Rok temu, 9 lutego 2023 roku, Naczelny Sąd Administracyjny uchylił decyzję prezesa Urzędu Ochrony Danych Osobowych o nałożeniu na spółkę Morele.net kary. Ponownie przeprowadzono postępowanie administracyjne w tej sprawie, które przyniosło inny rezultat. Udowodniono, że naruszenie danych osobowych klientów spółki wynikało z nieodpowiednich zabezpieczeń. Wyciek danych dotyczył aż 2,2 mln osób. Spółka nie zgadza się również z najnowszą decyzją prezesa UODO i zamierza zaskarżyć ją do Wojewódzkiego Sądu Administracyjnego.
Wyciekły dane klientów znanego sklepu internetowego
Po wyroku NSA w sprawie Morele.net, rzecznik UODO podkreślił, że sędzia nie zakwestionował wszystkich ustaleń prezesa Urzędu związanych z tym naruszeniem.
"Podważył jednak kompetencje organu dotyczące oceny zastosowanych przez administratora środków technicznych i organizacyjnych mających zabezpieczyć dane osobowe. Zdaniem sądu organ powinien uprawdopodobnić posiadanie wiedzy potrzebnej do przeprowadzenia takiej analizy zabezpieczeń" – czytamy na Wirtualnemedia.pl.
Chodziło, przede wszystkim, o fakt, że UODO nie powołał biegłego, nie powstał też żaden wewnętrzny dokument stanowiący wnioski z analizy standardu środków bezpieczeństwa stosowanych przez spółkę, do którego administrator mógłby się odnieść w toku postępowania.
Ogromny wyciek danych z Morele.net. Spółka ma zapłacić prawie 4 mln zł
"W związku z tym UODO ponownie przeprowadził postępowanie administracyjne, które również wykazało, że spółka Morele.net stosowała niewystarczające zabezpieczenia techniczne do istniejącego ryzyka naruszenia ochrony danych. Zabrakło też wdrożenia odpowiednich procedur, które pozwoliłyby zareagować na nietypowe zachowania, takie jak zwiększony ruch sieciowy" – podkreślono teraz w komunikacie Urzędu.
Z przeprowadzonego postępowania wynika, że spółka nie spełniła odpowiednich zabezpieczeń. Administrator, według raportu, nie szyfrował części danych, nie dysponował dwuskładnikowym uwierzytelnianiem, nie przeprowadził analizy ryzyka, która uwzględniałaby m.in. zagrożenia związane z możliwością logowania się do systemu z sieci publicznej. Miało to doprowadzić do dwukrotnego nieautoryzowanego dostępu do danych klientów Morele.net osób z zewnątrz.
Po wycieku danych klientów, administrator wprowadził odpowiednie zabezpieczenia, jednak, w ocenie prezesa UODO, powinien to zrobić dużo wcześniej. Umożliwiłoby to wykrycie próby nieautoryzowanego dostępu i podjęcie działań uniemożliwiające kradzież danych.
Prezes UODO uznał za konieczne nałożenie w tej sytuacji kary w wysokości ponad 3,8 mln zł.
Jest odpowiedź na decyzję UODO
W odpowiedzi na działania UODO spółka Morele.net zapowiedziała, że zamierza zaskarżyć decyzję do Wojewódzkiego Sądu Administracyjnego.
"Spółka Morele.net potwierdza, że otrzymała decyzję Prezesa Urzędu Ochrony Danych Osobowych dotyczącą ataku hakerskiego z 2018 r. Nie zgadza się jednak z decyzją Prezesa UODO i zamierza zaskarżyć ją do Wojewódzkiego Sądu Administracyjnego. Prezes UODO nie naprawił kluczowej nieprawidłowości wskazanej przez NSA w wyroku uchylającym pierwotną decyzję urzędu i nie powołał biegłego, który przygotowałby obiektywną ocenę prawidłowości zabezpieczeń danych osobowych stosowanych w 2018 r. przez Spółkę" – czytamy w komunikacie.
""Powołanie takiego biegłego w świetle oceny sytuacji sprzed ponad 5 lat jest konieczne dla niezależności i bezstronności oceny postępowania Spółki. Zabezpieczenia stosowane przez Spółkę były starannie dobrane, zgodne z praktyką rynkową i spełniały wymogi RODO. W ocenie Spółki Prezes UODO nie był też uprawniony do nałożenia kary wyższej niż kara nałożona w decyzji z 2019 r. W tym okresie nie zmieniły się okoliczności związane ze sprawą, w tym nie pojawiły się żadne okoliczności obciążające. Wręcz przeciwne, część zarzutów wobec Spółki zostało uchylonych wyrokiem NSA. Zastosowany przez Prezesa UODO sposób obliczenia kary był jednocześnie dowolny i nieuzasadniony przepisami RODO" – dodano.
Czytaj też:
Kurska pozywa TVP i szefa "19.30". "To, co zrobili, to szczucie i hejt"Czytaj też:
"Odszedłem z TVP i zaczynam projekt życia". Znany dziennikarz zaskakuje