Niebezpiecznik

Czy pamiętacie problemy Virgin Mobile z atakiem na system rejestracji pre-paidów? Miało być 1,9 mln złotych kary, ale spółka poszła do sądu. Ostatecznie zapłaci 1,6 mln, a właściwie nie ona zapłaci tylko P4, który tę spółkę przejął.

O karze dla Virgin Mobile pisaliśmy w grudniu 2020 roku. Tak naprawdę wszystko zaczęło się jeszcze rok wcześniej, gdy  niektórzy klienci Virgin Mobile otrzymali SMS-y informujące o tym, że ich dane osobowe zostały wykradzione. Firma przyznała, że stała się ofiarą “ataku” i zgłosiła sprawę do UODO. Potem okazało się, że osoba nieuprawniona pozyskała ponad 142,2 tys. rekordów potwierdzeń rejestracji usług przedpłaconych, zawierających dane osobowe blisko 115 tys. klientów. Wyciekły nazwiska, PESELe, numery dokumentów, numery telefonów, NIPy i nazwy podmiotów.

Tak to było…

Problem tkwił w systemie pozwalającym na rejestrowanie abonentów usług prepaid. Wymiana danych między aplikacją w punktach sprzedaży a systemem, który te dane przechowywał, miała następować po zweryfikowaniu pewnych parametrów z wniosków rejestracyjnych klientów usług prepaid. Program miał sprawdzać, czy żądanie wpłynęło od uprawnionego podmiotu. W praktyce weryfikacja nie działała. Mechanizm nie został wystarczająco dobrze przetestowany i do jego poprawiania zabrano się właściwie już po incydencie.

UODO uznał, że Virgin Mobile mogła zrobić więcej by zabezpieczyć dane. Przede wszystkim mogła testować, mierzyć i oceniać skuteczność stosowanych zabezpieczeń. Za niedostatki w tym zakresie Urząd nałożył na spółkę 1,9 mln kary. Virgin Mobile nie zgodziła się z karą i przekonywała, że przeprowadzono liczne testy, a faktyczny zakres naruszenia był węższy. Pełne dane (imiona, nazwiska, pesele, nr dokumentów) wystąpiło “tylko” w 4522 przypadkach.

Sprawa trafiła do sądu.

Kara uchylona, decyzja do sprawdzenia

Pierwszy wyrok w sprawie zapadł 21 października 2021 r. (sygn. akt. II SA/Wa 272/21). Ten wyrok uchylił decyzję Prezesa UODO ponieważ – zdaniem sądu – nie wszystkie podniesione w niej zarzuty mogły być uznane za zasadne. Owszem WSA zgodził się, że procedury Virgin Mobile mogłyby być skuteczniejsze. Uznał jednak, że UODO nie wyjaśnił dostatecznie dobrze wysokości kary. RODO przewiduje, że pod uwagę powinny być wzięte m.in. działania podjęte przez administratora w celu zminimalizowania szkody poniesionej przez osoby, a także wcześniejsze naruszenia i sposób zgłoszenia incydentu do UODO. Sąd powątpiewał, czy UODO dobrze to wszystko policzył.

Po takim wyroku sprawa musiała trafić do UODO. Ten przeprowadził kolejne postępowanie i zadecydował o nałożeniu administracyjnej kary w wysokości 1,6 mln. Spółka znów postanowiła odwołać się do sądu.

Będzie 1,6 zamiast 1,9 mln

WSA w Warszawie w kolejnym wyroku (z 21 czerwca 2023 r. – sygn. akt. II SA/Wa 150/23) oddalił skargę administratora. W uzasadnieniu do wyroku Sąd stwierdził, że kara pieniężna została tym razem prawidłowo ustalona i uzasadniona.

Czy Virgin zapłaci karę? W pewnym sensie nie, ale w sumie to tak :). W okresie pomiędzy nałożeniem kary, a wydaniem wszystkich wyroków spółka Virgin Mobile została przejęta przez P4. To nie problem, bo zdaniem sądu “skutkiem przejęcia przez P4 Virgin Mobile było wstąpienie we wszystkie prawa i obowiązki spółki przejmowanej, także obowiązki publicznoprawne, w tym odpowiedzialność za delikty administracyjne”.