W grudniu ubiegłego roku Urząd Ochrony Danych Osobowych wykazał się znaczną aktywnością. UODO nałożył trzy kary pieniężne, których łączna wysokość wynosi ponad 3 miliony złotych.
Pierwsza z nich dotyczy spółki Virgin Mobile Polska sp. z o.o. (operator sieci komórkowej) i została nałożona za brak zapewnienia poufności danych oraz rozliczalności działań administratora. Decyzję wydano w wyniku kontroli przeprowadzonej po zgłoszeniu przez Virgin Mobile Polska naruszenia ochrony danych osobowych. Urząd uznał między innymi, że operator nie wykonywał regularnych i kompleksowych testów, pomiarów i oceny skuteczności środków technicznych i organizacyjnych mających zapewnić bezpieczeństwo przetwarzanych danych. Ponadto zdaniem organu nie testowano zabezpieczeń związanych z przekazywaniem danych między aplikacjami wykorzystywanymi do obsługi osób kupujących usługi przedpłacone. W efekcie UODO nałożył karę w wysokości 1,9 mln złotych.
Drugą decyzję wydano w stosunku do Towarzystwa Ubezpieczeń i Reasekuracji WARTA S.A. Organ ukarał spółkę po otrzymaniu od osoby trzeciej informacji o naruszeniu ochrony danych osobowych, które polegało na wysłaniu mailem przez agenta ubezpieczeniowego, będącego podmiotem przetwarzającym Warty, polisy ubezpieczeniowej do nieuprawnionego adresata. Dokumenty zawierały imię, nazwisko, numer PESEL, adres zamieszkania oraz szczegóły dotyczące ubezpieczonego samochodu osobowego. W toku postępowania spółka wyjaśniała, że wysyłka ww. danych na błędny adres nastąpiła z powodu podania przez klienta błędnego adres poczty elektronicznej. Urząd wziął pod uwagę tę okoliczność, jednocześnie stwierdzając, że tego typu sytuacja stanowi naruszenie ochrony danych osobowych, które powinno zostać zgłoszone organowi w terminach przewidzianych w RODO. Ostatecznie UODO postanowił nałożyć na Wartę karę pieniężna w wysokości 85 588 złotych.
Ostatnia kara w 2020 roku dotyczyła spółki ID Finance Poland sp. z o.o., która jest właścicielem portalu pożyczkowego MoneyMan.pl. Firma nie zareagowała prawidłowo na informacje o lukach bezpieczeństwa w jednym z jej serwerów. Doprowadziło to do skopiowania danych przez nieuprawnioną osobę, które następnie skasowała ja z serwera. Za zwrot wykradzionych informacji cyberprzestępca zażądał okupu. Dopiero wówczas ID Finance Poland rozpoczęła weryfikacje zabezpieczeń i zgłosiła naruszenie ochrony danych. UODO uznał, iż administrator powinien utrzymywać zdolność do szybkiego i skutecznego stwierdzenia wystąpienia wszelkich naruszeń, aby mieć możliwość podjęcia odpowiednich działań. Ponadto administrator powinien być w stanie szybko zbadać incydent w celu ustalenia, czy doszło do naruszenia ochrony danych oraz podjąć odpowiednie działania zaradcze. Po zakończeniu postępowania organ nałożył na spółkę karę w wysokości 1 069 850 złotych.
