Wyciek danych z bazy sklepu internetowego Morele został potwierdzony przez spółkę Morele.net w grudniu 2018 roku. Przypominam, że cyberprzestępca, który dostał się do bazy Morele.net, zażądał okupu w Bitcoinie. Zgodnie z obowiązującym prawem sprawą zajął się Urząd Ochrony Danych Osobowych, którego decyzja o nałożeniu kary na spółkę Morele.net oraz organ nadzorczy została uchylona przez Naczelny Sąd Administracyjny 9 lutego 2023 roku. Teraz prezes UODO ponownie ukarał spółkę Morele.net.
Morele ukarane za wyciek danych przez Prezesa UODO
UODO po uchyleniu decyzji Prezesa UODO przez NSA ponownie przeprowadził postępowanie administracyjne w sprawie wycieku danych ze sklepu internetowego Morele. Wcześniej NSA nie kwestionował wszystkich ustaleń związanych z tym naruszeniem, a fakt, że:
prezes powinien był powołać biegłego albo wytworzyć wewnętrzny dokument stanowiący wnioski z analizy standardu środków bezpieczeństwa stosowanych przez spółkę, do którego administrator mógłby się odnieść w toku postępowania.
W związku z tym przeprowadzono ponowne postępowanie, choć… ponownie bez biegłego.
W toku działań UODO potwierdzono, że brak zastosowania przez Morele.net odpowiednich zabezpieczeń przyczynił się do wycieku danych 2,2 miliona osób. Braki potwierdziła „Analiza zastosowanych przez Morele.net sp. o. o. (…)”, opracowana przez organ nadzorczy w związku z koniecznością dostosowania się do wyroku NSA. Sam administrator Morele.net przyznał, że brak wdrożonych odpowiednich rozwiązań było błędem z jego strony.
Co ciekawe, w toku postępowania spółka Morele.net kwestionowała analizę, zarzucając stronniczość autorów i domagając się ich wyłączenia. Organ nie uwzględnił zarzutu, gdyż uznano, że „de facto prowadziłoby to do tego, że żaden z pracowników UODO nie mógłby zajmować się tą sprawą z uwagi na zarzut stronniczości.”
Wyciek danych z Morele był szczególnie niebezpieczny, gdyż administrator nie szyfrował części danych, nie dysponował dwuskładnikowym uwierzytelnianiem i nie przeprowadził odpowiednik analiz ryzyka. Do niepowołanego dostępu z zewnątrz dzięki temu doszło aż dwukrotnie
Prezes UODO uznał, że w tej sprawie nałożenie pieniężnej kary administracyjnej jest konieczne i uzasadnione wagą, charakterem oraz zakresem zarzucanych administratorowi naruszeń
– czytamy w komunikacie.
Tym razem kara wyniosła ponad 3,8 miliona złotych.
[Aktualizacja, 8.02.2024 r., godz. 21:10]: Spółka Morele.net nadesłała w odpowiedzi na nasz artykuł komentarz. Publikujemy go poniżej, w całości.
Spółka Morele.net potwierdza, że otrzymała decyzję Prezesa Urzędu Ochrony Danych Osobowych dotyczącą ataku hakerskiego z 2018 r.
Nie zgadza się jednak z decyzją Prezesa UODO i zamierza zaskarżyć ją do Wojewódzkiego Sądu Administracyjnego. Prezes UODO nie naprawił kluczowej nieprawidłowości wskazanej przez NSA w wyroku uchylającym pierwotną decyzję urzędu i nie powołał biegłego, który przygotowałby obiektywną ocenę prawidłowości zabezpieczeń danych osobowych stosowanych w 2018 r. przez Spółkę. Powołanie takiego biegłego w świetle oceny sytuacji sprzed ponad 5 lat jest konieczne dla niezależności i bezstronności oceny postępowania Spółki.
Zabezpieczenia stosowane przez Spółkę były starannie dobrane, zgodne z praktyką rynkową i spełniały wymogi RODO.
W ocenie Spółki Prezes UODO nie był też uprawniony do nałożenia kary wyższej niż kara nałożona w decyzji z 2019 r. W tym okresie nie zmieniły się okoliczności związane ze sprawą, w tym nie pojawiły się żadne okoliczności obciążające. Wręcz przeciwne, część zarzutów wobec Spółki zostało uchylonych wyrokiem NSA. Zastosowany przez Prezesa UODO sposób obliczenia kary był jednocześnie dowolny i nieuzasadniony przepisami RODO.
Źródło: UODO