Minęło już pięć lat od ogromnego wycieku danych ze sklepu morele.net i większość osób prawdopodobnie zdążyła o nim zapomnieć. Prezes UODO właśnie jednak o nim przypomniał, ponieważ poinformował, że ponownie nałożył wysoką karę na spółkę za to zdarzenie.
Prezes UODO już raz ukarał spółkę Morele.net
W grudniu 2018 roku sklep morele.net rozesłał do klientów wiadomość z informacją, że doszło do nieuprawnionego dostępu do danych osobowych klientów – ich adresów e-mail, numerów telefonów, imion i nazwisk (jeśli zostały podane) oraz haseł w postaci zaszyfrowanego ciągu znaków (hash).
Grupa Morele.net powiadomiła o tym zdarzeniu Urząd Ochrony Danych Osobowych (gdyż wymaga tego polskie prawo), który we wrześniu 2019 roku nałożył na nią karę w wysokości 2,8 mln za brak odpowiednich zabezpieczeń, które mogłyby uchronić dane klientów przed przedostaniem się w niepowołane ręce.
Spółka naturalnie nie zgodziła się z decyzją UODO. To nie dziwi, gdyż żadna firma nie jest skora do płacenia milionowych kar – ukarani prawie zawsze się odwołują, licząc przynajmniej na zmniejszenie kwoty do zapłaty. Prezes Urzędu Ochrony Danych Osobowych nie zamierza jednak spocząć, zanim Grupa Morele.net nie zapłaci za swoją niedbałość.
Prezes UODO nałożył kolejną karę na spółkę Morele.net
Po tym, jak Naczelny Sąd Administracyjny 9 lutego 2023 roku uchylił decyzję Prezesa UODO, ponownie przeprowadził on postępowanie administracyjne w tej sprawie. Wykazało ono, że Grupa Morele.net nie zastosowała odpowiednich zabezpieczeń, które uchroniłyby dane 2,2 mln klientów przed wyciekiem. Urząd Ochrony Danych Osobowych informuje, że administrator nie szyfrował części danych, nie dysponował dwuskładnikowym uwierzytelnianiem i nie przeprowadził analizy ryzyka, która uwzględniałaby m.in. zagrożenia związane z możliwością logowania się do systemu z sieci publicznej.
Ponadto zabrakło rozwiązań technicznych oraz administracyjnych pozwalających monitorować ruch w sieci i reagować w przypadku wykrycia nieprawidłowych działań. Narzędzia i procedury, które mogłyby uniemożliwić wyciek danych klientów, zostały wdrożone dopiero post factum. Administrator sam przyznał, że brak implementacji odpowiednich rozwiązań był błędem z jego strony.
Na podstawie przeprowadzonego postępowania Prezes Urzędu Ochrony Danych Osobowych zdecydował się nałożyć na spółkę Morele.net karę w wysokości 3,8 mln złotych. Według niego jest to konieczne i uzasadnione wagą, charakterem oraz zakresem zarzucanych administratorowi naruszeń.
Spółka Morele.net nie zgadza się z decyzją Prezesa UODO
Także i tym razem przedsiębiorstwo nie zamierza potulnie zapłacić nałożonej kary. Zapowiedziało, że zaskarży ją do Wojewódzkiego Sądu Administracyjnego
Prezes UODO nie naprawił kluczowej nieprawidłowości wskazanej przez NSA w wyroku uchylającym pierwotną decyzję urzędu i nie powołał biegłego, który przygotowałby obiektywną ocenę prawidłowości zabezpieczeń danych osobowych stosowanych w 2018 r. przez Spółkę. Powołanie takiego biegłego w świetle oceny sytuacji sprzed ponad 5 lat jest konieczne dla niezależności i bezstronności oceny postępowania Spółki.
W ocenie Spółki Prezes UODO nie był też uprawniony do nałożenia kary wyższej niż kara nałożona w decyzji z 2019 r. W tym okresie nie zmieniły się okoliczności związane ze sprawą, w tym nie pojawiły się żadne okoliczności obciążające. Wręcz przeciwne, część zarzutów wobec Spółki zostało uchylonych wyrokiem NSA. Zastosowany przez Prezesa UODO sposób obliczenia kary był jednocześnie dowolny i nieuzasadniony przepisami RODO.
W opublikowanym komentarzu spółka Morele.net twierdzi też, że stosowane przez nią zabezpieczenia były starannie dobrane, zgodne z praktyką rynkową i spełniały wymogi RODO, mimo że w toku postępowania, przeprowadzonego przez UODO, administrator twierdził co innego.