1/2 @UODOgov_pl nałożył najwyższą dotychczasową karę finansową. Na spółkę @morele_net reprezentowaną przez zespół kancelarii której jestem członkiem, za atak hakerski nałożono karę w wysokości 2 830 410 zł. Spółka wydawała mln zł na bezpieczeństwo danychhttps://t.co/OscKXYJ715
— Dr Maciej Kawecki (@kawecki_maciej) September 19, 2019
O karze poinformował dr Maciej Kawecki – wcześniej dyrektor w Ministerstwie Cyfryzacji odpowiedzialny za ustawę o ochronie danych osobowych, a obecnie związany z kancelarią prawną Maruta Wachta, która reprezentuje w tej sprawie Grupę Morele.
Biorąc pod uwagę wysokość kary, UODO wycenił dane osobowe użytkownika, którego dane skradziono na 1,28 zł.
Komunikat UODO
„Zastosowane przez spółkę środki organizacyjne i techniczne ochrony danych osobowych nie były odpowiednie do istniejącego ryzyka związanego z ich przetwarzaniem, przez co dane około 2 mln 200 tys. osób dostały się w niepowołane ręce. Zabrakło odpowiednich procedur reagowania na wypadek pojawiania się nietypowego ruchu w sieci – uznał Prezes UODO.
Nakładając karę, organ nadzorczy stwierdził, że naruszenie, do jakiego doszło w tej sprawie, miało znaczną wagę i poważny charakter oraz dotyczyło dużej skali osób. W swojej decyzji organ nadzoru wskazał również, że w wyniku naruszenia powstało wysokie ryzyko negatywnych skutków dla osób, których dane dostały się w niepowołane ręce, jak np. tzw. kradzież tożsamości.
W większości były to takie dane jak: imię i nazwisko, numer telefonu, e-mail, adres doręczeń. Jednak w przypadku około 35 tys. osób wyciekły dane z ich wniosków ratalnych. A zakres danych obejmował dodatkowo numer PESEL, serię i numer dokumentu tożsamości, wykształcenie, adres zameldowania, adres do korespondencji, źródło dochodu, wysokość dochodu netto, koszty utrzymania gospodarstwa domowego, stan cywilny, wysokość zobowiązań kredytowych czy alimentacyjnych.
W decyzji nakładającej karę Prezes UODO uznał, że spółka nie stosując wystarczających środków technicznych ochrony danych naruszyła m.in. określoną w art. 5 ust. 1 lit f RODO zasadę poufności. W związku z tym doszło do nieuprawnionego dostępu do danych klientów i do uzyskania tych danych. Organ uznał, że miało miejsce zastosowanie nieskutecznego środka uwierzytelniania dostępu do danych. Dodatkowe środki zabezpieczenia technicznego spółka wdrożyła już po naruszeniu.
W toku postępowania ustalono, że do naruszenia doszło także z uwagi na nieskutecznie monitorowanie potencjalnych zagrożeń. Postępowanie wykazało także inne uchybienia, jednak to brak odpowiednich środków technicznych (niewystarczające zabezpieczenia) i organizacyjnych (dotyczących monitorowania potencjalnych zagrożeń, związanych z nietypowymi zachowaniami w sieci) przesądził o nałożeniu kary. Przy ustalaniu jej wysokości Prezes UODO wziął jednak pod uwagę okoliczności łagodzące, jak np.: podjęcie przez spółkę działań zmierzających do usunięcia naruszenia, dobrą współpracę z administratorem oraz to, że wcześniej spółka nie dopuściła się naruszenia przepisów o ochronie danych osobowych.”
Treść komunikatu dostępna na stronie UODO.
Wg ekspertów atak hakerski może zdarzyć się każdemu
W grudniu 2018 roku Grupa Morele poinformowała o włamaniu do bazy, w której znajdowały się dane zarejestrowanych użytkowników sklepów internetowych należących do Morele. Firma zapewniła, że wykryła atak i go zablokowała, ale jednocześnie zastrzegła, że hakerzy mogli przejąć ich dane logowania. Ostatecznie okazało się, że zakres wycieku był większy i mógł obejmować dane z dowodów tożsamości oraz te sytuacji finansowej klientów.
Grupa Morele zapowiedziała, że odwoła się od decyzji UODO do sądu.
Jeśli firma stosowała zabezpieczenia i odpowiednią higienę ochrony danych klientów (inwestycje w bezpieczeństwo, audyty, procedury, nowoczesne technologie), to trudno mówić tutaj naruszeniu z winy firmy. Sprawa jest ważna dla e-commerce, bo jeśli faktycznie było tak jak twierdzi Morele, to decyzja UODO odbije się szerokim echem w biznesie – ofiary przestępców będą płacić kary za to, że dały się obrabować.
Czy do e-commerce pójdzie komunikat, że nawet jeśli stosujesz super zabezpieczenia i jestem w 100% RODO friendly, to po ataku złodziei będziesz musiał płacić wysokie grzywny nałożone przez RODO? Na tę informację czeka 30 tysięcy e-sklepów w Polsce.