Wyciekły dane Polaków. Milionowa kara dla Virgin Mobile utrzymana
Wyciek danych klientów Virgin Mobile z 2019 roku właśnie znalazł swój wielki finał. Naczelny Sąd Administracyjny nie pozostawił telekomowi żadnych złudzeń. Milionowa kara nałożona przez UODO musi ostatecznie zostać zapłacona.
Poważny wyciek i długa batalia prawna
Sprawa ciągnęła się od 2019 roku. Wtedy nieuprawniona osoba uzyskała dostęp do informacji o ponad 114 tysiącach użytkowników ofert na kartę w sieci Virgin Mobile. Operator sam szybko zgłosił ten incydent do Urzędu Ochrony Danych Osobowych. To jednak wcale nie uchroniło go przed surowymi konsekwencjami. UODO natychmiast rozpoczął postępowanie, aby sprawdzić wewnętrzne procedury i zabezpieczenia.
Urząd uznał, że firma po prostu nie wdrożyła odpowiednich środków technicznych oraz organizacyjnych. W efekcie w 2022 roku Prezes UODO nałożył na spółkę blisko 2 miliony złotych kary, a dokładnie 1 968 524 zł. Firma odwołała się do Wojewódzkiego Sądu Administracyjnego w Warszawie. Sąd ten wymusił na urzędzie ponowne przeanalizowanie całej sprawy i wysokości samej grzywny.
Milionowa kara i surowe wymogi RODO
W swojej kolejnej decyzji organ nadzorczy w pełni podtrzymał stanowisko o złamaniu przepisów. Urząd przeliczył jednak kwotę kary na podstawie wyników finansowych z poprzedniego roku obrotowego spółki. Ostateczna suma grzywny wyniosła 1 599 395 zł. Operator ponownie poszedł do sądu, ale warszawski WSA tym razem oddalił skargę w całości. Telekom złożył więc skargę kasacyjną do Naczelnego Sądu Administracyjnego.
Wyrok NSA z 7 maja 2026 roku ostatecznie zamyka tę długą historię. Sąd uznał argumenty operatora za całkowicie chybione. Wyrok potwierdził bardzo ważną zasadę dbania o nasze cyfrowe bezpieczeństwo. Każdy administrator danych musi regularnie testować i mierzyć skuteczność swoich zabezpieczeń. Zasada ta obowiązuje od dnia wejścia w życie RODO (ogólne Rozporządzenie o Ochronie Danych Osobowych), czyli od 25 maja 2018 roku.
Brak taryfy ulgowej za zgłoszenie incydentu
Sąd przyznał rację urzędowi w kwestii precyzyjnego ustalenia okresu naruszenia prawa. Łamanie przepisów przez telekom trwało od startu RODO aż do 22 lipca 2020 roku. Właśnie w tym dniu firma wreszcie uzyskała odpowiednią certyfikację swoich systemów. Co równie istotne, Naczelny Sąd Administracyjny rozwiał też wszelkie wątpliwości dotyczące samego zgłoszenia wycieku.
Poinformowanie urzędu o incydencie przez samego administratora wcale nie jest okolicznością łagodzącą. Zdaniem sądu, taki krok to po prostu neutralny fakt i standardowy obowiązek prawny każdej firmy. Z tego powodu zachowanie operatora po wycieku nie mogło w żaden sposób wpłynąć na obniżenie wymiaru nałożonej kary.
