Prezes Urzędu Ochrony Danych Osobowych nałożył ponad 2,8 miliona złotych kary na spółkę Morele.net za niewystarczające zabezpieczenie danych osobowych. Firma zapowiedziała złożenie odwołania od tej decyzji.
W grudniu ubiegłego roku spółka Morele.net poinformowała o tym, że padła ofiarą cyberprzestępcy, który "w nieuprawniony sposób uzyskał dostęp do bazy danych klientów" sklepu internetowego. Sprawie przyjrzał się Urząd Ochrony Danych Osobowych.
Kara za RODO
Urząd stwierdził, że naruszenie miało "znaczną wagę i poważny charakter" oraz dotyczyło dużej liczby osób. - W efekcie uchybień wyciekły dane ponad dwóch milionów osób - poinformował w czwartek na konferencji prasowej wiceprezes UODO Mirosław Sanek. Jak dodał, "podmiot nie zastosował podwójnego uwierzytelniania dostępu do danych".
- Kara jest nie za to, że ktoś się włamał, ale za niewystarczające środki zabezpieczające. Nie karzemy podwójnie - oświadczył Sanek. - Decyzja bazuje na złamaniu zasady poufności danych i nieadekwatnego zabezpieczenia danych - podkreślił.
Według urzędu w wyniku naruszenia powstało wysokie ryzyko negatywnych skutków dla osób, których dane dostały się w niepowołane ręce. Jako jeden z takich skutków wymieniono tak zwaną kradzież tożsamości. W decyzji nakładającej karę prezes UODO stwierdził, że spółka naruszyła zapisy rozporządzenia RODO, nie stosując wystarczających środków technicznych ochrony danych osobowych.
Wzięto jednak także pod uwagę okoliczności łagodzące, między innymi podjęcie przez spółkę działań zmierzających do usunięcia naruszenia, współpracę z administratorem oraz fakt, że wcześniej nie dopuściła się ona naruszenia przepisów o ochronie danych osobowych.
Spółka zapowiada odwołanie
Spółka Morele.net poinformowała w przesłanym tvn24bis.pl komunikacie, że "od samego początku podjęta została współpraca z policją oraz Urzędem Ochrony Danych Osobowych".
"W momencie potwierdzenia ryzyka, że nieuprawniony dostęp mógł dotyczyć nie tylko osób, do których został wysłany SMS, ale także całej bazy - poinformowano o tym fakcie wszystkich klientów" - dodano.
Spółka wskazała, że "obok informacji zamieszczonej na stronie internetowej morele.net, przygotowany został dedykowany mailing do całej bazy klientów, a także uruchomiono dodatkowe kanały i zwiększono zasoby do obsługi klientów 24 godziny przez 7 dni w tygodniu".
Ponadto przedstawiciele firmy poinformowali, że "w ramach wdrożonej komunikacji przygotowany został także szereg rekomendacji i sugerowanych działań dla klientów, których implementacja pozwalałaby na zminimalizowanie ewentualnych negatywnych skutków nieuprawnionego dostępu".
W opinii Morele.net "ocena Urzędu o jedynie częściowym zapewnieniu odpowiednich środków zabezpieczenia technicznego przetwarzania danych oraz naruszeniu zasad przy przetwarzaniu danych osobowych pochodzących z wniosków ratalnych powinna zostać zweryfikowana przez niezależnych biegłych".
Spółka poinformowała, że wniosek złożony w ramach postępowania o powołanie niezależnego biegłego w celu oceny posiadanych zabezpieczeń został jednak przez UODO odrzucony.
"Wnioski z raportu pokontrolnego, będącego podstawą decyzji Urzędu, powinny zostać zweryfikowane, a fakty ponownie rozpatrzone. W związku z powyższym, w ramach przysługujących nam środków i możliwości, będziemy odwoływać się od decyzji Urzędu Ochrony Danych Osobowych do właściwych organów" - podkreślili przedstawiciele Morele.net.
Trzecia kara
To trzecia i jednocześnie najwyższa kara nałożona przez prezesa UODO od 25 maja 2018 roku, gdy weszło w życie w Polsce rozporządzenie RODO. W marcu br. Urząd Ochrony Danych Osobowych nałożył na jedną ze spółek karę w wysokości ponad 943 tysięcy złotych za niespełnienie obowiązku informacyjnego dotyczącego przetwarzania danych.
W kwietniu UODO nałożył zaś 56 tysięcy złotych kary na jeden ze związków sportowych.
Autor: mb//dap / Źródło: tvn24bis.pl
Źródło zdjęcia głównego: Shutterstock