Kara za naruszenie RODO – przypadek Morele Net

Karę pieniężną w wysokości 2.830.410 PLN (660.000 EUR) nałożył Prezes Urzędu Ochrony Danych Osobowych na Spółkę Molere.Net Sp. z o.o. Z serwerów administratora wyciekły dane ok. 2 mln 200 tys. osób. W opinii Prezesa UODO zastosowane przez administratora środki organizacyjne i techniczne ochrony danych osobowych nie były odpowiednie do istniejącego ryzyka związanego z ich przetwarzaniem.

Sankcja z 10 września 2019 r. nałożona została za niewystarczające zabezpieczenia organizacyjne i techniczne. Jak wskazał Prezes UODO, w spółce Molere.Net Sp. z o.o. zabrakło odpowiednich procedur reagowania na wypadek pojawiania się nietypowego ruchu w sieci.

Atak hakerski

W listopadzie i grudniu 2018 r. platforma zakupowa Morele.net stała się ofiarą ataku hakerskiego. Klienci otrzymywali od hakerów SMS-y o konieczności dopłaty 1 zł do zamówienia.

Sytuacja była poważna, wyciekły bowiem nie tylko podstawowe dane, jak imiona i nazwiska klientów czy ich numery telefoniczne. W przypadku ok. 35 tys. osób wyciekły też dane z wniosków ratalnych, a to oznacza, że cyberprzestępcy zyskali dostęp do numerów PESEL czy nawet danych o zarobkach i wykształceniu.

Postępowanie UODO

W postępowaniu prowadzonym przez Urząd Ochrony Danych Osobowych stwierdzono, iż naruszenie miało „znaczną wagę i poważny charakter”. Dotyczyło również dużej liczby osób.

W ocenie Urzędu „podmiot nie zastosował podwójnego uwierzytelniania dostępu do danych” i nałożona kara jest właśnie karą za niewystarczające środki zabezpieczające.

Odwołanie do Sądu

Spółka Morele.Net zapowiada odwołanie do Sądu, twierdząc że w postępowaniu kontrolnym Prezes UODO nie dopuścił do zweryfikowania środków zabezpieczających przez niezależnego biegłego.

Podsumowanie

W tym kontekście nasuwa się pytanie: czy administrator, który jest ofiarą ataku hakerskiego może być za to włamanie ukarany?