Morele.net nie uniknie kary. Prawie 4 mln zł za ogromny wyciek danych klientów
Urząd Ochrony Danych Osobowych nie przejął się tym, że Naczelny Sąd Administracyjny rok temu uchylił jego karę nałożoną na spółkę Morele.net za wyciek danych osobowych. UODO ponownie przeprowadził postępowanie w tej sprawie i znowu ukarał tę spółkę. Urząd uznał, że do naruszenia ochrony danych osobowych doszło przez brak zastosowania przez firmę odpowiednich zabezpieczeń, co doprowadziło do wycieku danych osobowych aż 2,2 mln osób. Tym razem kara wyniosła ponad 3,8 mln zł.
Ponowne postępowanie UODO było możliwe, ponieważ NSA nie zakwestionował wszystkich ustaleń Prezesa UODO związanych z naruszeniem przepisów o ochronie danych przez Morele.net. Urząd ma jednak do sądu żal, że ten podważył jego kompetencje w zakresie oceny zastosowanych przez administratora środków technicznych i organizacyjnych mających zabezpieczyć dane osobowe.
Wyciek danych osobowych z Morele.net
Zdaniem sądu organ powinien uprawdopodobnić posiadanie wiedzy potrzebnej do przeprowadzenia takiej analizy zabezpieczeń. Z uzasadnienia wynikało, że Prezes UODO powinien był powołać biegłego albo wytworzyć wewnętrzny dokument stanowiący wnioski z analizy standardu środków bezpieczeństwa stosowanych przez spółkę, do którego administrator mógłby się odnieść w toku postępowania – pisze UODO.
Biorąc powyższe pod uwagę, UODO ponownie przeprowadził postępowanie administracyjne, które raz jeszcze wykazało, że spółka Morele.net stosowała niewystarczające zabezpieczenia techniczne do istniejącego ryzyka naruszenia ochrony danych. Urząd uznał też, że zabrakło wdrożenia odpowiednich procedur, które pozwoliłyby zareagować na nietypowe zachowania, takie jak zwiększony ruch sieciowy.
Sama spółka próbowała sparaliżować prace UODO, kwestionując przedstawioną jej analizę oraz zarzucając jej autorom stronniczość i domagając się ich wyłączenia. Urząd nie uwzględnił tego zarzutu w toku postępowania, stwierdzając, że „prowadziłoby to do tego, że żaden z pracowników UODO nie mógłby zajmować się tą sprawą z uwagi na zarzut stronniczości”.
Więcej o ochronie danych osobowych przeczytacie w tych tekstach:
Co wykazała analiza UODO? Administrator nie szyfrował części danych, do czego zresztą się przyznał, nie dysponował dwuskładnikowym uwierzytelnianiem, nie przeprowadził analizy ryzyka, która uwzględniałaby m.in. zagrożenia związane z możliwością logowania się do systemu z sieci publicznej. Urząd wskazuje, że w efekcie dwukrotnie doszło do nieautoryzowanego dostępu z zewnątrz, na skutek którego osoba niepowołana weszła w posiadanie danych klientów spółki Morele.net.
Morele.net nie miało narzędzi ochrony danych
Urząd zarzuca też spółce, że nie stosowała odpowiednich rozwiązań technicznych i administracyjnych pozwalających monitorować ruch w sieci i reagować w przypadku wykrycia nieprawidłowych działań. Kontrola wykazała, że spółka nie miała pewności, czy i jakie dane zostały wykradzione z jej zasobów, a wiele rozwiązań w tym zakresie administrator wdrożył dopiero po wycieku danych.
W ocenie Prezesa UODO gdyby administrator dysponował nimi wcześniej, byłby w stanie wykryć próby nieautoryzowanego dostępu i podjąć działania uniemożliwiające kradzież danych – wskazuje urząd.
W toku postępowania administrator przyznał, że brak wdrożonych odpowiednich rozwiązań było błędem z jego strony, ale Urząd Ochrony Danych Osobowych uznał, że w tej sprawie nałożenie pieniężnej kary administracyjnej w wysokości 3,8 mln zł jest „konieczne i uzasadnione wagą, charakterem oraz zakresem zarzucanych administratorowi naruszeń”. Przypomnijmy, że w 2019 roku kara wyniosła 2,8 mln zł.
