Urząd Ochrony Danych Osobowych (UODO) mimo jednej przegranej sądowej batalii utrzymuje, że Virgin Mobile Polska naruszyła przepisy RODO. Dlatego zdecydował o nałożeniu administracyjnej kary pieniężnej w wysokości prawie 1,6 mln zł na P4, operatora sieci Play, następcę prawnego Virgin Mobile Polska .
Organ nadzorczy ponownie zajmował się tą samą sprawą naruszenia przepisów RODO przez tę spółkę i po raz kolejny stwierdził naruszenie przepisów RODO polegające na niewdrożeniu przez Virgin Mobile Polska odpowiednich środków technicznych i organizacyjnych zapewniających stopień bezpieczeństwa odpowiadający ryzyku przetwarzania danych za pomocą systemów informatycznych. Systemy te służyły do rejestracji danych osobowych abonentów usług przedpłaconych, a brak zastosowanych w nich odpowiednich środków technicznych i organizacyjnych doprowadził do uzyskania przez osobę nieuprawnioną dostępu do tych danych, a co stanowiło również naruszenie zasady integralności i poufności.
Do Urzędu Ochrony Danych Osobowych w grudniu 2019 r. wpłynęło zgłoszenie naruszenia ochrony danych osobowych, w którym administrator poinformował o naruszeniu ochrony danych osobowych abonentów, polegającym na uzyskaniu przez osobę nieuprawnioną dostępu do tych danych i pozyskaniu potwierdzeń rejestracji, zawierających dane osobowe.
Wówczas po przeprowadzeniu postępowania administracyjnego UODO w grudniu 2020 r. nałożył na Virgin Mobile Polska karę pieniężną w wysokości blisko 1,97 mln zł. Administrator jednak w całości zaskarżył decyzję UODO, wnosząc o jej uchylenie. 21 października 2021 r. Wojewódzki Sąd Administracyjny w Warszawie uchylił zaskarżoną decyzję stwierdzając, iż skarga wniesiona przez spółkę Virgin jest uzasadniona, choć nie wszystkie podniesione w niej zarzuty mogły być uznane za zasadne.
Sąd uznał za trafną ocenę UODO, że przyjęte przez spółkę procedury mogłyby być skuteczne, gdyby w ramach wdrożonych procedur zawierały również uregulowania dotyczące regularnego testowania, mierzenia i oceniania skuteczności przyjętych środków technicznych i organizacyjnych mających zapewnić bezpieczeństwo przetwarzania i które byłyby przez spółkę Virgin przestrzegane. Brak wprowadzonych uregulowań przyczynił się do wystąpienia naruszenia ochrony danych osobowych. Sąd jednak wskazał, że organ przy określaniu wysokości kary dostatecznie nie rozważył okoliczności w postaci podejmowanych przez spółkę Virgin działań w celu zminimalizowania szkody poniesionej przez osoby.
W tej sytuacji UODO dokonał ponownej analizy materiału dowodowego i ponownie wydał decyzję administracyjną nakładającą karę. W ocenie UODO spółka Virgin naruszyła zasadę poufności, której prawidłowa realizacja zapewnia, że dane nie są udostępniane osobom nieuprawnionym, w przypadku wystąpienia naruszenia ochrony danych osobowych.
Jak podkreśla Urząd, do naruszenia ochrony danych osobowych abonentów doszło w wyniku wykorzystania podatności systemu informatycznego. UODO zaznacza, że przyjęte przez spółkę Virgin środki mogłyby być skuteczne, gdyby w ramach wdrożonych procedur zawierały również uregulowania dotyczące regularnego testowania, mierzenia i oceniania skuteczności przyjętych środków technicznych i organizacyjnych mających zapewnić bezpieczeństwo przetwarzania. W praktyce więc administrator w ogóle nie podejmował takich działań.
Zdaniem organu nadzorczego brak tych uregulowań przyczynił się do wystąpienia naruszenia danych osobowych. Działania takie podjęte zostały dopiero po zaistnieniu naruszenia w grudniu 2019 roku.
Co istotne w tej sprawie ostatni kompleksowy przegląd środków technicznych i organizacyjnych został przeprowadzony w maju 2018 roku, zatem w momencie rozpoczęcia stosowania RODO. Spółka mimo przyjętych rozwiązań nie była w stanie wykryć podatności ze względu na brak regularnych testów.
Dokonywanie przeglądów jednorazowo lub w sytuacji wystąpienia zmiany organizacyjnej lub prawnej, jak również podejmowanie działań dopiero w przypadku podejrzenia zaistnienia podatności, nie może zostać uznane za regularne testowanie, mierzenie i ocenianie skuteczności zastosowanych środków technicznych i organizacyjnych.
Po przeprowadzeniu postępowania w tej sprawie ustalono, że spółka Virgin nie wdrożyła w sposób prawidłowy wymogów RODO, co doprowadziło do naruszenia ochrony danych osobowych abonentów.
