W listopadzie 2018 roku pojawiły się informacje od klientów Morele.net dotyczące otrzymywania fałszywych SMS-ów tuż po zakupach w sklepie. Początkowo firma wydała oświadczenie i nie przyznała się do tego, że jest źródłem danych.
W grudniu 2018 roku klienci otrzymali wiadomość o tym, że sklep jednak zbierał ich dane. Poza podstawowymi informacjami, w ich zakres wchodziły także PESEL-e oraz skany dowodów osobistych. W tym samym miesiącu, na portalu Wykop, ujawnił się włamywacz, który zaprezentował historię korespondencji z Morele.net. Baza danych krążyła po sieci, kilkaset tysięcy haseł zostało złamanych, a co więcej, całego zamieszania nie uniknęli także ci, którzy usunęli konta w sklepie Morele.net.
Zobacz również
3 mln zł kary za wyciek danych
10 września 2019 roku Urząd Ochrony Danych Osobowych nałożył na Morele.net karę finansową w wysokości 3 milionów złotych. Pojawiło się wówczas wiele opinii na temat tego, że decyzja UODO była kontrowersyjna, ponieważ firma padła ofiarą przestępstwa. Ówczesne podejście do tego rodzaju spraw było jednak zgodne z UE.
Morele.net odwołało się od tej decyzji i sprawa znalazła się w Wojewódzkim Sądzie Administracyjnym. Dodatkowo, spółka wystosowała prośbę o skierowanie kilku pytań do Trybunału Sprawiedliwość UE. WSA odpowiedział, że nie ma podstaw do tego, by kierować pytania do TSUE. Uznał także, że wyrok UODO był uzasadniony. Spółka ponownie się nie poddała i skierowała skargę kasacyjną do Naczelnego Sądu Administracyjnego.
Wyrok z 9 lutego br.
Wyrok w sprawie zapadł 9 lutego 2023 roku, o czym było głośno w branży. Nie pojawiło się wówczas jego uzasadnienie. Od dzisiaj można je znaleźć w bazie orzeczeń NSA.
#NMPoleca: Jak piękny design zwiększa konwersję w e-commerce? Tips & Tricks od IdoSell
Wyrok jest korzystny dla Morele.net, choć Naczelny Sąd Administracyjny przyznał, że nie zgadza się ze wszystkimi argumentami przedstawionymi przez spółkę. Zwrócił uwagę, że nałożona kara nie była bezpośrednio związana ze skutkami ataku, a z koniecznością wcześniejszego przygotowania i zabezpieczenia się na taką ewentualność.
Słuchaj podcastu NowyMarketing
NSA uznał jednak, że skarga kasacyjna ma usprawiedliwione podstawy i na jej podstawie uchylił wyrok WSA oraz zaskarżoną decyzję. W uzasadnieniu znajduje się m.in. odniesienie NSA do braku dowodu z opinii biegłego czy arbitralnej oceny materiału dowodowego. Finalnie, Prezes UODO musi zwrócić firmie 65 075 złotych za koszt postępowania sądowego.
Sprawa kradzieży danych klientów sklepu Morele była pierwszą sprawą dotyczącą naruszenia RODO w Polsce. Proces trwał kilka lat.
PS Michał Pawlik (Morele.net): Pracujemy nad tym, aby Morele były sklepem, w którym sami chcielibyśmy kupować
Michał Pawlik opowiedział w wywiadzie o historii Morele.net – jednego z najstarszych e-commerce’ów w Polsce. Rozmawialiśmy także o tym, dlaczego w Morele.net nie zdecydowano się na prowadzenie sprzedaży stacjonarnej oraz jakie wnioski wyciągnięto po kryzysie wizerunkowym z 2018 roku.