Kara dla Morele.net za naruszenie zasady poufności

Urząd Ochrony  Danych Osobowych nałożył na Morele.net karę finansową w wysokości 2,8 mln zł za to, że dane 2,2 mln klientów sklepu dostały się w niepowołane ręce. Spółka nie zgadza się z decyzją UODO i zapowiada złożenie odwołania.

Kara dla Morele.net za naruszenie zasady poufności
  • Dorota Kraskowska
  • /
  • 23 września 2019

Do wycieku danych ze sklepu internetowego morele.net doszło w grudniu 2018 roku. Klienci zaczęli dostawać podejrzane mejle i wiadomości SMS. Wówczas sklep poinformował, że baza danych klientów dostała się w niepowołane ręce, ale nie podał, że przyczyną wycieku może być problem z wewnętrznymi zabezpieczeniami firmy. 

Prezes UODO wydał 10 września 2019 roku decyzję, w której jednoznacznie stwierdza naruszenie przez Morele.net przepisów RODO. Uzasadniając decyzję o nałożeniu kary finansowej podaje, że spółka Morele.net nie zadbała o wystarczające zabezpieczenia organizacyjne i techniczne, w wyniku czego doszło do wycieku danych klientów na tak dużą skalę. Spółka nie zadbała również o odpowiednie monitorowanie potencjalnych zagrożeń wynikających z nietypowego ruchu w sieci. 

W wyniku zaniedbań w niepowołane ręce dostały się takie informacje jak: imiona i nazwiska klientów, numer telefonu, e-mail, adres doręczeń. Dodatkowo w przypadku ok. 35 tys. osób korzystających z usług sklepu w niepowołane ręce dostały się informacje dotyczące jednego z etapów procedury kredytowej, a konkretnie wnioski kredytowe. W tym przypadku wyciekły bardzo wrażliwe dane takie jak: numer PESEL, nr dokumentu tożsamości, adres zameldowania, adres korespondencyjny, źródło dochodu i jego wysokość, dochód na członka gospodarstwa domowego, wysokość zobowiązań alimentacyjnych oraz kredytowych w innych instytucjach, a nawet stan cywilny i wykształcenie.

UODO zakwalifikował ten rodzaj naruszenia jako złamanie zasady poufności określonej w artykule 5 ust. 1 lit f Rozporządzenia o ochronie danych osobowych. Sklep Morele.net w opinii organu zastosował nieskuteczny środek uwierzytelniania dostępu do danych. Ryzyko naruszenia byłoby znacznie mniejsze, gdyby spółka wdrożyła odpowiednie środki techniczne i organizacyjne stosowane do skali przetwarzanych danych osobowych oraz wprowadziła odpowiednie procedury reagowania na wypadek nietypowego ruchu w sieci.  

Brak odpowiednich zabezpieczeń doprowadził do kradzieży tożsamości klientów sklepu na poważną skalę. Zaniedbanie to może oznaczać dla nich wysokie ryzyko negatywnych skutków — nie wiadomo, jaki użytek z wykradzionych informacji zrobią podmioty, które weszły w posiadanie tych danych. 

Spółka Morele.net wdrożyła odpowiednie zabezpieczenia techniczne po naruszeniu, nie uchylała się od współpracy z organem nadzorczym oraz wcześniej nie dopuściła się żadnych naruszeń związanych z ochroną danych osobowych, co było okolicznością łagodzącą podczas ustalania przez UODO wysokości kary. 

Morele.net zapowiada złożenie odwołania od decyzji UODO. 

Dziękujemy, że przeczytałaś/eś nasz artykuł do końca. Jeśli chcesz być na bieżąco z informacjami za zakresu bezpieczeństwa, zapraszamy do naszego serwisu ponownie!
Jeżeli podobał Ci się artykuł podziel się z innymi udostępniając go w mediach społecznościowych.

Potrzebujesz wsparcia lub szukasz rozwiązań w zakresie zagadnienia o którym mowa w akrtykule?

Czy ten artykuł był przydatny?

Kliknij aby wrócić do strony głównej
ISO 54001. Co to jest?
ISO

ISO 54001. Co to jest?

Na rynku istnieje wiele różnych norm zarządzania jakością, jakie dokładnie opisuje standard ISO. Jednym z nich jest norma 54001, z którą jednak nie spotykamy się zbyt często. Czym wyróżnia...

Newsletter

Bądźmy w kontakcie! Zapisz się na newsletter, a raz na jakiś czas wyślemy Ci powiadomienie o najważniejszych artykułach. Dla subskrybentów newslettera przygotowujemy specjalne wydarzenia np. webinaria. Nie pożałujesz!