Morele.net nie zapłaci za wyciek danych. Zamiast 2,8 mln zł kary… sklep DOSTANIE pieniądze od UODO

29 marca 2023 3 minuty czytania

Wieloletni spór między Morele.net a Urzędem Ochrony Danych Osobowych (UODO) w Polsce zakończył się decyzją korzystną dla popularnego sklepu internetowego. Spór dotyczył naruszenia RODO, które miało miejsce w 2018 roku, kiedy to doszło do wycieku danych klientów sklepu.

Morele.net wygrało, a UODO zapłaci karę

Na początku przypomnijmy sobie, o co tak w ogóle chodziło w całej tej sprawie:

Na początku grudnia 2018 roku klienci sklepu zaczęli otrzymywać fałszywe SMS-y, co wskazywało na to, że ktoś miał dostęp do bazy danych sklepu. Sklep początkowo zaprzeczał temu i twierdził, że baza danych jest ściśle chroniona, a wiadomości są wysyłane losowo. Jednak później sklep po cichu modyfikował swoje oświadczenie, co tylko zwiększało podejrzenia klientów dotyczące bezpieczeństwa ich danych osobowych. Wszystko to tylko podkreśla wagę odpowiedniej ochrony danych osobowych i konieczność dbałości o prywatność klientów przez przedsiębiorstwa.
18 grudnia 2018 roku Morele.net poinformowało swoich klientów o wycieku danych, który miał wpływ na wiele osób korzystających ze sklepu. Dwa dni później włamywacz, który przeprowadził atak, ujawnił się na portalu Wykop. Pokazał historię szantażu ze sklepem i swoją wersję wydarzeń. Wyciek obejmował również PESEL-e i skany dowodów osobistych klientów, czego sklep nie ujawnił wcześniej. 27 grudnia 2018 roku okazało się, że baza danych Morele krążyła już po sieci, zawierając informacje nawet o tych klientach, którzy wcześniej usunęli swoje konta w sklepie.
10 września 2019 roku, UODO nałożył na Morele.net karę w wysokości 3 milionów złotych za naruszenie RODO. Przedsiębiorstwo uważało, że decyzja była niesprawiedliwa i od razu zdecydowało się odwołać od kary. Sprawa trafiła do Wojewódzkiego Sądu Administracyjnego (WSA) w Warszawie. WSA, nie dostrzegając podstaw do skierowania pytań prejudycjalnych do Trybunału Sprawiedliwości UE (TSUE), potwierdził decyzję UODO. Morele.net nie ustąpiło i złożyło skargę kasacyjną do Naczelnego Sądu Administracyjnego (NSA).

Morele.net się upiekło: UODO zapłaci karę

Ostatecznie NSA wydał wyrok korzystny dla Morele.net. Uchylił zaskarżony wyrok WSA oraz decyzję Prezesa UODO. Zasądził również od UODO na rzecz przedsiębiorstwa kwotę 65.075 zł tytułem zwrotu kosztów postępowania sądowego.

Morele nie musi płacić 2.8 mln PLN kary nałożonej UODO za wyciek danych klientów po ataku, o którym Niebezpiecznik informował jako pierwszy: https://t.co/aja2zdydci

NSA uchylił zarówno decyzję UODO jak i podtrzymujący ją wyrok WSA.

Uzasadnienia wyroku NSA jeszcze nie ma.
— Niebezpiecznik (@niebezpiecznik) February 12, 2023

NSA uznał, że WSA powinien był uwzględnić wniosek Morele.net o przeprowadzenie dowodu z opinii biegłego, co mogłoby lepiej zobiektywizować ocenę środków stosowanych przez sklep internetowy. W związku z powyższymi wydarzeniami spór dotyczący naruszenia RODO w Polsce zakończył się decyzją korzystną dla Morele.net. Sprawa była precedensowa i wywołała szeroką dyskusję na temat odpowiedzialności przedsiębiorstw za ochronę danych osobowych w kontekście ataków hakerskich. Decyzja ta może wpłynąć na sposób, w jaki UODO i sądy będą rozpatrywać przyszłe sprawy dotyczące naruszeń RODO.

Decyzja NSA w sprawie Morele.net pokazuje, że istotna jest również odpowiedzialność organów nadzoru, takich jak UODO, w przeprowadzaniu dochodzeń i nałożeniu kar. Decyzja NSA uznaje, że WSA powinien był uwzględnić wniosek Morele.net o przeprowadzenie dowodu z opinii biegłego, co mogłoby lepiej zobiektywizować ocenę środków stosowanych przez sklep internetowy.

Źródło: Niebezpiecznik, Twitter