2,8 mln zł kary dla Morele.net od UODO to przestroga dla firm handlujących w internecie

Sankcja dla Morele.net powinna zachęcić tysiące firm handlujących w internecie do poprawy zabezpieczenia.

Aktualizacja: 20.09.2019 17:46 Publikacja: 20.09.2019 08:16

2,8 mln zł kary dla Morele.net od UODO to przestroga dla firm handlujących w internecie

Foto: Adobe Stock

Kolejny rekord wysokości kary za złamanie przepisów o ochronie danych osobowych został pobity. Internetowy sklep Morele.net został właśnie ukarany obowiązkiem zapłaty 2,8 mln zł za nienależytą ochronę danych osobowych przeszło 2,2 mln swych klientów. Dane te w wyniku ataku hakerskiego miały zostać przejęte przez nieustalone do tej pory osoby. Hakerzy włamali się do systemu Morele.net i ściągnięte stamtąd dane wykorzystali do ataku pishingowego, podsyłając klientom link do fałszywej strony sklepu, na której mieliby dopłacić rzekomo brakujący 1 zł do rachunku za zakupy, jakich wcześniej dokonali właśnie w sklepie Morele.net.

Spółka zgłosiła sprawę organom ścigania i powiadomiła o tym Urząd Ochrony Danych Osobowych. Poinformowała o tym incydencie także swoich klientów, ostrzegając przed próbą oszustwa.

Urząd uznał jednak, że zabezpieczenia stosowane w spółce były niewystarczające i nałożył na e-sklep karę. Jak wynika z uzasadnienia opublikowanej przez UODO decyzji, kara została pomniejszona, uwzględniając aktywne podejście przedsiębiorcy, który podjął wszelkie możliwe środki mające na celu usunięcie stwierdzonych naruszeń.

Czytaj także:

UODO nałożył rekordową karę na Morele.net

Ostrzeżenie dla innych

Jak przyznał Urząd, kara ma jednak charakter prewencyjny i ma zniechęcić innych administratorów danych osobowych „do naruszania przepisów o ochrony danych osobowych w przyszłości".

– Spółka będzie się odwoływała od tej decyzji do wojewódzkiego sądu administracyjnego – komentuje dr Maciej Kawecki z kancelarii Maruta Wachta, reprezentującej Morele.net. – W postępowaniu w UODO nie został bowiem chociażby uwzględniony wniosek o opinię biegłego, która mogłaby rzucić nowe światło na przebieg ataku hakerskiego, którego ofiarą padła spółka Morele.net. Uważam, że sprawa ma ogromne znaczenie dla wszystkich podmiotów, które przetwarzają dane osobowe w Polsce. Jej rozstrzygnięcie pokaże, jaki wpływ na zakres odpowiedzialności ma współpraca pomiędzy regulatorem a ukaranym na etapie prowadzonego postępowania. Tutaj mimo zawiadomienia Policji, organów cyberbezpieczeństwa i ścisłej współpracy z Urzędem, została nałożona kara w bardzo wysokim wymiarze. Za dodatkową karę dla spółki uznaję też duży szum medialny jaki powstał wokół tej sprawy. Konferencja prasowa UODO, mówienie o wycieku danych, jest dla mnie bardzo kontrowersyjne i stanowi odrębny wymiar kary. Dotyczy to wszystkich podmiotów, jakie mogą być ukarane – ocenia dr Kawecki.

Międzynarodowe standardy

– Obserwując działania urzędów ochrony danych osobowych w innych państwach UE, nie jestem zaskoczony nałożeniem kary przez polski urząd za niewystarczający poziom bezpieczeństwa danych klientów zgromadzonych w systemie elektronicznym – komentuje Michał Kluska, adwokat w DZP. – Jest to jednak poważne ostrzeżenie dla polskich przedsiębiorców, którzy nie zawsze wywiązują się z tego obowiązku na najwyższym poziomie. Z decyzji urzędu wynika sporo wskazówek, jakie normy powinny spełniać zabezpieczenia stosowane przez przedsiębiorców.

UODO w swojej decyzji powołał się na standardy ochrony danych osobowych w internecie określonych w normie PN-ISO/IEC 29115:2017 07 („Technika informatyczna – Techniki bezpieczeństwa – Ramy uzasadnionej pewności poziomów uwierzytelnienia"), a także opracowanych przez amerykańską agencję federalną – Narodowy Instytut Standaryzacji i Technologii (ang. National Institute of Standards and Technology, NIST), zawarte w dokumencie NIST 800-63B.

Zdaniem UODO zachowanie tych standardów pozwoliłoby na właściwe zabezpieczenie danych osobowych klientów.

– Problem jednak w tym, że nawet te normy nie są aż tak precyzyjne, aby ich proste zastosowanie dało gwarancję bezpieczeństwa. Jedno jest pewne. Przedsiębiorca działający w cyberprzestrzeni musi być czujny przez cały czas i systematycznie podnosić poziom bezpieczeństwa danych swoich klientów – komentuje mecenas Kluska.

Mirosław Sanek zastępca prezesa Urzędu Ochrony Danych Osobowych

Nałożona kara jest proporcjonalna do naruszeń obowiązków wynikających z przepisów o ochronie danych osobowych i możliwości finansowych spółki Morele.net. Doszło do poważnego zagrożenia dla bezpieczeństwa danych osobowych wielkiej grupy klientów w wyniku braku zastosowania odpowiednich zabezpieczeń przy logowaniu pracowników do tego serwisu oraz braku monitorowania zmian w ruchu sieciowym, przez co doszło do wycieku danych osobowych przeszło 2 mln klientów. Zagrożenie wykorzystania tych danych na ich szkodę ciągle jest aktualne. W obecnych czasach mechanizm dwuetapowego zabezpieczenia dostępu jest już powszechnie zalecanym standardem.

Kolejny rekord wysokości kary za złamanie przepisów o ochronie danych osobowych został pobity. Internetowy sklep Morele.net został właśnie ukarany obowiązkiem zapłaty 2,8 mln zł za nienależytą ochronę danych osobowych przeszło 2,2 mln swych klientów. Dane te w wyniku ataku hakerskiego miały zostać przejęte przez nieustalone do tej pory osoby. Hakerzy włamali się do systemu Morele.net i ściągnięte stamtąd dane wykorzystali do ataku pishingowego, podsyłając klientom link do fałszywej strony sklepu, na której mieliby dopłacić rzekomo brakujący 1 zł do rachunku za zakupy, jakich wcześniej dokonali właśnie w sklepie Morele.net.

Pozostało 85% artykułu
Konsumenci
Pozew grupowy oszukanych na pompy ciepła. Sąd wydał zabezpieczenie
https://track.adform.net/adfserve/?bn=77855207;1x1inv=1;srctype=3;gdpr=${gdpr};gdpr_consent=${gdpr_consent_50};ord=[timestamp]
Sądy i trybunały
Dr Tomasz Zalasiński: W Trybunale Konstytucyjnym gorzej już nie będzie
Konsumenci
TSUE wydał ważny wyrok dla frankowiczów. To pokłosie sprawy Getin Banku
Nieruchomości
Właściciele starych budynków mogą mieć problem. Wygasają ważne przepisy
Materiał Promocyjny
Bank Pekao wchodzi w świat gamingu ze swoją planszą w Fortnite
Prawo rodzinne
Przy rozwodzie z żoną trzeba się też rozstać z częścią krów