Jak dowiadujemy się z konferencji prasowej Urzędu Ochrony Danych Osobowych (oraz opublikowanej decyzji) w Polsce nałożona została kolejna kara na podmiot prywatny w związku z naruszeniem ochrony danych osobowych. Jak się okazuje pierwsza z kar (o wartości 1 miliona zł – o której piszemy TUTAJ) to jedynie zapowiedź większych kwot, nakładanych w ramach sankcji przez PUODO. Rekordowa administracyjna kara pieniężną w wysokości 3 mln zł decyzją organu nadzoru została nałożona sklep internetowy Morele.net
Ale od początku…
Na przełomie października i listopada 2018 r. spółka Morele.net padła ofiarą ataku hakerskiego, w wyniku którego osoby nieuprawnione otrzymały dostęp do danych osobowych ponad 2 mln użytkowników sklepu internetowego Morele.net oraz powiązanych z nim sklepów. Z pierwszych informacji podawanych przez spółkę wynikało, że hakerzy otrzymali dostęp do danych takich jak: imię, nazwisko, numer telefonu e-mail i hasła do kont. Jak się jednak okazało w przypadku pewnej części osób (ok. 35 tys.) wyciekły dane, znajdujące się na ich wnioskach ratalnych. W ich zakres wchodziły informacje między innymi o:
- numerze PESEL;
- danych dokumentów tożsamości (seria i numer);
- wykształceniu;
- adresie zameldowania;
- wysokości dochodu;
- stanu cywilnego
- wysokości zobowiązań kredytowych czy alimentacyjnych
W efekcie Morele.net poinformowało o tym swoich klientów oraz zaleciło im zmianę haseł do kont. Poinformowali także Urząd Ochrony Danych Osobowych o tym incydencie.
Z ujawnionych informacji wynika także, że w skradzionej przez hakera bazie widniały dane osób, które uprzednio skasowały konta w sklepie internetowym (a więc które z oczywistych względów powinny zostać przez spółkę usunięte).
Stanowisko PUODO
Z opublikowanej właśnie na stronie Urzędu informacji wynika, że w toku postępowania uznano zastosowane przez spółkę środki bezpieczeństwa za niewystarczające. Prezes Urzędu twierdzi, że były one niewspółmierne do ryzyka, jakie związane było z przetwarzaniem danych osobowych. Co więcej, postępowanie wykazało, że przyczyną naruszenia było także nieskuteczne monitorowanie ewentualnych zagrożeń oraz brak procedur reagowania na przypadki występowania podejrzanych ruchów w sieci.
Z publikacji wynika, że to właśnie było głównym powodem takiej decyzji organu: ” Postępowanie wykazało także inne uchybienia, jednak to brak odpowiednich środków technicznych (niewystarczające zabezpieczenia) i organizacyjnych (dotyczących monitorowania potencjalnych zagrożeń, związanych z nietypowymi zachowaniami w sieci) przesądził o nałożeniu kary”.
Wobec wszystkiego co wyżej PUODO powołuje się na naruszenie zasady poufności danych, wynikającej z art. 5 ust. 1 lit. f RODO.
W wyniku postępowania PUODO nałożył na Morele.net karę wartości 2,8 mln. Na jej wysokość wpływ miały czynniki, takie jak waga naruszenia, jego charakter oraz fakt, że dotknęło ono danych dużej ilości osób. Urząd wskazuje, że zakres przejętych przez hakera danych może powodować między innymi kradzieże tożsamości. Według publikacji przy wymierzaniu kary pod uwagę wzięto również okoliczności łagodzące, a więc współpracę organem nadzoru, podjęcie działań zmierzających do usunięcia naruszenia czy też brak takich incydentów w przeszłości. Sugeruje to nałożenie wyższej sankcji w przypadku braku odpowiedniej reakcji spółki.
Jaką linię obrony przyjmuje spółka i jej reprezentanci?
Członek kancelarii, reprezentującej Morele.net, a do niedawna dyrektor departamentu zarządzania danymi w Ministerstwie Cyfryzacji – dr Maciej Kawecki nie ukrywa swojego niezadowolenia z powodu treści wydanej decyzji. Na jednym z portali społecznościowych zwraca uwagę: „Morele.net padła ofiarą ataku hakerskiego. Nikt dotychczas nie był w stanie ustalić, jak do niego doszło. Ani Morele, ani zewnętrzni specjaliści najwyższej klasy, ani nawet policja. Ataki hackerskie, zdarzają się pomimo najsilniejszych zabezpieczeń. Spółka inwestowała rocznie dziesiątki milionów złotych w systemy IT i bezpieczeństwo, zlecając audyty bezpieczeństwa i testy penetracyjne”. Wskazuje on też na fakt współpracy z organami ścigania i organem nadzoru. Wydaje się być słusznym stwierdzenie dr Kaweckiego, że nie można traktować jednakowo podmiotu, który świadomie dopuszcza się naruszenia ochrony danych osobowych z tym, który pada ofiarą ataku hakerskiego, spełniając wymagania nakładane przez sektorowe przepisy.
Przedstawiciele spółki zwracają też uwagę na szereg zabezpieczeń, jakie zostały wdrożone po incydencie w celu zapobiegnięcia jego powtórzenia się w przyszłości.
Wiceprezes spółki ds. IT zdecydowanie zapowiada odwołanie do Sądu Administracyjnego.
Czy „wymiar kary” jest adekwatny?
Takie pytania zadaje większość źródeł internetowych, opisujących karę, nałożoną przez PUODO. Odpowiedź nie jest jednak jednoznaczna.
Z jednej strony bowiem nie należy dziwić się organowi nadzorczemu, że karze przedsiębiorców za skutki ataków hakerskich. Wydawać by się mogło, że przecież nie da się tego przewidzieć, ani nie ma sposobu na całkowite wyeliminowanie takiego ryzyka. Ale nie można przecież wykluczyć odpowiedzialności w każdym przypadku wystąpienia ataku. Wiązałoby się to z tym, że przedsiębiorcom nie opłacałoby się dokładać staranności w kwestii zabezpieczeń systemów i najpewniej wcale by tego robili.
Z drugiej zaś strony biorąc pod uwagę wszelkie przedstawione przez strony okoliczności wysokość kary nałożonej na Morele.net wydaje się nieco nieproporcjonalna. Zdaje się, że spółka wykonała szereg czynności, której można byłoby oczekiwać od niej po stwierdzeniu ataku, a w konsekwencji wycieku. Jedynym przewinieniem mogłyby być wskazane prze PUODO niewystarczające zabezpieczenia (co nie oznacza, że całkowity ich brak).
O ile więc sama kwestia nałożenia kary na podmiot nie powinna budzić wątpliwości (była zresztą do przewidzenia), o tyle jej wysokość może być uznana za kontrowersyjną.
