Urząd Ochrony Danych Osobowych nakłada wysoką karę na Morele.net

2,8 miliona złotych kary musi zapłacić popularny sklep internetowy Morele.net. Za co?

W grudniu 2018 roku z bazy sklepu internetowego Morele.net nastąpił wyciek danych. Włamywacz o pseudonimie xArm domagał się płatności 15 bitcoinów (ok. 200 tys. złotych po ówczesnym kursie) w zamian za nieopublikowanie ich w sieci. Sklep rozesłał do klientów informację o incydencie, informując, że w wykradzionej bazie danych znalazły się takie elementy dotyczące użytkownika, jak: adres e-mail, imię i nazwisko, numer telefony oraz hasło do konta. Ilość rekordów to dokładnie 2 467 304. Morele nie zgodziły się zapłacić, dlatego do sieci trafiła cała baza z informacjami.

Urząd Ochrony Danych Osobowych przyjrzał się tej sprawie i wydał następujące oświadczenie:

"Prezes Urzędu Ochrony Danych Osobowych (Prezes UODO) nałożył na spółkę Morele.net karę w wysokości ponad 2,8 mln zł.

Zastosowane przez spółkę środki organizacyjne i techniczne ochrony danych osobowych nie były odpowiednie do istniejącego ryzyka związanego z ich przetwarzaniem, przez co dane około 2 mln 200 tys. osób dostały się w niepowołane ręce. Zabrakło odpowiednich procedur reagowania na wypadek pojawiania się nietypowego ruchu w sieci – uznał Prezes UODO.

Nakładając karę, organ nadzorczy stwierdził, że naruszenie, do jakiego doszło w tej sprawie, miało znaczną wagę i poważny charakter oraz dotyczyło dużej skali osób. W swojej decyzji organ nadzoru wskazał również, że w wyniku naruszenia powstało wysokie ryzyko negatywnych skutków dla osób, których dane dostały się w niepowołane ręce, jak np. tzw. kradzież tożsamości. (... )W decyzji nakładającej karę Prezes UODO uznał, że spółka nie stosując wystarczających środków technicznych ochrony danych naruszyła m.in. określoną w art. 5 ust. 1 lit f RODO zasadę poufności. W związku z tym doszło do nieuprawnionego dostępu do danych klientów i do uzyskania tych danych. Organ uznał, że miało miejsce zastosowanie nieskutecznego środka uwierzytelniania dostępu do danych. Dodatkowe środki zabezpieczenia technicznego spółka wdrożyła już po naruszeniu.

W toku postępowania ustalono, że do naruszenia doszło także z uwagi na nieskutecznie monitorowanie potencjalnych zagrożeń. Postępowanie wykazało także inne uchybienia, jednak to brak odpowiednich środków technicznych (niewystarczające zabezpieczenia) i organizacyjnych (dotyczących monitorowania potencjalnych zagrożeń, związanych z nietypowymi zachowaniami w sieci) przesądził o nałożeniu kary. Przy ustalaniu jej wysokości Prezes UODO wziął jednak pod uwagę okoliczności łagodzące, jak np.: podjęcie przez spółkę działań zmierzających do usunięcia naruszenia, dobrą współpracę z administratorem oraz to, że wcześniej spółka nie dopuściła się naruszenia przepisów o ochronie danych osobowych."

Natychmiast pojawiło się również oświadczenie Grupy Morele.net w sprawie decyzji UODO. Czytamy w nim m.in.:

"W naszej opinii ocena Urzędu o jedynie częściowym zapewnieniu odpowiednich środków zabezpieczenia technicznego przetwarzania danych oraz naruszeniu zasad przy przetwarzaniu danych osobowych pochodzących z wniosków ratalnych powinna zostać zweryfikowana przez niezależnych biegłych. Środki stosowane przez spółkę, m. in. zabezpieczenia dostępu oraz monitoring dostępu do panelu zarządzającego w naszej ocenie nie odbiegały od standardów, a w wielu obszarach je przewyższały. Wskazanie na niedopełnienie obowiązku zastosowania odpowiednich środków technicznych i organizacyjnych wskazuje na jedno konkretne rozwiązanie, pomijając inne środki bezpieczeństwa oraz procesy obowiązujące w spółce. Poziom bezpieczeństwa systemów informatycznych powinien być analizowany jako całość. Z tego też powodu będziemy korzystać z dostępnych nam dróg odwoławczych. Egzekucja kary jest wstrzymana do momentu rozstrzygnięcia przez Sąd Administracyjny a spółka była przygotowana na ewentualność otrzymania kary i ma zapewnione rezerwy na ten cel. Kara w żadnym stopniu nie wpłynie na działalność operacyjną naszej firmy. "

Z cała treścią oświadczenia można zapoznać się na tej stronie.