2,8 mln zł kary dla Morele.net od UODO to przestroga dla firm handlujących w internecie

Kolejny rekord wysokości kary za złamanie przepisów o ochronie danych osobowych został pobity. Internetowy sklep Morele.net został właśnie ukarany obowiązkiem zapłaty 2,8 mln zł za nienależytą ochronę danych osobowych przeszło 2,2 mln swych klientów. Dane te w wyniku ataku hakerskiego miały zostać przejęte przez nieustalone do tej pory osoby. Hakerzy włamali się do systemu Morele.net i ściągnięte stamtąd dane wykorzystali do ataku pishingowego, podsyłając klientom link do fałszywej strony sklepu, na której mieliby dopłacić rzekomo brakujący 1 zł do rachunku za zakupy, jakich wcześniej dokonali właśnie w sklepie Morele.net.

Spółka zgłosiła sprawę organom ścigania i powiadomiła o tym Urząd Ochrony Danych Osobowych. Poinformowała o tym incydencie także swoich klientów, ostrzegając przed próbą oszustwa.

Urząd uznał jednak, że zabezpieczenia stosowane w spółce były niewystarczające i nałożył na e-sklep karę. Jak wynika z uzasadnienia opublikowanej przez UODO decyzji, kara została pomniejszona, uwzględniając aktywne podejście przedsiębiorcy, który podjął wszelkie możliwe środki mające na celu usunięcie stwierdzonych naruszeń.

Czytaj także:

UODO nałożył rekordową karę na Morele.net

Ostrzeżenie dla innych

Jak przyznał Urząd, kara ma jednak charakter prewencyjny i ma zniechęcić innych administratorów danych osobowych „do naruszania przepisów o ochrony danych osobowych w przyszłości".

– Spółka będzie się odwoływała od tej decyzji do wojewódzkiego sądu administracyjnego – komentuje dr Maciej Kawecki z kancelarii Maruta Wachta, reprezentującej Morele.net. – W postępowaniu w UODO nie został bowiem chociażby uwzględniony wniosek o opinię biegłego, która mogłaby rzucić nowe światło na przebieg ataku hakerskiego, którego ofiarą padła spółka Morele.net. Uważam, że sprawa ma ogromne znaczenie dla wszystkich podmiotów, które przetwarzają dane osobowe w Polsce. Jej rozstrzygnięcie pokaże, jaki wpływ na zakres odpowiedzialności ma współpraca pomiędzy regulatorem a ukaranym na etapie prowadzonego postępowania. Tutaj mimo zawiadomienia Policji, organów cyberbezpieczeństwa i ścisłej współpracy z Urzędem, została nałożona kara w bardzo wysokim wymiarze. Za dodatkową karę dla spółki uznaję też duży szum medialny jaki powstał wokół tej sprawy. Konferencja prasowa UODO, mówienie o wycieku danych, jest dla mnie bardzo kontrowersyjne i stanowi odrębny wymiar kary. Dotyczy to wszystkich podmiotów, jakie mogą być ukarane – ocenia dr Kawecki.

Międzynarodowe standardy

– Obserwując działania urzędów ochrony danych osobowych w innych państwach UE, nie jestem zaskoczony nałożeniem kary przez polski urząd za niewystarczający poziom bezpieczeństwa danych klientów zgromadzonych w systemie elektronicznym – komentuje Michał Kluska, adwokat w DZP. – Jest to jednak poważne ostrzeżenie dla polskich przedsiębiorców, którzy nie zawsze wywiązują się z tego obowiązku na najwyższym poziomie. Z decyzji urzędu wynika sporo wskazówek, jakie normy powinny spełniać zabezpieczenia stosowane przez przedsiębiorców.

UODO w swojej decyzji powołał się na standardy ochrony danych osobowych w internecie określonych w normie PN-ISO/IEC 29115:2017 07 („Technika informatyczna – Techniki bezpieczeństwa – Ramy uzasadnionej pewności poziomów uwierzytelnienia"), a także opracowanych przez amerykańską agencję federalną – Narodowy Instytut Standaryzacji i Technologii (ang. National Institute of Standards and Technology, NIST), zawarte w dokumencie NIST 800-63B.

Zdaniem UODO zachowanie tych standardów pozwoliłoby na właściwe zabezpieczenie danych osobowych klientów.

– Problem jednak w tym, że nawet te normy nie są aż tak precyzyjne, aby ich proste zastosowanie dało gwarancję bezpieczeństwa. Jedno jest pewne. Przedsiębiorca działający w cyberprzestrzeni musi być czujny przez cały czas i systematycznie podnosić poziom bezpieczeństwa danych swoich klientów – komentuje mecenas Kluska.