3,8 mln zł kary dla Morele.net
UODO nie odpuszcza sprawy wycieku danych klientów e-sklepu.
Morele zapowiedziało, że zaskarży nową decyzję UODO.
Prezes Urzędu Ochrony Danych Osobowych nałożył na Morele.net 3,8 mln zł kary w związku z wyciekiem danych 2,2 mln klientów e-sklepu. Tym samym wróciła sprawa z 2018 r. Wcześniej UODO ukarał detalistę na 2,8 mln zł. To było w 2019 r. Spółka odwołała się i w końcu w lutym 2023 r. NSA uchylił decyzję o karze. UODO jednak nie odpuścił i ponownie przeprowadził postępowanie w tej sprawie.
UODO wskazuje na winę detalisty
Według urzędu nowe postępowania wykazało, że do wycieku danych 2,2 mln osób doprowadził brak zastosowania przez spółkę odpowiednich zabezpieczeń i procedur reagowania.
Powołuje się na analizę, wedle której administrator nie szyfrował części danych (do czego wg urzędu się przyznał), nie dysponował dwuskładnikowym uwierzytelnianiem, nie przeprowadził analizy ryzyka. W efekcie dwukrotnie doszło do nieautoryzowanego dostępu z zewnątrz i przejęcia danych klientów – ustalono dla UODO.
UODO twierdzi też, że zabrakło rozwiązań do monitorowania ruchu w sieci i reagowania na wykrycie nieprawidłowych działań. Według urzędu potwierdzają to ustalenia, że spółka nie miała pewności czy i jakie dane zostały wykradzione. Szereg zabezpieczeń administrator wdrożył dopiero po wycieku danych – utrzymuje UODO.
Urząd podaje, że w toku postępowania administrator przyznał, że brak odpowiednich rozwiązań było błędem z jego strony.
Morele: nasze zabezpieczenia były starannie dobrane
Morele.net nie zgadza się z nową decyzją o karze i zamierza zaskarżyć ją do WSA. Zapewnia, że zabezpieczenia stosowane przez spółkę były „starannie dobrane, zgodne z praktyką rynkową i spełniały wymogi RODO”.
„Prezes UODO nie naprawił kluczowej nieprawidłowości wskazanej przez NSA w wyroku uchylającym pierwotną decyzję urzędu i nie powołał biegłego, który przygotowałby obiektywną ocenę prawidłowości zabezpieczeń danych osobowych stosowanych w 2018 r. przez spółkę. Powołanie takiego biegłego w świetle oceny sytuacji sprzed ponad 5 lat jest konieczne dla niezależności i bezstronności oceny postępowania spółki” – oświadczył detalista.
Według UODO NSA w 2023 r. nie zakwestionował wszystkich ustaleń UODO związanych z naruszeniem, podważył natomiast kompetencje urzędu co do oceny zabezpieczeń zastosowanych przez Morele.
Ponadto zdaniem Morele.net prezes UODO nie był uprawniony do nałożenia kary wyższej niż w 2019 r., ponieważ nie zmieniły się okoliczności związane ze sprawą, a część zarzutów zostało uchylonych przez NSA. Spółka wskazuje też na dowolny sposób naliczania kary i nieuzasadniony przepisami RODO.
Podobne aktualności
Morele może pójść na giełdę albo na sprzedaż
Prezes MCI Tomasz Czechowicz przedstawił plany inwestycji na najbliższe lata.
Konrad Komornicki zastępcą prezesa UODO
Jest ekspertem ds. bezpieczeństwa informacji i bezpieczeństwa ICT.