8/2/2024
Mamy kolejny zwrot akcji w serialu pt. “Morele.net dostaje karę za ogromny wyciek”. Po przegranej w NSA prezes UODO jeszcze raz przeanalizował naruszenie przepisów RODO i zdecydował o nowej karze. Spółka nie zgadza się z decyzją i ma zamiar ją zaskarżyć.
Zgadujemy, że jeśli czytasz ten tekst to zadajesz sobie jedno pytanie. “Czy to jakaś nowa sprawa, czy ciągle ta stara historia z Morelami?”. No więc to jest dalszy ciąg historii sprzed lat. Zacznijmy od przypomnienia.
- 23 listopada 2018 ostrzegliśmy, że coś niepokojącego dzieje sie w Morele. Na redakcyjnej skrzynce mieliśmy pełno zgłoszeń od klientów tego sklepu. Dostawaliście fałszywe SMS-y i wyglądało na to, że ktoś ma dostęp do bazy danych Morele.
- 18 grudnia 2018 Morele przyznało, że sklep był źródłem danych klientów.
- 20 grudnia 2018 ujawnił się włamywacz. Szantażował sklep. Stało się jasne, że wykradziono PESEL-e i skany dowodów klientów.
- 27 grudnia 2018 informowaliśmy o tym, ze dane krążą po sieci. Kilkaset tysięcy haseł było już złamanych, a w bazie znajdowały się też dane klientów, którzy …usunęli konta.
- 2 lutego 2019 informowaliśmy, że dane z bazy Morele są wykorzystywane jako wielka książka telefoniczna Polaków, a pozyskiwane z niej numery są używane do prześladowań niewinnych osób.
Potem był drugi sezon serialu, czyli do akcji weszło UODO, prawnicy Morele.net i sądy administracyjne.
- 10 września 2019 UODO nałożył na sklep karę w wysokości 3 mln zł. Kontrowersyjne było karanie ofiary przestępstwa, ale podobne rzeczy już się wcześniej w Europie zdarzały.
- Spółka odwołała się do Wojewódzkiego Sądu Administracyjnego w Warszawie. Ten zgodził się z UODO. Sąd uznał, że spółka mająca tak dużą bazę klientów powinna bardziej się pilnować (to był 3 września 2020).
- Morele.net złożyła skargę kasacyjną do Naczelnego Sądu Administracyjnego. 9 lutego 2023 zapadł kolejny wyrok. NSA stwierdził, że skarga kasacyjna miała uzasadnione podstawy.
Skąd nowa decyzja?
Teraz przypomnijmy na czym stanęła cała sprawa w lutym ub. r. Otóż NSA uznał, że Wojewódzki Sąd Administracyjny nie pozwolił spółce Morele.net na bronienie się w sądzie i błędnie założył, że Prezes UODO dysponował dostatecznym materiałem dowodowym w sprawie. Przed sądem Morele.net żądała m.in. dopuszczenia dowodu z opinii biegłego, do czego ostatecznie nie doszło. Zdaniem NSA to był błąd bo sprawa była niejako precedensowa i wskazane było większe zobiektywizowanie oceny środków stosowanych przez Morele.net. NSA uznał też, że UODO zbyt lakonicznie uzasadnił swoją decyzję.
NSA zauważył też, że “środki techniczne i organizacyjne” stosowane w celu zabezpieczania danych nie muszą być środkami “zawsze skutecznymi”. Są to raczej środki, których stosowanie mogło być w momencie naruszenia uznane za “obiektywnie wymagane”.
To wszystko nie oznaczało, że NSA podważył decyzję UODO jako całość. Wyciek niewątpliwie był i klienci ucierpieli z jego powodu. Nie było tylko wiadomo, czy UODO właściwie ocenił sytuację. Urząd w reakcji na wyrok NSA najpierw oświadczył, że nie powinno się podważać jego kompetencji. Potem zaś postanowił… przeprowadzić kolejne postępowanie w sprawie wycieku z Morele.net.
Nowa kara
Dziś UODO poinformował, że zakończył kolejne postępowanie administracyjne w sprawie wycieku. Wykazało ono, że do naruszenia ochrony danych osobowych doszło przez brak zastosowania przez Spółkę odpowiednich zabezpieczeń, co doprowadziło do wycieku danych osobowych 2,2 mln osób. Zdaniem UODO zabrakło też wdrożenia procedur, które pozwoliłyby zareagować na nietypowe zdarzenia w sieci Spółki.
Nowa decyzja została podparta nową analizą rozwiązań Morele.net opracowaną przez UODO w celu “dostosowania się do wyroku NSA”. W komunikacie Urzędu na ten temat czytamy:
W toku postępowania Prezes UODO nie powołał biegłego, a strona postępowania kwestionowała przedstawioną analizę, zarzucając m.in. stronniczość jej autorów i domagając się ich wyłączenia. Organ nadzorczy nie uwzględnił tego zarzutu w toku postepowania, gdyż de facto prowadziłoby to do tego, że żaden z pracowników UODO nie mógłby zajmować się tą sprawą z uwagi na zarzut stronniczości.
Tymczasem przygotowana analiza wykazała, że administrator nie szyfrował części danych (do czego zresztą się przyznał), nie dysponował dwuskładnikowym uwierzytelnianiem, nie przeprowadził analizy ryzyka, która uwzględniałaby m.in. zagrożenia związane z możliwością logowania się do systemu z sieci publicznej. W efekcie dwukrotnie doszło do nieautoryzowanego dostępu z zewnątrz, na skutek którego osoba niepowołana weszła w posiadanie danych klientów spółki Morele.net.
Zabrakło też rozwiązań technicznych i administracyjnych pozwalających monitorować ruch w sieci i reagować w przypadku wykrycia nieprawidłowych działań.
Kara nałożona na Morele.net w roku 2019 wynosiła dokładnie 2 830 410 PLN (660 tys. EUR). Teraz będzie to 3,8 mln złotych.
Morele.net: “Zaskarżymy decyzję”
Spółka Morele.net potwierdziła, że otrzymała decyzję Prezesa Urzędu Ochrony Danych Osobowych i zapowiada dalsza walkę w sądzie. Zdaniem spółki nie ma powodów, by kolejna kara była wyższa. Poniżej pełna treść komentarza Morele.net.
Spółka Morele.net potwierdza, że otrzymała decyzję Prezesa Urzędu Ochrony Danych Osobowych dotyczącą ataku hakerskiego z 2018 r.
Nie zgadza się jednak z decyzją Prezesa UODO i zamierza zaskarżyć ją do Wojewódzkiego Sądu Administracyjnego. Prezes UODO nie naprawił kluczowej nieprawidłowości wskazanej przez NSA w wyroku uchylającym pierwotną decyzję urzędu i nie powołał biegłego, który przygotowałby obiektywną ocenę prawidłowości zabezpieczeń danych osobowych stosowanych w 2018 r. przez Spółkę. Powołanie takiego biegłego w świetle oceny sytuacji sprzed ponad 5 lat jest konieczne dla niezależności i bezstronności oceny postępowania Spółki.
Zabezpieczenia stosowane przez Spółkę były starannie dobrane, zgodne z praktyką rynkową i spełniały wymogi RODO.
W ocenie Spółki Prezes UODO nie był też uprawniony do nałożenia kary wyższej niż kara nałożona w decyzji z 2019 r. W tym okresie nie zmieniły się okoliczności związane ze sprawą, w tym nie pojawiły się żadne okoliczności obciążające. Wręcz przeciwne, część zarzutów wobec Spółki zostało uchylonych wyrokiem NSA. Zastosowany przez Prezesa UODO sposób obliczenia kary był jednocześnie dowolny i nieuzasadniony przepisami RODO.
Aktualizacja 8.02.2024 14:06
Do tekstu dodaliśmy stanowisko spółki Morele.net.
No i co z tego że dostali miliony złotych kary, ja jako poszkodowany klient nie dostanę z tego ani grosza.
No tak jest skonstruowane “prawo”, żeby łatać budżet. Możesz kogoś pozwać o naruszenie dóbr osobistych ale nic nie ugrasz raczej jak twoje dany wyciekły. Generalnie rodo można sobie o kant d u p y rozbić, to po prostu zalegalizowanie na masowe przetwarzanie danych pod warunkiem wygenerowania odpowiedniej ilości makulatury.
no a kiedy kara dla ALab? czy może plecy mają za duże?
Nie są znane szczegóły sprawy. Sam fakt wycieku w wyniku włamania/złamania zabezpieczeń nie jest podstawą do nałożenia kary. Kara jest właściwa, gdy przepisy zostały naruszone przez podmiot utrzymujący dane (np. zabezpieczeniami niedostosowanymi do zakresu danych), a nie wtedy, gdy naruszenia przepisów dopuścił się tylko atakujący.
Czy ktoś może się wypowiedzieć nt. na podstawie czego UODO “wycenia” kary? Z jednej strony dziwne, że nagle kara wzrosła o jeden milion PLN, a z drugiej wydaje mi się niska – dane osobowe jednego klienta są warte… 1.50 PLN?
Gdzieś mi mignęło, że na podstawie wytycznych ERODu, które się pojawiły w międzyczasie::
https://edpb.europa.eu/our-work-tools/our-documents/guidelines/guidelines-042022-calculation-administrative-fines-under_en
Karą powinno być zapewnienie klientom których dane wyciekły pełnego wsparcia prawnego w przypadku kiedy dane tychże klientów były wykorzystane do przestępstwa.
[…] Na koniec warto wiedzieć, że owszem, prawo nie wyklucza możliwości złożenia skargi także na organ nadzorczy, gdyby osoba, której dane dotyczą uzna, że Prezes UODO niewłaściwie przetwarza jej dane osobowe. Tak więc skarga do UODO na UODO jest niewykluczona. Ciekawe tylko jak potem sąd oceniałby obiektywność organu nadzorczego? Albo jaką karę UODO wymierzyłoby sobie samo, gdyby doszło do wniosku że musi dokonać samoukrania? Jak wiemy, zdarzały się już ciekawe sprawy sądowe, w których skarżący narzekał na zbyt małe zobiektywizowanie ocen dokonanych przez UODO — np. ta opisy…. […]
Janusze z Morele płacą już trzeci raz za swoją głupotę. Trzeba było zapłacić groszowy okup i nie było by żadnego wycieku.
Analiza wsteczna zawsze skuteczna.
Zachęceni opłaceni okupem na pewno potulnie usunęliby wszystkie dane i nie wrócili po więcej.
Właśnie, ja jako klient z tego nic nie dostanę, sieroty w domach dziecka również, wzbogaci się znowu skarb Państwa. Z drugiej strony taka kara dla tak dużego sklepu pewnie będzie prawie nieodczuwalna, tak jak kary dla biedronki za nieprawidłową reklamę .
Ważne że jesteśmy w unii, mamy rodo, twoje dane są bezpieczne i masz pełen wgląd w to jak są przetwarzane.
a odszkodowania dla klientów? BRAK. nawet informacji z przeprosinami morele nie odważyło się wysłać