Kara dla Morele.net za naruszenie zasady poufności
Urząd Ochrony Danych Osobowych nałożył na Morele.net karę finansową w wysokości 2,8 mln zł za to, że dane 2,2 mln klientów sklepu dostały się w niepowołane ręce. Spółka nie zgadza się z decyzją UODO i zapowiada złożenie odwołania.
- Dorota Kraskowska
- /
- 23 września 2019
Do wycieku danych ze sklepu internetowego morele.net doszło w grudniu 2018 roku. Klienci zaczęli dostawać podejrzane mejle i wiadomości SMS. Wówczas sklep poinformował, że baza danych klientów dostała się w niepowołane ręce, ale nie podał, że przyczyną wycieku może być problem z wewnętrznymi zabezpieczeniami firmy.
Prezes UODO wydał 10 września 2019 roku decyzję, w której jednoznacznie stwierdza naruszenie przez Morele.net przepisów RODO. Uzasadniając decyzję o nałożeniu kary finansowej podaje, że spółka Morele.net nie zadbała o wystarczające zabezpieczenia organizacyjne i techniczne, w wyniku czego doszło do wycieku danych klientów na tak dużą skalę. Spółka nie zadbała również o odpowiednie monitorowanie potencjalnych zagrożeń wynikających z nietypowego ruchu w sieci.
W wyniku zaniedbań w niepowołane ręce dostały się takie informacje jak: imiona i nazwiska klientów, numer telefonu, e-mail, adres doręczeń. Dodatkowo w przypadku ok. 35 tys. osób korzystających z usług sklepu w niepowołane ręce dostały się informacje dotyczące jednego z etapów procedury kredytowej, a konkretnie wnioski kredytowe. W tym przypadku wyciekły bardzo wrażliwe dane takie jak: numer PESEL, nr dokumentu tożsamości, adres zameldowania, adres korespondencyjny, źródło dochodu i jego wysokość, dochód na członka gospodarstwa domowego, wysokość zobowiązań alimentacyjnych oraz kredytowych w innych instytucjach, a nawet stan cywilny i wykształcenie.
UODO zakwalifikował ten rodzaj naruszenia jako złamanie zasady poufności określonej w artykule 5 ust. 1 lit f Rozporządzenia o ochronie danych osobowych. Sklep Morele.net w opinii organu zastosował nieskuteczny środek uwierzytelniania dostępu do danych. Ryzyko naruszenia byłoby znacznie mniejsze, gdyby spółka wdrożyła odpowiednie środki techniczne i organizacyjne stosowane do skali przetwarzanych danych osobowych oraz wprowadziła odpowiednie procedury reagowania na wypadek nietypowego ruchu w sieci.
Brak odpowiednich zabezpieczeń doprowadził do kradzieży tożsamości klientów sklepu na poważną skalę. Zaniedbanie to może oznaczać dla nich wysokie ryzyko negatywnych skutków — nie wiadomo, jaki użytek z wykradzionych informacji zrobią podmioty, które weszły w posiadanie tych danych.
Spółka Morele.net wdrożyła odpowiednie zabezpieczenia techniczne po naruszeniu, nie uchylała się od współpracy z organem nadzorczym oraz wcześniej nie dopuściła się żadnych naruszeń związanych z ochroną danych osobowych, co było okolicznością łagodzącą podczas ustalania przez UODO wysokości kary.
Morele.net zapowiada złożenie odwołania od decyzji UODO.
Dziękujemy, że przeczytałaś/eś nasz artykuł do końca. Jeśli chcesz być na bieżąco
z informacjami za zakresu bezpieczeństwa, zapraszamy do naszego serwisu
ponownie!
Jeżeli
podobał Ci się artykuł podziel się z innymi udostępniając go w mediach
społecznościowych.
Potrzebujesz wsparcia lub szukasz rozwiązań w zakresie zagadnienia, o którym mowa w artykule?