Morele.net kontra UODO. Brak opinii biegłego znów kością niezgody

Urząd Ochrony Danych Osobowych ponownie ukarał firmę Morele.net za brak odpowiednich środków i procedur zabezpieczających dane użytkowników. Jednak wcześniej kara została uchylona ze względu na niepowołanie biegłego - czego i tym razem nie zrobiono.

Publikacja: 08.02.2024 15:23

Morele.net kontra UODO. Brak opinii biegłego znów kością niezgody

Foto: Adobe Stock

Jak pisaliśmy wczoraj na łamach „Rz”, ostatnią decyzją poprzedni prezes UODO Jan Nowak nałożył na Morele.net karę 3,8 mln zł. To już druga próba ukarania spółki za wyciek danych 2,2 mln klientów, który nastąpił pod koniec 2018 r. Na skutek ataku ujawniono przede wszystkim numery telefonów osób dokonujących zamówień w tym sklepie, w efekcie zaczęły one otrzymywać fałszywe SMSy. W przypadku części osób wyciekły także numery PESEL i numery dowodów osobistych. Początkowo firma zaprzeczała, że doszło do incydentu, finalnie jednak się do niego przyznała.

W czasie kontroli UODO ustalono m.in., że administrator nie stosował szyfrowania w przypadku części danych, dysponował niewystarczającym systemem uwierzytelniania kont, a także zaniechał analizy ryzyka, która powinna uwzględniać np. zagrożenia związane z możliwością logowania się do systemu z sieci publicznej. Zabrakło także rozwiązań technicznych i administracyjnych umożliwiających monitorowanie ruchu w sieci i reagowanie w razie wykrycia nieprawidłowych działań.

Jak informuje UODO, w toku postępowania stwierdzono, że spółka nie miała nawet pewności czy i jakie dane zostały wykradzione. Dopiero po wycieku zaczęła wdrażać odpowiednie rozwiązania. Zdaniem prezesa Urzędu, wcześniejsze ich wprowadzenie pozwoliłoby wykryć próby nieautoryzowanego dostępu i podjąć odpowiednie działania w celu uniemożliwienia kradzieży danych. Także sam administrator przyznał, że brak ich wdrożenia był błędem z jego strony. Zwróciliśmy się do Morele.net z prośbą o stanowisko ws. ponownego ukarania przez urząd, ale nie otrzymaliśmy odpowiedzi.

Czytaj więcej

Olbrzymia kara za wyciek danych. UODO nie odpuszcza Morele.net

Liczy się sposób reakcji na incydent

- Naruszenia bezpieczeństwa danych wynikają zwykle z błędów ludzkich. Więc będą się zdarzały tak długo, jak długo będziemy przetwarzać dane. Kluczem jest jednak wykazanie, że administrator potrafi prawidłowo zareagować na kryzys. Aby to zrobić, trzeba najpierw przeprowadzić analizę ryzyka i przygotować organizację na taką sytuację. Organ zawsze bardzo mocno bierze pod uwagę zaangażowanie administratora i to, czy chce on faktycznie minimalizować skutki i przeciwdziałać zagrożeniu, czy raczej chce ukryć ten fakt - wskazuje radca prawny Jakub Wezgraj.

I dodaje, że choć liczba naruszeń będzie rosła, a wraz z nią liczba nakładanych kar, to już wysokość jednostkowej kary zależy od skali danego incydentu – np. ile osób on obejmie, oraz podejścia administratora. Z reguły naruszenia obnażają faktycznie braki organizacji i błędy w podejściu do zarządzania bezpieczeństwem danych osobowych.

- Kara powinna byś skuteczna i odstraszająca, a zatem jej wysokość – oprócz okoliczności samego uchybienia przepisom – będzie też dostosowana do obrotu konkretnego karanego przedsiębiorcy. Im jest on większy, tym wyższa kwota kary, żeby spełniała ona swoje cele - tłumaczy z kolei prof. Grzegorz Sibiga, adwokat, partner w Traple Konarski Podrecki & Wspólnicy. 

Czytaj więcej

Morele nie zapłaci gigantycznej kary za wyciek danych. NSA obciążył UODO

UODO nie chce powoływać biegłych ws. Morele.net

Jednak 9 lutego 2023 r. NSA uchylił pierwszą karę nałożoną na Morele.net z przyczyn formalnych. Chodziło o zaniedbania Urzędu podczas postępowania dowodowego, w szczególności nie uwzględnianie wniosku spółki i powołanie biegłego. W odpowiedzi na nasze pytanie UODO poinformował, iż z uzasadnienia wyroku NSA wyraźnie wynika, że prezes UODO przy ocenie standardów zastosowanych przez Morele.net. zabezpieczeń zobowiązany był przeprowadzić dowód z opinii biegłego albo wytworzyć wewnętrzny dokument stanowiący wnioski z analizy środków bezpieczeństwa stosowanych przez spółkę, do którego ta mogłaby się odnieść w toku postępowania. Urząd zdecydował się na tę drugą opcję, a analizę przeprowadzili pracownicy UODO, wybrani ze względu na posiadane kwalifikacje i doświadczenie w obszarze zagadnień bezpieczeństwa teleinformatycznego.

Teoretycznie więc wskazania NSA zostały wykazane, jednak eksperci są krytyczni wobec decyzji o rezygnacji z powołania biegłego:

- Na pewno decyzja znów zostanie zaskarżona i z pewnym prawdopodobieństwem ponownie zostanie ona zakwestionowana przez sąd - mówi dr Paweł Litwiński, adwokat, partner w kancelarii Barta Litwiński. 

Z kolei Grzegorz Sibiga wskazuje na szerszy problem i niechęć UODO do posiłkowania się wiedzą zewnętrznych ekspertów.

- Według mojej wiedzy, od początku obowiązywania w Polsce ustawy o ochronie danych osobowych, tj. od 1998 r. nie było jeszcze postępowania administracyjnego, by organ nadzorczy lub jego pracownicy skorzystali z opinii zewnętrznego biegłego z zakresu technologii czy technik informacyjnych. Rozumiem, że w urzędzie znajdują się komórki organizacyjne, których pracownicy posiadają odpowiednią wiedzę, ale trudno zaakceptować, że od 25 lat nie było w Polsce sprawy, która wymagała, aby wiedzy specjalnej osoby trzeciej. Choćby w celu potwierdzenia stanowiska Urzędu - tłumaczy prof. Sibiga.

I dodaje, że UODO powinien zastanowić się nad zmianą swojej polityki i chociaż wewnętrznie określić, w jakich sytuacjach z takich biegłych będzie korzystał.

- Obecny kierunek jest niepokojący, bo nieprzekonująca wydaje się teza, że organ jest wyspecjalizowany w dosłownie każdym temacie. Zastrzeżenia sądów administracyjnych wskazujące błędy w ustaleniach technicznych należy potraktować jako sygnał ostrzegawczy w tym zakresie - podsumowuje Grzegorz Sibiga.

Jak pisaliśmy wczoraj na łamach „Rz”, ostatnią decyzją poprzedni prezes UODO Jan Nowak nałożył na Morele.net karę 3,8 mln zł. To już druga próba ukarania spółki za wyciek danych 2,2 mln klientów, który nastąpił pod koniec 2018 r. Na skutek ataku ujawniono przede wszystkim numery telefonów osób dokonujących zamówień w tym sklepie, w efekcie zaczęły one otrzymywać fałszywe SMSy. W przypadku części osób wyciekły także numery PESEL i numery dowodów osobistych. Początkowo firma zaprzeczała, że doszło do incydentu, finalnie jednak się do niego przyznała.

Pozostało 89% artykułu
2 / 3
artykułów
Czytaj dalej. Subskrybuj
Sądy i trybunały
Łukasz Piebiak wraca do sądu. Afera hejterska nadal nierozliczona
Praca, Emerytury i renty
Czy każdy górnik może mieć górniczą emeryturę? Ważny wyrok SN
Prawo karne
Kłopoty żony Macieja Wąsika. "To represje"
Sądy i trybunały
Czy frankowicze doczekają się uchwały Sądu Najwyższego?
Materiał Promocyjny
Jak kupić oszczędnościowe obligacje skarbowe? Sposobów jest kilka
Sądy i trybunały
Rośnie lawina skarg kasacyjnych do Naczelnego Sądu Administracyjnego