11:59
28/3/2023

Co za plot twist! Naczelny Sąd Administracyjny właśnie uchylił wyrok w sprawie Morele i zasądził od UODO (nie od Morele!) 65 000 złotych tytułem zwrotu kosztów postępowania sądowego. Bo – w skrócie – zabrakło opinii biegłego. Tym samym zakończył się wieloletni spór i pierwsza sprawa dotycząca naruszenia RODO w Polsce.

Zanim wytłumaczymy rozumowanie sądu, przypomnijmy chronologię wydarzeń, która doprowadziła nas do tego wyroku:

  • 23 listopada 2018 publikujemy ostrzeżenie, że coś niepokojącego dzieje sie w Morele. Na redakcyjnej skrzynce widzimy pełno zgłoszeń od klientów tego sklepu. Informują, że tuż po zakupach otrzymują fałszywe SMS-y. Wygląda na to, że ktoś ma dostęp do bazy danych Morele. Sklep zaprzecza i twierdzi, że “nie jest źródłem danych, nasza baza danych jest ściśle chroniona. Wiadomości najprawdopodobniej wysyłane są losowo, a ich zbieżność z zamówieniami to wynik masowości całego procederu”.
    Potem po cichu modyfikował to oświadczenie.
  • 18 grudnia 2018 Morele w końcu rozsyła klientom informację, że jednak był źródłem danych klientów.
  • 20 grudnia 2018 na wykopie ujawnia się włamywacz. Prezentuje historię korespondencji (szantażu) ze sklepem i swoją wersję wydarzeń. Okazuje się, że wykradziono też PESEL-e i skany dowodów klientów. Coś, o czym w oświadczeniu do klientów Morele nie informowało. W oświadczeniu dla nas, Morele przyznało się, że “Podanie informacji, iż nie zbieramy żadnych danych w tym zakresie, było naszym błędem”. A potem wysłało sprostowanie do swojej wypowiedzi, twierdząc, że “w danych nie znajdują się skany dokumentów takich jak dowody osobiste.”
  • 27 grudnia 2018, kiedy baza Morele krąży już po sieci, informujemy że kilkaset tysięcy haseł jest już złamanych, a w bazie znajdują się też dane klientów, którzy …usunęli konta. Bo zamiast zostać usunięci z bazy, zostali “sprefiksowani” zwrotem “USUNIETY”
  • 2 lutego 2019, informujemy, że dane z bazy Morele są wykorzystywane jako wielka książka telefoniczna Polaków, a pozyskiwane z niej numery są używane do prześladowań niewinnych osób. Przestępcy nie rozumieją, że w Polsce może być kilka osób, które mają tak samo na imię i nazwisko…

 

Rekordowa (wówczas) kara za RODO

Jak widzicie powyżej, firma Morele.net mocno ucierpiała wizerunkowo w wyniku wycieku, ale to nie był koniec jej zmartwień. 10 września 2019 UODO nałożył na sklep karę w wysokości 3 mln zł. Owszem, karanie firmy za to, że padła ofiarą przestępstwa było kontrowersyjne, ale było to również zgodne z ówczesnym podejściem do takich spraw w UE (British Airways też dostało karę za bycie ofiarą przestępców).

Morele uznało, że to nie fair i spółka od razu zapowiedziała, że odwoła się od kary. Krótko po wydaniu decyzji UODO sprawa trafiła do Wojewódzkiego Sądu Administracyjnego, przed którym Morele żądało także skierowania pewnych pytań do Trybunału Sprawiedliwości UE (TSUE).

WSA: Trzeba było się pilnować

WSA w Warszawie nie znalazł podstaw do skierowania pytania prejudycjalnego do TSUE. Uznał, że decyzja UODO była “zrozumiała”, że zawierała “poprawnie sformułowane rozstrzygnięcie”, a uzasadnienie właściwie wyjaśniało wszystko co powinno, czyli, że — jak twierdziło UODO:

  • login i hasło to trochę za mało aby ochronić dostęp do panelu pracownika dającego dostęp do danych klientów;
  • firma powinna założyć, że ryzyko jest większe i powinna się na nie zawczasu przygotować, mając na uwadze, że przetwarza dane osobowe ponad 2 200 000 użytkowników;
  • stosowany przez spółkę proces usuwania bazy danych z wniosków ratalnych nie był poprzedzony żadną udokumentowaną analizą oraz nie został dokonany na podstawie obowiązujących w spółce procedur określających zasady i okresy usuwania danych osobowych wynikające z przepisów prawa lub celów administratora;

WSA uznał też, że nie wystarczy wdrożyć tego lub innego środka, ale trzeba ciągle monitorować zagrożenia i dostosowywać się do sytuacji.

Danych klientów w bazie nie kasowali, ale o kasację wnieśli ;)

Spółka Morele.net się nie poddała i wniosła skargę kasacyjną do Naczelnego Sądu Administracyjnego. Wyrok w tej sprawie (III OSK 3945/21) zapadł 9 lutego i mówiono o tym w branży, ale do tej pory nie znaliśmy jego uzasadnienia. Dziś można je już znaleźć w bazie orzeczeń NSA.

W skrócie:
NSA nie we wszystkich kwestiach zgodził się z argumentacją Morele, ale to nie przeszkodziło w wydaniu korzystnego dla spółki wyroku. Naczelny Sąd Administracyjny uznał, że skarga kasacyjna ma usprawiedliwione podstawy. Uchylił więc zaskarżony przez Morele wyrok WSA oraz uchylił zaskarżoną decyzję. NSA zasądził też od Prezesa UODO na rzecz Morele.net kwotę 65.075 zł (sześćdziesiąt pięć tysięcy siedemdziesiąt pięć) zł tytułem zwrotu kosztów postępowania sądowego.

W szczególe:
NSA przypomniał, że na gruncie RODO nie ma “statycznych” wymagań dotyczących bezpieczeństwa. Trzeba obserwować ryzyko i się dostosować (o tym samym mówił WSA). NSA zauważył jednak, że za naruszenie obowiązków wynikających z RODO (konkretnie z art. 32 RODO) nie powinien podlegać ten, kto jako administrator albo podmiot przetwarzający dopuścił do nieuprawnionego przetwarzania danych osobowych, a tylko podmiot, który nie dochował odpowiedniego standardu środków bezpieczeństwa. Kara nie jest więc wymierzona za nielegalne działanie osoby trzeciej (np. przestępcy), ale za dopuszczenie do takiego nieautoryzowanego dostępu w związku z nieodpowiednim poziomem stosowanych zabezpieczeń. Zdaniem NSA “środki techniczne i organizacyjne”, których wymaga RODO w celu zabezpieczenia danych to nie są takie środki, które będą skuteczne w każdym przypadku. Są to takie środki, których stosowanie mogło być w momencie naruszenia uznane za “obiektywnie wymagane”. Innymi słowy Morele.net nie może być oceniana wyłącznie w kontekście ostatecznych skutków ataku.

Ale i tak najważniejszy był…

Brak dowodu z opinii biegłego

Zaskarżając decyzję UODO, Morele.net domagała się m.in. przeprowadzenia dowodu z opinii biegłego. WSA zignorował to przyjmując, że Prezes UODO dysponował dostatecznym materiałem dowodowym w sprawie. Wyrok WSA pominął jednak, że sprawa była nowatorska, niejako precedensowa, dotyczyła przetwarzania danych ponad 2 milionów osób. Uzasadnione było zatem większe zobiektywizowanie oceny środków stosowanych przez Morele.net.

W takim stanie rzeczy należy poddać w wątpliwość, czy organ – w dacie wydania zaskarżonej decyzji – posiadał własną wiedzę specjalistyczną, pozwalającą na ocenę odpowiedniości środków technicznych i organizacyjnych w działalności gospodarczej o tak dużej skali. W ocenie sądu kasacyjnego (czyli NSA – przyp. red.) o posiadaniu takiej wiedzy specjalistycznej, niezbędnej do zastąpienia opinii biegłego własnymi ustaleniami, nie przesądza samo twierdzenie organu administracji – czytamy w uzasadnieniu NSA.

Brak prawa do skutecznej obrony

NSA stwierdził wręcz, że zarówno organowi ochrony danych jak i sądowi I instancji “umknęło”, iż postępowanie w sprawie nałożenia kary jest postępowaniem sankcyjnym i to jednoinstancyjnym. Kodeks postępowania administracyjnego nie przewiduje wprost “prawa do obrony”. Dlatego bardzo ważne jest to, aby całe postępowanie toczyło się w sposób możliwie bezstronny i tego – zdaniem NSA – w tej sytuacji zabrakło.

– Za naruszenie zasady czynnego udziału i stanowiącego jej konkretyzację art. 78 § 1 k.p.a. należy uznać prowadzenie postępowania zmierzającego do nałożenia kary pieniężnej z pominięciem wniosków dowodowych strony, dotyczących istotnych dla sprawy okoliczności faktycznych. – stwierdził NSA

NSA wziął także pod uwagę art. 78 ust. 1 RODO i motyw 143 preambuły RODO. Zapisy te wymagają, aby stronie przysługiwało prawo do skutecznej obrony przed sądem.

NSA wytyka UODO lakoniczne uzasadnienie

NSA zgodził się również z innym zarzutem Morele.net dotyczącym arbitralnej oceny materiału dowodowego. UODO w swoim postanowieniu stwierdził, że “stopień skomplikowania sprawy nie przekracza zakresu wiadomości będących w gestii organu”. NSA nie uwierzył w to i uznał, że w sprawie dotyczącej tak dotkliwej kary nie powinno być żadnych wątpliwości co do prawidłowości dokonanych ustaleń. Samo zapewnienie, że UODO wiedział co robi jest… trochę zbyt mało konkretne. NSA stwierdził dosłownie, że decyzja była “uzasadniona w sposób zbyt lakoniczny”.

Podsumowanie

Uchylenie decyzji w sprawie Morele.net będzie chyba najgłośniejszym przypadkiem uchylenia decyzji UODO. Tak, tak, to nie jest ani pierwsze, ani jedyne uchylenie decyzji UODO. Z tego powodu na szkoleniach albo w rozmowach z klientami zdarza nam się słyszeć opinie, że “te kary UODO to i tak są uchylane“. Nie do końca jest to prawdą, bo sądy wielokrotnie zgadzają się z UODO.

Bezpieczeństwo jest procesem i tak samo procesem jest zgodność z RODO. Wszyscy się tego uczymy, a kolejne decyzje, wyroki WSA i wyroki NSA wskazują jak należy o tym myśleć. Jeśli po wyroku w sprawie Morele.net dochodzisz do wniosku, że “RODO/UODO to pic na wodę” to możesz robić błąd, bo następnym razem UODO zatroszczy się o opinię biegłego. Jednocześnie trzeba mieć na uwadze, że pójście do sądu może się opłacić. Nie wydaje nam się, że strategią Morele na tę sprawę było, od początku, storpedowanie wyroku ze względu na brak opinii biegłego. A tu taka niespodzianka!

Aktualizacja 31.03.2023 11:57

Prezes UODO: NSA kwestionuje niezależność i kompetencje Urzędu

W reakcji na uzasadnienie wyroku Prezes Urzędu Ochrony Danych skierował do NSA pismo, w którym “wyraża głębokie zaniepokojenie niebezpiecznym kierunkiem” w jakim jego zdaniem zmierza NSA. Mówiąc w skrócie UODO uważa, że uchylenie jego decyzji z powodu niepowołania biegłego jest kwestionowaniem kompetencji urzędu i podważa jego niezależność jako organu ochrony danych.

— Pracownicy UODO mają wieloletnie, często ponad dwudziestoletnie doświadczenie w kontroli i prowadzeniu postępowań wobec podmiotów przetwarzających dane osobowe. W tym właśnie okresie wytworzona została unikalna wiedza instytucjonalna organu, na której bazują wszyscy jego pracownicy, a która daje gwarancję posiadania wiedzy specjalistycznej pozwalającej na samodzielną ocenę stosowania środków technicznych i organizacyjnych w systemach informatycznych bez konieczności korzystania z pomocy biegłego. Ponadto, wbrew twierdzeniom NSA, dokonywana przez UODO ocena stosowania środków technicznych i organizacyjnych na gruncie RODO nie jest żadnym novum. Co istotne, NSA przed wejściem w życie RODO nie kwestionował kompetencji pracowników Biura GIODO (dawne UODO) do kontroli i prowadzenia postępowania wobec podmiotów przetwarzających dane w systemach informatycznych, w tym w strategicznych z punktu widzenia interesów państwa systemach np. rejestru PESEL – czytamy w komunikacie wydanym przez UODO.

UODO uważa też, że NSA swoim orzeczeniem “całkowicie pominął” prawa osób, których dane wyciekły. Zwrócił też uwagę, że ryzyko dotyczyło zagrożenia polegającego na zastosowaniu phishingu, co byłoby bardzo dotkliwe. Zdaniem Prezesa UODO sposób rozumowania obrany przez NSA może być drogą do uniemożliwienia Urzędowi właściwego wypełniania zadań wynikających z RODO.


Dowiedz się, jak zabezpieczyć swoje dane i pieniądze przed cyberprzestępcami. Wpadnij na nasz kultowy ~3 godzinny wykład pt. "Jak nie dać się zhackować?" i poznaj kilkadziesiąt praktycznych i przede wszystkim prostych do zastosowania porad, które skutecznie podniosą Twoje bezpieczeństwo i pomogą ochronić przed atakami Twoich najbliższych. Uczestnicy tego wykładu oceniają go na: 9,34/10!

Na ten wykład powinien przyjść każdy, kto korzysta z internetu na smartfonie lub komputerze, prywatnie albo służbowo. Wykład prowadzimy prostym językiem, wiec zrozumie go każdy, także osoby spoza branży IT. Dlatego na wykład możesz spokojnie przyjść ze swoimi rodzicami lub mniej technicznymih znajomych. W najbliższych tygodniach będziemy w poniższych miastach:

Zobacz pełen opis wykładu klikając tutaj lub kup bilet na wykład klikając tu.

54 komentarzy

Dodaj komentarz
  1. Za sam sposób w jaki Morele to rozegrało, za to mataczenie, kłamanie w komunikatach i tak są dla mnie skończeni. Nigdy niczego tam nie kupię – tylko w ten sposób możemy tępić tego typu januszerkę.

    • Dokładnie, dla mnie też są skończeni. Do tej pory bez przerwy dostaję spam na maila po wycieku z ich durnej strony. A teraz śmieciom ujdzie to na sucho…

    • Wolne Sądy!

    • Mieliby zaplacic 3 mln kary bo Tobie przychodzi spam na skrzynke.

    • @Antkin Huginn no tak, możesz umniejszać temu, że koledze przychodzi spam na skrzynkę. Ale takich kolegów i koleżanek jest 2,2 miliona.
      Jeśli założymy, że nie wszystkie z tych kont są już aktywne i założymy, że nadal dzięki cudownym Morelkom jest zaspamionych 2 miliony skrzynek to mielibyśmy 3 mln zł / 2 mln ludzi ze spamem na skrzynkach = 1,5 zł za użytkownika.
      To chyba niezbyt dużo ;)

    • Oprócz tej akcji to po prostu sam sklep ma też kiepską obsługę i robią problemy. Natomiast faktycznie – konsumenci mają większą siłę przebicia niż sądy i urzędy.

  2. Link do orzeczenia nie działa tak jak powinien. Wyskakuje 404 “Ktoś coś spierdzielił — albo ty, albo my…”

    • Jeśli błąd 4xx to ty. Jeśli 5xx to my. :)

  3. Tyle mądrych rzeczy piszecie, a wciąż białą czcionka na czarnym tle. Czasem 1 wpisu nie idzie całego przeczytać, bo oczy nie dają rady. Jak chcecie utrzymać czytelników? A przecież większość Waszych klientów to ludzie pracujący oczami… jeszcze na PC idzie pod F12 coś zmienić. Ale jak ktoś na szybko podeśle i chce się na telefonie przeczytać, to nic tylko kropelki do oczu :( czy bezpieczeństwo nie idzie w parze z UX?

    • To dziwne, bo ja mam odwrotnie. Gdyby niebezpiecznik miał “latarkę” na stronie, czyli białe lub inne jaskrawe tło i czarne literki, to na pewno czytałbym go dużo mniej, gdyż moje oczy nie wytrzymują nadmiaru sztucznego światła. Zresztą światło takie, sztuczne, jaskrawe i stymulujące układ nerwowy jest podobno obiektywnie niezdrowe (nie mam źródeł). Stąd filtry światła niebieskiego itp.

    • Jest całkowicie odwrotnie. Ja wszędzie ustawiam czarne tło wtedy oczy nie męczą się tak szybko.

    • Dwa tapnięcia. Tyle jest potrzebne żeby zmienić wygląd tej stronki na czarne litery na białym. Brawo.

    • Jedynym słusznym rozwiązaniem było by zrobienie zwyczajnego trybu ciemnego i jasnego, tak żeby wszyscy byli zadowoleni

    • idz do lekarza, cos nie tak masz z oczami

    • Zgadzam się. Domyślnie strona www z tekstem powinna być na jasnym tle. Zawsze męczy mnie ta strona niebezpiecznika, dlatego jeśli cokolwiek tu czytam, to tylko w reader mode. CIemny motyw może być jedynie jako miła opcja, dodatek. „Nerdy” wypowiadają sie, a nie znają się na zasadach dobrego designu stron z treścią.

    • @Tomasz Gąsior
      “Nie znają się na zasadach dobrego designu stron z treści” – z którego roku te zasady? 2003?
      Chyba kolega nie ma pojęcia kto to nerd :)
      Ps. Niezły avatar/logo/profilowe – zgodny z przeznaczeniem, no i kolory też odpowiednie do “zasad”.
      Hipokryzja.

  4. Czy to znaczy, że można zbierać i nie usuwać danych tych co nie chca ich mieć? Rozumiem, że morele to ofiarą ale dlaczego ofiarami są ludzie którzy usunęli tam konto?

    Czy morele za to nie odpowie?

    • Sądy administracyjne zasadniczo nie rozstrzygają spraw merytorycznie. Przedostatni akapit uzasadnienia wyroku wskazuje PUODO, co powinien wziąć pod uwagę podczas ponownego rozpoznawania sprawy.

  5. W “środowisku” od początku mówiło się, że ta kara jest nie do utrzymania, skoro opierała się na argumentacji, że “zabezpieczenia nie odpowiadały standardom”, a nie istnieje przecież żadna sformalizowana standaryzacja zabezpieczeń serwisów…
    No ale- serwisy dzielą się na te które już miały atak, i te które dopiero będą go miały. Z doświadczenia wiem, że budżet na security pojawia się dopiero po ataku, dlatego sam, za najbezpieczniejsze uważam serwisy które już miały wyciek ;)

    • “na gruncie RODO nie ma “statycznych” wymagań dotyczących bezpieczeństwa”

      > opierała się na argumentacji, że “zabezpieczenia nie odpowiadały standardom”,
      > a nie istnieje przecież żadna sformalizowana standaryzacja zabezpieczeń serwisów…

      Wyrok NSA jest absurdalny. W chwili kiedy morele podwzielo ynteligentna decyzje o zacomikowaniu wrazliwych danych *bez uzasadnienia*, *pomimo sprzeciwu ich wlascicieli* samodzielnie wystawily sie na negatywny wynik poniewaz:
      ***nie ma i nie bedzie standardu ktorego by to nie lamalo***. Podobnie jak kolana ubite mlotem przez pania z spozywczaka w odpowiedzi na krzywe spojrzenie, nie znajda sie na liscie zaaprobowanych interakcji w standardach obslugi klienta. Bo pomijajac nawet olbrzymia skale problemow generowanych dla klienta, komponenty standardu sa podmiotem balansu zysku i strat bo mozna przedstawic scenariusz w ktorym cos praktycznie bezwartosciowego bedzie mialo wartosc, ale nie mozna stworzyc takiego w ktorym taka wartosc bedzie mialo doslowne NIC.

  6. DaveOPS, ależ oczywiście, że są standardy. OWASP ASVS dla webówki, CIS Critical Security Controls, NIST ma tonę standardów w Special Publications, niemiecki BSI tak samo. Tylko brać i stosować.

    • No nie- to są raczej zbiory dobrych praktyk. Mówimy o “sformalizowanym standardzie”- umocowanym w przepisach. Na chwilę obecną przepisy o ochronie danych osobowych nakładają na firmy obowiązek “wdrożenia środków technicznych” uniemożliwiających dostęp do danych przez osoby niepowołane. Tyle. Czy zabezpieczenie dostępu do danych hasłem, jest takim środkiem technicznym? Jest. Czy spełnia wykładnię przepisów? Tak. Czy jest środkiem zabezpieczającym dane w wystarczający sposób? Zapewne nie. Ale nie ma żadnych przepisów, które pozwalały by na ich podstawie zadecydować jakie zabezpieczenia są ok, a jakie nie. I sam fakt zaistnienia wycieku w żaden sposób nie definiuje tej kwestii- wszyscy wiemy, że nie ma zabezpieczeń nie do złamania.

    • Tylko nie napisałeś jaki jest standard wyboru standardu z tony standardów.

    • O wyborze standardu decyduje ekspert dziedzinowy, nie prawnik. Zapisanie standardu w rozporządzeniu spowoduje, że stanie się ono za jakiś czas przestarzałe (przypominam wymagania dla haseł wg ustawy o Ochronie Danych Osobowych z 1997). Artykuł 32 RODO oddaje decyzyjność fachowcom od bezpieczeństwa. Tylko trzeba ich mieć, oraz słuchać :D

    • @Mallpek No właśnie w tym rzecz, że ekspert A powie jedno a ekspert B co innego. To zupełnie beż sensu. Powinny być wytyczne dla każdej z branż a nie róbta co chceta byle by się papiery zgadzały

  7. Ale jakiej opinii biegłego brakowało, dotyczącej czego konkretnie, jakiego dowodu?

    • biegły miał pomóc w ocenie jaki standard zabezpieczeń jest właściwy dla przetwarzania, jakie tam mieli (uwzględniając stan wiedzy, koszty, ryzyko dla praw klientów i inne tam RODO hasła)

    • A jakie ma znaczenie opinia biegłego w chwili gdy dane wyciekły? Zastosowane przez Morele rozwiązania były za słabe, skoro wskazano im, że mogły być lepsze, bo już były dostępne. Jak dla mnie, to w Morelach całkowicie zlekceważono szacowanie ryzyka! Ale co tam, w każdej firemce sami spece od wszystkiego, a potem lament i mataczenie! A co do sadów, to wygrywa tam TYLKO ten, który LEPIEJ sprzeda swoja wersję prawdy! Urząd Ochrony Danych Osobowych jako instytucja publiczna nie może konfabulować i falandyzować przepisów RODO w przeciwieństwie do kancelarii prawnej.

  8. W artykule pojawia się nawiązanie do kontrowersyjności karania ofiary włamania. Warto pamiętać: można być ofiarą złamania prawa i jednocześnie zupełnie niezależnie samemu łamać prawo. Pierwsze nie wyklucza drugiego. Morele.net miało nieprawidłowości, których ofiarami były miliony niewinnych osób. To samo w sobie jest karalne niezależnie od tego, czy zostało ujawnione przez donos skruszonego pracownika, czy w wyniku włamania.

  9. No cóż, w takim wypadku chyba powinien nastąpić pozew zbiorowy poszkodowanych.

  10. Chyba nie wszyscy komentujący są świadomi tego, jak działa KPA i że to nie koniec.

    UODO teraz wyda ponowną decyzję, zgodnie z wytycznymi sądu, który wiele z argumentów morele uznał zresztą za niezasadne. UODO ma więc paradoksalnie w części argumentów potwierdzenie sądu, że ma rację .

    Czyli kara prędzej czy później będzie, ale zapewne kwota spadnie. I o to chodziło morelom.

  11. “Jak widzicie powyżej, firma Morele.net mocno ucierpiała wizerunkowo w wyniku wycieku”

    Nic takiego nie widze powyzej. Widze natomiast, ze ucierpieli klienci firmy Morele, a sama firma Morele bezczelnie oklamywala swoich klientow, aby tylko zatuszowac sprawe.

  12. To są jaja… W ostateczności powinni chociaż zapłacić koszty sądowe skoro przez te ich liche zabezpieczenia całe to zamieszanie.

  13. Czyli w zasadzie Urząd Ochrony Danych Osobowych nie ma sensu bytu. Dzięki za potwierdzenie moich obaw.

  14. Proszę zauważyć, że sprawa się nie kończy. Idzie do ponownego rozpatrzenia (NSA pod koniec uzasadnienia napisał jak UODO ma tą sprawę załatwić porządnie) więc Morele raczej spać spokojnie nie mogą :)

    • To “sprawa się nie kończy” czy “Morele ostatecznie wygrało w sądzie!”?

      Albo jedno albo drugie jest fałszem.

    • Drugie jest nie tyle fałszem, co wprowadza w błąd osoby nie orientujące się w temacie. Wyrok NSA jest ostateczny w tym sensie, że morele wygrało z UODO w sprawie zaskarżenia tej pierwszesj decyzji. Ale to nie znaczy, że nie zostanie wydana nowa decyzja, bo NSA bynajmniej nie stwierdził, że wszystkie zarzuty są uzasadnione, a zastrzeżenia UODO są całkowicie bezpodstawne.

  15. Od czasu wycieku dzwonią do mnie jacyś złodzieje i wyłudzacze.

  16. Panie Areczku, surowe prawo to jest dla pana. Dla szefostwa i sędziów jest elastyczne i wyrozumiałe, bardziej ludzkie.

    Poszło inne załatwienie sprawy. Nie wierzę, że sędziowie się tak kurtyzanią za frajer. Model dorobienia się statystycznego sędziego w Polsce widzę podobnie jak statystycznego polityka – wieloletnie pięcie się po szczytach kariery i rżnięcie uczciwego, przydatnego społecznie, surowego sędziego (dura lex sed lex). A potem jeden lub kilka złotych strzałów (wtedy lex już nie musi być tak bardzo dura) albo jakieś wyroczki po znajomości za przysługi – awanse, ciepła emeryturka gdzieś na spokojnym a dobrym stołku.

  17. Istotne że gawiedź się pocieszyła … RODO gawiedź się cieszy że z jej podatków finansuje się bezcelowe urzędy które generują koszty w innych budżetowych urzędach od centralnych po wiejskie gminy , szkoły, przychodnie. Ile kosztują podatnika etaty IOD w każdej budżetowej jednostce, szkolenia, kwity tzw. dupochrony … a oszustwa na cudze dane jak były tak są … duże korporacje mają prawników dzięki którym sie wywiną jak się wywijają od płacenia podatków … ale gawiedź krzyczy RODO !!!

  18. Do “ostatecznie wygrało” to jest jeszcze bardzo daleko – sprawa wróciła teraz do PUODO, który na nowo musi przeprowadzić postępowanie uwzględniając zarzuty, które wytknął mu NSA.

  19. Tak szczerze mówiąc to jakie znaczenie mają te kary skoro $ nie są wypłacane poszkodowanym?

    • Załóż jakąkolwiek działalność w internecie.
      Niech wirus zrobi wyciek.
      Dostaniesz karę. Nie zapłacisz nic poszkodowanym. Czy kara ma znaczenie? Tak, będziesz biedniejszy. Może zaczniesz uważać w internecie.

  20. Sprawa Morele tylko uzmysławia mi, że jak ktoś kradnie to nie ma kary, a ten kto pozwolił na kradzież też pozostaje bez kary. To o co tu chodzi z opinią biegłego – po co komu opinia jak miliony polaków widzą kto w tej całej aferze oberwał. Reputację stracił Morele – sygnał aby tam nie kupować, UODO – ma za nasze podatki karać a Sądy nauczyć się prawa, a nie ciągle zmieniać zdanie. Dla mnie to porażka systemu prawa do których zarówno zaliczają się Sądy jak i Urzędy. Dlatego zawsze powtarzam, że cyberbezpieczeństwo jest wtedy kiedy pentester lub Red Team przetestuje zabyzpieczenia, a te przyswojowe 65 tyś się temu należy co potrafi technicznie pomagać, a papierkami się nic nie obroni, pozdro OffSec Team

    • “UODO – ma za nasze podatki karać” a wyłącznie generuje koszty w innych budżetowych instytucjach.
      “Prezes UODO przypomina, że w kwietniu br. zwrócił się do Szefa Służby Cywilnej o podjęcie działań legislacyjnych w celu uzupełnienia wykazu stanowisk urzędniczych o stanowisko inspektora ochrony danych. Jak wskazał w swoim wystąpieniu istniejąca w architekturze stanowisk urzędniczych luka utrudnia właściwe wywiązywanie się z obowiązku określonego art. 37 ust. 1 lit. a RODO.”
      a prości ludzie “myślą” że budżet zarobi na karach dla złych korporacji …

  21. Ktoś komuś ostro posmarował…

  22. W normalnym Panstwie polecialbym glowy za brak ochrony interesow obywateli.

  23. Do dziś dostaję spam, który jest konsekwencją tego jednego włamania.
    I teraz firma, która dopuściła do zaniedbania została całkowicie uniewinniona.
    Państwo z kartonu!

  24. A ja się cały czas pytam jak się ma sprawa wycieku mojego numeru pesel z bazy KRS nad która to piecze sprawuje UODO?

  25. L dla morele za ten wyciek cały

  26. Morele święte nie jest, ale za to bezkarne.

  27. Teraz poszkodowani powinni złożyć masowe pozwy przeciw Morele o odszkodowanie tak by firma poszła z torbami a jak nie to tak robić by poszła

  28. To teraz pozew zbiorowy przeciw Morele

  29. […] złożyła skargę kasacyjną do Naczelnego Sądu Administracyjnego. 9 lutego 2023 zapadł kolejny wyrok. NSA stwierdził, że skarga kasacyjna miała uzasadnione […]

Odpowiadasz na komentarz Wkurzony

Kliknij tu, aby anulować

Zamieszczając komentarz akceptujesz regulamin dodawania komentarzy. Przez moderację nie przejdą: wycieczki osobiste, komentarze nie na temat, wulgaryzmy.

RSS dla komentarzy: