Kara dla Morele.net za naruszenie zasady poufności

Urząd Ochrony  Danych Osobowych nałożył na Morele.net karę finansową w wysokości 2,8 mln zł za to, że dane 2,2 mln klientów sklepu dostały się w niepowołane ręce. Spółka nie zgadza się z decyzją UODO i zapowiada złożenie odwołania.

Kara dla Morele.net za naruszenie zasady poufności
  • Dorota Kraskowska
  • /
  • 23 września 2019

Do wycieku danych ze sklepu internetowego morele.net doszło w grudniu 2018 roku. Klienci zaczęli dostawać podejrzane mejle i wiadomości SMS. Wówczas sklep poinformował, że baza danych klientów dostała się w niepowołane ręce, ale nie podał, że przyczyną wycieku może być problem z wewnętrznymi zabezpieczeniami firmy. 

Prezes UODO wydał 10 września 2019 roku decyzję, w której jednoznacznie stwierdza naruszenie przez Morele.net przepisów RODO. Uzasadniając decyzję o nałożeniu kary finansowej podaje, że spółka Morele.net nie zadbała o wystarczające zabezpieczenia organizacyjne i techniczne, w wyniku czego doszło do wycieku danych klientów na tak dużą skalę. Spółka nie zadbała również o odpowiednie monitorowanie potencjalnych zagrożeń wynikających z nietypowego ruchu w sieci. 

W wyniku zaniedbań w niepowołane ręce dostały się takie informacje jak: imiona i nazwiska klientów, numer telefonu, e-mail, adres doręczeń. Dodatkowo w przypadku ok. 35 tys. osób korzystających z usług sklepu w niepowołane ręce dostały się informacje dotyczące jednego z etapów procedury kredytowej, a konkretnie wnioski kredytowe. W tym przypadku wyciekły bardzo wrażliwe dane takie jak: numer PESEL, nr dokumentu tożsamości, adres zameldowania, adres korespondencyjny, źródło dochodu i jego wysokość, dochód na członka gospodarstwa domowego, wysokość zobowiązań alimentacyjnych oraz kredytowych w innych instytucjach, a nawet stan cywilny i wykształcenie.

UODO zakwalifikował ten rodzaj naruszenia jako złamanie zasady poufności określonej w artykule 5 ust. 1 lit f Rozporządzenia o ochronie danych osobowych. Sklep Morele.net w opinii organu zastosował nieskuteczny środek uwierzytelniania dostępu do danych. Ryzyko naruszenia byłoby znacznie mniejsze, gdyby spółka wdrożyła odpowiednie środki techniczne i organizacyjne stosowane do skali przetwarzanych danych osobowych oraz wprowadziła odpowiednie procedury reagowania na wypadek nietypowego ruchu w sieci.  

Brak odpowiednich zabezpieczeń doprowadził do kradzieży tożsamości klientów sklepu na poważną skalę. Zaniedbanie to może oznaczać dla nich wysokie ryzyko negatywnych skutków — nie wiadomo, jaki użytek z wykradzionych informacji zrobią podmioty, które weszły w posiadanie tych danych. 

Spółka Morele.net wdrożyła odpowiednie zabezpieczenia techniczne po naruszeniu, nie uchylała się od współpracy z organem nadzorczym oraz wcześniej nie dopuściła się żadnych naruszeń związanych z ochroną danych osobowych, co było okolicznością łagodzącą podczas ustalania przez UODO wysokości kary. 

Morele.net zapowiada złożenie odwołania od decyzji UODO. 

Dziękujemy, że przeczytałaś/eś nasz artykuł do końca. Jeśli chcesz być na bieżąco z informacjami za zakresu bezpieczeństwa, zapraszamy do naszego serwisu ponownie!
Jeżeli podobał Ci się artykuł podziel się z innymi udostępniając go w mediach społecznościowych.

Potrzebujesz wsparcia lub szukasz rozwiązań w zakresie zagadnienia o którym mowa w akrtykule?

Czy ten artykuł był przydatny?

Kliknij aby wrócić do strony głównej
Algorytm Twittera faworyzuje prawicę
rozwiązania

Algorytm Twittera faworyzuje prawicę

Twitter promuje za pośrednictwem swojego algorytmu treści o charakterze prawicowym czy też konserwatywnym. Oznacza to, że treści bardziej liberalne czy też lewicowe mogą być słabiej pozycjonowane....

Newsletter

Bądźmy w kontakcie! Zapisz się na newsletter, a raz na jakiś czas wyślemy Ci powiadomienie o najważniejszych artykułach. Dla subskrybentów newslettera przygotowujemy specjalne wydarzenia np. webinaria. Nie pożałujesz!