Sklep internetowy Morele.net w związku z dużym wyciekiem danych ma zapłacić karę w wysokości 3,8 mln złotych. Sprawa dotyczy sytuacji z 2018 roku, a prezes Urzędu Ochrony Danych Osobowych (UODO) przeanalizował ją ponownie gdy w zeszłym roku wcześniej nałożoną karę uchylił Naczelny Sąd Administracyjny
Morele.net z karą od UODO. Mamy komentarz spółki
NSA nie zakwestionował wszystkich ustaleń prezesa UODO związanych z tym naruszeniem. Podważył jednak kompetencje organu dotyczące oceny zastosowanych przez administratora środków technicznych i organizacyjnych mających zabezpieczyć dane osobowe - podaje Informacyjna Agencja Radiowa. Pierwsza o tej sprawie pisała "Rzeczpospolita".
W związku z tym UODO ponownie przeprowadził postępowanie administracyjne, które również wykazało, że spółka Morele.net stosowała niewystarczające zabezpieczenia techniczne w obliczu ryzyka naruszenia ochrony danych. Zabrakło też wdrożenia odpowiednich procedur, które pozwoliłyby zareagować na nietypowe zachowania, takie jak zwiększony ruch sieciowy, a także rozwiązań technicznych i administracyjnych pozwalających monitorować ruch w sieci i reagować w przypadku wykrycia nieprawidłowych działań. W toku postępowania administrator sam przyznał, że brak wdrożonych odpowiednich rozwiązań był błędem z jego strony.
Gazeta.pl otrzymała komentarz spółki. Morele.net. potwierdza, że otrzymała decyzję prezesa Urzędu Ochrony Danych Osobowych dotyczącą ataku hakerskiego z 2018 r. "Nie zgadza się jednak z decyzją prezesa UODO i zamierza zaskarżyć ją do Wojewódzkiego Sądu Administracyjnego. Prezes UODO nie naprawił kluczowej nieprawidłowości wskazanej przez NSA w wyroku uchylającym pierwotną decyzję urzędu i nie powołał biegłego, który przygotowałby obiektywną ocenę prawidłowości zabezpieczeń danych osobowych stosowanych w 2018 r. przez Spółkę. Powołanie takiego biegłego w świetle oceny sytuacji sprzed ponad 5 lat jest konieczne dla niezależności i bezstronności oceny postępowania spółki" - czytamy.
Spółka zapewnia, że stosowane przez nią zabezpieczenia były starannie dobrane, zgodne z praktyką rynkową i spełniały wymogi RODO. "W ocenie spółki prezes UODO nie był też uprawniony do nałożenia kary wyższej niż kara nałożona w decyzji z 2019 r. W tym okresie nie zmieniły się okoliczności związane ze sprawą, w tym nie pojawiły się żadne okoliczności obciążające. Wręcz przeciwne, część zarzutów wobec spółki zostało uchylonych wyrokiem NSA. Zastosowany przez prezesa UODO sposób obliczenia kary był jednocześnie dowolny i nieuzasadniony przepisami RODO" - podkreśla Morele.net.
Wyciek danych klientów Morele.net.
Sklep Morele.net w 2018 r. padł ofiarą ataku, w którym wykradziona została baza danych klientów. Przestępcy uzyskali dostęp do podstawowych danych kontaktowych i adresów e-mail oraz tzw. hashy haseł (są to hasła w postaci zaszyfrowanego ciągu znaków). Te ostatnie hakerzy próbowali rozszyfrować i powiązać z konkretnymi osobami.
Już po dwóch tygodniach mieli bazę 350 tys. haseł. Co więcej, udało im się odzyskać dane nie tylko aktualnych klientów morele.net, ale i części osób, które jeszcze przed wyciekiem skasowały konta w serwisie. W przypadku użytkowników kupujących na raty wyciec mogły też dane dotyczące dowodów tożsamości oraz numery PESEL.
W związku z "niewystarczającym zabezpieczeniem danych osobowych" przez sklep Morele.net, w 2019 r. Urząd Ochrony Danych Osobowych nałożył na firmę karę w wysokości 2 830 410 zł. Była to najwyższa kara, jaką Prezes UODO nałożył na jakikolwiek podmiot.
