Usługi
Aktualności
RODO
Szkolenia
Wydarzenia
O nas
kontakt

Strona główna
Aktualności
Przypadek Virgin Mobile – czyli, dlaczego regularne testowanie środków technicznych jest ważne

Przypadek Virgin Mobile – czyli, dlaczego regularne testowanie środków technicznych jest ważne

13.01.2021
Autor: Paulina Wirska
Sankcje, kary finansowe RODO

Dokładnie rok temu – 30 grudnia 2019 r. – Prezes Urzędu Ochrony Danych Osobowych (UODO) poinformował na swojej stronie www, że otrzymał od Virgin Mobile Polska zgłoszenie dotyczące naruszenia ochrony danych osobowych i w związku z tym przeprowadzi czynności kontrolne u tego operatora.

Notyfikacja dotyczyła naruszenia ochrony danych osobowych abonentów usług przedpłaconych, polegającego na uzyskaniu przez osobę nieuprawnioną dostępu do tych danych i pozyskaniu przez nią 142 222 rekordów potwierdzeń rejestracji usług przedpłaconych, zawierających dane osobowe 114 963 klientów w zakresie imienia i nazwiska, numeru ewidencyjnego PESEL, serii i numeru dowodu osobistego, numeru telefonu, numeru NIP oraz nazwy podmiotu. Spółka poinformowała organ, że do naruszenia ochrony danych doszło na skutek ataku hakerskiego na jedną z aplikacji informatycznych, która umożliwiała dostęp do danych rejestrowych.

Warto zauważyć różnicę w zawiadamianiu o naruszeniu ochrony danych osobowych przez operatora telekomunikacyjnego względem notyfikacji, o której jest mowa w art. 33 i 34 RODO. W przypadku operatorów telekomunikacyjnych powiadomienie Prezes UODO o naruszeniu powinno nastąpić nie później niż 24 godziny po jego wykryciu (jeśli jest to wykonalne). Termin ten jest krótszy niż czas wskazany w RODO – 72 godziny. Obowiązek taki został nałożony na dostawców publicznie dostępnych usług telekomunikacyjnych, a termin ten wynika z art. 2 ust. 2 rozporządzenia Komisji (UE) nr 611/2013.

W związku z notyfikacją Prezes UODO podjął decyzję o przeprowadzeniu czynności kontrolnych,. Zakresem kontroli urząd objął sposób przetwarzania, w tym sposób zabezpieczenia danych, w ramach świadczenia usług telekomunikacyjnych abonentom usług przedpłaconych. Kontrola polegała na odebraniu od pracowników operatora ustnych wyjaśnień oraz na oględzinach systemu informatycznego służącego do rejestrowania danych osobowych abonentów usług przedpłaconych.

Z komunikatu Prezesa UODO opublikowanego w połowie grudnia bieżącego roku mogliśmy natomiast dowiedzieć się, że organ właśnie nałożył na Virgin Mobile Polska karę w wysokości 1,9 mln zł.

W decyzji organ nadzorczy stwierdził, że naruszenie polegało na niewdrożeniu przez Virgin Mobile „odpowiednich środków technicznych i organizacyjnych zapewniających stopień bezpieczeństwa odpowiadający ryzyku przetwarzania danych za pomocą systemów informatycznych służących do rejestracji danych osobowych abonentów usług przedpłaconych, co doprowadziło do uzyskania przez osobę nieuprawnioną dostępu do tych danych”. W ocenie Prezesa UODO przedsiębiorca naruszył :

Zasady poufności danych (art. 5 ust. 1 lit. f RODO).
Zasady rozliczalności (art. 5 ust. 2 RODO).

W związku z naruszeniem

Obowiązków administratora przy wdrażaniu środków technicznych i organizacyjnych w trakcie przetwarzania danych, w celu skutecznej realizacji zasad ochrony danych (art. 25 ust. 1 RODO).
Obowiązków w zakresie zapewnienia poufności, integralności, dostępności i odporności systemów i usług przetwarzania danych (art. 32 ust. 1 lit. b RODO).
Obowiązku regularnego testowania, mierzenia i oceniania skuteczności przyjętych środków technicznych i organizacyjnych mających zapewnić bezpieczeństwo przetwarzania (art. 32 ust. 1 lit. d RODO).
Obowiązku uwzględnienia ryzyka wiążącego się z przetwarzaniem, wynikającego z nieuprawnionego dostępu do przetwarzanych danych osobowych (art. 32 ust. 2 RODO).

Powyższe skutkowało nałożeniem na Virgin Mobile administracyjnej kary pieniężnej w kwocie 1.968.524,00 PLN. Prezes UODO miarkował karę, biorąc pod uwagę również okoliczności łagodzące, jak np.

Dobrą współpracę administratora.
Szybkie usunięcie naruszenia po jego wykryciu.
Wdrożenie dodatkowych rozwiązań, które mają dodatkowo podnieść bezpieczeństwo przetwarzanych danych.

W toku postępowania operator wyjaśniał m.in., że „wykorzystanie podatności systemu do przedmiotowego ataku skutkującego uzyskaniem dostępu do danych, nie było zależne od braku odpowiedniego testowania, mierzenia czy oceniania systemu, ponieważ wskazane czynności były regularnie i prawidłowo prowadzone przez spółkę”, oraz że „spółka przyjęła środki ochrony danych w postaci: procedur określających metodykę analizy ryzyka, procedurę klasyfikacji poziomów bezpieczeństwa informacji, politykę bezpieczeństwa informacji, procedurę zarządzenia systemem informatycznym ”. Jednak Prezes UODO uznał, że środki te nie były adekwatne.

Postępowanie ujawniło, że wymiana danych między aplikacjami w systemie informatycznym miała następować po zweryfikowaniu pewnych parametrów z wniosków rejestracyjnych klientów usług prepaid. Program miał sprawdzać, czy żądanie, w wyniku którego miały być przekazane dane, wpłynęło od uprawnionego podmiotu. Okazało się, że taka weryfikacja nie działała, a przed jej wdrożeniem mechanizm nie był testowany. Ostatecznie doprowadziło to do tego, że w grudniu 2019 r. w spółce doszło do incydentu wycieku danych osobowych na skutek uzyskania nieuprawnionego dostępu do danych abonentów usług przedpłaconych poprzez wykorzystanie podatności systemu informatycznego, tj. usługi generującej potwierdzenia dokonania rejestracji kart prepaid.

Prezes UODO ustalił więc, że spółka nie przeprowadzała wcześniej testów tej konkretnej aplikacji i systemu, które byłyby nastawione na weryfikację zabezpieczeń dotyczących podatności związanej z zaistniałym naruszeniem danych osobowych. Dlatego, kontynuując uzasadnienie, Prezes UODO podkreślił, że „regularne testowanie, mierzenie i ocenianie skuteczności środków technicznych i organizacyjnych mających zapewnić bezpieczeństwo przetwarzania jest podstawowym obowiązkiem każdego administratora oraz podmiotu przetwarzającego wynikającym z art. 32 ust. 1 lit. d [RODO]. Administrator zobowiązany jest więc do weryfikacji zarówno doboru, jak i poziomu skuteczności stosowanych środków technicznych na każdym etapie przetwarzania. Kompleksowość tej weryfikacji powinna być oceniana przez pryzmat adekwatności do ryzyk oraz proporcjonalności w stosunku do stanu wiedzy technicznej, kosztów wdrażania oraz charakteru, zakresu, kontekstu i celów przetwarzania.(…) dokonywanie przeglądów w sytuacji wystąpienia zmiany organizacyjnej lub prawnej, jak również podejmowanie działań dopiero w przypadku podejrzenia zaistnienia podatności, nie może zostać uznane za regularne testowanie, mierzenie i ocenianie skuteczności zastosowanych środków technicznych i organizacyjnych mających zapewnić bezpieczeństwo przetwarzania danych.”

W ocenie Prezesa UODO przyjęte przez operatora środki mogłyby być skuteczne, gdyby w ramach wdrożonych procedur zawierały również uregulowania dotyczące regularnego testowania, mierzenia i oceniania skuteczności środków technicznych i organizacyjnych mających zapewnić bezpieczeństwo przetwarzania i które byłyby przez spółkę przestrzegane. W ocenie Prezesa UODO do wykrycia wykorzystanej podatności wystarczyłoby zweryfikowanie podstawowej zasady działania systemu, ale działania związane z naprawą tej niezbędnej funkcjonalności podjęte zostały dopiero po incydencie. Analizując błędy popełnione przez Virgin Mobile, Prezes UODO przedstawił również podstawowe zasady rzetelnie prowadzonej analizy ryzyka. Organ nadzorczy wskazał, że analiza ryzyka przeprowadzana przez administratora powinna:

Być udokumentowana oraz uzasadniona na podstawie przede wszystkim określenia stanu faktycznego, istniejącego w momencie jej przeprowadzania.
Brać pod uwagę w szczególności charakterystykę zachodzących procesów, aktywa, podatności, zagrożenia oraz istniejące zabezpieczenia, w ramach zachodzących procesów przetwarzania danych osobowych.
Określać istniejące zabezpieczenia, między innymi w taki sposób, aby ich nie powielać, oraz sprawdzać skuteczność funkcjonowania tych zabezpieczeń; powyższe podyktowane jest ty, że istnienie zabezpieczenia niesprawdzonego po pierwsze może wyeliminować jego wartość, po drugie zaś może dać fałszywe poczucie bezpieczeństwa oraz może skutkować pominięciem (niewykryciem) krytycznej podatności, która wykorzystana spowoduje bardzo negatywne skutki, w tym w szczególności może doprowadzić do naruszenia ochrony danych osobowych.
Być przeprowadzone np. metodą zdefiniowania poziomu ryzyka jako iloczynu prawdopodobieństwa i skutków wystąpienia danego incydentu.

W treści uzasadnienia decyzji Prezesa UODO wielokrotnie wybrzmiało, że incydentalny przegląd zabezpieczeń nie spełnia wymogu regularnego testowania środków technicznych. Pomimo usunięcia przez Spółkę uchybień w zakresie zapewnienia bezpieczeństwa przetwarzanych danych, będących przyczyną naruszenia, w wyniku stwierdzonych nieprawidłowości postępowanie administracyjne zakończyło się nałożeniem kary.

Źródła:

Komunikat UODO nt czynności kontrolnych wobec Virgin Mobile Polska

Decyzja Prezesa UODO

Rozporządzenie Komisji (UE) nr 611/2013 z dnia 24 czerwca 2013 r. w sprawie środków mających zastosowanie przy powiadamianiu o przypadkach naruszenia danych osobowych, na mocy dyrektywy 2002/58/WE Parlamentu Europejskiego i Rady o prywatności i łączności elektronicznej (Dz. U. UE. L. z 2013 r. Nr 173, str. 2)

Autor

Paulina Wirska

Prawnik, specjalista z zakresu prawa ochrony danych osobowych. Autor artykułów branżowych. Trener na szkoleniach z ochrony danych osobowych.

Z tej samej kategorii

Prawo do bycia zapomnianym Więcej

Ochrona danych osobowych na tle sprawy Morele.net Więcej

Ochrona danych osobowych w procesie obsługi zgłoszeń sygnalistów Więcej

Ufaj, ale sprawdzaj – weryfikacja podmiotów przetwarzających zgodnie z wymogami RODO Więcej

Zatwierdzone kodeksy postępowania w Polsce na gruncie RODO Więcej

Realizacja prawa dostępu do danych osobowych według EROD Więcej

Profilowanie na Danych Osobowych Więcej

Sztuczna inteligencja w objęciach prawa unijnego. Główne problemy regulacyjne w czasie inkubacyjnym. Więcej

Prezes Urzędu Ochrony Danych Osobowych – wybór, kompetencje i wyzwania na 2024 r. Więcej

COLD MAILING W KONTEKŚCIE ADMINISTRATORA DANYCH OSOBOWYCH I PROCESORA Więcej

WSZYSTKIE Z KATEGORII

Kategorie

Analizy
Cyberbezpieczeństwo
definicje i pojęcia w RODO
inspektor ochrony danych
obowiązki administratora danych
organ nadzorczy
powierzanie danych
prawa podmiotów danych
przekazywanie danych poza EOG
roczny plan kontroli UODO
RODO w IT
Sankcje, kary finansowe RODO

Ta strona wykorzystuje pliki cookie, należące do nas lub do osób trzecich, do celów wydajności i służą reklamom zgodnym z Twoimi preferencjami dotyczącymi przeglądania, które mogą być dla Ciebie interesujące. Aby dowiedzieć się więcej o tym, jak używamy plików cookie lub zmienić preferencje dotyczące plików cookie, kliknij na "Ustawienia plików cookie". Możesz w każdej chwili zmienić te ustawienia odwiedzając naszą politykę cookies i postępując zgodnie z zawartymi w niej instrukcjami. Klikając na "Zaakceptuj wszystkie pliki cookie" wyrażasz zgodę na przechowywanie plików cookie w swoim urządzeniu.

Polityka plików cookie Ustawienia plików cookie Zaakceptuj wszystkie pliki cookie

Ustawienia plików cookie

Pliki cookie i inne technologie na tej stronie

Proszę zdecydować, czy ta strona może korzystać z plików cookie lub innych technologii, takich jak sygnały nawigacyjne w sieci web, znaczniki pikseli i obiekty Flash („Pliki cookie”), jak opisano poniżej. Więcej informacji na temat korzystania z plików cookie i związanych z nimi technologii można znaleźć w naszej polityce prywatności, do której odsyła poniższy link.

Polityka Prywatności

Funkcjonalne pliki cookie

Te pliki cookie umożliwiają nam analizę korzystania z witryny przez użytkownika w celu oceny i poprawy jej wydajności. Mogą one być również wykorzystywane do zapewnienia lepszej obsługi klienta na tej stronie. Na przykład: do zapamiętywania danych do logowania, zapisywania informacji o tym, co znajduje się w koszyku lub dostarczania nam informacji o sposobach korzystania z naszej witryny.

Pomiar wydajności

Te pliki cookie umożliwiają nam zliczanie wizyt i źródeł ruchu, dzięki czemu możemy mierzyć i poprawiać wydajność naszej witryny. Pomagają one ustalić, które strony są najbardziej i najmniej popularne i zobaczyć, jak odwiedzający poruszają się po stronie. Wszystkie informacje zbierane przez te pliki cookie są agregowane i tym samym anonimowe. Jeśli użytkownik nie zezwoli na stosowanie tych plików cookie, nie będziemy wiedzieć, kiedy odwiedził naszą stronę internetową.

Reklamowe pliki cookie

Te pliki cookie są wykorzystywane do wyświetlania reklam, które są bardziej dopasowane do użytkownika. Możemy dzielić się tymi informacjami z reklamodawcami lub wykorzystywać je w celu lepszego zrozumienia zainteresowań użytkownika. Reklamowe pliki cookie mogą być na przykład wykorzystywane do udostępniania danych reklamodawcom, tak aby reklamy, które widzi użytkownik były do niego bardziej dopasowane, aby mógł on udostępniać niektóre strony na portalach społecznościowych lub zamieszczać komentarze na naszej stronie.

Wymagane pliki cookie

Te pliki cookie są niezbędne, aby umożliwić korzystanie z podstawowych funkcji witryny, takich jak zapewnienie bezpiecznego logowania lub zapamiętywanie, na jakim etapie składania zamówienia jest użytkownik.

SAVE & ACCEPT

RODOradar.pl - Wszystko o RODO

Wychodząc naprzeciw trudnościom i wątpliwościom, jakie stwarza wdrażanie przepisów prawa ochrony danych osobowych, stworzyliśmy serwis, którego celem jest dostarczanie wiedzy i wskazówek pomocnych przy wdrażaniu RODO w organizacjach.

Potrzebujesz pomocy we wdrożeniu przepisów RODO w swojej organizacji?

SKONTAKTUJ SIĘ Z NAMI

Nawigacja

Aktualności
Tekst GDPR/RODO
O nas
Szkolenia
Wydarzenia
Regulamin
Polityka prywatności

Blog

O przetwarzaniu danych w badaniu klinicznym
Udostępnienie czy powierzenie przetwarzania danych osobowych?
Formularz kontaktowy a RODO
RODO a nowe prawo kosmetyczne
Dane biometryczne w pracy
Ochrona medycznych danych osobowych

Czytaj dalej >>