Morele.net kontra UODO. Brak opinii biegłego znów kością niezgody

Urząd Ochrony Danych Osobowych ponownie ukarał firmę Morele.net za brak odpowiednich środków i procedur zabezpieczających dane użytkowników. Jednak wcześniej kara została uchylona ze względu na niepowołanie biegłego - czego i tym razem nie zrobiono.

Publikacja: 08.02.2024 15:23

Morele.net kontra UODO. Brak opinii biegłego znów kością niezgody

Foto: Adobe Stock

Szymon Cydzik

Jak pisaliśmy wczoraj na łamach „Rz”, ostatnią decyzją poprzedni prezes UODO Jan Nowak nałożył na Morele.net karę 3,8 mln zł. To już druga próba ukarania spółki za wyciek danych 2,2 mln klientów, który nastąpił pod koniec 2018 r. Na skutek ataku ujawniono przede wszystkim numery telefonów osób dokonujących zamówień w tym sklepie, w efekcie zaczęły one otrzymywać fałszywe SMSy. W przypadku części osób wyciekły także numery PESEL i numery dowodów osobistych. Początkowo firma zaprzeczała, że doszło do incydentu, finalnie jednak się do niego przyznała.

W czasie kontroli UODO ustalono m.in., że administrator nie stosował szyfrowania w przypadku części danych, dysponował niewystarczającym systemem uwierzytelniania kont, a także zaniechał analizy ryzyka, która powinna uwzględniać np. zagrożenia związane z możliwością logowania się do systemu z sieci publicznej. Zabrakło także rozwiązań technicznych i administracyjnych umożliwiających monitorowanie ruchu w sieci i reagowanie w razie wykrycia nieprawidłowych działań.

Jak informuje UODO, w toku postępowania stwierdzono, że spółka nie miała nawet pewności czy i jakie dane zostały wykradzione. Dopiero po wycieku zaczęła wdrażać odpowiednie rozwiązania. Zdaniem prezesa Urzędu, wcześniejsze ich wprowadzenie pozwoliłoby wykryć próby nieautoryzowanego dostępu i podjąć odpowiednie działania w celu uniemożliwienia kradzieży danych. Także sam administrator przyznał, że brak ich wdrożenia był błędem z jego strony. Zwróciliśmy się do Morele.net z prośbą o stanowisko ws. ponownego ukarania przez urząd, ale nie otrzymaliśmy odpowiedzi.

Czytaj więcej

Konsumenci

Olbrzymia kara za wyciek danych. UODO nie odpuszcza Morele.net

Drogo może zapłacić sklep Morele.net za niedopilnowanie danych klientów. A kary będą rosły.

Liczy się sposób reakcji na incydent

- Naruszenia bezpieczeństwa danych wynikają zwykle z błędów ludzkich. Więc będą się zdarzały tak długo, jak długo będziemy przetwarzać dane. Kluczem jest jednak wykazanie, że administrator potrafi prawidłowo zareagować na kryzys. Aby to zrobić, trzeba najpierw przeprowadzić analizę ryzyka i przygotować organizację na taką sytuację. Organ zawsze bardzo mocno bierze pod uwagę zaangażowanie administratora i to, czy chce on faktycznie minimalizować skutki i przeciwdziałać zagrożeniu, czy raczej chce ukryć ten fakt - wskazuje radca prawny Jakub Wezgraj.

I dodaje, że choć liczba naruszeń będzie rosła, a wraz z nią liczba nakładanych kar, to już wysokość jednostkowej kary zależy od skali danego incydentu – np. ile osób on obejmie, oraz podejścia administratora. Z reguły naruszenia obnażają faktycznie braki organizacji i błędy w podejściu do zarządzania bezpieczeństwem danych osobowych.

- Kara powinna byś skuteczna i odstraszająca, a zatem jej wysokość – oprócz okoliczności samego uchybienia przepisom – będzie też dostosowana do obrotu konkretnego karanego przedsiębiorcy. Im jest on większy, tym wyższa kwota kary, żeby spełniała ona swoje cele - tłumaczy z kolei prof. Grzegorz Sibiga, adwokat, partner w Traple Konarski Podrecki & Wspólnicy.

Czytaj więcej

Dane osobowe

Morele nie zapłaci gigantycznej kary za wyciek danych. NSA obciążył UODO

Sklep internetowy Morele.net nie zapłaci prawie 3 mln zł kary za wyciek danych, do którego doszło w 2018 r. Naczelny Sąd Administracyjny zobowiązał natomiast Urząd Ochrony Danych Osobowych do zwrócenia portalowi 65 tys. zł za kosztów postępowania.

UODO nie chce powoływać biegłych ws. Morele.net

Jednak 9 lutego 2023 r. NSA uchylił pierwszą karę nałożoną na Morele.net z przyczyn formalnych. Chodziło o zaniedbania Urzędu podczas postępowania dowodowego, w szczególności nie uwzględnianie wniosku spółki i powołanie biegłego. W odpowiedzi na nasze pytanie UODO poinformował, iż z uzasadnienia wyroku NSA wyraźnie wynika, że prezes UODO przy ocenie standardów zastosowanych przez Morele.net. zabezpieczeń zobowiązany był przeprowadzić dowód z opinii biegłego albo wytworzyć wewnętrzny dokument stanowiący wnioski z analizy środków bezpieczeństwa stosowanych przez spółkę, do którego ta mogłaby się odnieść w toku postępowania. Urząd zdecydował się na tę drugą opcję, a analizę przeprowadzili pracownicy UODO, wybrani ze względu na posiadane kwalifikacje i doświadczenie w obszarze zagadnień bezpieczeństwa teleinformatycznego.

Teoretycznie więc wskazania NSA zostały wykazane, jednak eksperci są krytyczni wobec decyzji o rezygnacji z powołania biegłego:

- Na pewno decyzja znów zostanie zaskarżona i z pewnym prawdopodobieństwem ponownie zostanie ona zakwestionowana przez sąd - mówi dr Paweł Litwiński, adwokat, partner w kancelarii Barta Litwiński.

Z kolei Grzegorz Sibiga wskazuje na szerszy problem i niechęć UODO do posiłkowania się wiedzą zewnętrznych ekspertów.

- Według mojej wiedzy, od początku obowiązywania w Polsce ustawy o ochronie danych osobowych, tj. od 1998 r. nie było jeszcze postępowania administracyjnego, by organ nadzorczy lub jego pracownicy skorzystali z opinii zewnętrznego biegłego z zakresu technologii czy technik informacyjnych. Rozumiem, że w urzędzie znajdują się komórki organizacyjne, których pracownicy posiadają odpowiednią wiedzę, ale trudno zaakceptować, że od 25 lat nie było w Polsce sprawy, która wymagała, aby wiedzy specjalnej osoby trzeciej. Choćby w celu potwierdzenia stanowiska Urzędu - tłumaczy prof. Sibiga.

I dodaje, że UODO powinien zastanowić się nad zmianą swojej polityki i chociaż wewnętrznie określić, w jakich sytuacjach z takich biegłych będzie korzystał.

- Obecny kierunek jest niepokojący, bo nieprzekonująca wydaje się teza, że organ jest wyspecjalizowany w dosłownie każdym temacie. Zastrzeżenia sądów administracyjnych wskazujące błędy w ustaleniach technicznych należy potraktować jako sygnał ostrzegawczy w tym zakresie - podsumowuje Grzegorz Sibiga.

Dane Osobowe biznes firma w urzędzie Urząd Ochrony Danych Osobowych (UODO)

Pozostało 89% artykułu

Podatki

Skarbówka zażądała 240 tys. zł podatku od odwołanej darowizny. Jest wyrok NSA

Naliczenia podatku od spadków i darowizn, gdy w wyniku odwołania darowizny doszło do skutecznego anulowania podstawy przysporzenia i jego zwrotu, nie da się pogodzić z konstytucją – uznał NSA.

Materiał Promocyjny

Nowe Audi a5 już tu jest! Wylicz swoją ratę w leasingu 100% online!

Prawo w Polsce

Jest apel do premiera Tuska o usunięcie "pomnika rządów populistycznej władzy"

Amnesty International Polska oraz sześć innych organizacji zwróciło się do premiera Donalda Tuska o zainicjowanie przez rząd procesu legislacyjnego prowadzącego do nowelizacji ustawy prawo o zgromadzeniach.

Edukacja i wychowanie

Ferie zimowe 2025 później niż zazwyczaj. Oto terminy dla wszystkich województw

Za nami dopiero pierwsze tygodnie nowego roku szkolnego 2024/2025. Wielu uczniów i rodziców myśli już jednak o odpoczynku od nauki. Warto w związku z tym sprawdzić, jakie są terminy ferii zimowych 2025 dla poszczególnych województw.

Praca, Emerytury i renty

Ile trzeba zarabiać, żeby na konto trafiło 5000 zł

Zastanawiasz się, ile musisz zarabiać brutto, by na Twoje konto wpływało 5000 zł netto? Kwota ta znacząco różni się w zależności od formy zatrudnienia.

Materiał Promocyjny

Klimat a portfele: Czy koszty transformacji zniechęcą Europejczyków?

Europejczycy są coraz bardziej przekonani, że mogą wpłynąć na ochronę klimatu poprzez zmianę codziennych nawyków

Warszawa, 26.02.2024. Minister sprawiedliwości, prokurator generalny Adam Bodnar oraz wceminister sp

Prawo karne

Rząd zmniejsza liczbę więźniów. Będzie 20 tys. wakatów w celach

W polskich aresztach i zakładach karnych przebywa o ponad 5 tys. więźniów mniej niż przed rokiem. Częściej wychodzą na wolność przed zakończeniem odbywania kary. - To dobra wiadomość - chwali ekspert.

Materiał Promocyjny

Opel Movano w leasingu 105% – sprawdź teraz!

Dane osobowe

PUODO o KROPiK: rejestr zwierząt niebezpieczny dla ludzi

Sam cel utworzenia Krajowego Rejestru Oznakowanych Psów i Kotów jest słuszny, ale przetwarzanie danych o nawet 12 milionach właścicieli psów i kotów, powinno odbywać się z ograniczeniem ryzyka dla tych danych - twierdzi Prezes Urzędu Ochrony Danych Osobowych, który został pominięty w procesie opiniowania projektu.

Jakub Faryś prezes Polskiego Związku Przemysłu Motoryzacyjnego

Magazyn o biznesie

Chińczycy testują motoryzacyjną Europę

Sektor moto w Europie jest pogrążony w kryzysie, na to nakłada się ofensywa chińskich producentów. Co to oznacza dla polskiego biznesu?

Transport

Zdesperowani Rosjanie szukają samolotów. Proszą o pomoc Kuwejt i Katar

Pogarszająca się kondycja rosyjskiej floty komercyjnej zmusiła władze do poszukiwania nowych rozwiązań. Chcą przekonać kraje, które nie nałożyły na Rosję sankcji, aby im pomogły. Jak na razie bez sukcesów.

Biznes

Podcast „Twój Biznes”: Frankowa kontrofensywa banków

Jest czwartek, 21 października, a w najnowszym odcinku „Twój Biznes” Bartłomiej Kawałek podsumowuje najważniejsze wydarzenia gospodarcze.

Kadry i Płace

Czy szef może zmusić pracownika do zaszczepienia się?

Obowiązkiem pracodawców jest ochrona życia i zdrowia pracowników. Czy w zakresie tego obowiązku firma może wymagać szczepienia, pytać o nie albo zwolnić za jego brak?

Zdrowie

Unijna dyrektywa doprowadzi do wzrostu cen leków? Branża szykuje skargę do TSUE

Producenci leków nie zgadzają się z nadmiernym obciążeniem ich kosztami za usunięcie mikrozanieczyszczeń ze ścieków komunalnych. A skutki w postaci wyższych cen leków odczują pacjenci.

Biznes

Joanna Trepka, twórczyni marki L37: Koszty biznesowych błędów wzięli na siebie moi rodzice

Przez pierwsze 3–4 lata działaliśmy właściwie na granicy zera. Dzisiaj spółka jest rentowna, zyski wahają się od 500 tysięcy do półtora miliona złotych rocznie – mówi Joanna Trepka, twórczyni marki L37, produkującej buty i torebki.