Kara nałożona na Morele.net. UODO podjęło nową decyzję.
Kolejny rozdział w serialu „Morele.net dostaje karę za ogromny wyciek” rozpoczyna się po przegranej sklepu w NSA. Prezes UODO ponownie przeanalizował naruszenie przepisów RODO i wydał nową decyzję karą.
Historia sięga daleko wstecz. Już 23 listopada 2018 roku było głośno o niepokojących sygnałach związanych z Morele. Klienci sklepu zgłaszali otrzymywanie fałszywych SMS-ów, co wskazywało na wyciek danych. 18 grudnia 2018 roku Morele przyznało, że doszło do naruszenia bezpieczeństwa. 20 grudnia 2018 roku włamywacz wyłonił się na jaw, szantażując sklep i ujawniając wyciek PESEL-i oraz skany dowodów klientów. 27 grudnia 2018 roku informowaliśmy, że skradzione dane krążą po sieci, co narażało klientów na ryzyko. 2 lutego 2019 roku donieśliśmy, że dane z Morele są wykorzystywane do prześladowań niewinnych osób.
Następnie rozpoczął się kolejny etap, z udziałem UODO, prawników Morele.net i sądów administracyjnych. 10 września 2019 roku UODO nałożył na sklep karę w wysokości 3 mln zł, co wzbudziło kontrowersje, ale było zgodne z praktyką w innych krajach. Spółka odwołała się do Wojewódzkiego Sądu Administracyjnego, który poparł decyzję UODO 3 września 2020 roku.
Jednak Morele.net zdecydowało się złożyć skargę kasacyjną do Naczelnego Sądu Administracyjnego. 9 lutego 2023 roku zapadł kolejny wyrok. NSA uznał, że skarga miała uzasadnione podstawy.
Skąd pochodzi nowa decyzja?
Przypomnijmy, jak sytuacja wyglądała w lutym ubiegłego roku. Naczelny Sąd Administracyjny uznał, że Wojewódzki Sąd Administracyjny nie umożliwił spółce Morele.net właściwej obrony w sądzie i błędnie zakładał, że Prezes UODO dysponował wystarczającymi dowodami w sprawie. Morele.net przed sądem domagała się między innymi dopuszczenia opinii biegłego, co ostatecznie nie zostało uwzględnione. Według NSA było to błędne postępowanie, ponieważ sprawa miała charakter precedensowy, a zatem konieczne było bardziej obiektywne ocenienie środków podejmowanych przez Morele.net. NSA zwrócił również uwagę, że „środki techniczne i organizacyjne” mające na celu zabezpieczenie danych nie muszą być „zawsze skuteczne”, lecz raczej „obiektywnie wymagane” w momencie naruszenia.
To wszystko jednak nie oznaczało, że NSA kwestionuje decyzję UODO jako całość. Wyciek danych bez wątpienia miał miejsce, a klienci ponieśli szkody. Problemem było jedynie to, czy UODO właściwie ocenił sytuację. Urząd w reakcji na wyrok NSA początkowo stwierdził, że nie ma podstaw do kwestionowania jego kompetencji. Później jednak zdecydował się… przeprowadzić kolejne postępowanie w sprawie wycieku danych z Morele.net.
Nowa kara Dziś
UODO ogłosił, że zakończył kolejne postępowanie administracyjne dotyczące wycieku danych. Wykazało ono, że naruszenie ochrony danych osobowych miało miejsce z powodu braku odpowiednich zabezpieczeń zastosowanych przez Spółkę, co doprowadziło do wycieku danych osobowych 2,2 miliona osób. Według UODO brakowało również wdrożonych procedur, które pozwoliłyby na reakcję na nietypowe zdarzenia w sieci Spółki.
Nowa decyzja została poparta analizą rozwiązań Morele.net opracowaną dla UODO przez zewnętrzną firmę. W ten sposób UODO wyraźnie dąży do zabezpieczenia się przed dalszymi zarzutami dotyczącymi braku kompetencji do badania takich spraw. W komunikacie UODO czytamy:
W toku postępowania Prezes UODO nie powołał biegłego, a strona postępowania kwestionowała przedstawioną analizę, zarzucając m.in. stronniczość jej autorów i domagając się ich wyłączenia. Organ nadzorczy nie uwzględnił tego zarzutu w toku postepowania, gdyż de facto prowadziłoby to do tego, że żaden z pracowników UODO nie mógłby zajmować się tą sprawą z uwagi na zarzut stronniczości.
Tymczasem przygotowana analiza wykazała, że administrator nie szyfrował części danych (do czego zresztą się przyznał), nie dysponował dwuskładnikowym uwierzytelnianiem, nie przeprowadził analizy ryzyka, która uwzględniałaby m.in. zagrożenia związane z możliwością logowania się do systemu z sieci publicznej. W efekcie dwukrotnie doszło do nieautoryzowanego dostępu z zewnątrz, na skutek którego osoba niepowołana weszła w posiadanie danych klientów spółki Morele.net.
Zabrakło też rozwiązań technicznych i administracyjnych pozwalających monitorować ruch w sieci i reagować w przypadku wykrycia nieprawidłowych działań.
Kara nałożona na Morele.net w 2019 roku wynosiła dokładnie 2 830 410 złotych (660 tys. euro). Teraz będzie to 3,8 miliona złotych. Zwróciliśmy się do spółki Morele.net z pytaniem, czy zamierza ona kwestionować tę decyzję. Zapewne wkrótce poznamy dalszy jej przebieg.