Prezes Urzędu Ochrony Danych Osobowych nałożył na Morele.net 3,8 mln zł kary w związku z wyciekiem danych 2,2 mln klientów e-sklepu. Tym samym wróciła sprawa z 2018 r. Wcześniej UODO ukarał detalistę na 2,8 mln zł. To było w 2019 r. Spółka odwołała się i w końcu w lutym 2023 r. NSA uchylił decyzję o karze. UODO jednak nie odpuścił i ponownie przeprowadził postępowanie w tej sprawie.

UODO wskazuje na winę detalisty

Według urzędu nowe postępowania wykazało, że do wycieku danych 2,2 mln osób doprowadził brak zastosowania przez spółkę odpowiednich zabezpieczeń i procedur reagowania.

Powołuje się na analizę, wedle której administrator nie szyfrował części danych (do czego wg urzędu się przyznał), nie dysponował dwuskładnikowym uwierzytelnianiem, nie przeprowadził analizy ryzyka. W efekcie dwukrotnie doszło do nieautoryzowanego dostępu z zewnątrz i przejęcia danych klientów – ustalono dla UODO.

UODO twierdzi też, że zabrakło rozwiązań do monitorowania ruchu w sieci i reagowania na wykrycie nieprawidłowych działań. Według urzędu potwierdzają to ustalenia, że spółka nie miała pewności czy i jakie dane zostały wykradzione. Szereg zabezpieczeń administrator wdrożył dopiero po wycieku danych – utrzymuje UODO.

Urząd podaje, że w toku postępowania administrator przyznał, że brak odpowiednich rozwiązań było błędem z jego strony.

Morele: nasze zabezpieczenia były starannie dobrane

Morele.net nie zgadza się z nową decyzją o karze i zamierza zaskarżyć ją do WSA. Zapewnia, że zabezpieczenia stosowane przez spółkę były „starannie dobrane, zgodne z praktyką rynkową i spełniały wymogi RODO”.

„Prezes UODO nie naprawił kluczowej nieprawidłowości wskazanej przez NSA w wyroku uchylającym pierwotną decyzję urzędu i nie powołał biegłego, który przygotowałby obiektywną ocenę prawidłowości zabezpieczeń danych osobowych stosowanych w 2018 r. przez spółkę. Powołanie takiego biegłego w świetle oceny sytuacji sprzed ponad 5 lat jest konieczne dla niezależności i bezstronności oceny postępowania spółki” – oświadczył detalista.

Według UODO NSA w 2023 r. nie zakwestionował wszystkich ustaleń UODO związanych z naruszeniem, podważył natomiast kompetencje urzędu co do oceny zabezpieczeń zastosowanych przez Morele.

Ponadto zdaniem Morele.net prezes UODO nie był uprawniony do nałożenia kary wyższej niż w 2019 r., ponieważ nie zmieniły się okoliczności związane ze sprawą, a część zarzutów zostało uchylonych przez NSA. Spółka wskazuje też na dowolny sposób naliczania kary i nieuzasadniony przepisami RODO.