155 milliós bírság a Virgin Mobile-nak
A Lengyel Adatvédelmi Hatóság (UODO) 2020. december 14-én jelentette be, hogy 154,4 millió forintnak megfelelő bírságot szabott ki a Virgin Mobile lengyelországi ágazatára. A bírság oka, hogy a cég nem tett eleget azon kötelezettségének, hogy megfelelő szintű technikai és szervezeti intézkedéseket hozzon az általa kezelt adatok biztonsága érdekében (GDPR 32. cikk). Az UODO tolla ez esetben jóval vastagabban fogott, mint korábbi ügyében, amikor jogalap nélküli kezelésért bírságolt.
A Hatóság azután kezdte meg vizsgálatát, hogy bejelentés érkezett hozzá, miszerint illetéktelenek hozzáfértek a Virgin által kezelt személyes adatokhoz. Vizsgálata során az UODO megállapította, hogy cég valóban mulasztást követett el, mivel nem tesztelte újonnan bevezetett informatikai rendszerét annak bevezetése előtt.
A vizsgálat rámutatott, hogy a kérdéses rendszerbe épített hitelesítési mechanizmus nem működött megfelelően, így a hitelesítési folyamat hibásan futott végig, aminek következtében lehetségessé vált a személyes adatokhoz való illetéktelen hozzáférés. A Hatóság felderítette, hogy erre legalább egy alkalommal sor is került, a Virgin pedig csak az incidens megtörténte után tett kísérletet a hiba kijavítására. Ezzel kapcsolatban az UODO megállapította, hogy egy új adatkezelési rendszer bevezetése annak előzetes tesztelése nélkül az adatvédelmi szabályok súlyos megsértését jelenti.
A Hatóság a többi informatikai rendszer felügyeletét is megvizsgálta és arra a megállapításra jutott, hogy a rendszerek soha nem voltak átfogó vizsgálatnak alávetve. Minden korábbi vizsgálat rendszertelenül, eseti alapon történt, és nem terjedt ki az adatkezelési rendszer egészére.
Az UODO döntésében leírja, hogy az alapvető adatvédelmi elvárások súlyos megsértése miatt a bírság kiszabását találta az egyetlen hatásos eszköznek, mely során figyelembe vette, hogy az incidens nagy számú érintettet érintett. Emlékeztetnek továbbá, hogy bár az illetéktelen hozzáférés nem tartott sokáig, ennyi idő alatt is nagy mennyiségű adat letölthető egy adatbázisból.
Súlyosbító körülményként értékelték továbbá, hogy a sérülékenység hosszú ideje jelen volt a Virgin rendszerében, és ez idő alatt nem került felderítésre. Enyhítő körülményként értékelte a Hatóság az adatkezelő együttműködését a vizsgálat alatt, a hiba gyors kijavítását, illetve, hogy a Virgin újabb intézkedéseket hozott az adatkezelés biztonságának megerősítésére.