Decyzja o karze to efekt kontroli, jaką UODO przeprowadził w spółce po incydencie, w którym dostęp do danych klientów w jednej z baz uzyskała nieuprawniona osoba - poinformował urząd.
UODO stwierdził, że spółka nie przeprowadzała regularnych i kompleksowych testów, pomiarów i oceny skuteczności stosowanych środków technicznych i organizacyjnych, mających zapewnić bezpieczeństwo przetwarzanych danych.
Nie było np. testów weryfikujących zabezpieczenia przekazywaniu danych między aplikacjami przy obsłudze osób kupujących usługi pre-paid. Właśnie podatność związaną z wymianą danych w tych systemach wykorzystała osoba nieuprawniona do pozyskania danych niektórych klientów spółki - podkreślił UODO.
Dopiero po tym incydencie podjęto odpowiednie działania związane z naprawą wspomnianej funkcjonalności w systemie informatycznym spółki - zaznaczył urząd.
UODO w toku postępowania nie zgodził się z administratorem, który utrzymywał, że testował i monitorował zastosowane środki techniczne, jak i organizacyjne mające zapewnić bezpieczeństwo danych osobowych.
Urząd uznał, że wdrożenie systemu służącego do przetwarzania danych do użytku bez poprawnie działającej walidacji zakładanych parametrów jest rażącym naruszeniem administratora.
Jak poinformował, nakładając karę wziął pod uwagę, że naruszenie do którego doszło u operatora ma poważny charakter. Dostęp osób nieuprawnionych do systemów był krótkotrwały, ale na tyle długi, by pobrać dużą liczbę danych - podkreślił UODO. Ponadto - jak zaznaczył urząd - sam stan naruszenia był długotrwały, a podatność zagrożenia wyciekiem danych istniała od dawna.UODO podkreślił, że wziął również pod uwagę okoliczności łagodzące, jak np. dobrą współpracę, szybkie usunięcie naruszenia po jego wykryciu, oraz wdrożenie dodatkowych rozwiązań, które mają dodatkowo podnieść bezpieczeństwo przetwarzanych danych.
Biorąc jednak pod uwagę skalę naruszeń i ich wagę UODO uznał, że zastosowanie innych środków naprawczych niż administracyjnej kary pieniężnej byłoby nieproporcjonalne. Kara pieniężna ma zaś sprawić, że spółka w przyszłości nie dopuści już do podobnych zaniedbań - zaznaczono.
