Wyciek danych 2.5 miliona klientów Morele.net
Kara jakiej jeszcze w Polsce nie było
Dwa miliony osiemset trzydzieści tysięcy czterysta dziesięć złotych, decyzję o ukaraniu taką grzywną wydał Prezes Urzędu Ochrony Danych Osobowych na popularny serwis internetowy Morele.net. Nie jest to pierwsza kara nałożona na terenie Polski związana z nieprzestrzeganiem rozporządzenia RODO przez nasze rodzime firmy. Jednak ponad dwukrotnie przekracza ona sumę wcześniejszych represji. Powodem tak wysokiej kwoty wyznaczonej do zapłaty jest wyciek danych prawie 2.5 miliona klientów serwisu, który miał miejsce w grudniu 2018 roku i spowodował ogólną panikę wśród użytkowników strony związaną ze świadomością możliwości wykorzystania tych informacji przez osoby trzecie. Po prawie rocznym okresie, który minął od zgłoszenia faktu wycieku pojawiła się pierwsza decyzja administracyjna w sprawie, nakładająca na Morele.net prawie 3 miliony złotych kary.
Uzasadnienie decyzji PUODO – wyciek danych klientów
Z uzasadnienia decyzji Prezesa UODO wynika, że grzywnę nałożono w związku z nie tylko niezwykle poważnym charakterem naruszenia, ale także z ogromną skalą przecieku – mowa tutaj o liczbie osób przekraczającej prawie 7% procent wszystkich obywateli Polski. W stosunku do całej tej grupy powstało bardzo wysokie ryzyko poniesienia negatywnych konsekwencji związanych z wyciekiem. Informacje, które dostały się w niepowołane ręce dotyczyły nie tylko imion, nazwisk, adresów e-mail czy numerów telefonów klientów, ale także takich danych jak numery PESEL czy informacji z dokumentów tożsamości, mogących przyczynić się do poniesienia przez klientów poważnych konsekwencji związanych między innymi z kradzieżą tożsamości, czego późniejszym skutkiem może być między innymi wykorzystanie danych do wzięcia pożyczki bez wiedzy osoby, której dane dotyczą. Wiadomym jest, że cyberprzestępcy już wykorzystali dane, których stali się posiadaczami poprzez wysyłanie na numery telefonów z bazy danych spółki wiadomości SMS z prośbą o dopłacenie złotówki do zamówienia.
Mimo iż Morele.net utrzymuje, że należycie zabezpieczało dane osobowe swoich klientów to Prezes UODO w swojej decyzji uznał, że spółka nie zastosowała wystarczających środków technicznych do ochrony danych w związku z zabezpieczeniami stosowanymi przy uwierzytelnianiu dostępu do danych osobowych, co stanowiło naruszenie zasady poufności danych wyrażonej w art. 5 ust 1 lit. f rozporządzenia, czego efektem było dopuszczenie osób niepowołanych do danych klientów spółki.
Poza wyciekiem danych firma złamała także zasady legalności, rzetelności i rozliczalności poprzez niewykazanie, że dane osobowe zbierane przez spółkę we wnioskach ratalnych przetwarzano na postawie zgody.
Warto również wspomnieć, że nałożona kara mogłaby okazać się dużo większa, jednak podczas jej wyznaczania Prezes UODO wziął pod uwagę działania spółki dążące do usunięcia szkody, dobrą współprace z organami państwa oraz brak wcześniejszych naruszeń związanych z ochroną danych osobowych i uznał je za okoliczności łagodzące.
Grzywny w Europie jako konsekwencja nieprawidłowego zabezpieczenia danych.
Mimo tego, że decyzja nie jest jeszcze prawomocna, a Morele.net w wywiadzie dla „Pulsu Biznesu” informuje, że nie zgadza się z karą i zapowiada zaskarżenie decyzji do Sądu Administracyjnego, w związku z czym nie znamy jeszcze ostatecznej kwoty jaka zostanie założona na spółkę, to wyraźnie widać w Polsce tendencję zwyżkowa jeżeli chodzi o wysokość represji w porównaniu do kar nałożonych w poprzednich latach.
Kwota nałożona przez Prezesa UODO wydaje się być nie tylko adekwatna do skali wycieku, ale także pełnić funkcję prewencji ogólnej. Mimo tego, że odbiega ona od kar wymierzanym w pozostałych częściach wspólnoty europejskiej, gdzie dla przykładu kara wymierzona w British Airways wyniosła w przeliczeniu ponad 900.000.000 milionów złotych, to w skali naszego kraju zwraca ona uwagę na to jak wielka odpowiedzialność nałożona jest administratorów, którym niejako powierzamy w opiekę nasze dane osobowe oraz z jakimi karami może się spotkać niedopełnianie przez jednostki obowiązku ochrony i prawidłowego przetwarzania danych osobowych. W dobie rozwoju technologii, gdzie większość naszych spraw możemy załatwić bez wychodzenia z domu, cyberprzestępcy widzą w naszych danych osobowych prawdziwą żyłę złota, dlatego tak ważne jest dla nas dbanie o nasze dane osobowe zarówno przez przedsiębiorców, którym je powierzamy jak i przez nas samych.
Kacper Kałagate – Inspektor ochrony danych
Chcesz mieć pewność, że twoja firma spełnia wszystkie wymagania RODO i dodatkowo być zabezpieczony przed wyciekiem danych i cyberprzestępcami?
BHPEX oferuje kompleksowe usługi z zakresu ochrony danych osobowych.
Zapraszamy do kontaktu – tel. 68 411 40 00.
Treść komentarza
Ciekawe kiedy w Polsce padnie pierwsza kara większa od wygranej w kumulacji europejskiej loterii liczbowej. Po przeczytaniu uznałem, że chyba warto porządnie zabezpieczyć swój biznes w zakresie zgodności z RODO.