Olbrzymia kara za wyciek danych. UODO nie odpuszcza Morele.net

Drogo może zapłacić sklep Morele.net za niedopilnowanie danych klientów. A kary będą rosły.

Aktualizacja: 08.02.2024 16:02 Publikacja: 08.02.2024 03:00

Urząd Ochrony Danych Osobowych

Urząd Ochrony Danych Osobowych

Foto: PAP/Wojciech Olkuśnik

Urząd Ochrony Danych Osobowych nałożył 3,8 mln zł kary na sklep internetowy Morele.net, który dopuścił pod koniec 2018 r. do wycieku danych prawie 2,2 mln osób.

To już druga próba ukarania spółki. Po tym, jak NSA w 2023 r. uchylił decyzję prezesa UODO, urząd ponownie przeprowadził postępowanie i jeszcze podniósł karę. Wykazało ono, że do naruszenia ochrony danych osobowych doszło przez brak zastosowania przez Morele.net odpowiednich zabezpieczeń.

Czytaj więcej

Morele.net kontra UODO. Brak opinii biegłego znów kością niezgody

Skąd taka kara dla Morele.net?

Z ustaleń kontrolnych wynika, że administrator m.in. nie szyfrował części danych, nie dysponował wystarczającym uwierzytelnianiem, nie przeprowadził analizy ryzyka, która uwzględniałaby np. zagrożenia związane z możliwością logowania się do systemu z sieci publicznej. W efekcie dwukrotnie doszło do nieautoryzowanego dostępu z zewnątrz, na skutek którego osoba niepowołana weszła w posiadanie danych klientów – uzasadnia UODO.

Zabrakło też rozwiązań technicznych i administracyjnych pozwalających monitorować ruch w sieci i reagować w przypadku wykrycia nieprawidłowych działań.

Skąd taka kara? – Jej wysokość została ustalona na podstawie wytycznych Europejskiej Rady Ochrony Danych Osobowych w sprawie obliczania administracyjnych kar pieniężnych – mówi rzecznik UODO Adam Sanocki.

Czytaj więcej

Morele nie zapłaci gigantycznej kary za wyciek danych. NSA obciążył UODO

Spółka już raz nie zgodziła się z tak wysoką karą i z powodzeniem zaskarżyła ją do sądu.

– NSA w prawomocnym wyroku wytknął urzędowi, że ten źle przeprowadził postępowanie dowodowe – mówi adwokat dr Paweł Litwiński. – Sąd ten jednak nie ma możliwości oceny merytorycznej dowodów, a skupia się tylko na kwestiach proceduralnych. Zdaniem sądu UODO zbierał dowody bardzo jednostronnie, tylko na niekorzyść Morele.net. Na pewno decyzja znów zostanie zaskarżona – dodaje adwokat.

To kolejna wysoka kara od UODO

To nie pierwsza tak wysoka kara nałożona przez UODO. W 2022 r. urząd ukarał firmę Fortum Marketing and Sales Polska kwotą 4,9 mln zł, jednak WSA w Warszawie uchylił tę decyzję. Niezakończona jest też sprawa pierwszej kary nałożonej po wejściu w życie przepisów RODO na Bisnode. Bo choć NSA podtrzymał decyzję UODO, to przekazał ją do ponownego rozpoznania w zakresie wysokości kary (943 tys. zł).

– Droga do finalnego rozstrzygnięcia w sprawie kary jest długa, bo taka decyzja może trafić do WSA, a następnie nawet NSA, i kilkakrotnie wracać do organu – tłumaczy mec. Jakub Wezgraj. – Ale w końcu, przynajmniej w niektórych sprawach, racje organu zostaną uznane i trzeba będzie płacić. To narastająca kula śniegowa – dodaje.

Czytaj więcej

UODO czeka na wyjaśnienia od ALAB ws. wycieku danych. Co mogą zrobić poszkodowani

– Możemy się spodziewać wzrostu wysokości kar, zwłaszcza w Polsce, gdzie te kary nie należą do najwyższych – zauważa Paweł Litwiński.

Z kolei radca prawna Ewa Kurowska-Tober wskazuje, że po pierwszej fali obaw po wejściu w życie RODO nastąpiło pewne wyciszenie.

– Przedsiębiorstwa uznały, że może nie będzie tak źle, bo kary nie są zbyt wysokie. To jednak błędne podejście, bo urząd potrzebował czasu, by wdrożyć się w RODO. Kary będą rosły. Wzorując się na coraz większej liczbie decyzji zapadających w innych krajach UE, nasz urząd nie pozostanie w tyle – mówi ekspertka.

Spośród wszystkich decyzji prezesa UODO nakładających kary pieniężne ponad 40 jest prawomocnych. Obecnie Urząd prowadzi też postępowanie ws. głośnego pod koniec zeszłego roku wycieku danych z ALAB. Przypomnijmy, że kara za naruszenie przepisów RODO może wynieść do 4 proc. rocznego światowego obrotu lub do 20 mln euro.

Czytaj więcej

Sąd: prokuratura ma zapłacić 20 tys. zł za naruszenie RODO

Urząd Ochrony Danych Osobowych nałożył 3,8 mln zł kary na sklep internetowy Morele.net, który dopuścił pod koniec 2018 r. do wycieku danych prawie 2,2 mln osób.

To już druga próba ukarania spółki. Po tym, jak NSA w 2023 r. uchylił decyzję prezesa UODO, urząd ponownie przeprowadził postępowanie i jeszcze podniósł karę. Wykazało ono, że do naruszenia ochrony danych osobowych doszło przez brak zastosowania przez Morele.net odpowiednich zabezpieczeń.

Pozostało 90% artykułu
2 / 3
artykułów
Czytaj dalej. Subskrybuj
ZUS
ZUS przekazał ważne informacje na temat rozliczenia składki zdrowotnej
Materiał Promocyjny
Wykup samochodu z leasingu – co warto wiedzieć?
Prawo karne
NIK zawiadamia prokuraturę o próbie usunięcia przemocą Mariana Banasia
Aplikacje i egzaminy
Znów mniej chętnych na prawnicze egzaminy zawodowe
Prawnicy
Prokurator Ewa Wrzosek: Nie popełniłam żadnego przestępstwa
Prawnicy
Rzecznik dyscyplinarny adwokatów przegrał w sprawie zgubionego pendrive'a