Nałożono karę pieniężną na Morele.net.

Trzecia kara finansowa nałożona przez Prezesa UODO została nałożona na spółkę Morele.net

Zgodnie z komunikatem Urzędu Ochrony Danych Osobowych (UODO), kara za niewystarczające zabezpieczenia organizacyjne i techniczne, w wysokości ponad 2,8 mln zł, została nałożona na spółkę Morele.net. Jest to trzecia kara finansowa, pierwsza została nałożona w marcu za brak spełnienia obowiązku informacyjnego, a druga w maju za upublicznienie zbyt szerokiego zakresu danych osobowych.

Kara.

Dlaczego nałożono karę za niewystarczające zabezpieczenia? Ponieważ doszło do naruszenia ochrony danych osobowych, które skutkowało wysokim ryzykiem negatywnych skutków dla podmiotów danych. Innymi słowy osoby nieuprawnione, pod koniec 2018 r., uzyskały dostęp do danych osobowych ok. 2,200 mln klientów w postaci: imienia i nazwiska, numeru telefonu, adresu e-mail, adresu do doręczeń. Ponadto w przypadku ok. 35 tys. osób dotyczyło to również numeru PESEL, serii i numeru dowodu tożsamości, wykształcenia adresu zameldowania i korespondencji, źródła oraz wysokości dochodu, stanu cywilnego, wysokości zobowiązań kredytowych oraz alimentacyjnych – w związku ze składanym wnioskiem ratalnym.

Prezes UODO stwierdził, że naruszono zasadę poufności. Czyli w związku z zastosowaniem nieskutecznego środka dostępu do danych doszło do nieuprawnionego dostępu nich. Nieskuteczne było zastosowanie logowania jednoetapowego (login+hasło) oraz nieefektywne były procedury monitoringu sieciowego. Nie zauważyły one zwiększonego ruchu podczas wykradania danych osobowych przez nieznanych sprawców. Tym samym Prezes Urzędu, posiłkując się normami ISO oraz wytycznymi Europejskiej Agencji ds. Bezpieczeństwa Sieci i Informacji (ENISA), wskazał, że odpowiedniejszymi środkami ochrony dostępu byłoby logowanie dwustopniowe. Taki sposób logowania stosują od niedawna instytucje finansowe, mianowicie podczas logowania do bankowości internetowej otrzymujemy dodatkowo sms z hasłem. Spółka powinna również ulepszyć procedury reagowania na wypadek pojawienia się nietypowego ruchu w sieci.

Co dalej?

Morele.net wydała oświadczenie, w którym ustosunkowała się do stawianych zarzutów oraz zapowiedziała wniesienie odwołania od decyzji Prezesa UODO. Czekając na dalszy rozwój sprawy zachęcamy do zapoznania się z decyzją oraz przeglądu swoich procedur związanych z monitorowaniem sieci. Warto również zweryfikować zastosowane zabezpieczenia dostępu do panelu logowania/administratora z którego możliwy jest dostęp do danych osobowych klientów oraz pracowników.

Źródło:

Komunikat UODO: https://uodo.gov.pl/pl/138/1189
Decyzja Prezesa UODO: https://uodo.gov.pl/decyzje/ZSPR.421.2.2019
Oświadczenie grupy Morele.net: https://www.morele.net/wiadomosc/oswiadczenie-grupy-morele-net-w-sprawie-decyzji-uodo/15721/
Pierwsza kara: https://pccbiodo.pl/pierwsza-administracyjna-kara-pieniezna-na-mocy-rodo-w-polsce/

Jeżeli juz odwiedziłeś naszą stronę - zapraszamy do przejrzenia cennika usług!

Latest posts by Przemysław Siarka (see all)

Dodaj komentarz

Twój adres email nie zostanie opublikowany. Pola, których wypełnienie jest wymagane, są oznaczone symbolem *

Wypełnij to pole
Wypełnij to pole
Proszę wprowadzić prawidłowy adres email.
You need to agree with the terms to proceed

Menu