Po tym jak Naczelny Sąd Administracyjny 9 lutego 2023 r. uchylił decyzję Prezesa UODO, nakładającą karę na spółkę Morele.net organ nadzorczy ponownie przeprowadził postępowanie administracyjne w tej sprawie. Wykazało ono, że do naruszenia ochrony danych osobowych doszło przez brak zastosowania przez Spółkę odpowiednich zabezpieczeń, co doprowadziło do wycieku danych osobowych 2,2 mln osób. NSA nie zakwestionował wszystkich ustaleń Prezesa UODO związanych z tym naruszeniem. Podważył jednak kompetencje organu dotyczące oceny zastosowanych przez administratora środków technicznych i organizacyjnych mających zabezpieczyć dane osobowe. Zdaniem sądu organ powinien uprawdopodobnić posiadanie wiedzy potrzebnej do przeprowadzenia takiej analizy zabezpieczeń. Z uzasadnienia wynikało, że Prezes UODO powinien był powołać biegłego albo wytworzyć wewnętrzny dokument stanowiący wnioski z analizy standardu środków bezpieczeństwa stosowanych przez spółkę, do którego administrator mógłby się odnieść w toku postępowania.
W związku z tym UODO ponownie przeprowadził postępowanie administracyjne, które również wykazało, że spółka Morele.net stosowała niewystarczające zabezpieczenia techniczne do istniejącego ryzyka naruszenia ochrony danych. Zabrakło też wdrożenia odpowiednich procedur, które pozwoliłyby zareagować na nietypowe zachowania, takie jak zwiększony ruch sieciowy.
Zobacz również
Braki w zabezpieczeniach potwierdziła „Analiza zastosowanych przez Morele.net sp. o. o. (…)”, opracowana przez organ nadzorczy w związku z koniecznością dostosowania się do wyroku NSA.
W toku postępowania Prezes UODO nie powołał biegłego, a strona postępowania kwestionowała przedstawioną analizę, zarzucając m.in. stronniczość jej autorów i domagając się ich wyłączenia. Organ nadzorczy nie uwzględnił tego zarzutu w toku postepowania, gdyż de facto prowadziłoby to do tego, że żaden z pracowników UODO nie mógłby zajmować się tą sprawą z uwagi na zarzut stronniczości.
Tymczasem przygotowana analiza wykazała, że administrator nie szyfrował części danych (do czego zresztą się przyznał), nie dysponował dwuskładnikowym uwierzytelnianiem, nie przeprowadził analizy ryzyka, która uwzględniałaby m.in. zagrożenia związane z możliwością logowania się do systemu z sieci publicznej. W efekcie dwukrotnie doszło do nieautoryzowanego dostępu z zewnątrz, na skutek którego osoba niepowołana weszła w posiadanie danych klientów spółki Morele.net.
#PolecajkiNM cz. 32: czego szukaliśmy w Google’u, Kryzysometr 2024/25, rynek dóbr luksusowych w Polsce
Zabrakło też rozwiązań technicznych i administracyjnych pozwalających monitorować ruch w sieci i reagować w przypadku wykrycia nieprawidłowych działań. Potwierdzają to ustalenia, z których wnika, że spółka nie miała pewności czy i jakie dane zostały wykradzione z jej zasobów. Szereg rozwiązań w tym zakresie administrator wdrożył dopiero po wycieku danych. W ocenie Prezesa UODO, gdyby dysponował nimi wcześniej, byłby w stanie wykryć próby nieautoryzowanego dostępu i podjąć działania uniemożliwiające kradzież danych.
Słuchaj podcastu NowyMarketing
W toku postępowania administrator sam przyznał, że brak wdrożonych odpowiednich rozwiązań było błędem z jego strony.
Prezes UODO uznał, że w tej sprawie nałożenie pieniężnej kary administracyjnej jest konieczne i uzasadnione wagą, charakterem oraz zakresem zarzucanych administratorowi naruszeń.
Decyzja ta jest pierwszą, w której do ustalenia wysokości kary zastosowano wytyczne Europejskiej Rady Ochrony Danych Osobowych w sprawie obliczania administracyjnych kar pieniężnych, które zostały przyjęte 12 maja 2022 roku.
Spółka Morele.net wydała w powyższej sprawie odpowiednie oświadczenie, które umieściła na swoim profilu na LinkedInie.
Źródło: LinkedIn
Zdjęcie główne: LinkedIn