Artur Piechocki komentuje karę PUODO nałożoną na Virgin Mobiles

14.12.2020 Na portalu prawo.pl pojawił się artykuł autorstwa Artura Piechockiego jako komentarz do kary nałożonej przez PUODO na firmę Virgin Mobiles „Firma zapłaci za wyciek danych abonentów”.

Surową karę poniosła firma za zaniedbania dotyczące bezpieczeństwa systemów informatycznych, czyli testowania, mierzenia i oceniania skuteczności stosowanych rozwiązań – pisze radca prawny Artur Piechocki, partner zarządzający w kancelarii APLAW. I dodaje, że tego typu podejście jest niestety standardem w wielu przypadkach, a cyberbezpieczeństwo nadal jest niedoceniane.

Ostatnia kara nałożona przez Prezesa Urzędu Ochrony Danych Osobowych („PUODO”) jest ciekawa nie tylko ze względu na jej wysokość 1.968.524,00 PLN, która już sama w sobie może zrobić wrażenie. Ciekawa jest jednak również przyczyna ukarania, tj. niewdrożenie odpowiednich środków technicznych i organizacyjnych zapewniających stopień bezpieczeństwa odpowiadający ryzyku przetwarzania danych za pomocą systemów informatycznych służących do rejestracji danych osobowych abonentów usług przedpłaconych, którego wynikiem był wyciek danych w zakresie imienia i nazwiska, numeru ewidencyjnego PESEL, serii i numeru dowodu osobistego, numeru telefonu, numeru NIP oraz nazwy podmiotu obejmujących 114 963 klientów.

Jest to kolejna bardzo wysoka kara (po morele.net) odnosząca się do naruszenia mającego swe źródło w braku zapewnienia wystarczających mechanizmów bezpieczeństwa cybernetycznego.

Duży wyciek danych abonentów

Wprawdzie liczba osób fizycznych dotkniętych naruszeniem jest mniejsza niż w przypadku morele.net (i w tym kontekście można ewentualnie dyskutować nad zasadnością wysokości kary), jednak wyciek dotyczy dostawcy usług telekomunikacyjnych, co z kolei przenosi problem na grunt ustawy Prawo telekomunikacyjne, która zawiera dodatkowe wymogi dotyczące bezpieczeństwa i integralności sieci i usług telekomunikacyjnych, w tym w zakresie danych osobowych. Naruszenie podlegające badaniu PUODO ma charakter wielowymiarowy i dotyczy wielu przepisów prawa.

Warto zwrócić uwagę również na to, jakich danych dotyczy wyciek. Otóż w decyzji PUODO jest mowa o abonentach usługi przedpłaconej. Dla abonentów usług przedpłaconych, którzy zawarli umowę przed dniem wejścia w życie ustawy z 10 czerwca 2016 r. o działaniach antyterrorystycznych (Dz. U. z 2016 r., poz. 904), to jest przed 2 lipca 2016 r., obowiązek abonenta podania dostawcy usługi swoich danych osobowych wprowadził art. 60 tejże ustawy. Można przewrotnie twierdzić, że gdyby nie ów obowiązek, to nie doszłoby do naruszenia. Z drugiej jednak strony nagminne wykorzystywanie w przeszłości przez przestępców numerów przedpłaconych dobrze uzasadnia istnienie tego obowiązku.

Potrzebne skomplikowane zabezpieczenia

Oczywiście nie można poszukiwać usprawiedliwienia w sytuacji opisanej w decyzji PUODO, jednak na naruszenie miał z pewnością wpływ stopień skomplikowania systemów informatycznych wykorzystywanych do przetwarzania danych osobowych (tutaj danych osobowych abonentów usług przedpłaconych), wielość producentów tych systemów i podmiotów je utrzymujących. Według decyzji PUODO, dostawca usług telekomunikacyjnych mógł zaniedbać stosowania podstaw dotyczących bezpieczeństwa systemów informatycznych, tj. testowania, mierzenia i oceniania skuteczności stosowanych rozwiązań, co przy takiej liczbie systemów i zewnętrznych podmiotów zaangażowanych w przetwarzanie danych może być oceniane negatywnie. Z drugiej strony tego typu podejście jest niestety standardem w wielu przypadkach. Cyberbezpieczeństwo nadal pozostaje niedoceniane.

Publikacja:
https://www.prawo.pl/biznes/wyciek-danych-abonentow-firma-zaplaci-za-niedocenianie,505198.html