Urząd skontrolował spółkę po tym, gdy dotarły do niej informacje iż nie prowadzi ona regularnych testów weryfikujących zabezpieczenia związane z przekazywaniem danych między aplikacjami, które związane były z obsługą osób kupujących usługi przedpłacone. W efekcie miało dojść do naruszenia ochrony danych, w wyniku którego nieuprawniona osoba uzyskała dane klientów z jednej z baz.

W toku postępowania okazało się, że wymiana danych między aplikacjami w systemie informatycznym miała następować po zweryfikowaniu pewnych parametrów z wniosków rejestracyjnych klientów usług prepaid. Jednak w praktyce ta weryfikacja nie działała, a przed jej wdrożeniem mechanizm ten nie został przetestowany.

Zobacz również:

• Ponad pół miliona kont Roku w niebezpieczeństwie po ataku
• Fairphone może zaprojektować tańszy model eko smartfona

W związku z tym organ nadzoru uznał, że wdrożenie systemu służącego do przetwarzania danych do użytku bez poprawnie działającej walidacji zakładanych parametrów jest rażącym naruszeniem administratora.

UODO nakładając karę wziął również pod uwagę fakt, że naruszenie do którego doszło u operatora ma poważny charakter, gdyż stwarza wysokie ryzyko negatywnych skutków ochrony prawnej dla dużej liczby osób (np. ryzyko kradzieży tożsamości). Kara pieniężna ma sprawić, że spółka w przyszłości nie dopuści już do podobnych zaniedbań.