Spór między sklepem internetowym Morele.net a Prezesem Urzędu Ochrony Danych Osobowych (PUODO) wciąż nabiera tempa!
Przypomnijmy, że wszystko zaczęło się od wycieku danych ze sklepu w październiku 2018 r. Wówczas hakerzy uzyskali dostęp do bazy danych klientów Morele.net, ale również do innych powiązanych sklepów internetowych. Po przeprowadzeniu postępowania, PUODO wydał decyzję (nr ZSPR.421.2.2019), która nałożyła na Morele.net karę w wysokości ponad 2,8 mln zł za naruszenie przepisów dotyczących ochrony danych osobowych.
Morele.net od samego początku kwestionowało rozstrzygnięcie Organu, twierdząc, że nie doszło do naruszenia przepisów Rozporządzenia. Sprawa trafiła do Wojewódzkiego Sądu Administracyjnego, który uznał, że nałożona przez PUODO kara jest uzasadniona. Sklep natomiast złożył skargę kasacyjną do Naczelnego Sądu Administracyjnego, który nie tylko uchylił wyrok Wojewódzkiego Sądu Administracyjnego, ale dodatkowo nakazał Prezesowi UODO zwrot na rzecz Morele.net kosztów postępowania sądowego. Sąd kasacyjny nie kwestionował wszystkich ustaleń PUODO, natomiast stwierdził, iż istnieją wątpliwości co do tego, czy organ posiadał własną wiedzę specjalistyczną, pozwalającą na ocenę odpowiedniości środków technicznych i organizacyjnych w działalności prowadzonej przez sklep o tak dużej skali.
Wskutek powyższego rozstrzygnięcia, PUODO ponownie przeprowadził postępowanie administracyjne w niniejszej sprawie. Wykazało ono, że spółka Morele.net stosowała niewystarczające zabezpieczenia techniczne do istniejącego ryzyka naruszenia ochrony danych. W ocenie Organu, zabrakło także wdrożenia odpowiednich procedur, które pozwoliłyby zareagować na nietypowe zachowania, takie jak np. zwiększony ruch sieciowy.
W wyniku ponownie przeprowadzonej analizy PUODO stwierdził, że sklep nie szyfrował części danych, nie dysponował dwuskładnikowym uwierzytelnianiem, nie przeprowadził analizy ryzyka. W ocenie Organu, w Spółce nie zastosowano odpowiednich rozwiązań technicznych i administracyjnych które pozwoliłyby monitorować ruch w sieci, a w konsekwencji reagować w przypadku wykrycia nieprawidłowych działań. Z kolei rozwiązania w tym zakresie zostały wdrożone dopiero po wycieku danych. W ocenie Prezesa UODO, gdyby sklep dysponował nimi wcześniej, byłby w stanie wykryć próby nieautoryzowanego dostępu i podjąć działania uniemożliwiające kradzież danych.
Ostatecznie Prezes UODO uznał, że w niniejszej sprawie nałożenie pieniężnej kary administracyjnej jest konieczne i uzasadnione wagą, charakterem oraz zakresem zarzucanych administratorowi naruszeń. W rezultacie Organ nałożył na sklep internetowy karę w wysokości niespełna 4 mln zł!
Tymczasem droga do finalnego rozstrzygnięcia w sprawie nałożonej kary jest długa – ww. decyzja może bowiem trafić ponownie do WSA, a następnie nawet NSA i kilkakrotnie wracać do Organu…
- Prezes UODO ponownie ukarał Morele.net - 1 marca 2024
- Bezpieczeństwo w sieci - 15 lutego 2024