E-sklep ma zapłacić 4 mln zł za ogromny wyciek danych klientów

Po tym jak Naczelny Sąd Administracyjny (NSA) 9 lutego ub.r. uchylił decyzję prezesa Urzędu Ochrony Danych Osobowych, nakładającą karę na spółkę Morele.net, organ nadzorczy ponownie przeprowadził postępowanie administracyjne w tej sprawie. Wykazało ono, że do naruszenia ochrony danych osobowych doszło przez brak zastosowania przez spółkę odpowiednich zabezpieczeń, co doprowadziło do wycieku danych osobowych 2,2 mln osób.

Jak poinformował rzecznik prasowy UODO, NSA nie zakwestionował wszystkich ustaleń prezesa Urzędu związanych z tym naruszeniem. Podważył jednak kompetencje organu dotyczące oceny zastosowanych przez administratora środków technicznych i organizacyjnych mających zabezpieczyć dane osobowe.

Zdaniem sądu organ powinien uprawdopodobnić posiadanie wiedzy potrzebnej do przeprowadzenia takiej analizy zabezpieczeń. Z uzasadnienia wynikało, że Prezes UODO powinien był powołać biegłego albo wytworzyć wewnętrzny dokument stanowiący wnioski z analizy standardu środków bezpieczeństwa stosowanych przez spółkę, do którego administrator mógłby się odnieść w toku postępowania.

UODO: braki w zabezpieczeniach Morele.net

"W związku z tym UODO ponownie przeprowadził postępowanie administracyjne, które również wykazało, że spółka Morele.net stosowała niewystarczające zabezpieczenia techniczne do istniejącego ryzyka naruszenia ochrony danych. Zabrakło też wdrożenia odpowiednich procedur, które pozwoliłyby zareagować na nietypowe zachowania, takie jak zwiększony ruch sieciowy" - czytamy w komunikacie.

Dodano, że braki w zabezpieczeniach potwierdziła „Analiza zastosowanych przez Morele.net sp. o. o. (…)”, opracowana przez organ nadzorczy w związku z koniecznością dostosowania się do wyroku NSA.

Prezes @UODOgov_pl ponownie przeanalizował naruszenie przepisów RODO w https://t.co/5oS4Wilqar w związku z dużym wyciekiem danych i nałożył na administratora karę ponad 3,8 mln zł. pic.twitter.com/2XHRwduFDC

— Urząd Ochrony Danych Osobowych (@UODOgov_pl) February 8, 2024

Wyjaśniono, że w toku postępowania prezes UODO nie powołał biegłego, a strona postępowania kwestionowała przedstawioną analizę, zarzucając m.in. stronniczość jej autorów i domagając się ich wyłączenia. Organ nadzorczy nie uwzględnił tego zarzutu w toku postepowania, gdyż de facto prowadziłoby to do tego, że żaden z pracowników UODO nie mógłby zajmować się tą sprawą z uwagi na zarzut stronniczości.

Tymczasem przygotowana analiza wykazała, że administrator nie szyfrował części danych (do czego zresztą się przyznał), nie dysponował dwuskładnikowym uwierzytelnianiem, nie przeprowadził analizy ryzyka, która uwzględniałaby m.in. zagrożenia związane z możliwością logowania się do systemu z sieci publicznej. W efekcie dwukrotnie doszło do nieautoryzowanego dostępu z zewnątrz, na skutek którego osoba niepowołana weszła w posiadanie danych klientów spółki Morele.net. - podkreślono w komunikacie.

Według UODO zbrakło też rozwiązań technicznych i administracyjnych pozwalających monitorować ruch w sieci i reagować w przypadku wykrycia nieprawidłowych działań. Potwierdzają to ustalenia, z których wnika, że spółka nie miała pewności czy i jakie dane zostały wykradzione z jej zasobów. Szereg rozwiązań w tym zakresie administrator wdrożył dopiero po wycieku danych. W ocenie prezesa UODO, gdyby dysponował nimi wcześniej, byłby w stanie wykryć próby nieautoryzowanego dostępu i podjąć działania uniemożliwiające kradzież danych.

W toku postępowania administrator sam przyznał, że brak wdrożonych odpowiednich rozwiązań był błędem z jego strony. Prezes UODO uznał, że w tej sprawie nałożenie pieniężnej kary administracyjnej jest konieczne i uzasadnione wagą, charakterem oraz zakresem zarzucanych administratorowi naruszeń - wyjaśniono w komunikacie Urzędu.