WSA uchyla prawie 2 mln kary w sprawie Virgin Mobile
Wojewódzki Sąd Administracyjny uchylając nałożoną na Virgin Mobile Polska sp. z o.o. administracyjną karę pieniężną prawie 2 mln zł wskazał Prezesowi UODO bardzo konkretne działania do realizacji z przy ponownym wydawaniu decyzji. Sprawa, jak wszyscy dobrze pamiętam, dotyczyła: niewdrożeniu przez Virgin Mobile Polska Sp. z o.o. z siedzibą w Warszawie odpowiednich środków technicznych i organizacyjnych zapewniających stopień bezpieczeństwa odpowiadający ryzyku przetwarzania danych za pomocą systemów informatycznych służących do rejestracji danych osobowych abonentów usług przedpłaconych, co doprowadziło do uzyskania przez osobę nieuprawnioną dostępu do tych danych. a powyższe uzyskanie danych osobowych przez osobę nieuprawnioną doszło w następujących okolicznościach: w dniach od […] do […] grudnia 2019 r. w Spółce doszło do incydentu wycieku danych osobowych na skutek uzyskania nieuprawnionego dostępu do danych abonentów usług przedpłaconych poprzez wykorzystanie podatności systemu informatycznego, tj. usługi generującej potwierdzenia dokonania rejestracji kart prepaid. Stwierdzona podatność usługi generującej potwierdzenia rejestracji polegała na braku weryfikacji […]. Poprawna weryfikacja miała polegać na wygenerowaniu potwierdzenia rejestracji jedynie wtedy, gdy […]. System B nie weryfikował […] Na tym etapie postępowania nie zostało wykazane kim był atakujący. Sposób wykorzystania podatności wskazywał, że atakujący miał wcześniej dostęp do systemu i wiedział […]. Obecnie Spółka nie wie czy i jakimi uprawnieniami mógł dysponować atakujący oraz jakiego okresu mogło owo uprawnienie dotyczyć. W ocenie Spółki wykazanie, czy doszło do udostępnienia danych osobie nieuprawnionej leży po stronie Prezesa Urzędu. a co istotne, gdyż stanie się jednym z argumentów Sądu, naruszenie dotyczyło: (…) polegającym na uzyskaniu przez osobę nieuprawnioną dostępu do tych danych i pozyskaniu przez nią 142 222 rekordów potwierdzeń rejestracji usług przedpłaconych, zawierających dane osobowe 114 963 klientów w zakresie imienia i nazwiska, numeru ewidencyjnego PESEL, serii i numeru dowodu osobistego, numeru telefonu, numeru NIP oraz nazwy podmiotu. Incydent stanowiący przedmiot zgłoszenia miał miejsce w okresie od […] do […] grudnia 2019 r. Z uwagi na zakres ujawnionych danych osobowych wskazane naruszenie spowodowało wysokie ryzyko naruszenia praw […]
- Zapoznaj się z argumentacją Urzędu, Sądu czy Trybunału
- Fachowe i czytelne podsumowanie omawianego orzeczenia
- Dostęp do wszystkich aktualności na stronie
- Jako pierwszy masz dostęp do ważnych argumentów
Ponad 2000 orzeczeń o Ochronie Danych Osobowych (RODO). Codzienna aktualizacja bazy orzeczeń.
Teraz zamawiasz Szkolenie RODO - Inspektor Ochrony Danych. Nie musisz podawać karty płatniczej. Wystarczy, że wypełnisz formularz a na podany adres e-mail otrzymasz fakturę VAT do opłacenia. Ważne: Dopiero po zaksięgowaniu płatności – system utworzy konto użytkownika oraz uruchomi subskrypcję. Dopiero od tego momentu rozpoczyna się okres Subskrypcji.Reszta obszernych argumentów oraz treść omawianego orzeczenia dostępna jest po dołączeniu do AKTUALNOŚCI PLUS. Dzięki tej subskrypcji dowiesz się jak organy nadzorcze w UE, sądy administracyjne czy powszechne, Trybunał Sprawiedliwości i inne podmioty argumentują swoje stanowiska. Umożliwi Ci to utrzymanie zgodności Twojej organizacji z przepisami o ochronie danych osobowych.
W jednym miejscu zapoznasz się z najważniejszymi argumentami oraz tezami orzeczenia oraz z jego treścią niezależnie od tego, z jakiego źródła ono pochodzi, a w dużej części jest ono opublikowane wyłącznie w serwisie Judykatura.pl.