fbpx

Morele.net – wysokość kary UODO

Morele.net
24 Wrz 2019 | Kategoria: Artykuły
Podziel się

 

Sprawa kary nałożonej przez UODO na Morele.net ciąg dalszy.

Pisaliśmy już na naszym blogu o nałożeniu przez Urząd Ochrony Danych Osobowych wysokiej kary pieniężnej 2,8 mln zł na spółkę Morele.net za wyciek danych osobowych, do którego doszło w grudniu 2018 r.

Przewinienie, a wysokość kary

Na bieżąco śledzimy doniesienia na powyższy temat. Zastanawia nas, czy wysokość kary jest adekwatna do przewinienia. UODO zarzuca spółce Morele.net niedostateczne zabezpieczenie danych osobowych swoich klientów. Jednak sprawa nie jest tak oczywista, jak się wydaje. Spółka padła ofiarą szantażu hackera, który ukradł 2 mln rekordów danych. Doszło nawet do negocjacji pomiędzy Morele.net a szantażystą, przerwanych w momencie gdy włamywacz zorientował się, że jest namierzany.

Krótko po dokonaniu kradzieży danych, klienci Morele.net otrzymali sms z linkiem do fałszywej strony internetowej, która wyłudzała login i hasło bankowe pod pretekstem dopłaty złotówki do zamówienia oraz odnotowali szereg włamań na swoje konta w mediach społecznościowych. W ten sposób w ręce hackerów wpadły dane, które mogły doprowadzić do utraty znacznych środków przez klientów spółki. Istniała też możliwość uczynienia ich potencjalnym przedmiotem szantażu przestępców lub kradzieży tożsamości. Historia jest więc bardzo poważna i nosi znamiona przestępstwa.

Kto tu jest poszkodowanym?

W tym miejscu dochodzimy do pytania, kto faktycznie został poszkodowany? Skarb Państwa, czy klienci ukaranej spółki? To pytanie pozostawiamy bez odpowiedzi. Przepisy prawa mówią jasno, że kary nakładane przez UODO zasilają skarb Państwa. Osobom poszkodowanym przez spółkę Morele.net zostaje jedynie dochodzenie swych praw na drodze sądowej, co jak wiemy, w naszych warunkach może potrwać wiele lat.

Co mówią przepisy?

Wróćmy jednak do samej kary. Co spowodowało, że jest tak wysoka? Cytując wprost portal gdpr.pl czytamy, że:

„ Administracyjne kary pieniężne nakłada się, zależnie od okoliczności każdego indywidualnego przypadku (…) Decydując, czy nałożyć administracyjną karę pieniężną, oraz ustalając jej wysokość, zwraca się w każdym indywidualnym przypadku należytą uwagę na:

a) charakter, wagę i czas trwania naruszenia przy uwzględnieniu charakteru, zakresu lub celu danego przetwarzania, liczby poszkodowanych osób, których dane dotyczą, oraz rozmiaru poniesionej przez nie szkody;

b) umyślny lub nieumyślny charakter naruszenia;

c) działania podjęte przez administratora lub podmiot przetwarzający w celu zminimalizowania szkody poniesionej przez osoby, których dane dotyczą;

d) stopień odpowiedzialności administratora lub podmiotu przetwarzającego z uwzględnieniem środków technicznych i organizacyjnych wdrożonych przez nich na mocy art. 25 i 32;

e) wszelkie stosowne wcześniejsze naruszenia ze strony administratora lub podmiotu przetwarzającego;

f) stopień współpracy z organem nadzorczym w celu usunięcia naruszenia oraz złagodzenia jego ewentualnych negatywnych skutków;

g) kategorie danych osobowych, których dotyczyło naruszenie;

h) sposób, w jaki organ nadzorczy dowiedział się o naruszeniu, w szczególności, czy i w jakim zakresie administrator lub podmiot przetwarzający zgłosili naruszenie;

i) jeżeli wobec administratora lub podmiotu przetwarzającego, których sprawa dotyczy, zostały wcześniej zastosowane w tej samej sprawie środki, o których mowa w art. 58 ust. 2 – przestrzeganie tych środków;

j) stosowanie zatwierdzonych kodeksów postępowania na mocy art. 40 lub zatwierdzonych mechanizmów certyfikacji na mocy art. 42; oraz

k) wszelkie inne obciążające lub łagodzące czynniki mające zastosowanie do okoliczności sprawy, takie jak osiągnięte bezpośrednio lub pośrednio w związku z naruszeniem korzyści finansowe lub uniknięte straty.”

Uzasadnienie wysokości nałożonej kary na Morele.net

UODO uzasadnia, że zastosowane przez spółkę środki organizacyjne i techniczne ochrony danych nie były odpowiednie do istniejącego ryzyka związanego z ich przetwarzaniem. Spółka nie zastosowała także odpowiednich procedur na wypadek pojawienia się nietypowych ruchów na ich serwerach. UODO stwierdziło, że w tym przypadku doszło do naruszenia przepisów w znacznym stopniu i dotyczyło ogromnej liczby osób.

Co jednak z ważnym aspektem współpracy, tzw. okolicznościami łagodzącymi? Spółka podjęła niezwłocznie szereg działań, także informacyjnych, przewidzianych ustawą, zmierzających do zminimalizowania skutków kradzieży danych. UODO podkreśla, że gdyby nie postawa samej spółki, wysokość kary byłaby jeszcze wyższa.

Co dalej z wykradzionymi danymi?

Sądzimy, że sprawa będzie miała swój dalszy ciąg. Wykradzione dane nadal są w obcych rękach. Mogą np. posłużyć do wyłudzenia kredytu jeszcze po wielu latach. Niektórzy z nas mają bowiem niebezpieczny zwyczaj używania tego samego nicku i hasła na różnych kontach, w tym w bankowości internetowej.

Wydarzenia, które doprowadziły do ukarania Morele.net przez UODO szczegółowo opisał również  niebezpiecznik.pl na swojej stronie: http://bitly.pl/niebezpiecznik.pl

Treść decyzji znajduje się na stronie UODO.

Chcesz przetestować edokrodo.pl za darmo? Kliknij!

Dowiedz się więcej o RODO na naszym Blogu.