futurebeat.pl News Tech Mobile Gaming Nauka Moto Rozrywka Promocje
Wiadomość sprzęt i soft 7 września 2020, 14:01

autor: Bartosz Świątek

Sąd podtrzymuje gigantyczną karę dla Morele.net za naruszenie RODO

Wojewódzki Sąd Administracyjny w Warszawie odrzucił skargę Grupy Morele.net na decyzję Urzędu Ochrony Danych Osobowych, tym samym podtrzymując rekordową karę w wysokości 2,83 mln złotych za złamanie zasad RODO. Sprawa ma związek z wydarzeniami z jesieni 2018 roku, kiedy haker wykradł dane 2,2 mln klientów sieci sklepów internetowych.

Sąd podtrzymuje gigantyczną karę dla Morele.net za naruszenie RODO - ilustracja #1
Sąd podtrzymał rekordową karę wymierzoną przez UODO.

W SKRÓCIE:

  1. Wojewódzki Sąd Administracyjny odrzucił skargę Grupy Morele.net na decyzję UODO, wymierzającą spółce karę 2,83 mln złotych za złamanie zasad RODO;
  2. sprawa ma związek z głośnym wyciekiem danych z 2018 roku;
  3. w ocenie sądu firma nie oceniła właściwie ryzyka związanego z zarządzaniem danymi 2,2 mln swoich klientów i nie zadbała o ich bezpieczeństwo;
  4. sąd odrzucił argumenty prawników Morele.net, którzy twierdzili, że postępowanie UODO było prowadzone w sposób niejasny, a kara jest zbyt wysoka.

Gazeta Prawna donosi, że Wojewódzki Sąd Administracyjny w Warszawie podtrzymał wyrok sądu pierwszej instancji, w myśl którego Grupa Morele.net – właściciel licznych sklepów internetowych (m.in. Morele.net, Ubieramy.pl czy Trenujesz.pl) – będzie musiała zapłacić nałożoną przez UODO (Urząd Ochrony Danych Osobowych) rekordową karę w wysokości 2,83 mln złotych za złamanie zasad RODO (rozporządzenia o ochronie danych UE).

Sprawa ma związek z głośnym wyciekiem danych z jesieni 2018 roku, kiedy hakerowi udało się wykraść informacje dotyczące 2,2 mln klientów firmy. Oszuści wykorzystali je przy próbie wyłudzenia – niektórzy użytkownicy otrzymali SMS-y z prośbą o dopłacenie 1 złotego oraz linkiem do podstawionej witryny, przypominającej stronę ich banku. Grupa Morele.net została obarczona odpowiedzialnością za wyciek w związku z niewystarczającymi zabezpieczeniami swoich sklepów – dane wykradziono z panelu pracownika, który był objęty jedynie jednoetapowym uwierzytelnianiem (jest to niezgodne z wytycznymi Europejskiej Agencji ds. Bezpieczeństwa Sieci i Informacji, standardem jest obecnie dwuetapowy system logowania, wymagający np. wpisania kodu wysyłanego SMS-em).

Prawnik spółki argumentował, że została ona pozbawiona prawa do obrony, bowiem postępowanie było prowadzone w sposób niejasny.

Postępowanie było prowadzone według nieakceptowalnych standardów. Cały czas tak naprawdę nie wiemy, za co nałożono karę. W decyzji mówi się o tym, że jedynie częściowo spełniliśmy środki bezpieczeństwa, ale nie wiadomo, co to znaczy. Przez całe postępowanie nie wiedzieliśmy, do jakich zarzutów mamy się odnosić. Pierwsza ich konkretyzacja nastąpiła dopiero w uzasadnieniu decyzji i sprowadzała się do stwierdzenia, że powinniśmy zastosować dwuetapowe uwierzytelnianie. Dlaczego? Tego już nie wiadomo. Pozbawiono nas prawa do obrony – argumentował Sławomir Kowalski z kancelarii Maruta Wachta.

Grupa Morele.net kwestionowała również wysokość kary, szczególnie biorąc pod uwagę fakt, że część wymogów bezpieczeństwa została spełniona. Sąd nie zgodził się z argumentami prawników reprezentujących spółkę. Według sędzi sprawozdawcy Joanny Kube decyzja UODO nie była wadliwa i precyzyjnie wskazywała, z jakich powodów została nałożona kara. Ta ostatnia jest zaś wysoka, ale uzasadniona.

(Decyzja – przyp. red.) zawiera wszystkie wymagane elementy, a rozstrzygnięcie jest jasne, precyzyjne i zrozumiałe. Sentencja wskazuje naruszone przepisy, a uzasadnienie zawiera ich rozwinięcie. (...) Sąd nie miał wątpliwości, za co została nałożona kara.

Kara jest wysoka, ale uzasadniona. Organ wykazał, że spełnia one swą funkcję – jest skuteczna, proporcjonalna i odstraszająca – stwierdziła sędzia.

W argumentacji wyroku podkreślono również, że obowiązek oceny ryzyka i dostosowania do niego poziomu bezpieczeństwa spoczywa na administratorze danych osobowych (prawnicy reprezentujący firmę twierdzili, że UODO nie przeprowadził analizy, więc nie mogła ona wiedzieć, do jakich wymogów musi się dostosować). Morele.net się z tego obowiązku nie wywiązało.

Morele.net, mając na uwadze, że przetwarza dane osobowe 2,2 mln osób, a także zakres tych danych i kontekst, powinno skutecznie oceniać związane z tym ryzyko i zagrożenia. (…) RODO wprowadziło podejście oparte na ryzyku. Zrezygnowano z listy wymagań określanych przez ustawodawcę na rzecz samodzielnego doboru środków przez administratora – powiedziała sędzia Joanna Kube.

  1. Morele.net – strona oficjalna
  2. Urząd Ochrony Danych Osobowych – strona oficjalna