blog
Wysoka kara UODO – incydentalny przegląd zabezpieczeń to nie regularne testowanie środków technicznych
W dniu 14 grudnia 2020 r. Prezes Urzędu Ochrony Danych Osobowych poinformował o nałożeniu kary w wysokości 1,9 mln zł na podmiot świadczący usługi w zakresie telekomunikacji bezprzewodowej tj. Virgin Mobile Polska (dalej również jako: „Spółka”) za brak wdrożonych odpowiednich środków technicznych i organizacyjnych zapewniających bezpieczeństwo przetwarzanych danych.
Opis naruszenia
W grudniu 2019 roku do Urzędu Ochrony Danych Osobowych (dalej jako: „UODO”) wpłynęło zgłoszenie naruszenia ochrony danych osobowych, informujące o naruszeniu Spółki polegającym na uzyskaniu przez osobę nieuprawnioną dostępu do danych i pozyskaniu przez nią 142.222 rekordów potwierdzeń rejestracji usług przedpłaconych, zawierających dane osobowe 114.963 klientów w zakresie imienia i nazwiska, numeru ewidencyjnego PESEL, serii i numeru dowodu osobistego, numeru telefonu, numeru NIP oraz nazwy podmiotu.
W związku z powyższym, Prezes UODO przeprowadził w Spółce kontrolę zgodności przetwarzania danych osobowych z przepisami o ochronie danych osobowych, tj. z rozporządzeniem Parlamentu Europejskiego i Rady (UE) 2016/679 z 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) (Dz. Urz. UE L 119 z 4.05.2016; dalej jako: „RODO”). Kontrola dotyczyła głównie sposobu przetwarzania danych przez Spółkę, w tym sposób zabezpieczenia danych, w ramach świadczenia usług telekomunikacyjnych abonentom usług przedpłaconych.
Po przeprowadzeniu kontroli Prezes UODO uznał, że Spółka naruszyła zasady poufności danych i rozliczalności. Wskazano, że Virgin Mobile nie przeprowadzała regularnych i kompleksowych testów, pomiarów i oceny skuteczności zastosowanych środków technicznych i organizacyjnych mających zapewnić bezpieczeństwo przetwarzanych danych. Działania w tym zakresie były podejmowane jedynie przy okazji pojawiających się podejrzeń zaistnienia podatności, czy w związku ze zmianami organizacyjnymi. Ponadto, nie były przeprowadzone testy weryfikujące zabezpieczenia związane z przekazywaniem danych między aplikacjami, które związane były z obsługą osób kupujących usługi przedpłacone.
W związku z powyższymi naruszeniami, na Spółkę nałożona została kara w wysokości 1,9 mln zł. Prezes wziął także pod uwagę poważny charakter naruszenia, gdyż stwarza ono wysokie ryzyko negatywnych skutków ochrony prawnej dla dużej liczby osób. Co więcej, sam stan naruszenia był długotrwały.
Środki techniczne i organizacyjne
Wnioski jakie należy wyciągnąć z decyzji organu są bardzo istotne dla wszystkich administratorów danych osobowych. Co istotne, Spółka stosowała środki techniczne i organizacyjne mające zapewnić bezpieczeństwo danych, aczkolwiek UODO wskazało, że ich zakres był niewystarczający. Tym samym organ uznał, że Spółka dopuściła się naruszenia kilku przepisów RODO tj. art. 5 ust. 1 lit. f, art. 5 ust. 2, art. 25 ust. 1, art. 32 ust. 1 lit. b i lit. d oraz art. 32 ust. 2. Główny zarzut dotyczył zaś art. 32 RODO, który stanowi o bezpieczeństwie danych osobowych. Zgodnie z jego brzmieniem, administratorzy danych uwzględniając stan wiedzy technicznej, koszt wdrażania oraz charakter, zakres, kontekst i cele przetwarzania oraz ryzyko naruszenia praw lub wolności osób fizycznych o różnym prawdopodobieństwie wystąpienia i wadze wdrażają odpowiednie środki techniczne i organizacyjne, aby zapewnić stopień bezpieczeństwa odpowiadający temu ryzyku, w tym między innymi regularne testowanie, mierzenie i ocenianie skuteczności środków technicznych i organizacyjnych mających zapewnić bezpieczeństwo przetwarzania. Prezes UODO uznał, iż czynności które podejmowała Spółka miały charakter incydentalny a nie regularny zatem naruszone zostały ww. przepisy RODO.
Podsumowanie
W świetle wyżej przedstawionych okoliczności, administratorzy danych powinni zweryfikować sposób wdrażania i stosowania środków technicznych i organizacyjnych dotyczących bezpieczeństwa danych. Jak uznał organ, samo ich istnienie nie przesądza o wywiązywaniu się z nałożonych przez ustawodawcę obowiązków.
Kancelaria TURCZA prowadzi kompleksową obsługę w zakresie ochrony danych osobowych w organizacji – jeśli nie wiedzą Państwo czy w Państwa organizacji wprowadzone zostały odpowiednie procedury związane z przestrzeganiem przepisów rozporządzenia RODO – zapraszamy do kontaktu.



Marta Rabe-Kozłowska
Radca prawny
Email: m.rabe-kozlowska@turcza.com.pl
Mec. Marta Rabe-Kozłowska jest specjalistką z zakresu prawa spółek handlowych, prawa gospodarczego, prawa cywilnego, ochrony danych osobowych oraz legal english.



Magdalena Wietrak-Smura
Prawnik
Email: odo@turcza.com.pl
Magdalena Wietrak-Smura specjalizuje się w prawie cywilnym oraz prawie gospodarczym z uwzględnieniem zagadnień ekonomicznych.
Przekazywanie danych osobowych do UK w świetle brexitu
W związku z procesem wyjścia Wielkiej Brytanii z Unii Europejskiej, od 1 stycznia 2021 r. Zjednoczone Królestwo nie będzie już stosować Rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w…
Kontrole trzeźwości pracowników – potrzebne nowe regulacje prawne
W obecnym stanie prawnym, brak jest podstaw prawnych pozwalających pracodawcy na przeprowadzanie samodzielnego badania trzeźwości lub badania na obecność substancji psychoaktywnych u pracowników. O ile w niektórych środowiskach nie ma szczególnej potrzeby…
RODO w 2020 roku – najwyższe kary
blogW związku z tym, że powoli dobiega końca rok 2020, można dokonać pierwszych podsumowań z działalności organów odpowiedzialnych za nadzór nad przestrzeganiem przepisów RODO w Polsce i na obszarze całej Unii Europejskiej. Kompletny raport Urzędu Ochrony Danych...
Jak małe firmy z UE radzą sobie z wdrażaniem przepisów RODO
blogZgodnie z raportem zaprezentowanym przez GDPR.UE, w którym badano stosowanie przepisów RODO w małych przedsiębiorstwach, należy uznać, że w dalszym ciągu wiele firm mających siedzibę na terytorium państw Unii Europejskiej nie poradziło sobie z wdrożeniem nowych...
MONITORING W MIEJSCU PRACY
Wielu pracodawców decyduje się na wprowadzenie monitoringu w miejscu pracy. Przed zastosowaniem takiego rozwiązania należy jednak dokładnie zweryfikować przepisy ustawy – Kodeksu pracy…
RODO – przegląd najnowszych informacji dotyczących ochrony danych osobowych (27.10.2020)
WSA oddalił skargę spółki Morele.net na decyzję Prezesa UODO – 4.09.2020 r. Wojewódzki Sąd Administracyjny w Warszawie 3 września 2020 r. ogłosił wyrok w sprawie skargi spółki Morele.net na…
Dodatkowy okres przejściowy na swobodne przekazywanie danych osobowych do UK
Swobodny przepływ danych między Europejskim Obszarem Gospodarczym (27 państw członkowskich UE oraz Islandia, Liechtenstein i Norwegia), a Zjednoczonym Królestwem został wydłużony na mocy tzw. klauzuli pomostowej. Okres przejściowy ma trwać maksymalnie do 1 lipca…
Przekazywanie danych osobowych do UK w świetle brexitu
W związku z procesem wyjścia Wielkiej Brytanii z Unii Europejskiej, od 1 stycznia 2021 r. Zjednoczone Królestwo nie będzie już stosować Rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w…
Kontrole trzeźwości pracowników – potrzebne nowe regulacje prawne
W obecnym stanie prawnym, brak jest podstaw prawnych pozwalających pracodawcy na przeprowadzanie samodzielnego badania trzeźwości lub badania na obecność substancji psychoaktywnych u pracowników. O ile w niektórych środowiskach nie ma szczególnej potrzeby…
RODO w 2020 roku – najwyższe kary
blogW związku z tym, że powoli dobiega końca rok 2020, można dokonać pierwszych podsumowań z działalności organów odpowiedzialnych za nadzór nad przestrzeganiem przepisów RODO w Polsce i na obszarze całej Unii Europejskiej. Kompletny raport Urzędu Ochrony Danych...
Jak małe firmy z UE radzą sobie z wdrażaniem przepisów RODO
blogZgodnie z raportem zaprezentowanym przez GDPR.UE, w którym badano stosowanie przepisów RODO w małych przedsiębiorstwach, należy uznać, że w dalszym ciągu wiele firm mających siedzibę na terytorium państw Unii Europejskiej nie poradziło sobie z wdrożeniem nowych...
MONITORING W MIEJSCU PRACY
Wielu pracodawców decyduje się na wprowadzenie monitoringu w miejscu pracy. Przed zastosowaniem takiego rozwiązania należy jednak dokładnie zweryfikować przepisy ustawy – Kodeksu pracy…
Pytania?
KONTAKT Z KANCELARIĄ
Pomożemy wybrać odpowiednie rozwiązanie
TURCZA Kancelaria Radców Prawnych
NIP: 945-189-28-38
Telefon: +48 61 666 37 60
E-mail: kancelaria@turcza.com.pl



Oddział Poznań
ul. Palacza 144
60-278 Poznań



Oddział Leszno
ul. Niepodległości 49
64-100 Leszno
Biuro
TURCZA Kancelaria Radców Prawnych
ul. Palacza 144
60-278 Poznań
Telefon: +48 61 666 37 60
E-mail: kancelaria@turcza.com.pl
Godziny otwarcia: od pon do pt - 8.30-16.30
O nas
TURCZA Kancelaria Radców Prawnych zapewnia stałą obsługę prawną z zakresu prawa ochrony danych osobowych zarówno przedsiębiorcom z sektora MŚP, jak i dużym spółkom notowanym na GPW S.A. w Warszawie.
Zapraszamy również na stronę internetową Kancelarii: turcza.com.pl
Nawigacja strony
Copyright © 2019 TURCZA Kancelaria Radców Prawnych. All rights reserved.