Jak dotąd nie udało się ukarać sklepu Morele za ogromny wyciek danych osobowych ich klientów, ale sprawa wcale nie została na tym zakończona. Urzędnicy nie dają za wygraną i po ponownym postępowaniu podnieśli jeszcze nałożoną karę.
Wyciek z Morele.net był jednym z największych tego typu. Do sieci wydostały się dane blisko 2,2 miliona osób, a konsekwencje zdarzenia były odczuwalne przez wiele miesięcy. Urząd Ochrony Danych Osobowych już raz próbował ukarać sklep, jednak NSA w prawomocnym wyroku wytknął urzędowi, że ten źle przeprowadził postępowanie dowodowe, przez co uchylono nałożoną rekordową karę w wysokości 2,8 miliona złotych. Sklep nie zgodził się decyzją UODO, więc sprawa trafiła do sądu administracyjnego, a ostatecznie w 2023 roku została całkowicie odrzucona przez błędy proceduralne. Trzeba pamiętać, że NSA podważył decyzję UODO jako całość. Wyciek niewątpliwie był i klienci ucierpieli z jego powodu. Nie było tylko wiadomo, czy UODO właściwie ocenił sytuację, co zaowocowało kolejnym postępowaniem.
Pod koniec 2018 roku na Wykopie ujawnił się włamywacz, przekazując dowody na kradzież m.in. numerów PESEL i skanó dowodów klientów. Morele ukrywało wyciek.
UODO nie zamierza jednak ustępować i po ponownie przeprowadzonym postępowaniu, nałożył jeszcze większą karę - tym razem 3,8 miliona złotych W toku postępowania ujawniono, że naruszenie ochrony danych osobowych miało miejsce wskutek braku stosowania przez Morele.net odpowiednich zabezpieczeń. "Z ustaleń kontrolnych wynika, że administrator m.in. nie szyfrował części danych, nie dysponował wystarczającym uwierzytelnianiem, nie przeprowadził analizy ryzyka, która uwzględniałaby np. zagrożenia związane z możliwością logowania się do systemu z sieci publicznej. W efekcie dwukrotnie doszło do nieautoryzowanego dostępu z zewnątrz, na skutek którego osoba niepowołana weszła w posiadanie danych klientów" – uzasadnia UODO.
W komunikacie Urzędu na ten temat zakończenia postępowania i nowej kary czytamy:
W toku postępowania Prezes UODO nie powołał biegłego, a strona postępowania kwestionowała przedstawioną analizę, zarzucając m.in. stronniczość jej autorów i domagając się ich wyłączenia. Organ nadzorczy nie uwzględnił tego zarzutu w toku postepowania, gdyż de facto prowadziłoby to do tego, że żaden z pracowników UODO nie mógłby zajmować się tą sprawą z uwagi na zarzut stronniczości.
Tymczasem przygotowana analiza wykazała, że administrator nie szyfrował części danych (do czego zresztą się przyznał), nie dysponował dwuskładnikowym uwierzytelnianiem, nie przeprowadził analizy ryzyka, która uwzględniałaby m.in. zagrożenia związane z możliwością logowania się do systemu z sieci publicznej. W efekcie dwukrotnie doszło do nieautoryzowanego dostępu z zewnątrz, na skutek którego osoba niepowołana weszła w posiadanie danych klientów spółki Morele.net.
Zabrakło też rozwiązań technicznych i administracyjnych pozwalających monitorować ruch w sieci i reagować w przypadku wykrycia nieprawidłowych działań.
Pokaż / Dodaj komentarze do: Morele.net w końcu zapłaci za wyciek danych użytkowników. Kara jest jeszcze większa