Urząd Ochrony Danych Osobowych (UODO) nałożył rekordową karę na spółkę Morele.net. W uzasadnieniu możemy przeczytać, że kara w wysokości ponad 2,8 mln zł została nałożona nie za sam wyciek danych, a za niewystarczające zabezpieczenia organizacyjne i techniczne. Morele.net zamierza odwołać się od decyzji do Sądu Administracyjnego.
W listopadzie zeszłego roku pojawiły się pierwsze doniesienia sugerujące, że doszło do wycieku danych klientów sklepu Morele.net. Później okazało się, że hacker uzyskał nieautoryzowany dostęp do bazy danych. Wykradł z niej dane 2,5 miliona osób korzystających z usług sklepu. Finalnie Morele.net przyznało, że padło ofiarą ataku hackerskiego. Sklep poinformował o tym zdarzeniu swoich klientów, Policję oraz Urząd Ochrony Danych Osobowych. W międzyczasie włamywacz próbował wymusić na sklepie zapłatę haraczu. Jednak do tego nie doszło. W odwecie baza danych trafiła do sieci. Nie była ona dostępna przez długi czas, ale wystarczyło to, żeby dane klientów Morele.net trafiły na internetowy czarny rynek. W związku z tym UODO wszczął kontrolę spółki Morele.net. Jej wynikiem jest decyzja o nałożeniu rekordowej kary.
UODO nałożył na Morele.net karę w wysokości 2 830 410 zł
W uzasadnieniu decyzji Prezesa UODO możemy przeczytać, że kara na niecałe 3 miliony zł została nałożona nie za sam wyciek, a niestosowanie właściwych zabezpieczeń technicznych oraz procedur. Kontrola pokazała również, że dodatkowe środku zabezpieczeń spółka wdrożyła dopiero po wycieku danych.
Sprawa jest bardzo intensywnie komentowana. Jedni zwracają uwagę na skalę zdarzenia i popierają Prezesa UODO.
Nakładając karę, organ nadzorczy stwierdził, że naruszenie, do jakiego doszło w tej sprawie, miało znaczną wagę i poważny charakter oraz dotyczyło dużej skali osób. W swojej decyzji organ nadzoru wskazał również, że w wyniku naruszenia powstało wysokie ryzyko negatywnych skutków dla osób, których dane dostały się w niepowołane ręce, jak np. tzw. kradzież tożsamości.
Z kolei spółka Morele.net nie zgadza się z decyzją urzędu i zapowiada odwołanie się do Sądu Administracyjnego.
Nie zgadzamy się z oceną zebranego materiału dowodowego, dlatego chcemy, aby sprawa została ponownie rozpatrzona z udziałem niezależnych biegłych — komentuje “Pulsowi Biznesu” Radosław Stasiak, wiceprezes ds. IT w Morele.net.
Osoby krytykujące decyzję UODO używają stwierdzenia, że w przypadku Morele.net nie mieliśmy do czynienia ze zwykłym wyciekiem danych, a atakiem hakerskim. Ciekawe czy niezależnym biegłym uda się ustalić granicę pomiędzy tymi dwoma rodzajami naruszeń. W końcu wycieki danych polegają na wykorzystaniu przez hakerów znanych luk w oprogramowaniu.
Całą decyzję Urzędu Ochrony Danych Osobowych możecie przeczytać na stronie: https://uodo.gov.pl/decyzje/ZSPR.421.2.2019
