Wyższa kara UODO za wyciek danych w spółce Morele.net
Po ponownej analizie Prezes UODO ustalił nowy wymiar administracyjnej kary pieniężnej dla Morele.net. Na spółkę nałożona została kara w wysokości 3,8 mln zł. Sprawa, która ciągnie się od 2018 r. dotyczy bardzo dużego wycieku danych klientów spółki. W ocenie organu nadzorczego jest to konsekwencja nieprawidłowości dotyczących środków bezpieczeństwa danych. Poznaj motywy decyzji Prezesa UODO.
Duży wyciek danych klientów spółki Morele.net
W głośnej sprawie Prezes UODO pierwotnie wymierzył spółce Morele.net karę 2,8 mln zł za brak środków technicznych i organizacyjnych adekwatnych do poziomu ryzyka wiążącego się z przetwarzaniem danych. Nieprawidłowości w zabezpieczeniach (a zwłaszcza brak uwierzytelniania dwuskładnikowego) spowodowały wyciek danych ponad 2 mln klientów, m.in. danych identyfikacyjnych, numerów PESEL czy informacji o źródłach dochodu wskutek ataku hakerskiego.
Sprawa trafiła do Naczelnego Sądu Administracyjnego, który uchylił decyzję Prezesa UODO z przyczyn procesowych. Chodziło o nieuwzględnienie wniosku o dopuszczenie dowodu z opinii biegłego. Jako alternatywę NSA wskazał wytworzenie wewnętrznego dokumentu stanowiącego wnioski z analizy standardu środków bezpieczeństwa stosowanych przez spółkę. Prezes UODO nie wykonał żadnej z tych czynności.
Prezes UODO przeprowadził analizę środków bezpieczeństwa danych
Po uchyleniu decyzji Prezes UODO ponownie przeprowadził postępowanie, w trakcie którego wprawdzie nie dopuścił dowodu z opinii biegłego, niemniej jednak opracował analizę zastosowanych przez Morele.net środków bezpieczeństwa danych osobowych. Spółka kwestionowała dokument, podnosząc, że był on stronniczy, ponieważ przygotowywali go pracownicy UODO.
Zabrakło analizy ryzyka, szyfrowania i uwierzytelniania dwuskładnikowego
Organ nadzorczy nie zgodził się jednak z tym stanowiskiem. Z przeprowadzonej analizy wywnioskował, że doszło do istotnych uchybień dotyczących środków bezpieczeństwa danych osobowych. Z analizy wynikało, że administrator nie zastosował takich rozwiązań, jak choćby szyfrowanie czy uwierzytelnianie dwuskładnikowe.
Administrator nie przeprowadził też analizy ryzyka uwzględniającej takie zagrożenia, jak możliwość logowania się do systemu z sieci publicznej.
Administrator nie monitorował ruchu w sieci
Brakowało również rozwiązań technicznych i administracyjnych, które pozwoliłyby monitorować ruch w sieci i reagować w razie wykrycia nieprawidłowości. Przez to spółka nie miała wiedzy, czy i jakie dane uległy wyciekowi. Środki te zdaniem organu nadzorczego dałyby możliwość wykrycia prób nieautoryzowanego dostępu i zapobiegnięcia wycieku danych.
Prezes UODO de facto podwyższył karę dla Morele.net
W ponownie przeprowadzonym postępowaniu administracyjnym Prezes UODO wymierzył wyższą karę ponad 3,8 mln zł. Uzasadnił to wagą, charakterem i zakresem zarzucanych spółce naruszeń. Kara UODO jest zatem wyższą od pierwotnie wymierzonej o ok. 1 mln zł.
-
Uodo.gov.pl
- Zgoda marketingowa – czy także od firmy lub instytucji
- Wpływ sztucznej inteligencji na ochronę danych osobowych
- Zgoda na przetwarzanie danych osobowych do celów reklamy behawioralnej – jak powinna wyglądać
- Organizacja konkursu dla uczniów – umowa powierzenia przetwarzania danych pomiędzy szkołą a organem prowadzącym
- Kara za przetwarzanie danych osobowych w rozmowach telefonicznych bez podstawy prawnej
- Kopia dokumentacji pracowniczej jako szczególne uprawnienie dostępu do danych osobowych
Wideo: Przegląd orzecznictwa (sierpień – listopad 2022 r.) – cz. III – decyzje zagranicznych organów nadzorczych
Poznaj najważniejsze orzeczenia zagranicznych organów nadzorczych. W podsumowaniu poruszamy zagadnienia związane m.in. z geolokalizacją, prawem dostępem do danych, cyberatakiem na gminę czy rozpoznawaniem twarzy.
