Morele.net z jeszcze wyższą karą za wyciek danych ponad 2 mln klientów. Sklep ma zapłacić prawie 4 mln zł
Sprawa wycieku danych osobowych użytkowników sklepu Morele ciągnie się od lat (ostatni raz pisaliśmy o niej w tym miejscu). Okazuje się, że polska firma ma zapłacić jeszcze wyższą karę.
Prezes Urząd Ochrony Danych Osobowych po przegranej w NSA przeanalizował ponownie sprawę i zdecydował o nałożeniu jeszcze wyższej kary na polski sklep Morele. Chodzi o sprawę, którą ciągnie się za firmą już od listopada 2018 roku, kiedy serwis Niebezpiecznik.pl alarmował o niepokojących, fałszywych SMS-ach oraz telefonach do osób będących klientami Morele. Dopiero 18 grudnia sklep przyznał się, że jest źródłem bardzo dużego wycieku danych swoich użytkowników.
Po wycieku z Morele.net do sieci dostały się dane ponad 2 milionów osób. Urząd Ochrony Danych Osobowych próbował już raz ukarać sklep, ale NSA wytknęło urzędowi, że źle przeprowadzono postępowanie dowodowe. Tym razem się jednak udało. Na firmę nałożono jeszcze wyższą karę niż poprzednio, w wysokości 3,8 mln zł.
"W toku postępowania Prezes UODO nie powołał biegłego, a strona postępowania kwestionowała przedstawioną analizę, zarzucając m.in. stronniczość jej autorów i domagając się ich wyłączenia. Organ nadzorczy nie uwzględnił tego zarzutu w toku postepowania, gdyż de facto prowadziłoby to do tego, że żaden z pracowników UODO nie mógłby zajmować się tą sprawą z uwagi na zarzut stronniczości.
Tymczasem przygotowana analiza wykazała, że administrator nie szyfrował części danych (do czego zresztą się przyznał), nie dysponował dwuskładnikowym uwierzytelnianiem, nie przeprowadził analizy ryzyka, która uwzględniałaby m.in. zagrożenia związane z możliwością logowania się do systemu z sieci publicznej. W efekcie dwukrotnie doszło do nieautoryzowanego dostępu z zewnątrz, na skutek którego osoba niepowołana weszła w posiadanie danych klientów spółki Morele.net.
Zabrakło też rozwiązań technicznych i administracyjnych pozwalających monitorować ruch w sieci i reagować w przypadku wykrycia nieprawidłowych działań" - stwierdza UODO.
Firma Morele.net opublikowała następujący komunikat po oświadczeniu UODO:
Spółka Morele.net potwierdza, że otrzymała decyzję Prezesa Urzędu Ochrony Danych Osobowych dotyczącą ataku hakerskiego z 2018 r. Nie zgadza się jednak z decyzją Prezesa UODO i zamierza zaskarżyć ją do Wojewódzkiego Sądu Administracyjnego.
Prezes UODO nie naprawił kluczowej nieprawidłowości wskazanej przez NSA w wyroku uchylającym pierwotną decyzję urzędu i nie powołał biegłego, który przygotowałby obiektywną ocenę prawidłowości zabezpieczeń danych osobowych stosowanych w 2018 r. przez Spółkę. Powołanie takiego biegłego w świetle oceny sytuacji sprzed ponad 5 lat jest konieczne dla niezależności i bezstronności oceny postępowania Spółki. Zabezpieczenia stosowane przez Spółkę były starannie dobrane, zgodne z praktyką rynkową i spełniały wymogi RODO.
W ocenie Spółki Prezes UODO nie był też uprawniony do nałożenia kary wyższej niż kara nałożona w decyzji z 2019 r. W tym okresie nie zmieniły się okoliczności związane ze sprawą, w tym nie pojawiły się żadne okoliczności obciążające. Wręcz przeciwne, część zarzutów wobec Spółki zostało uchylonych wyrokiem NSA. Zastosowany przez Prezesa UODO sposób obliczenia kary był jednocześnie dowolny i nieuzasadniony przepisami RODO".
