Kara dla Morele została utrzymana przez Sąd Apelacyjny w Warszawie, a to oznacza, że apelacja złożona przez spółkę została odrzucona. To wyjątkowo wysoka kara, bo pokazuje, że niezabezpieczone dane osobowe klientów, mogą kosztować grube miliony. Pokazuje to jednak też to, że nasze dane są warte grosze i tak naprawdę, ta kara nic nie zmieni.
Kara dla Morele – spółka zapłaci miliony
Zacznijmy może od przypomnienia całej sprawy i tego, dlaczego została nałożona kara dla Morele. Otóż w 2019 roku dane osobowe klientów spółki zostały wykradzione, co doprowadziło do bardzo niebezpiecznej sytuacji. Klienci zaczęli bowiem dostawać SMS-y, które wyglądały jak wysyłane przez firmę, ale prowadziły do fałszywych stron internetowych. Chciano, żeby klienci dopłacili złotówkę do swojego zamówienia, co oczywiście było tylko pretekstem do tego, by przekierować ich na podstawioną witrynę. Tam znajdowały się bramki z płatnościami, które oczywiście nie były prawdziwe, więc klienci mogli stracić loginy do swoich kont bankowych. Nie trzeba chyba tłumaczyć, że to faktycznie niebezpieczna sytuacja, bo wiele osób mogło się w ten sposób nabrać.
UODO, czyli Urząd Ochrony Danych Osobowych, nałożył na Morele karę w wysokości 2,83 miliona złotych. To także najwyższa z zarządzonych kar odnośnie ochrony danych osobowych w Polsce, ale spółka decyzję zaskarżyła. Sąd Apelacyjny w Warszawie skargę odrzucił, a decyzję o tym uzasadniono następująco.
Morele.net, mając na uwadze, że przetwarza dane osobowe 2,2 mln osób, a także zakres tych danych i kontekst powinno skutecznie oceniać związane z tym ryzyko i zagrożenia – podkreśliła w ustnych motywach wyroku sędzia sprawozdawca Joanna Kube.
Zobacz też: Nagrywanie rozmów w Telefon Google wróci do Xiaomi? Są szanse!
Zwrócono uwagę na to, że dane klientów były niewystarczająco zabezpieczone, bo jedynie za pomocą hasła oraz loginu. Jednocześnie przyznano, że decyzja UODO była wystarczająco umotywowana, by odwołać skargę od Morele.
Co na to firma?
Oczywiście prawnicy reprezentujący spółkę mieli na ten temat inne zdanie, choć ich wypowiedzi brzmią trochę tak, jakby nie do końca wiedzieli, z czym mają do czynienia.
Postępowanie było prowadzone według nieakceptowalnych standardów. Cały czas, tak naprawdę nie wiemy, za co nałożona kara. W decyzji mówi się o tym, że jedynie częściowo spełniliśmy wymogi wobec środki bezpieczeństwa, ale nie wiadomo, co to znaczy – argumentował podczas rozprawy Sławomir Kowalski, partner z kancelarii Maruta Wachta reprezentującej Grupę Morele.net.
Przez całe postępowanie nie wiedzieliśmy do jakich zarzutów mamy się odnosić. Pierwsza ich konkretyzacja nastąpiła dopiero w uzasadnieniu decyzji i sprowadzała się do stwierdzenia, że powinniśmy zastosować dwuetapowe uwierzytelnianie. Dlaczego? Tego już nie wiadomo. Pozbawiono nas prawa do obrony – przemawiał.
Oczywiście trzeba przyjąć, że tego typu przemowy w sądach, są czymś standardowym. Wiadomo także, że żadnej firmie, niezależnie od jej kapitału, nie jest na rękę wypłacanie takich ogromnych kar. W tym przypadku wygląda jednak na to, że Morele nie będą miały wyjścia i pieniądze trzeba będzie jednak zapłacić.
Co to oznacza dla klientów firmy?
Z całą pewnością spółka będzie jeszcze próbowała odwoływać się od decyzji UODO i niewykluczone, że uda im się „zbić” trochę taką astronomiczną karę. Jednak patrząc na to, jak rzeczona kara została wyceniona, można dojść do wniosku, że nasze dane są tak naprawdę niewiele warte. 2,83 miliona i 2,2 miliony użytkowników daje około 1,28 złotego na osobę. Oczywiście to uproszczenie, ale pokazuje, że sama kara, choć wydaje się wysoka, jest niewielka. Dodatkowo sami klienci, którzy byli poszkodowani, raczej nie mają szans na zobaczenie jakichkolwiek pieniędzy.
Dane osobowe i ich przechowywanie przez firmy to temat, który jest wyjątkowo „drażliwy”. Teraz trudno znaleźć stronę, sklep czy nawet aplikację, która nie chciałaby wiedzieć o nas wszystkiego. Zazwyczaj nie mamy wyjścia, bo kupując coś przez Internet, dane i tak trzeba udostępnić. Nie mamy żadnego wpływu na to, czy przechowywane przez firmy dane są bezpieczne. Jedyne, co możemy zrobić, to zachować rozsądek i kiedy taki wyciek się zdarzy, nie klikać żadnych podejrzanych linków oraz wiadomości. I pamiętać o weryfikacji dwuetapowej i silnych hasłach. Zdrowego rozsądku niczym jednak zastąpić się nie da.
Źródło: Gazeta Prawna