Urząd Ochrony Danych Osobowych (UODO) nałożył 3,8 miliona złotych kary na sklep internetowy Morele.net, który dopuścił pod koniec 2018 roku do wycieku danych prawie 2,2 miliona osób - podano w komunikacie. To druga próba ukarania spółki przez UODO. Morele.net przekazało tvn24.pl, że "nie zgadza się z decyzją prezesa UODO i zamierza ją zaskarżyć".
Jak podała "Rzeczpospolita" po tym, jak NSA w 2023 r. uchylił decyzję prezesa UODO wobec Morele.net, urząd ponownie przeprowadził postępowanie i jeszcze podniósł karę do 3,8 mln zł.
UODO nakłada karę na Morele.net
Postępowanie miało wykazać, że do naruszenia ochrony danych osobowych doszło przez brak zastosowania przez Morele.net odpowiednich zabezpieczeń.
"Z ustaleń kontrolnych wynika, że administrator m.in. nie szyfrował części danych, nie dysponował wystarczającym uwierzytelnianiem, nie przeprowadził analizy ryzyka, która uwzględniałaby np. zagrożenia związane z możliwością logowania się do systemu z sieci publicznej. W efekcie dwukrotnie doszło do nieautoryzowanego dostępu z zewnątrz, na skutek którego osoba niepowołana weszła w posiadanie danych klientów" - uzasadniło UODO.
W komunikacie Urząd napisał, że "w toku postępowania administrator sam przyznał, że brak wdrożonych odpowiednich rozwiązań było błędem z jego strony".
Drugie podejście UODO do nałożenia kary
"Spółka już raz nie zgodziła się z tak wysoką karą i z powodzeniem zaskarżyła ją do sądu" - przypomniała "Rzeczpospolita".
- NSA w prawomocnym wyroku wytknął urzędowi, że ten źle przeprowadził postępowanie dowodowe - powiedział cytowany przez gazetę adwokat dr Paweł Litwiński.
- Sąd ten jednak nie ma możliwości oceny merytorycznej dowodów, a skupia się tylko na kwestiach proceduralnych. Zdaniem sądu UODO zbierał dowody bardzo jednostronnie, tylko na niekorzyść Morele.net. Na pewno decyzja znów zostanie zaskarżona - dodał adwokat.
Morele.net o decyzji UODO
"Spółka Morele.net potwierdza, że otrzymała decyzję Prezesa Urzędu Ochrony Danych Osobowych dotyczącą ataku hakerskiego z 2018 r. Nie zgadza się jednak z decyzją Prezesa UODO i zamierza zaskarżyć ją do Wojewódzkiego Sądu Administracyjnego" - przekazał w odpowiedzi na zapytanie redakcji biznesowej tvn24.pl Krzysztof Witek, Senior Social Media & Communication Specialist w firmie Morele.net.
"Prezes UODO nie naprawił kluczowej nieprawidłowości wskazanej przez NSA w wyroku uchylającym pierwotną decyzję urzędu i nie powołał biegłego, który przygotowałby obiektywną ocenę prawidłowości zabezpieczeń danych osobowych stosowanych w 2018 r. przez Spółkę. Powołanie takiego biegłego w świetle oceny sytuacji sprzed ponad 5 lat jest konieczne dla niezależności i bezstronności oceny postępowania Spółki. Zabezpieczenia stosowane przez spółkę były starannie dobrane, zgodne z praktyką rynkową i spełniały wymogi RODO" - dodał.
W ocenie Morele.net "prezes UODO nie był też uprawniony do nałożenia kary wyższej niż kara nałożona w decyzji z 2019 r.".
"W tym okresie nie zmieniły się okoliczności związane ze sprawą, w tym nie pojawiły się żadne okoliczności obciążające. Wręcz przeciwne, część zarzutów wobec spółki zostało uchylonych wyrokiem NSA. Zastosowany przez Prezesa UODO sposób obliczenia kary był jednocześnie dowolny i nieuzasadniony przepisami RODO" - napisała spółka.
Źródło: PAP, "Rzeczpospolita", tvn24.pl
Źródło zdjęcia głównego: Shutterstock