Urząd Ochrony Danych Osobowych nałożył 3,8 mln zł kary na sklep internetowy Morele.net, który dopuścił pod koniec 2018 r. do wycieku danych prawie 2,2 mln osób. To już druga próba ukarania spółki.
Jak informuje czwartkowa „Rzeczpospolita” po tym, jak NSA w 2023 r. uchylił decyzję prezesa UODO wobec Morele.net, urząd ponownie przeprowadził postępowanie i jeszcze podniósł karę do 3,8 mln zł.
Postępowanie miało wykazać, że do naruszenia ochrony danych osobowych doszło przez brak zastosowania przez Morele.net odpowiednich zabezpieczeń.
„Z ustaleń kontrolnych wynika, że administrator m.in. nie szyfrował części danych, nie dysponował wystarczającym uwierzytelnianiem, nie przeprowadził analizy ryzyka, która uwzględniałaby np. zagrożenia związane z możliwością logowania się do systemu z sieci publicznej. W efekcie dwukrotnie doszło do nieautoryzowanego dostępu z zewnątrz, na skutek którego osoba niepowołana weszła w posiadanie danych klientów” – uzasadnia UODO.
Spółka Morele.net przesłała naszej redakcji następujące wyjaśnienie:
Spółka Morele.net potwierdza, że otrzymała decyzję Prezesa Urzędu Ochrony Danych Osobowych dotyczącą ataku hakerskiego z 2018 r.
Nie zgadza się jednak z decyzją Prezesa UODO i zamierza zaskarżyć ją do Wojewódzkiego Sądu Administracyjnego. Prezes UODO nie naprawił kluczowej nieprawidłowości wskazanej przez NSA w wyroku uchylającym pierwotną decyzję urzędu i nie powołał biegłego, który przygotowałby obiektywną ocenę prawidłowości zabezpieczeń danych osobowych stosowanych w 2018 r. przez Spółkę. Powołanie takiego biegłego w świetle oceny sytuacji sprzed ponad 5 lat jest konieczne dla niezależności i bezstronności oceny postępowania Spółki.
Zabezpieczenia stosowane przez Spółkę były starannie dobrane, zgodne z praktyką rynkową i spełniały wymogi RODO.
W ocenie Spółki Prezes UODO nie był też uprawniony do nałożenia kary wyższej niż kara nałożona w decyzji z 2019 r. W tym okresie nie zmieniły się okoliczności związane ze sprawą, w tym nie pojawiły się żadne okoliczności obciążające. Wręcz przeciwne, część zarzutów wobec Spółki zostało uchylonych wyrokiem NSA. Zastosowany przez Prezesa UODO sposób obliczenia kary był jednocześnie dowolny i nieuzasadniony przepisami RODO.