UODO skontroluje Virgin Mobile po wycieku danych osobowych klientów

31 grudnia 20191 stycznia 2020 Marcin Kaczmarek dane osobowe, UODO, Virgin Mobile

UODO poinformowało o podjęciu decyzji o przeprowadzeniu czynności kontrolnych u wirtualnego operatora komórkowego Virgi Mobile. Hakerzy, którzy zdobyli dostęp do aplikacji rejestrującej karty SIM usług pre-paid, wykradli dane 12,5% klientów spółki.

UODO zamierza sprawdzić, czy zachowane zostały wszystkie procedury postępowania w przypadku wykrycia wycieku danych osobowych. W przypadku operatorów telekomunikacyjnych są one bardziej radykalne, niż w przypadku innych przedsiębiorstw.

Warto podkreślić, że w przypadku operatorów telekomunikacyjnych powiadomienie Prezesa UODO o naruszeniu powinno nastąpić nie później niż 24 godziny po jego wykryciu (jeśli jest to wykonalne). Obowiązek taki został nałożony na dostawców publicznie dostępnych usług telekomunikacyjnych, a termin ten wynika z art. 2 ust. 2 rozporządzenia Komisji (UE) nr 611/2013. Termin ten jest krótszy niż czas wskazany w RODO – przedsiębiorcy telekomunikacyjni powinni dołożyć wszelkich starań, aby przesłać wymagane prawem informacje w terminie 24, a nie 72 godzin.

Do naruszenia zabezpieczeń w aplikacji służącej partnerom Virgin Mobile do przekazywania danych niezbędnych do zarejestrowania przedpłaconych kart SIM doszło w dniach 18-22 grudnia 2019. Hakerzy wykradli imiona i nazwiska, numery PESEL oraz numery dowodów osobistych lub paszportów 12,5% klientów operatora.

VM wysłał do poszkodowanych powiadomienia SMS. Jeśli klientem Virgin Mobile i nie otrzymałeś w okolicach 25 grudnia 2019 wiadomości o wycieku, możesz odetchnąć z ulgą.

UODO przeprowadzi kontrolę w Virgin Mobile

Prezes Urzędu Ochrony Danych Osobowych podjął decyzję o przeprowadzeniu kontroli w Virgin Mobile Polska.

Sprawa dotyczy nieuprawnionego ujawnienia danych osobowych, tj. imienia, nazwiska, numeru PESEL lub numeru dokumentu potwierdzającego tożsamość części abonentów prepaid Virgin Mobile Polska. Spółka podkreśla, że doszło do ataku hakerskiego na jedną z aplikacji informatycznych, która umożliwiała dostęp do danych rejestrowych i dotyczy wyłącznie części abonentów dokonujących rejestracji prepaid.

Urząd przypomina, że osoby, których dane wyciekły powinny podjąć niezwłoczne działania.

Osoby, które padły lub mają podejrzenie, że mogły paść ofiarami kradzieży tożsamości, w tym swoich dokumentów np. dowodu osobistego, powinny w pierwszej kolejności zgłaszać się na Policję. Dowód zostanie unieważniony z dniem zgłoszenia. Nie trzeba wtedy zgłaszać utraty dokumentu w urzędzie gminy (tak jak w przypadku zgubienia dowodu osobistego).

UODO zaleca ponadto zastrzeżenie dokumentu tożsamości, którego numer wyciekł, w najbliższym banku. Uniemożliwi to wykorzystanie go do zaciągnięcia kredytu przez przestępców.