Urząd Ochrony Danych Osobowych nałożył 3,8 mln zł kary na sklep internetowy Morele.net, który dopuścił pod koniec 2018 r. do wycieku danych prawie 2,2 mln osób.
To już druga próba ukarania spółki. Po tym, jak NSA w 2023 r. uchylił decyzję prezesa UODO, urząd ponownie przeprowadził postępowanie i jeszcze podniósł karę. Wykazało ono, że do naruszenia ochrony danych osobowych doszło przez brak zastosowania przez Morele.net odpowiednich zabezpieczeń.
Czytaj więcej
Urząd Ochrony Danych Osobowych ponownie ukarał firmę Morele.net za brak odpowiednich środków i procedur zabezpieczających dane użytkowników. Jednak...
Skąd taka kara dla Morele.net?
Z ustaleń kontrolnych wynika, że administrator m.in. nie szyfrował części danych, nie dysponował wystarczającym uwierzytelnianiem, nie przeprowadził analizy ryzyka, która uwzględniałaby np. zagrożenia związane z możliwością logowania się do systemu z sieci publicznej. W efekcie dwukrotnie doszło do nieautoryzowanego dostępu z zewnątrz, na skutek którego osoba niepowołana weszła w posiadanie danych klientów – uzasadnia UODO.
Zabrakło też rozwiązań technicznych i administracyjnych pozwalających monitorować ruch w sieci i reagować w przypadku wykrycia nieprawidłowych działań.
Skąd taka kara? – Jej wysokość została ustalona na podstawie wytycznych Europejskiej Rady Ochrony Danych Osobowych w sprawie obliczania administracyjnych kar pieniężnych – mówi rzecznik UODO Adam Sanocki.
Czytaj więcej
Sklep internetowy Morele.net nie zapłaci prawie 3 mln zł kary za wyciek danych, do którego doszło w 2018 r. Naczelny Sąd Administracyjny zobowiązał...
Spółka już raz nie zgodziła się z tak wysoką karą i z powodzeniem zaskarżyła ją do sądu.
– NSA w prawomocnym wyroku wytknął urzędowi, że ten źle przeprowadził postępowanie dowodowe – mówi adwokat dr Paweł Litwiński. – Sąd ten jednak nie ma możliwości oceny merytorycznej dowodów, a skupia się tylko na kwestiach proceduralnych. Zdaniem sądu UODO zbierał dowody bardzo jednostronnie, tylko na niekorzyść Morele.net. Na pewno decyzja znów zostanie zaskarżona – dodaje adwokat.
To kolejna wysoka kara od UODO
To nie pierwsza tak wysoka kara nałożona przez UODO. W 2022 r. urząd ukarał firmę Fortum Marketing and Sales Polska kwotą 4,9 mln zł, jednak WSA w Warszawie uchylił tę decyzję. Niezakończona jest też sprawa pierwszej kary nałożonej po wejściu w życie przepisów RODO na Bisnode. Bo choć NSA podtrzymał decyzję UODO, to przekazał ją do ponownego rozpoznania w zakresie wysokości kary (943 tys. zł).
– Droga do finalnego rozstrzygnięcia w sprawie kary jest długa, bo taka decyzja może trafić do WSA, a następnie nawet NSA, i kilkakrotnie wracać do organu – tłumaczy mec. Jakub Wezgraj. – Ale w końcu, przynajmniej w niektórych sprawach, racje organu zostaną uznane i trzeba będzie płacić. To narastająca kula śniegowa – dodaje.
Czytaj więcej
Skutki upublicznienia danych medycznych mogą być poważniejsze, niż się początkowo wydawało. Firma ALAB bada tę sprawę.
– Możemy się spodziewać wzrostu wysokości kar, zwłaszcza w Polsce, gdzie te kary nie należą do najwyższych – zauważa Paweł Litwiński.
Z kolei radca prawna Ewa Kurowska-Tober wskazuje, że po pierwszej fali obaw po wejściu w życie RODO nastąpiło pewne wyciszenie.
– Przedsiębiorstwa uznały, że może nie będzie tak źle, bo kary nie są zbyt wysokie. To jednak błędne podejście, bo urząd potrzebował czasu, by wdrożyć się w RODO. Kary będą rosły. Wzorując się na coraz większej liczbie decyzji zapadających w innych krajach UE, nasz urząd nie pozostanie w tyle – mówi ekspertka.
Spośród wszystkich decyzji prezesa UODO nakładających kary pieniężne ponad 40 jest prawomocnych. Obecnie Urząd prowadzi też postępowanie ws. głośnego pod koniec zeszłego roku wycieku danych z ALAB. Przypomnijmy, że kara za naruszenie przepisów RODO może wynieść do 4 proc. rocznego światowego obrotu lub do 20 mln euro.
Czytaj więcej
Udostępnienie niezanonimizowanych danych osobowych dziennikarzowi jest naruszeniem ochrony danych osobowych i należy je zgłosić Prezesowi UODO – uz...
