Naruszenie RODO: prawie 3 mln zł na Morele.net za ubiegłoroczny wyciek danych

Naruszenie RODO: prawie 3 mln zł na Morele.net za ubiegłoroczny wyciek danych

W dniu 10 września 2019 r. Prezes Urzędu Ochrony Danych Osobowych nałożył kolejną, tym razem jednak rekordową karę pieniężną w wysokości 2 830 410 PLN (co stanowi równowartość 660 000 EUR) na spółkę Morele.net. sp. z o.o. z siedzibą w Krakowie, prowadzącą działalność  za naruszenie w procesie przetwarzania danych osobowych przez nią, jako administratora, przepisów o ochronie danych osobowych.

Uchybienia te polegały przede wszystkim na naruszeniu zasady poufności danych wyrażonej w art. 5 ust 1 lit. f RODO. Według PUODO, spółka nie zapewniła bezpieczeństwa i poufności przetwarzanych danych osobowych swoich klientów  co spowodowało, że dostęp do ich danych uzyskały osoby nieuprawnione oraz na naruszeniu zasady legalności, rzetelności i rozliczalności wyrażonych w art. 5 ust 1 lit. a oraz art. 5 ust. 2  RODO.

Według decyzji Prezesa Urzędu Ochrony Danych Osobowych

zasada poufności, której prawidłowa realizacja zapewnia, że dane nie są udostępniane osobom nieupoważnionym, w stanie faktycznym przedmiotowej sprawy została naruszona w wyniku dwukrotnego uzyskania dostępu do danych wszystkich klientów z systemu bazodanowego Spółki , co skutkowało zmaterializowaniem się ryzyka naruszenia praw i wolności osób fizycznych, których dane przetwarzane są przez Spółkę, w postaci zastosowania metody zwanej phishingiem, mającej na celu wyłudzenie danych, m.in. uwierzytelniających do konta bankowego poprzez podszycie się pod Spółkę w wiadomościach SMS i wykorzystanie faktu dokonania zamówienia przez klienta

Prezes UODO w swojej decyzji zauważył, że wcześniejsze wdrożenie i wprowadzenie dodatkowych środków mogłoby znacznie zmniejszyć ryzyko uzyskania nieuprawnionego dostępu. Innymi słowy spółka Morele.net, według urzędu, nie wypełniła obowiązku wynikającego z RODO polegającego na doborze skutecznych środków technicznych i organizacyjnych na poziomie kontroli dostępu i uwierzytelniania. W toku kontroli spółka natomiast stała na stanowisku, że powyższa teza nie została wsparta żadnymi argumentami, jak również uzasadnieniem dlaczego mając na uwadze stosowane przez spółkę zabezpieczenia były one nieodpowiednie. Według oceny spółki, zastosowane techniczne i organizacyjne środki bezpieczeństwa były odpowiednie do ryzyka związanego z przetwarzaniem danych osobowych.

To trzecia, ale dotychczas najwyższa nałożona przez Urząd Ochrony Danych Osobowych kara, która budzi kontrowersje, z uwagi na jej wysokość, ale również na fakt, iż spółka Morele.net sp. z o.o. padła ofiarą ataku hakerskiego, jak również na fakt, iż w toku kontroli Urząd odmówił przeprowadzenia dowodu z opinii biegłego w zakresie bezpieczeństwa systemów informatycznych w zakresie m.in. oceny, czy środki techniczne i organizacyjne stosowane przez spółkę Morele.net sp. z o.o. były odpowiednie, uwzględniając stan wiedzy technicznej, koszt wdrażania.

Ze szczegółami sprawy można zapoznać się w treści decyzji, która dostępna jest pod linkiem: https://uodo.gov.pl/decyzje/ZSPR.421.2.2019.