Rzeczpospolita
Prawo

Olbrzymia kara za wyciek danych. UODO nie odpuszcza Morele.net

Drogo może zapłacić sklep Morele.net za niedopilnowanie danych klientów. A kary będą rosły.

Aktualizacja: 08.02.2024 16:02 Publikacja: 08.02.2024 03:00

Urząd Ochrony Danych Osobowych

Urząd Ochrony Danych Osobowych

Foto: PAP/Wojciech Olkuśnik

Szymon Cydzik

Urząd Ochrony Danych Osobowych nałożył 3,8 mln zł kary na sklep internetowy Morele.net, który dopuścił pod koniec 2018 r. do wycieku danych prawie 2,2 mln osób.

To już druga próba ukarania spółki. Po tym, jak NSA w 2023 r. uchylił decyzję prezesa UODO, urząd ponownie przeprowadził postępowanie i jeszcze podniósł karę. Wykazało ono, że do naruszenia ochrony danych osobowych doszło przez brak zastosowania przez Morele.net odpowiednich zabezpieczeń.

Czytaj więcej

Morele.net kontra UODO. Brak opinii biegłego znów kością niezgody
Dane osobowe
Morele.net kontra UODO. Brak opinii biegłego znów kością niezgody

Skąd taka kara dla Morele.net?

Z ustaleń kontrolnych wynika, że administrator m.in. nie szyfrował części danych, nie dysponował wystarczającym uwierzytelnianiem, nie przeprowadził analizy ryzyka, która uwzględniałaby np. zagrożenia związane z możliwością logowania się do systemu z sieci publicznej. W efekcie dwukrotnie doszło do nieautoryzowanego dostępu z zewnątrz, na skutek którego osoba niepowołana weszła w posiadanie danych klientów – uzasadnia UODO.

Zabrakło też rozwiązań technicznych i administracyjnych pozwalających monitorować ruch w sieci i reagować w przypadku wykrycia nieprawidłowych działań.

Skąd taka kara? – Jej wysokość została ustalona na podstawie wytycznych Europejskiej Rady Ochrony Danych Osobowych w sprawie obliczania administracyjnych kar pieniężnych – mówi rzecznik UODO Adam Sanocki.

Czytaj więcej

Morele nie zapłaci gigantycznej kary za wyciek danych. NSA obciążył UODO
Dane osobowe
Morele nie zapłaci gigantycznej kary za wyciek danych. NSA obciążył UODO

Spółka już raz nie zgodziła się z tak wysoką karą i z powodzeniem zaskarżyła ją do sądu.

– NSA w prawomocnym wyroku wytknął urzędowi, że ten źle przeprowadził postępowanie dowodowe – mówi adwokat dr Paweł Litwiński. – Sąd ten jednak nie ma możliwości oceny merytorycznej dowodów, a skupia się tylko na kwestiach proceduralnych. Zdaniem sądu UODO zbierał dowody bardzo jednostronnie, tylko na niekorzyść Morele.net. Na pewno decyzja znów zostanie zaskarżona – dodaje adwokat.

To kolejna wysoka kara od UODO

To nie pierwsza tak wysoka kara nałożona przez UODO. W 2022 r. urząd ukarał firmę Fortum Marketing and Sales Polska kwotą 4,9 mln zł, jednak WSA w Warszawie uchylił tę decyzję. Niezakończona jest też sprawa pierwszej kary nałożonej po wejściu w życie przepisów RODO na Bisnode. Bo choć NSA podtrzymał decyzję UODO, to przekazał ją do ponownego rozpoznania w zakresie wysokości kary (943 tys. zł).

– Droga do finalnego rozstrzygnięcia w sprawie kary jest długa, bo taka decyzja może trafić do WSA, a następnie nawet NSA, i kilkakrotnie wracać do organu – tłumaczy mec. Jakub Wezgraj. – Ale w końcu, przynajmniej w niektórych sprawach, racje organu zostaną uznane i trzeba będzie płacić. To narastająca kula śniegowa – dodaje.

Czytaj więcej

Urząd Ochrony Danych Osobowych przy ul. Koszykowej w Warszawie
Dane osobowe
UODO czeka na wyjaśnienia od ALAB ws. wycieku danych. Co mogą zrobić poszkodowani

– Możemy się spodziewać wzrostu wysokości kar, zwłaszcza w Polsce, gdzie te kary nie należą do najwyższych – zauważa Paweł Litwiński.

Z kolei radca prawna Ewa Kurowska-Tober wskazuje, że po pierwszej fali obaw po wejściu w życie RODO nastąpiło pewne wyciszenie.

– Przedsiębiorstwa uznały, że może nie będzie tak źle, bo kary nie są zbyt wysokie. To jednak błędne podejście, bo urząd potrzebował czasu, by wdrożyć się w RODO. Kary będą rosły. Wzorując się na coraz większej liczbie decyzji zapadających w innych krajach UE, nasz urząd nie pozostanie w tyle – mówi ekspertka.

Spośród wszystkich decyzji prezesa UODO nakładających kary pieniężne ponad 40 jest prawomocnych. Obecnie Urząd prowadzi też postępowanie ws. głośnego pod koniec zeszłego roku wycieku danych z ALAB. Przypomnijmy, że kara za naruszenie przepisów RODO może wynieść do 4 proc. rocznego światowego obrotu lub do 20 mln euro.

Czytaj więcej

Sąd: prokuratura ma zapłacić 20 tys. zł za naruszenie RODO
Dane osobowe
Sąd: prokuratura ma zapłacić 20 tys. zł za naruszenie RODO

© Licencja na publikację
© ℗ Wszystkie prawa zastrzeżone
Źródło: Rzeczpospolita

Organizacje Dane Osobowe Konsumenci Naczelny Sąd Administracyjny (NSA) Urząd Ochrony Danych Osobowych (UODO)
Ważna opinia z TSUE ws. neosędziów. Nie spodoba się wielu polskim prawnikom
Sądy i trybunały
Ważna opinia z TSUE ws. neosędziów. Nie spodoba się wielu polskim prawnikom
Citi Handlowy: Konto oszczędnościowe do 200 tys. zł. Oferta ważna do 12.05.2025
Materiał Promocyjny
Citi Handlowy: Konto oszczędnościowe do 200 tys. zł. Oferta ważna do 12.05.2025
Advertisement
Będzie nowa ustawa o Sądzie Najwyższym?
Sądy i trybunały
Będzie nowa ustawa o Sądzie Najwyższym. Ujawniamy plany reformy
Jakie warunki trzeba spełnić, aby zdać maturę?
Matura i egzamin ósmoklasisty
Jakie warunki trzeba spełnić, aby zdać maturę 2025?
Pełnomocnik przedsiębiorców ds. deregulacji Rafał Brzoska
ZUS
Kolejny pomysł zespołu Brzoski: ZUS rozliczy składki za przedsiębiorców
Tech trendy to zmiana rynku pracy
Materiał Promocyjny
Tech trendy to zmiana rynku pracy
Resort Bodnara chce dać więcej czasu rozwodnikom. Szykuje zmianę w prawie
Prawo rodzinne
Resort Bodnara chce dać więcej czasu rozwodnikom. Szykuje zmianę w prawie
Polska ma ogromny potencjał jeśli chodzi o samochody elektryczne
Materiał Partnera
Polska ma ogromny potencjał jeśli chodzi o samochody elektryczne
e-Wydanie