Federalny niemiecki organ nadzorczy nakłada kary administracyjnew łącznej wysokości 45 milionóweuro na Vodafone

Niemiecki organ nadzorczy (BfDI) nałożył kary na Vodafone za niewystarczający nadzór i procedury audytowe wobec agencji partnerskich, nieodpowiednie środki bezpieczeństwa dotyczące portalu usług online; dał również upomnienie za wykryte słabości w systemach informatycznych. Vodafone GmbH, poza usunięciem naruszeń, przekazał kilka milionów euro na rzecz organizacji zajmujących się promowaniem ochrony danych, umiejętności medialnych i kompetencji cyfrowych oraz zwalczaniem cyberprzemocy.

Początek sprawy

Federalny niemiecki organ nadzorczy ds. ochrony danych wszczął postępowanie wyjaśniające wobec partnerów agencyjnych Vodafone GmbH oraz portalu usług online firmy po otrzymaniu zewnętrznych informacji, niezależnych od jakichkolwiek formalnych skarg.

Kluczowe ustalenia

Vodafone GmbH to dostawca usług telekomunikacyjnych działający na rynku niemieckim. Firma korzysta z różnych kanałów dystrybucji, w tym z lokalnych punktów sprzedaży, z których część prowadzona jest przez agencje partnerskie. Działają one pod marką Vodafone i są zobowiązane do przestrzegania wytycznych firmy. Ich systemy informatyczne opierają się na sprzęcie i oprogramowaniu dostarczanym przez Vodafone. Przetwarzanie danych klientów regulowane jest umowami powierzenia przetwarzania danych.

W toku dochodzenia ujawniono braki w nadzorze i audycie procesorów danych oraz luki w systemach IT, które stwarzały ryzyko nadużyć danych klientów w celach oszustwa – ryzyko to w niektórych przypadkach się zmaterializowało. Dodatkowo Vodafone oferuje klientom portal usług online. W połączeniu z infolinią firmy, niemiecki organ nadzorczy wykrył słabości w procesie uwierzytelniania kont użytkowników, które mogły prowadzić do nadużyć związanych z kartami eSIM. Firma podjęła działania naprawcze w celu usunięcia stwierdzonych nieprawidłowości.

Decyzja

Federalny niemiecki organ nadzorczy nałożył grzywnę w wysokości 15 milionów euro za niewystarczający nadzór i procedury audytowe wobec agencji partnerskich oraz dodatkową grzywnę w wysokości 30 milionów euro za niewystarczające środki bezpieczeństwa dotyczące portalu usług online. Wydał też upomnienie za wykryte słabości w systemach informatycznych.

Na uwagę zasługuje fakt, że Vodafone GmbH nie tylko usunął naruszenia, ale też przekazał kilka milionów euro na rzecz organizacji zajmujących się promowaniem ochrony danych, umiejętności medialnych i kompetencji cyfrowych oraz zwalczaniem cyberprzemocy (po uprzednim uzgodnieniu beneficjentów oraz wysokości przekazywanych darowizn z organem nadzorczym). Spółka w pełni współpracowała z organem dostarczając dowodów, których organ nie pozyskałby samodzielnie, a które były dla niej obciążające – które to okoliczności organ poczytał na korzyść spółki, odpowiednio zmniejszając karę. Spółka uiściła nałożone kary w całości.

Źródło:

komunikat Europejskiej Rady Ochrony Danych oraz notatka grupy Fining Taskforce