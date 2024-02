Rok temu, 9 lutego 2023 roku, Naczelny Sąd Administracyjny uchylił decyzję prezesa Urzędu Ochrony Danych Osobowych o nałożeniu na spółkę Morele.net kary. Ponownie przeprowadzono postępowanie administracyjne w tej sprawie, które przyniosło inny rezultat. Udowodniono, że naruszenie danych osobowych klientów spółki wynikało z nieodpowiednich zabezpieczeń. Wyciek danych dotyczył aż 2,2 mln osób.

Wyciekły dane klientów znanego sklepu internetowego

Po wyroku NSA w sprawie Morele.net, rzecznik UODO podkreślił, że sędzia nie zakwestionował wszystkich ustaleń prezesa Urzędu związanych z tym naruszeniem.

"Podważył jednak kompetencje organu dotyczące oceny zastosowanych przez administratora środków technicznych i organizacyjnych mających zabezpieczyć dane osobowe. Zdaniem sądu organ powinien uprawdopodobnić posiadanie wiedzy potrzebnej do przeprowadzenia takiej analizy zabezpieczeń" – czytamy na Wirtualnemedia.pl.

Chodziło, przede wszystkim, o fakt, że UODO nie powołał biegłego, nie powstał też żaden wewnętrzny dokument stanowiący wnioski z analizy standardu środków bezpieczeństwa stosowanych przez spółkę, do którego administrator mógłby się odnieść w toku postępowania.

Ogromny wyciek danych z Morele.net. Spółka ma zapłacić prawie 4 mln zł

"W związku z tym UODO ponownie przeprowadził postępowanie administracyjne, które również wykazało, że spółka Morele.net stosowała niewystarczające zabezpieczenia techniczne do istniejącego ryzyka naruszenia ochrony danych. Zabrakło też wdrożenia odpowiednich procedur, które pozwoliłyby zareagować na nietypowe zachowania, takie jak zwiększony ruch sieciowy" – podkreślono teraz w komunikacie Urzędu.

Z przeprowadzonego postępowania wynika, że spółka nie spełniła odpowiednich zabezpieczeń. Administrator, według raportu, nie szyfrował części danych, nie dysponował dwuskładnikowym uwierzytelnianiem, nie przeprowadził analizy ryzyka, która uwzględniałaby m.in. zagrożenia związane z możliwością logowania się do systemu z sieci publicznej. Miało to doprowadzić do dwukrotnego nieautoryzowanego dostępu do danych klientów Morele.net osób z zewnątrz.

Po wycieku danych klientów, administrator wprowadził odpowiednie zabezpieczenia, jednak, w ocenie prezesa UODO, powinien to zrobić dużo wcześniej. Umożliwiłoby to wykrycie próby nieautoryzowanego dostępu i podjęcie działań uniemożliwiające kradzież danych.

Prezes UODO uznał za konieczne nałożenie w tej sytuacji kary w wysokości ponad 3,8 mln zł.

