Morele.net kontra UODO. Brak opinii biegłego znów kością niezgody

Urząd Ochrony Danych Osobowych ponownie ukarał firmę Morele.net za brak odpowiednich środków i procedur zabezpieczających dane użytkowników. Jednak wcześniej kara została uchylona ze względu na niepowołanie biegłego - czego i tym razem nie zrobiono.

Aktualizacja: 12.05.2024 17:47 Publikacja: 08.02.2024 15:23

Morele.net kontra UODO. Brak opinii biegłego znów kością niezgody

Foto: Adobe Stock

Szymon Cydzik

Jak pisaliśmy wczoraj na łamach „Rz”, ostatnią decyzją poprzedni prezes UODO Jan Nowak nałożył na Morele.net karę 3,8 mln zł. To już druga próba ukarania spółki za wyciek danych 2,2 mln klientów, który nastąpił pod koniec 2018 r. Na skutek ataku ujawniono przede wszystkim numery telefonów osób dokonujących zamówień w tym sklepie, w efekcie zaczęły one otrzymywać fałszywe SMSy. W przypadku części osób wyciekły także numery PESEL i numery dowodów osobistych. Początkowo firma zaprzeczała, że doszło do incydentu, finalnie jednak się do niego przyznała.

W czasie kontroli UODO ustalono m.in., że administrator nie stosował szyfrowania w przypadku części danych, dysponował niewystarczającym systemem uwierzytelniania kont, a także zaniechał analizy ryzyka, która powinna uwzględniać np. zagrożenia związane z możliwością logowania się do systemu z sieci publicznej. Zabrakło także rozwiązań technicznych i administracyjnych umożliwiających monitorowanie ruchu w sieci i reagowanie w razie wykrycia nieprawidłowych działań.

Jak informuje UODO, w toku postępowania stwierdzono, że spółka nie miała nawet pewności czy i jakie dane zostały wykradzione. Dopiero po wycieku zaczęła wdrażać odpowiednie rozwiązania. Zdaniem prezesa Urzędu, wcześniejsze ich wprowadzenie pozwoliłoby wykryć próby nieautoryzowanego dostępu i podjąć odpowiednie działania w celu uniemożliwienia kradzieży danych. Także sam administrator przyznał, że brak ich wdrożenia był błędem z jego strony. Zwróciliśmy się do Morele.net z prośbą o stanowisko ws. ponownego ukarania przez urząd, ale nie otrzymaliśmy odpowiedzi.

Czytaj więcej

Konsumenci

Olbrzymia kara za wyciek danych. UODO nie odpuszcza Morele.net

Drogo może zapłacić sklep Morele.net za niedopilnowanie danych klientów. A kary będą rosły.

Liczy się sposób reakcji na incydent

- Naruszenia bezpieczeństwa danych wynikają zwykle z błędów ludzkich. Więc będą się zdarzały tak długo, jak długo będziemy przetwarzać dane. Kluczem jest jednak wykazanie, że administrator potrafi prawidłowo zareagować na kryzys. Aby to zrobić, trzeba najpierw przeprowadzić analizę ryzyka i przygotować organizację na taką sytuację. Organ zawsze bardzo mocno bierze pod uwagę zaangażowanie administratora i to, czy chce on faktycznie minimalizować skutki i przeciwdziałać zagrożeniu, czy raczej chce ukryć ten fakt - wskazuje radca prawny Jakub Wezgraj.

I dodaje, że choć liczba naruszeń będzie rosła, a wraz z nią liczba nakładanych kar, to już wysokość jednostkowej kary zależy od skali danego incydentu – np. ile osób on obejmie, oraz podejścia administratora. Z reguły naruszenia obnażają faktycznie braki organizacji i błędy w podejściu do zarządzania bezpieczeństwem danych osobowych.

- Kara powinna byś skuteczna i odstraszająca, a zatem jej wysokość – oprócz okoliczności samego uchybienia przepisom – będzie też dostosowana do obrotu konkretnego karanego przedsiębiorcy. Im jest on większy, tym wyższa kwota kary, żeby spełniała ona swoje cele - tłumaczy z kolei prof. Grzegorz Sibiga, adwokat, partner w Traple Konarski Podrecki & Wspólnicy.

Czytaj więcej

Dane osobowe

Morele nie zapłaci gigantycznej kary za wyciek danych. NSA obciążył UODO

Sklep internetowy Morele.net nie zapłaci prawie 3 mln zł kary za wyciek danych, do którego doszło w 2018 r. Naczelny Sąd Administracyjny zobowiązał natomiast Urząd Ochrony Danych Osobowych do zwrócenia portalowi 65 tys. zł za kosztów postępowania.

UODO nie chce powoływać biegłych ws. Morele.net

Jednak 9 lutego 2023 r. NSA uchylił pierwszą karę nałożoną na Morele.net z przyczyn formalnych. Chodziło o zaniedbania Urzędu podczas postępowania dowodowego, w szczególności nie uwzględnianie wniosku spółki i powołanie biegłego. W odpowiedzi na nasze pytanie UODO poinformował, iż z uzasadnienia wyroku NSA wyraźnie wynika, że prezes UODO przy ocenie standardów zastosowanych przez Morele.net. zabezpieczeń zobowiązany był przeprowadzić dowód z opinii biegłego albo wytworzyć wewnętrzny dokument stanowiący wnioski z analizy środków bezpieczeństwa stosowanych przez spółkę, do którego ta mogłaby się odnieść w toku postępowania. Urząd zdecydował się na tę drugą opcję, a analizę przeprowadzili pracownicy UODO, wybrani ze względu na posiadane kwalifikacje i doświadczenie w obszarze zagadnień bezpieczeństwa teleinformatycznego.

Teoretycznie więc wskazania NSA zostały wykazane, jednak eksperci są krytyczni wobec decyzji o rezygnacji z powołania biegłego:

- Na pewno decyzja znów zostanie zaskarżona i z pewnym prawdopodobieństwem ponownie zostanie ona zakwestionowana przez sąd - mówi dr Paweł Litwiński, adwokat, partner w kancelarii Barta Litwiński.

Z kolei Grzegorz Sibiga wskazuje na szerszy problem i niechęć UODO do posiłkowania się wiedzą zewnętrznych ekspertów.

- Według mojej wiedzy, od początku obowiązywania w Polsce ustawy o ochronie danych osobowych, tj. od 1998 r. nie było jeszcze postępowania administracyjnego, by organ nadzorczy lub jego pracownicy skorzystali z opinii zewnętrznego biegłego z zakresu technologii czy technik informacyjnych. Rozumiem, że w urzędzie znajdują się komórki organizacyjne, których pracownicy posiadają odpowiednią wiedzę, ale trudno zaakceptować, że od 25 lat nie było w Polsce sprawy, która wymagała, aby wiedzy specjalnej osoby trzeciej. Choćby w celu potwierdzenia stanowiska Urzędu - tłumaczy prof. Sibiga.

I dodaje, że UODO powinien zastanowić się nad zmianą swojej polityki i chociaż wewnętrznie określić, w jakich sytuacjach z takich biegłych będzie korzystał.

- Obecny kierunek jest niepokojący, bo nieprzekonująca wydaje się teza, że organ jest wyspecjalizowany w dosłownie każdym temacie. Zastrzeżenia sądów administracyjnych wskazujące błędy w ustaleniach technicznych należy potraktować jako sygnał ostrzegawczy w tym zakresie - podsumowuje Grzegorz Sibiga.

Dane Osobowe biznes firma w urzędzie Urząd Ochrony Danych Osobowych (UODO)

Pozostało 89% artykułu

2 / 3

artykułów

Czytaj dalej. Subskrybuj

Nieruchomości

Droga konieczna dla wygody sąsiada? Ważny wyrok SN ws. służebności

Przesłanką ustanowienia służebności (droga konieczna) nie jest zapewnienie łatwiejszego korzystania z nieruchomości lub plany inwestycyjne, lecz jej niezbędność.

Materiał Promocyjny

Cupra Formentor – luksusowy SUV za 2384 zł/mc. Z oponami zimowymi premium GRATIS

Tomasz Szmydt na konferencji prasowej w Mińsku

Sądy i trybunały

Emilia Szmydt: Czuję się trochę sparaliżowana i przerażona

Jestem bardzo zaskoczona jego wnioskiem o opiekę i ochronę na Białorusi. Nigdy nie mówił, że interesował się tymi rejonami Europy – mówi Emilia Szmydt, była żona sędziego Tomasza Szmydta.

Zawody prawnicze

Szef palestry pisze do Bodnara o poważnym problemie dla adwokatów i obywateli

Prezes Naczelnej Rady Adwokackiej w piśmie skierowanym do ministra sprawiedliwości domaga się zapewnienia dostępności lekarzy sądowych w każdym okręgu sądowym oraz zapewnienia odpowiedniej liczby tych lekarzy.

Sądy i trybunały

Jest opinia Komisji Weneckiej ws. jednego z kluczowych projektów resortu Bodnara

Komisja Wenecka wydała „Pilną Wspólną Opinię Komisji Weneckiej i Dyrekcji Generalnej ds. Praw Człowieka i Praworządności Rady Europy w sprawie projektu ustawy o zmianie ustawy o Krajowej Radzie Sądownictwa” - poinformowało w środę Ministerstwo Sprawiedliwości.

Materiał Promocyjny

Dlaczego warto mieć AI w telewizorze

Możliwości nowych technologii i sztucznej inteligencji w telewizorach pozwalają dziś nie tylko „poprawiać” jakość filmów i programów sprzed lat, ale także zarządzać z jednego miejsca całym domowym ekosystemem Smart Home.

Prawo dla Ciebie

Jest wniosek o Trybunał Stanu dla szefa KRRiT Macieja Świrskiego

Minister kultury Bartłomiej Sienkiewicz przekazał w czwartek, że do Sejmu wpłynął wniosek o postawienie przed Trybunałem Stanu szefa Krajowej Rady Radiofonii i Telewizji, Macieja Świrskiego.

Materiał Promocyjny

Postaw na profesjonalizm. Teraz nowa gama aut LCV Citroëna w leasingu od 101%.

Biznes

Start zapisów do Poland Business Run

Przed nami 13. edycja największej charytatywnej sztafety biznesowej! Co roku biegacze i biegaczki z ponad 1500 organizacji wstają zza biurek, żeby pobiec i pomóc osobom z niepełnosprawnością ruchu i po mastektomii.

Materiał partnera

Zielony Ład wzmocni konkurencyjność UE

Rola sektora bankowego jest taka, aby sfinansować czy współfinansować transformację – mówi Bartosz Kublik, wiceprezes zarządu kierujący pracami zarządu Banku Ochrony Środowiska.

Biznes

Pasjonaci marketingu internetowego po raz 22 spotkają się w Krakowie

Po roku i dwóch zakończonych sukcesem warszawskich edycjach semKRK powraca do Starej Zajezdni w wersji BIG! Pasjonaci marketingu internetowego po raz 22 spotkają się w Krakowie, aby zdobywać wiedzę, dzielić się doświadczeniami i dobrze bawić. Merytoryczne wystąpienia, spotkania z przedstawicielami firm, zaawansowane warsztaty dla specjalistów i AfterParty w sercu Kazimierza – co jeszcze czeka na uczestników wydarzenia?

Co roku do Poznania przyjeżdżają stratedzy, innowatorzy i specjaliści od geopolityki. Podobnie będzi

Materiał partnera

Globalne wyzwania pod lupą w Poznaniu

Szanse dla świata dzięki sztucznej inteligencji oraz scenariusze wydarzeń w Ukrainie i w innych zapalnych punktach globu – to szerokie spektrum tematów zostanie poruszone na Impact’24 w Poznaniu.

Materiał partnera

Dlaczego warto mieć AI w telewizorze

ABC Firmy

Fiasko prawa holdingowego. Dlaczego firmy z niego nie korzystają?

Choć mija półtora roku od uchwalenia prawa grup spółek, wciąż trwa żywa dyskusja, czy należy regulacje te ulepszać, czy pisać nowe.

Biznes

Zdalne posiedzenia organów spółki z ograniczoną odpowiedzialnością

Pandemia i lockdowny przyspieszyły proces „elektronizacji” prawa spółek w Polsce. Wspólnicy spółki z o.o. mogą już brać udział w zgromadzeniu wspólników przy wykorzystaniu środków komunikacji elektronicznej, ale pod pewnymi warunkami.

Dane osobowe

Jak prawidłowo reagować na naruszenie ochrony danych osobowych?

W cyfrowym świecie ochrona danych osobowych jest kluczowa – zarówno dla podmiotów sektora prywatnego, jak i publicznego. Naruszenie prywatności może prowadzić do poważnych konsekwencji prawnych, finansowych i reputacyjnych dla wszystkich zaangażowanych stron.

Ewakuacja mieszkańców obwodu charkowskiego

Konflikty zbrojne

Wojna Rosji z Ukrainą. Dzień 809

24 lutego 2022 roku Rosja zaatakowała Ukrainę. Ciężkie walki toczą się w obwodzie charkowskim. W tym rejonie wojska ukraińskie mają umacniać swoje pozycje.

Donald Tusk na granicy polsko-białoruskiej

Komentarze

Michał Szułdrzyński: Nieoczekiwana zmiana miejsc. Tusk buduje mur na granicy, Kaczyński chce być w UE

Największa partia rządząca i największa partia opozycyjna dokonały w ten weekend potężnych politycznych wolt. Zaskakująca zmiana stanowisk PO i PiS wynika ze zmiany miejsc rządzących i opozycji po wyborach 15 października.

Nieruchomości

Działki rekreacyjne to inwestycje dla bardzo cierpliwych. Ile można zarobić?

Parcele z domami na lato zamiast mieszkania na wynajem? To może być dobra inwestycja.

„Megalopolis” Francisa Forda Coppoli walczy o Złotą Palmę

Film

Cannes 2024: Coppola, Lanthinos i „Furioza. Saga Mad Max” powalczą o Złotą Palmę

„The Second Act” Quentina Dupieux otworzy 14 maja 87. Festiwal Filmowy w Cannes. W konkursie jest polska koprodukcja „Dziewczyna z igłą” Szweda Magnusa von Horna, który mieszka w Warszawie, a także „Limonov” Sieriebriennikowa ze scenariuszem Pawła Pawlikowskiego.

Piłka nożna

Śmierć skończyła karierę Cesara Luisa Menottiego. Argentyna płacze po legendarnym trenerze

Zmarły kilka dni temu Cesar Luis Menotti doprowadził reprezentację Argentyny do pierwszego tytułu mistrza świata. To filozof futbolu, który bywał zarówno komunistą, jak i peronistą.

Grupa Prada wykazała znacznie wyższy wzrost zysków w zestawieniu z innymi producentami dóbr luksusow

Moda

Rekordowe wyniki sprzedażowe Prady. Wiadomo, czyja to zasługa

Grupa Prada odnotowuje rekordowy wzrost zysków. Czyja to zasługa i jaka strategia okazała się skuteczna w drodze do sukcesu?

Zdobywczyni pierwszej nagrody Tae-Yeon Kim z Korei Południowej

Muzyka klasyczna

Konkurs im. Lutosławskiego. Koreanka lepsza od Polaków

Przedstawicielka Korei Południowej Tae-Yeon Kim zwyciężyła w 12. Międzynarodowym Konkursie Wiolonczelowym im. Witolda Lutosławskiego, który zakończył się w sobotę wieczorem w Warszawie.

Pacjent przeżył dwa miesiące ze zmodyfikowaną nerką świni

Ochrona zdrowia

Zmarł pacjent po przeszczepie zmodyfikowanej nerki świni

Pierwszy biorca przeszczepu genetycznie zmodyfikowanej nerki świni zmarł prawie dwa miesiące po zabiegu, poinformowała jego rodzina i szpital, który przeprowadził operację.

Okiem samorządowca

Marcin Krupa: Zrealizowaliśmy ponad 95 proc. „zielonych” obietnic z poprzedniej kampanii

Mam przygotowany pakiet konkretnych działań. Powstanie 50 parków kieszonkowych w dzielnicach, poddamy rewitalizacji otoczenie 7 kolejnych stawów, pojawi się 5 nowych parków miejskich – mówi Marcin Krupa, prezydent Katowic.

W miastach działają centra wielokulturowe, w których integrują się społeczności różnych narodów i gr

Społeczności lokalne

Nie cudzoziemcy, lecz nowi mieszkańcy. Jak miasta integrują imigrantów?

Samorządy prowadzą lokalne polityki integracyjne dla cudzoziemców. Chcą, by w krajowej strategii migracyjnej zapisano powinności, ale też zasady wsparcia finansowego.

Prezes Trybunału Konstytucyjnego Julia Przyłębska (C) i były poseł PiS, sędzia Trybunału Konstytucyj

Sądy i trybunały

Pracowity tydzień w TK. Chodzi o Morawieckiego, Glapińskiego i neo-sędziów

14 maja Trybunał Konstytucyjny ma zająć się sprawą konstytucyjności wydawania przez byłego premiera Mateusza Morawieckiego poleceń dotyczących przygotowania wyborów korespondencyjnych w 2020 r. Następnego dnia TK rozpozna wniosek ws. możliwości postawienia przed Trybunałem Stanu prezesa NBP Adama Glapińskiego. A 16 maja zajmie się wnioskiem KRS ws. rozporządzenia Adama Bodnara ws. wyłączania neo-sędziów.

Pożar centrum handlowego Marywilska 44 należącego do giełdowego Mirbudu.

Giełda

Pożar na Marywilskiej 44. Cios w Mirbud, giełdową spółkę. Straty będą olbrzymie

W niedzielę nad ranem na warszawskiej Białołęce spłonęła główna część kompleksu handlowego należącego do notowanej na giełdzie Grupy Mirbud. Firma zapowiada odbudowę.

Klęski żywiołowe

Pożar centrum handlowego Marywilska 44. Straż pożarna zadaje pytania

Straż pożarna zapowiada, że przyczyny pożaru, który całkowicie strawił centrum handlowe Marywilska 44 na Białołęce, będą badać biegli. Tempo rozprzestrzeniania się pożaru uważane jest jednak za "dziwne".

Popyt na modele elektryczne nie spełnił oczekiwań Forda

Na prąd

Motoryzacyjny gigant wycofuje się ze elektrycznej strategii

Kolejna marka wycofuje się ze swojej elektromobilnej strategii, która przewidywała całkowite wycofanie się z produkcji spalinowych modeli. Tym razem Ford, który był jedną z pierwszych marek ogłaszających przejście na e-samochody skreśla swoją strategię produkcji wyłącznie elektryków od roku 2030.

Film

Nie żyje Roger Corman, "król filmów klasy B"

Filmowiec i aktor Roger Corman zmarł w swoim domu w Santa Monica 9 maja. Miał 98 lat

Handel

Pożar Marywilskiej 44. Brak hali handlowej odczuje nie tylko Warszawa

1,4 tys. sklepów głównie z odzieżą było miejscem zaopatrzenia nie tylko dla klientów indywidualnych ale również dla mniejszych biznesów z całego kraju ale i z Ukrainy.

Kruszce

Królewski kruszec jest drogi, ale to doskonała propozycja dla inwestorów

Złoto to bezpieczna przystań, dlatego w czasach zawirowań geopolitycznych bije rekordy cenowe.

Ten pierwszy raz

Renault Scenic: Wszystko od nowa

Był praktyczny van, teraz jest SUV. Były napędy spalinowe, teraz jest tylko jeden – elektryczny. Pierwsza jazda nowym Renault Scenic, który został samochodem roku 2024.

Skutki jednego z ostatnich ataków Rosjan na Charków

Konflikty zbrojne

Analitycy ISW wyjaśniają cele ataków Rosjan na obwód charkowski. "Strefa buforowa"

Jednym z celów rosyjskiej ofensywy w obwodzie charkowskim może być utworzenie „strefy buforowej” chroniącej Biełgorod - uważają analitycy z Instytutu Studiów nad Wojną.

Maria Czubaszek pisała o kobietach: „Potrafią z niczego zrobić trzy rzeczy: sałatkę, kapelusz i awan

Jej historia

12 maja - rocznica śmierci Marii Czubaszek. "Jedno, co warto, to uśmiać się warto"

Żartowała ze wszystkiego: ze swojego wieku, wyglądu, twórczości, nałogu, małżeństwa. Pod tym wizerunkiem kryła się jednak osoba delikatna, wrażliwa, o wielkim sercu. 12 maja mija osiem lat od jej śmierci.

Sądy i trybunały

Sędzia Leszek Mazur: Szmydta do KRS polecił mi Łukasz Piebiak

Zatrudniłem Tomasza Szmydta w biurze KRS idąc za sugestią ówczesnego wiceministra sprawiedliwości. Okazał się mało pracowity. I nie do końca znał się na kwestiach, za które odpowiadał w biurze Rady - mówi "Rz" Leszek Mazur, przewodniczący KRS w latach 2018-2021.

Kadry i Płace

Powrót pracownika do "starej" pracy a zapis do PPK

W przypadku, gdy dana osoba była już wcześniej zatrudniona w tym podmiocie i wróciła do niego do pracy, przy ustalaniu okresu zatrudnienia wymaganego dla „zapisania” jej do PPK, trzeba uwzględnić także poprzednie 12 miesięcy. Uczestnika PPK, po jego powrocie do pracy, nie trzeba „zapisywać” ponownie do tego programu, chyba, że podmiot zatrudniający zmienił w międzyczasie instytucję finansową.

Opinie Prawne

Marek Isański: Jak WSA w Krakowie odwraca zasadę „in dubio pro tributario”

Dlaczego sądy administracyjne nawet jasne i proste przepisy korzystne dla obywateli interpretują na korzyść fiskusa?

Muzyka popularna

Niebinarne Nemo z pomocą Polaków wygrywa Eurowizję

Nemo, czyli Szwajcar w różowej spódniczce, z niebinarną flagą, wygrał dzięki jurorom konkurs Eurowizji. Orkiestrację "The Code" przygotował Wojciech Kostrzewa, miks Nikodem Milewski.