{"id":2223,"date":"2020-12-14T19:56:50","date_gmt":"2020-12-14T19:56:50","guid":{"rendered":"https:\/\/aplaw.pl\/?p=2223"},"modified":"2020-12-14T19:58:37","modified_gmt":"2020-12-14T19:58:37","slug":"artur-piechocki-comments-a-huge-penalty-imposed-by-puodo-on-virgin-mobiles","status":"publish","type":"post","link":"https:\/\/aplaw.pl\/en\/publications\/artur-piechocki-comments-a-huge-penalty-imposed-by-puodo-on-virgin-mobiles\/","title":{"rendered":"Artur Piechocki comments a huge penalty imposed by PUODO on Virgin Mobiles"},"content":{"rendered":"<p>14.12.2020 Portal prawo.pl published an article by Artur Piechocki commenting a penalty for Virgin Mobiles on personal data breach <strong>&#8220;The company will pay for the personal data breach of the phone subscribers&#8221;.<br \/>\n<\/strong><\/p>\n<p>Surow\u0105 kar\u0119 ponios\u0142a firma za zaniedbania dotycz\u0105ce bezpiecze\u0144stwa system\u00f3w informatycznych, czyli testowania, mierzenia i oceniania skuteczno\u015bci stosowanych rozwi\u0105za\u0144 &#8211; pisze radca prawny Artur Piechocki, partner zarz\u0105dzaj\u0105cy w kancelarii APLAW. I dodaje, \u017ce tego typu podej\u015bcie jest niestety standardem w wielu przypadkach, a cyberbezpiecze\u0144stwo nadal jest niedoceniane.<\/p>\n<p>Ostatnia kara na\u0142o\u017cona przez Prezesa Urz\u0119du Ochrony Danych Osobowych (\u201ePUODO\u201d) jest ciekawa nie tylko ze wzgl\u0119du na jej wysoko\u015b\u0107 1.968.524,00 PLN, kt\u00f3ra ju\u017c sama w sobie mo\u017ce zrobi\u0107 wra\u017cenie. Ciekawa jest jednak r\u00f3wnie\u017c przyczyna ukarania, tj. niewdro\u017cenie odpowiednich \u015brodk\u00f3w technicznych i organizacyjnych zapewniaj\u0105cych stopie\u0144 bezpiecze\u0144stwa odpowiadaj\u0105cy ryzyku przetwarzania danych za pomoc\u0105 system\u00f3w informatycznych s\u0142u\u017c\u0105cych do rejestracji danych osobowych abonent\u00f3w us\u0142ug przedp\u0142aconych, kt\u00f3rego wynikiem by\u0142 wyciek danych w zakresie imienia i nazwiska, numeru ewidencyjnego PESEL, serii i numeru dowodu osobistego, numeru telefonu, numeru NIP oraz nazwy podmiotu obejmuj\u0105cych 114 963 klient\u00f3w.<\/p>\n<p>Jest to kolejna bardzo wysoka kara (po morele.net) odnosz\u0105ca si\u0119 do naruszenia maj\u0105cego swe \u017ar\u00f3d\u0142o w braku zapewnienia wystarczaj\u0105cych mechanizm\u00f3w bezpiecze\u0144stwa cybernetycznego.<\/p>\n<p><strong>Du\u017cy wyciek danych abonent\u00f3w<\/strong><\/p>\n<p>Wprawdzie liczba os\u00f3b fizycznych dotkni\u0119tych naruszeniem jest mniejsza ni\u017c w przypadku morele.net (i w tym kontek\u015bcie mo\u017cna ewentualnie dyskutowa\u0107 nad zasadno\u015bci\u0105 wysoko\u015bci kary), jednak wyciek dotyczy dostawcy us\u0142ug telekomunikacyjnych, co z kolei przenosi problem na grunt ustawy Prawo telekomunikacyjne, kt\u00f3ra zawiera dodatkowe wymogi dotycz\u0105ce bezpiecze\u0144stwa i integralno\u015bci sieci i us\u0142ug telekomunikacyjnych, w tym w zakresie danych osobowych. Naruszenie podlegaj\u0105ce badaniu PUODO ma charakter wielowymiarowy i dotyczy wielu przepis\u00f3w prawa.<\/p>\n<p>Warto zwr\u00f3ci\u0107 uwag\u0119 r\u00f3wnie\u017c na to, jakich danych dotyczy wyciek. Ot\u00f3\u017c w decyzji PUODO jest mowa o abonentach us\u0142ugi przedp\u0142aconej. Dla abonent\u00f3w us\u0142ug przedp\u0142aconych, kt\u00f3rzy zawarli umow\u0119 przed dniem wej\u015bcia w \u017cycie ustawy z 10 czerwca 2016 r. o dzia\u0142aniach antyterrorystycznych (Dz. U. z 2016 r., poz. 904), to jest przed 2 lipca 2016 r., obowi\u0105zek abonenta podania dostawcy us\u0142ugi swoich danych osobowych wprowadzi\u0142 art. 60 tej\u017ce ustawy. Mo\u017cna przewrotnie twierdzi\u0107, \u017ce gdyby nie \u00f3w obowi\u0105zek, to nie dosz\u0142oby do naruszenia. Z drugiej jednak strony nagminne wykorzystywanie w przesz\u0142o\u015bci przez przest\u0119pc\u00f3w numer\u00f3w przedp\u0142aconych dobrze uzasadnia istnienie tego obowi\u0105zku.<\/p>\n<p><strong>Potrzebne skomplikowane zabezpieczenia<\/strong><\/p>\n<p>Oczywi\u015bcie nie mo\u017cna poszukiwa\u0107 usprawiedliwienia w sytuacji opisanej w decyzji PUODO, jednak na naruszenie mia\u0142 z pewno\u015bci\u0105 wp\u0142yw stopie\u0144 skomplikowania system\u00f3w informatycznych wykorzystywanych do przetwarzania danych osobowych (tutaj danych osobowych abonent\u00f3w us\u0142ug przedp\u0142aconych), wielo\u015b\u0107 producent\u00f3w tych system\u00f3w i podmiot\u00f3w je utrzymuj\u0105cych. Wed\u0142ug decyzji PUODO, dostawca us\u0142ug telekomunikacyjnych m\u00f3g\u0142 zaniedba\u0107 stosowania podstaw dotycz\u0105cych bezpiecze\u0144stwa system\u00f3w informatycznych, tj. testowania, mierzenia i oceniania skuteczno\u015bci stosowanych rozwi\u0105za\u0144, co przy takiej liczbie system\u00f3w i zewn\u0119trznych podmiot\u00f3w zaanga\u017cowanych w przetwarzanie danych mo\u017ce by\u0107 oceniane negatywnie. Z drugiej strony tego typu podej\u015bcie jest niestety standardem w wielu przypadkach. Cyberbezpiecze\u0144stwo nadal pozostaje niedoceniane.<\/p>\n<p><b>Publication:<\/b><br \/>\n<a href=\"https:\/\/www.prawo.pl\/biznes\/wyciek-danych-abonentow-firma-zaplaci-za-niedocenianie,505198.html\">https:\/\/www.prawo.pl\/biznes\/wyciek-danych-abonentow-firma-zaplaci-za-niedocenianie,505198.html<\/a><\/p>\n<p>&nbsp;<\/p>\n","protected":false},"excerpt":{"rendered":"<p><span class=\"excerpt-hellip\"> [\u2026]<\/span><\/p>\n","protected":false},"author":1,"featured_media":2219,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[51],"tags":[],"class_list":["post-2223","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-publications"],"_links":{"self":[{"href":"https:\/\/aplaw.pl\/en\/wp-json\/wp\/v2\/posts\/2223","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/aplaw.pl\/en\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/aplaw.pl\/en\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/aplaw.pl\/en\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/aplaw.pl\/en\/wp-json\/wp\/v2\/comments?post=2223"}],"version-history":[{"count":0,"href":"https:\/\/aplaw.pl\/en\/wp-json\/wp\/v2\/posts\/2223\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/aplaw.pl\/en\/wp-json\/wp\/v2\/media\/2219"}],"wp:attachment":[{"href":"https:\/\/aplaw.pl\/en\/wp-json\/wp\/v2\/media?parent=2223"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/aplaw.pl\/en\/wp-json\/wp\/v2\/categories?post=2223"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/aplaw.pl\/en\/wp-json\/wp\/v2\/tags?post=2223"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}