Prezes Urzędu Ochrony Danych Osobowych poinformował, że otrzymał zgłoszenie dotyczące naruszenia ochrony danych osobowych od Virgin Mobile Polska. Zapowiedział, że przeprowadzi kontrolę, by ustalić okoliczności sprawy.

W ub. tygodniu operator ujawnił, że doszło do ataku hakerskiego na jedną z aplikacji, która umożliwiała dostęp do danych rejestrowych użytkowników usługi prepaid. W efekcie mogły wyciec takie dane jak imiona, nazwiska, numery PESEL lub numery dowodu osobistych. Problem może dotyczyć 12,5 proc. użytkowników usługi prepaid. Dane osób korzystających z abonamentu nie są zagrożone – podał telekom.

UODO przypomina, że operatorzy telekomunikacyjni mają najwyżej 24 godz. na zawiadomienie go o naruszeniu danych, licząc od momentu wykrycia takiego zdarzenia. Termin jest krótszy niż wymagany w RODO (72 godz.). Virgin Mobile twierdzi, że atak miał miejsce w dniach 18-22 grudnia. Jeden z menedżerów Virgin Mobile poinformował niebezpiecznik.pl, że wyciek wykryto 22 grudnia. Operator ujawnił problem 25 grudnia. Zapewnił jednocześnie, że niezwłocznie po wykryciu ataku zawiadomił stosowny organ nadzoru i wdrożył niezbędne zabezpieczenia.

UODO dodaje, że zgodnie z art.3 ust.1 RODO telekom musi niezwłocznie zawiadomić o naruszeniu danych także abonenta lub użytkownika końcowego – jeżeli istnieje prawdopodobieństwo, że wywoła ono niekorzystne skutki dla danych osobowych lub prywatności abonenta lub osoby fizycznej.

Na kontroli UODO sprawa może się nie skończyć – według urzędu każdy kto uzna, że jego dane osobowe są przetwarzane niezgodnie z prawem, może złożyć skargę do prezesa UODO, złożyć pozew w sądzie oraz domagać się odszkodowania, jeżeli poniósł szkodę majątkową lub niemajątkową z powodu naruszenia danych.