Organ nadzorczy po prawie roku wrócił do kwestii wycieku danych z Morele.net, podbijając karę do ponad 3,8 miliona złotych. Wszystko wskazuje na to, że sprawa ponownie trafi do Wojewódzkiego Sądu Administracyjnego (WSA).
Przypomnijmy – w marcu 2023 r. ogólnopolskie media informowały, że spółka Morele.net nie zapłaci kary (2,8 miliona złotych) nałożonej na nią przez organ nadzorczy (Prezesa Urzędu Ochrony Danych Osobowych) w związku ze stwierdzonym wyciekiem danych. Powodem był wyrok Naczelnego Sądu Administracyjnego (NSA). Sąd uchylił decyzję regulatora, wskazując na nieprawidłowości w przeprowadzonym postępowaniu.
Ogromny wyciek w 2018 r., kara w 2019 r.
W 2018 r. portal Niebezpiecznik.pl poinformował o możliwym gigantycznym wycieku danych osobowych w spółce Morele.net. Według jego doniesień, klienci sklepu po dokonanych zakupach otrzymywali fałszywe wiadomości SMS. Spółka początkowo zaprzeczała, że doszło do wycieku danych osobowych, lecz w końcu potwierdziła, że takie zdarzenie miało miejsce, a bliżej nieokreślona osoba trzecia nielegalnie uzyskała dostęp do danych osobowych klientów Na początku 2019 r. portal ten informował dodatkowo o nielegalnym wykorzystywaniu wykradzionych danych osobowych w Internecie.
Pod koniec 2019 r. organ nadzorczy nałożył karę pieniężną na Morele.net, w wysokości ponad 2,8 miliona złotych. Regulator wskazał w decyzji, że wobec niezastosowania odpowiednich zabezpieczeń doszło w spółce do wycieku danych osobowych 2,2 miliona osób. Spółka odwołała się od tej decyzji do WSA.
Analiza ryzyka w RODO
WSA utrzymuje decyzję, NSA ją kasuje
WSA w Warszawie utrzymał w mocy decyzję organu nadzorczego. Wskazał on, że Morele.net nie zastosowała wystarczających zabezpieczeń dostępu do danych osobowych klientów, co było przyczyną wycieku danych osobowych. WSA podzielił argumentację regulatora, jednocześnie odrzucając zarzuty pełnomocników spółki (o tym wyroku pisaliśmy tutaj – https://gdpr.pl/aktualnosci/rekordowa-kara-dla-morele-net-utrzymana). Wyrok WSA został zaskarżony przez spółkę do NSA.
9 lutego 2023 r. NSA uchylił zaskarżony wyrok oraz decyzję organu nadzorczego, zasądzając jednocześnie na rzecz spółki ponad 65 tysięcy złotych, tytułem kosztów sądowych. Co najważniejsze, NSA stanął na stanowisku, że organ nadzorczy nie uprawdopodobnił posiadania wiedzy niezbędnej do przeprowadzenia analizy środków bezpieczeństwa wdrożonych przez spółkę. Sąd zwrócił uwagę, że oceny tej powinien dokonać np. przy pomocy biegłego, czego regulator nie zrobił. Tym samym, w ocenie NSA, organ nadzorczy nie posiadał odpowiedniej wiedzy specjalistycznej umożliwiającej ocenę adekwatności wdrożonych przez spółkę środków technicznych i organizacyjnych.
Znowu kara, ale wyższa
8 lutego br. organ nadzorczy poinformował, że ponownie przeanalizował naruszenie przepisów o ochronie danych osobowych i w efekcie – po przeprowadzonym postępowaniu administracyjnym – raz jeszcze nałożył na Morele.net karę pieniężną, tym razem w wysokości aż ponad 3,8 miliona złotych.
Z ustaleń regulatora wynika, że spółka nie szyfrowała części danych osobowych, nie dysponowała dwuskładnikowym uwierzytelnianiem, jak również nie przeprowadziła analizy ryzyka, która obejmowałaby m.in. zagrożenia związane z możliwością logowania do systemu spółki z sieci publicznej, co zdaniem organu nadzorczego, doprowadziło do nieautoryzowanego dostępu osoby nieuprawnionej do danych osobowych i ich wyciek. Regulator podkreślił również, że Morele.net nie wdrożyła rozwiązań technicznych pozwalających monitorować ruch w sieci i odpowiednio reagować w przypadku dostrzeżenia nieprawidłowości.
Co ciekawe, organ nadzorczy podkreślił, że nie skorzystał w toku postępowania z pomocy biegłego, a swoją decyzję oparł na przeprowadzonej przez siebie analizie, która potwierdziła braki w zabezpieczeniach. Co więcej, wskazał on, że spółka kwestionowała w toku ponownego postępowania przedmiotową analizę, zarzucając m.in. stronniczość jej autorów. Regulator podniósł, że uwzględnienie tego zarzutu prowadziłoby do wniosku, że żaden z jego pracowników nie mógłby zajmować się sprawą z uwagi na zarzut stronniczości.
Oficjalny komunikat spółki
Wszystko wskazuje na to, że sprawa nie zakończy się na decyzji organu nadzorczego. Spółka opublikowała bowiem na swojej stronie internetowej komunikat, wskazując, że zamierza zaskarżyć decyzję do WSA:
„Spółka Morele.net potwierdza, że otrzymała decyzję Prezesa Urzędu Ochrony Danych Osobowych dotyczącą ataku hakerskiego z 2018 r. Nie zgadza się jednak z decyzją Prezesa UODO i zamierza zaskarżyć ją do Wojewódzkiego Sądu Administracyjnego.
Prezes UODO nie naprawił kluczowej nieprawidłowości wskazanej przez NSA w wyroku uchylającym pierwotną decyzję urzędu i nie powołał biegłego, który przygotowałby obiektywną ocenę prawidłowości zabezpieczeń danych osobowych stosowanych w 2018 r. przez Spółkę. Powołanie takiego biegłego w świetle oceny sytuacji sprzed ponad 5 lat jest konieczne dla niezależności i bezstronności oceny postępowania Spółki.
Zabezpieczenia stosowane przez Spółkę były starannie dobrane, zgodne z praktyką rynkową i spełniały wymogi RODO.
W ocenie Spółki Prezes UODO nie był też uprawniony do nałożenia kary wyższej niż kara nałożona w decyzji z 2019 r. W tym okresie nie zmieniły się okoliczności związane ze sprawą, w tym nie pojawiły się żadne okoliczności obciążające. Wręcz przeciwne, część zarzutów wobec Spółki zostało uchylonych wyrokiem NSA. Zastosowany przez Prezesa UODO sposób obliczenia kary był jednocześnie dowolny i nieuzasadniony przepisami RODO”.
Sprawa może mieć duże znaczenie dla praktyki stosowania przepisów o ochronie danych osobowych, w tym przez organ nadzorczy. W szczególności w kontekście oceny adekwatności przyjętych środków bezpieczeństwa. Będziemy się jej przyglądać.
Posłuchaj podcastu klikając TUTAJ
Źródła:
https://niebezpiecznik.pl/post/kara-dla-morele-net-urosla-do-38-mln-nowa-decyzja-uodo/
https://uodo.gov.pl/pl/138/2983
Komunikat Morele.net:
https://www.morele.net/aktualnosc/komentarz-spolki-morele-net-w-zwiazku-z-komunikatem-uodo/22669/
Wyrok NSA:
