym, zwiększa to prawdopodobieństwo negatywnego skutku dla osób. Masowa skala przetwarzania danych przez spółkę także wskazuje na wyższy poziom ryzyka związanego z potencjalnym niedostatecznym funkcjonowaniem systemów.
- Nieumyślny charakter naruszenia – doszło do niedochowania należytej staranności przez Spółkę Virgin.
Za okoliczności łagodzące uznano:
- Działania podjęte przez Spółkę w celu zminimalizowania szkody -zawiadomienie z art. 34 ust. 2 do osób fizycznych, ostateczne usunięcie podatności z systemu, wdrożenie rozwiązań służących poprawieniu funkcjonowania systemu , zabezpieczenie dalszych danych przed ich pobraniem – tak że ostatecznie wyciek dotknął 13,62% wszystkich rekordów znajdujących się w bazie.
- Stopień współpracy z organem nadzorczym Spółka Virgin współpracowała z organem, ponadto w pełnym zakresie zrealizowała zalecenia PUODO dotyczące uzupełnienia powiadomienia osób, których dane dotyczą, o zaistniałym naruszeniu.
- Brak wcześniejszych naruszeń RODO przez administratora.
Treść decyzji dostępna na: https://uodo.gov.pl/decyzje/DKN.5112.1.2020