Rekordowa kara za naruszenie RODO

Decyzją Prezesa Urzędu Ochrony Danych Osobowych z 10 września 2019 r. na spółkę Morele.net została nałożona najwyższa dotychczasowa kara finansowa w polskim systemie prawnym - 2 830 410 zł.

Spółka została ukarana za niewystarczające zabezpieczenia organizacyjne i techniczne, przez które dane ponad 2 mln Klientów sklepu dostały się w niepowołane ręce. Naruszenie dotyczyło w większości danych zwykłych, takich jak: imię, nazwisko, adres e-mail, numer telefonu, adres do doręczeń. Jednak w przypadku około 35 tys. osób katalog tych danych jest znacznie szerszy. Klienci ci złożyli wnioski ratalne, więc sklep posiadał także dodatkowo ich: numer PESEL, serię i numer dokumentu tożsamości, wykształcenie, adres zameldowania, adres korespondencyjny, źródło dochodu, wysokość dochodu netto, koszty utrzymania gospodarstwa domowego, stan cywilny, wysokość zobowiązań kredytowych czy alimentacyjnych.

W decyzji Prezes Urzędu Ochrony Danych Osobowych wskazał na naruszenie przez spółkę art. 5 ust. 1 lit. f RODO – zasady poufności danych. Jak możemy przeczytać na stronie Urzędu - W toku postępowania ustalono, że do naruszenia doszło także z uwagi na nieskutecznie monitorowanie potencjalnych zagrożeń. Postępowanie wykazało także inne uchybienia, jednak to brak odpowiednich środków technicznych (niewystarczające zabezpieczenia) i organizacyjnych (dotyczących monitorowania potencjalnych zagrożeń, związanych z nietypowymi zachowaniami w sieci) przesądził o nałożeniu kar.

Grupa Morele.net 19 września br. także wydała oświadczenie dotyczące nałożonej kary, które dostępne jest tutaj. W komunikacie wskazuje ona, że - środki stosowane przez spółkę, m.in. zabezpieczenia dostępu oraz monitoring dostępu do panelu zarządzającego w naszej ocenie nie odbiegały od standardów, a w wielu obszarach je przewyższały.

Marcin Serafin (kancelaria Maruta Wachta) podkreśla, że nie zgadza się z argumentami Urzędu - UODO twierdzi, że powinno być wdrożone dwustopniowe uwierzytelnianie, ale nie przeprowadził analizy ryzyka, która by to wykazała. Urząd odmówił też przeprowadzenia opinii biegłego ani nie ustalił dokładnie, ile danych wyciekło.

W sprawie najwyższej jak dotąd kary nałożonej przez UODO wypowiedział się także mec. Kawecki - Jestem silnie poruszony okolicznościami nałożenia tak wysokiej kary. Sprzeciwiam się nazywaniu każdego incydentu nieuprawnionego dostępu do treści danych „wyciekiem”. Morele.net padła ofiarą ataku hakerskiego. Nikt dotychczas nie był w stanie ustalić, jak do niego doszło. Ani Morele, ani zewnętrzni specjaliści najwyższej klasy, ani nawet policja. Ataki hackerskie zdarzają się, pomimo najsilniejszych zabezpieczeń. Spółka inwestowała rocznie dziesiątki milionów złotych w systemy IT i bezpieczeństwo, zlecając audyty bezpieczeństwa i testy penetracyjne. O incydencie poinformowana została policja, klienci i UODO. Spółka współpracowała z organami ścigania w trakcie „negocjacji” z szantażystami. Działania zostały odkryte przez szantażystów, którzy w ramach „zemsty” podjęli szereg innych czynności. Oceniam też krytycznie organizowanie przez UODO pierwszej od miesięcy konferencji, poświęconej... karze nałożonej na przedsiębiorcę – wskazuje mec. Kawecki.

To trzecia kara nałożona przez Prezesa UODO za naruszenie przepisów RODO. Pierwszą, prawie milionową karę, nałożono na spółkę Bisnode za niedopełnienie obowiązku informacyjnego wobec osób prowadzących jednoosobową działalność gospodarczą. Drugą karę, w wysokości 56 tys. zł ma zapłacić związek sportowy za ujawnienie danych osób, którym przyznano licencje sędziowskie. W sieci dostępne były imiona, nazwiska, adresy zamieszkania oraz numery PESEL 585 sędziów.

Zgodnie z art. 83 RODO UODO może nakładać kary w pewnych granicach, za niektóre naruszenia kara może wynieść nawet 20 mln euro lub 4% całkowitego rocznego światowego obrotu.

Należy mieć nadzieję, że takie incydenty wpłyną pozytywnie na inne firmy, które być może zdecydują się ponieść wydatki na odpowiednie zabezpieczenie danych, zamiast na kary.

Nina Kowalik

Kancelaria Wyrzykowscy sp. z o.o.