Do Prezesa Urzędu Ochrony Danych Osobowych wpłynęło zgłoszenie o naruszeniu ochrony danych osobowych przez operatora sieci komórkowej. Urząd zdecydował się przeprowadzić czynności kontrolne w Virgin Mobile Polska.

Spółka tłumaczy, że doszło do ataku hakerskiego na jedną z aplikacji. Miała ona umożliwiać dostęp do danych rejestrowych części abonentów dokonujących rejestracji prepaid. Zgłoszenie do UODO dotyczyło nieuprawnionego ujawnienia danych osobowych, takich jak imię, nazwisko, numer PESEL lub numeru dokumentu potwierdzającego tożsamość. W związku z tym prezes UODO podjął decyzję o przeprowadzeniu czynności kontrolnych.

W przypadku operatorów telekomunikacyjnych powiadomienie Prezesa UODO o naruszeniu powinno nastąpić nie później niż 24 godziny po jego wykryciu (jeśli jest to wykonalne). Obowiązek taki został nałożony na dostawców publicznie dostępnych usług telekomunikacyjnych, a termin ten wynika z art. 2 ust. 2 rozporządzenia Komisji (UE) nr 611/2013. Termin ten jest krótszy niż czas wskazany w RODO – przedsiębiorcy telekomunikacyjni powinni dołożyć wszelkich starań, aby przesłać wymagane prawem informacje w terminie 24, a nie 72 godzin.

Zgodnie z art.3 ust.1 przywołanego rozporządzenia, jeżeli istnieje prawdopodobieństwo, że naruszenie danych osobowych wywoła niekorzystne skutki dla danych osobowych lub prywatności abonenta lub osoby fizycznej, dostawca publicznie dostępnych usług telekomunikacyjnych, oprócz powiadomienia krajowego organu nadzorczego, niezwłocznie zawiadamia o takim naruszeniu również abonenta lub użytkownika końcowego.

Do Prezesa Urzędu Danych Osobowych skargę może złożyć każdy, kto uważa, że jego dane osobowe przetwarzane są niezgodnie z prawem. Co więcej, art. 79 RODO daje jej także prawo, niezależnie od złożenia skargi do Prezesa UODO, do ochrony swoich praw przed sądem cywilnym. 

Źródło: UODO