Kara dla Morele.net za naruszenie zasady poufności

Urząd Ochrony  Danych Osobowych nałożył na Morele.net karę finansową w wysokości 2,8 mln zł za to, że dane 2,2 mln klientów sklepu dostały się w niepowołane ręce. Spółka nie zgadza się z decyzją UODO i zapowiada złożenie odwołania.

Kara dla Morele.net za naruszenie zasady poufności

Dorota Kraskowska

23 września 2019

Do wycieku danych ze sklepu internetowego morele.net doszło w grudniu 2018 roku. Klienci zaczęli dostawać podejrzane mejle i wiadomości SMS. Wówczas sklep poinformował, że baza danych klientów dostała się w niepowołane ręce, ale nie podał, że przyczyną wycieku może być problem z wewnętrznymi zabezpieczeniami firmy. 

Prezes UODO wydał 10 września 2019 roku decyzję, w której jednoznacznie stwierdza naruszenie przez Morele.net przepisów RODO. Uzasadniając decyzję o nałożeniu kary finansowej podaje, że spółka Morele.net nie zadbała o wystarczające zabezpieczenia organizacyjne i techniczne, w wyniku czego doszło do wycieku danych klientów na tak dużą skalę. Spółka nie zadbała również o odpowiednie monitorowanie potencjalnych zagrożeń wynikających z nietypowego ruchu w sieci. 

W wyniku zaniedbań w niepowołane ręce dostały się takie informacje jak: imiona i nazwiska klientów, numer telefonu, e-mail, adres doręczeń. Dodatkowo w przypadku ok. 35 tys. osób korzystających z usług sklepu w niepowołane ręce dostały się informacje dotyczące jednego z etapów procedury kredytowej, a konkretnie wnioski kredytowe. W tym przypadku wyciekły bardzo wrażliwe dane takie jak: numer PESEL, nr dokumentu tożsamości, adres zameldowania, adres korespondencyjny, źródło dochodu i jego wysokość, dochód na członka gospodarstwa domowego, wysokość zobowiązań alimentacyjnych oraz kredytowych w innych instytucjach, a nawet stan cywilny i wykształcenie.

UODO zakwalifikował ten rodzaj naruszenia jako złamanie zasady poufności określonej w artykule 5 ust. 1 lit f Rozporządzenia o ochronie danych osobowych. Sklep Morele.net w opinii organu zastosował nieskuteczny środek uwierzytelniania dostępu do danych. Ryzyko naruszenia byłoby znacznie mniejsze, gdyby spółka wdrożyła odpowiednie środki techniczne i organizacyjne stosowane do skali przetwarzanych danych osobowych oraz wprowadziła odpowiednie procedury reagowania na wypadek nietypowego ruchu w sieci.  

Brak odpowiednich zabezpieczeń doprowadził do kradzieży tożsamości klientów sklepu na poważną skalę. Zaniedbanie to może oznaczać dla nich wysokie ryzyko negatywnych skutków — nie wiadomo, jaki użytek z wykradzionych informacji zrobią podmioty, które weszły w posiadanie tych danych. 

Spółka Morele.net wdrożyła odpowiednie zabezpieczenia techniczne po naruszeniu, nie uchylała się od współpracy z organem nadzorczym oraz wcześniej nie dopuściła się żadnych naruszeń związanych z ochroną danych osobowych, co było okolicznością łagodzącą podczas ustalania przez UODO wysokości kary. 

Morele.net zapowiada złożenie odwołania od decyzji UODO. 

Potrzebujesz wsparcia lub szukasz rozwiązań w zakresie zagadnienia
o którym mowa w akrtykule?

Udostępnij:

Popularne tematy

Blogi tematyczne

Prawo konsumenckie 2021
Blog prawa e-commerce
Prawo konsumenckie
RODO Magazyn
Poradnik: wszystko o zgodzie RODO i obowiązkach informacyjnych RODO

Newsletter RODO

Bądźmy w kontakcie! Zapisz się na newsletter, a raz na jakiś czas wyślemy Ci powiadomienie o najważniejszych tematach prawnych. Dla subskrybentów newslettera przygotowujemy specjalne wydarzenia np. webinaria. Nie pożałujesz!