Karę 1,9 mln zł ma zapłacić Virgin Mobile Polska za to, że nie zabezpieczyła używanego przez siebie systemu przed wyciekiem danych.
Karę nałożył prezes Urzędu Ochrony Danych Osobowych w związku ze skargą złożoną na wirtualnego operatora. Informowano w niej o możliwości wycieku danych ponad 100 tys. osób. Problemem była podatność systemu informatycznego wykorzystywanego do rejestracji kart prepaid (wymaga to okazania dokumentu tożsamości przez osobę chcącą zarejestrować kartę). Kontrola potwierdziła wyciek. Zdaniem UODO stwarza on nie tylko teoretyczne, ale też praktyczne zagrożenie dla osób, których dane pozyskano. Dzięki nim przestępcy mogą np. zaciągnąć pożyczki na czyjeś nazwisko.
Waga naruszenia miała wpływ na wysokość kary (to druga pod tym względem z dotychczas wymierzonych sankcji za naruszenie RODO). Zadecydowały jednak też inne czynniki, jak choćby brak odpowiednich środków technicznych i organizacyjnych zapewniających bezpieczeństwo przetwarzanych danych. Mówiąc wprost – zdaniem UODO wycieku można było uniknąć, gdyby Virgin Mobile przeprowadziła wcześniej odpowiednie testy. Jej przedstawiciel argumentował, że nie było na to czasu w związku z wejściem w życie nowych przepisów wymagających rejestracji kart przedpłaconych i przesyłania danych klientów. To jednak, zdaniem UODO, nie może stanowić wytłumaczenia.
„W spółce nie było przeprowadzane kompleksowe regularne testowanie, mierzenie i ocenianie skuteczności środków technicznych i organizacyjnych mających zapewnić bezpieczeństwo przetwarzania” – podkreślono w decyzji nakładającej karę. Dodając, że testy były przeprowadzane, ale tylko w sytuacjach, gdy już pojawiło się podejrzenie jakiejś podatności. Powinny zaś być robione wcześniej. Tylko w ten sposób można byłoby wykryć lukę w systemie.