Morele.net zostało ukarane przez Urząd Ochrony Danych Osobowych za ogromny wyciek danych, jednak sąd uchylił decyzję dotyczącą tej sprawy. UODO jeszcze raz przeanalizował więc naruszenie przepisów RODO przez znany sklep internetowy. Efekt? Kolejna kara, tym razem większa od poprzedniej.
Spis treści
Za co Morele.net zostało ukarane?
Na naszym portalu opisywaliśmy już wyciek danych związany z Morele.net. Miał on miejsce w 2019 roku, a do sieci trafiły adresy e-mail, hasła i numery telefonów użytkowników. Informacje dotyczące osób, które kupowały np. sprzęt elektroniczny (choćby smartfony do 1000 zł), były sprzedawane i udostępniane na forach, a następnie służyły do przeprowadzania oszustw.
Urząd Ochrony Danych Osobowych zareagował, nakładając na sklep karę w wysokości 2,83 mln zł. Spółka zaskarżyła tę decyzję, lecz Wojewódzki Sąd Administracyjny w Warszawie utrzymał karę. Wtedy sklep wniósł skargę kasacyjną do Naczelnego Sądu Administracyjnego. 9 lutego 2023 roku NSA uznał skargę za zasadną. Morele.net mogło chwilowo czuć się zwycięzcą sporu.
UODO jednak raz jeszcze przeanalizował naruszenie przepisów RODO i ponownie ukarał administratora danych.
Wykazało ono [postępowanie administracyjne – red.], że do naruszenia ochrony danych osobowych doszło przez brak zastosowania przez Spółkę odpowiednich zabezpieczeń, co doprowadziło do wycieku danych osobowych 2,2 mln osób. NSA nie zakwestionował wszystkich ustaleń Prezesa UODO związanych z tym naruszeniem. Podważył jednak kompetencje organu dotyczące oceny zastosowanych przez administratora środków technicznych i organizacyjnych mających zabezpieczyć dane osobowe.
komunikat UODO
Urząd Ochrony Danych Osobowych nadal stoi na stanowisku, że Morele.net nie dopełniło swoich obowiązków związanych z zabezpieczeniami.
UODO ponownie przeprowadził postępowanie administracyjne, które również wykazało, że spółka Morele.net stosowała niewystarczające zabezpieczenia techniczne do istniejącego ryzyka naruszenia ochrony danych. Zabrakło też wdrożenia odpowiednich procedur, które pozwoliłyby zareagować na nietypowe zachowania, takie jak zwiększony ruch sieciowy.
komunikat UODO
Z analizy UODO wynika m.in., że Morele.net nie szyfrowało części danych, nie dysponowało dwuskładnikowym uwierzytelnianiem ani nie przeprowadziło analizy ryzyka.
Nowa kara wyższa od poprzedniej
Po tym, jak wydawało się, że Morele.net skutecznie uchroniło się od kary 2,83 mln zł, na sklep została nałożona kolejna kara. Tym razem w wysokości ponad 3,8 mln zł.
W toku postępowania administrator sam przyznał, że brak wdrożonych odpowiednich rozwiązań było błędem z jego strony. Prezes UODO uznał, że w tej sprawie nałożenie pieniężnej kary administracyjnej jest konieczne i uzasadnione wagą, charakterem oraz zakresem zarzucanych administratorowi naruszeń.
komunikat UODO
Jak wyjaśnia UODO, to pierwsza decyzja, w której do ustalenia wysokości kary zastosowano wytyczne Europejskiej Rady Ochrony Danych Osobowych w sprawie obliczania administracyjnych kar pieniężnych.
Morele.net chce zaskarżyć decyzję UODO do sądu
Znany sklep ponownie nie zgadza się z zasądzoną karą.
Prezes UODO nie naprawił kluczowej nieprawidłowości wskazanej przez NSA w wyroku uchylającym pierwotną decyzję urzędu i nie powołał biegłego, który przygotowałby obiektywną ocenę prawidłowości zabezpieczeń danych osobowych stosowanych w 2018 r. przez Spółkę. Powołanie takiego biegłego w świetle oceny sytuacji sprzed ponad 5 lat jest konieczne dla niezależności i bezstronności oceny postępowania Spółki.
komunikat Morele.net
Spółka twierdzi, że zastosowane przez nią zabezpieczenia były starannie dobrane, zgodne z praktyką rynkową, a także spełniały wymogi RODO. Sklep kwestionuje też nałożenie wyższej kary, niż poprzednio, wskazując, że nie zmieniły się okoliczności związane ze sprawą. Morele.net zamierza zaskarżyć decyzję UODO do Wojewódzkiego Sądu Administracyjnego.
Źródło: UODO, Morele.net. Zdjęcie otwierające: grand-warszawski / Depositphotos
Część odnośników to linki afiliacyjne lub linki do ofert naszych partnerów. Po kliknięciu możesz zapoznać się z ceną i dostępnością wybranego przez nas produktu – nie ponosisz żadnych kosztów, a jednocześnie wspierasz niezależność zespołu redakcyjnego.