2019-09-23
Prezes Urzędu Ochrony Danych Osobowych wydał decyzję nakładającą karę finansową w wysokości ponad 2,8 mln zł (660 000 EUR) za naruszenie przepisów RODO. Kara nałożona została na sklep internetowy Morele.net za niewystarczające zabezpieczenia organizacyjne (w zakresie monitorowania potencjalnych zagrożeń dotyczących nietypowych zachowań w sieci) i techniczne (w zakresie zabezpieczeń), które skutkowały uzyskaniem przez osobę nieupoważnioną dostępu do bazy danych klientów.
Organ nadzorczy nakładając na Morele.net najwyższą jak dotąd karę pieniężną, wskazywał na nieadekwatność zastosowanych przez spółkę środków zabezpieczających dane osobowe klientów do istniejącego ryzyka związanego z ich przetwarzaniem, a także na brak odpowiednich procedur reagowania w przypadku ataku hakerskiego. W rezultacie doszło do uzyskania przez osobę nieupoważnioną dostępu do bazy danych około 2,2 mln klientów sklepów internetowych morele.net, hulahop.pl, amfora.pl, pupilo.pl, trenujesz.pl, motoria.pl, digitalo.pl, ubieramy.pl, meblujesz.pl, sklep-presto.pl, budujesz.pl
W uzasadnieniu wydanej decyzji Prezes UODO podkreślał, że uchybienia Morele.net sp. z o.o. jako administratora danych klientów ww. sklepów internetowych polegały na naruszeniu zasady poufności danych wyrażonej w art. 5 ust 1 lit. f RODO, polegającym na niezapewnieniu bezpieczeństwa i poufności przetwarzanych danych osobowych oraz na naruszeniu zasady legalności, rzetelności i rozliczalności wyrażonych w art. 5 ust 1 lit. a oraz art. 5 ust. 2 RODO.
To już kolejna sprawa, w której spółka sama zgłosiła do Prezesa Urzędu Ochrony Danych Osobowych incydent naruszenia bezpieczeństwa danych osobowych, a Prezes UODO w efekcie otrzymanego zgłoszenia przeprowadził postepowanie kontrolne z urzędu i nałożył na podmiot zgłaszający karę pieniężną. Nakładając karę, Prezes UODO wskazywał, że przy ustalaniu jej wysokości brał pod uwagę okoliczności łagodzące, takie jak: natychmiastowe podjęcie przez spółkę działań zmierzających do usunięcia naruszenia oraz dobrą współpracę z organem nadzoru i organami ścigania, a także to, że ze strony spółki wcześniej nie dochodziło to tego typu naruszeń.
Ostatecznie o wysokości kary przesądził stopień ryzyka jakie to naruszenie powodowało dla praw i wolności osób, których dane dotyczą. W ocenie organu nadzoru w niniejszej sprawie doszło do naruszenia znacznej wagi, charakter naruszenia był poważny ze względu na wysokie ryzyko negatywnych konsekwencji dla osób, których dane dotyczą (np. kradzieży ich tożsamości), a skala wycieku danych była bardzo duża. Zakres utraconych danych obejmował: imię i nazwisko, numer telefonu, e-mail, adres doręczeń, a w przypadku danych z wniosków ratalnych (około 35 tys. osób) dodatkowo były to takie dane jak: numer PESEL, seria i numer dokumentu tożsamości, wykształcenie, adres zameldowania, adres do korespondencji, źródło dochodu, wysokość dochodu netto, koszty utrzymania gospodarstwa domowego, stan cywilny, wysokość zobowiązań kredytowych czy alimentacyjnych.
Na przykładzie postępowania administracyjnego przeprowadzonego w sprawie Morele.net powstaje szereg wątpliwości co do zakresu informacji, które powinny być wpisywane do rejestru czynności przetwarzania oraz środków technicznych, które będą „odpowiednie do zagrożeń”, szczególnie tych potencjalnych zagrożeń w sieci. Wątpliwości są tym większe, że spółka podjęła szereg działań mających na celu zapewnienie bezpieczeństwa informacji chronionych i zgodności z RODO jeszcze przed opisanym incydentem bezpieczeństwa, a po jego wystąpieniu podjęła szereg działań naprawczych m.in. zamieściła na swojej stronie internetowej informację ostrzegającą o fałszywych smsach wysyłanych w jej imieniu, dopełniła obowiązku poinformowania klientów (2,2 mln wiadomości mailowych) o nieuprawnionym dostępie do bazy danych klientów, w tym o potencjalnym uzyskaniu dostępu do danych z wniosków ratalnych, a także złożyła zawiadomienie o popełnieniu przestępstwa i aktywnie współpracowała z organami ścigania. Morele.net zapowiedziała, że wniesie odwołanie od przedmiotowej decyzji do Wojewódzkiego Sądu Administracyjnego.