Ochrona danych osobowych w firmie i szkolenia ABI
Płacz i płać – historia o naruszeniach

Płacz i płać – historia o naruszeniach

judgement-5343065_1280

Spółka Morele.net wyczerpała drogę sądową w sprawie naruszenia obowiązków związanych z przetwarzaniem danych osobowych – spółce pozostała jedynie skarga kasacyjna do Naczelnego Sądu Administracyjnego. WSA w Warszawie uznał zasadność decyzji Prezesa Urzędu Ochrony Danych Osobowych. W związku z tym, Morele.net musi zapłacić nałożoną przez Prezesa UODO karę. Dlaczego ta sprawa jest tak ważna? Na spółkę została nałożona najwyższa do tej pory kara – do zapłaty pozostaje ok. 2,8 mln złotych.

Jak doszło do naruszenia?

Otóż, doszło do ujawnienia danych klientów Morele.net oraz spółek z nią powiązanych. Nie można dokładnie określić skali wycieku danych. Niestety, można się spodziewać, że osoby trzecie miały dostęp do wszystkich osób mających konto w serwisach Morele.net, co daje niebagatelną liczbę ok. 2,2 mln (dla porównania – w Warszawie na koniec grudnia 2019 r. mieszkało ok 1,790 mln osób). W tym świetle, należy zauważyć jaką skalę i jak daleko idące konsekwencje ma ta sytuacja.

Sprawa wyszła na jaw kiedy pod koniec 2018 r. użytkownicy serwisów otrzymali wiadomości, głównie za pośrednictwem SMS, o obowiązku dopłaty do zamówienia. „Rachunek” opiewał na złotówkę (1 PLN). W wiadomości podany był link afilacyjny, który przekierowywał odbiorcę do strony, na której po zalogowaniu do swojej bankowości internetowej, mógł dokonać płatności. W momencie zalogowania, osoba trzecia zyskiwała dostęp do loginu oraz hasła dopłacającego, a dalej – zdobywała dostęp do zgromadzonych na tym koncie środków (zjawisko tzw. pishingu).

Kiedy zgłoszenie do PUODO?

Prezes UODO otrzymał pierwsze zgłoszenie w listopadzie 2018 r. a kolejne już w grudniu tego samego roku. Kończąc postępowanie (styczeń 2019 r.) Prezes UODO stwierdził m.in., że:

  1. Spółka nie zrealizowała swojego obowiązku polegającego na zabezpieczeniu bezpieczeństwa i poufności danych – w związku z dostępem do tych danych przez osoby trzecie (zasada poufności i integralności);
  2. Spółka naruszyła zasady: legalności, rzetelności oraz rozliczalności – Spółka nie wykazała, że dane osobowe zawarte we wnioskach ratalnych były przetwarzane na podstawie zgody tych osób.
Jakie dane przetwarzało Morele.net i spółki powiązane?

W zależności od sytuacji, Spółka przetwarzała różny zbiór danych osobowych. W zakresie podstawowych danych: imię, nazwisko, adres poczty elektronicznej, numer telefonu oraz adres do doręczeń.

Jeśli użytkownik serwisu złoży wniosek ratalny, zbiór jego danych osobowych się powiększał. Dodatkowo, przy wnioskach kredytowych,  Spółka otrzymywała następujące dane: numer PESEL, serię i numer dokumentu tożsamości, datę wydania dokumentu, datę ważności dokumentu tożsamości, wykształcenie, adres zameldowania, adres do korespondencji, źródło dochodu, miesięczny dochód netto, koszty utrzymania gospodarstwa domowego, liczbę osób na utrzymaniu, stan cywilny, wysokość miesięcznych innych zobowiązań w instytucjach finansowych, informację o wysokości zobowiązań alimentacyjnych oraz innych wynikających z wyroków sądowych.

Ciepło, cieplej, gorąco!

Spółka podjęła działania mające na celu wyjaśnienie zaistniałej sytuacji. W związku z tym, poinformowała Policję o zdarzeniu, poinformowała swoich klientów poprzez wiadomości SMS oraz e-mail a także wystosowała komunikat, który umieściła na stronie internetowej. W tym samym miesiącu (listopad 2018 r.) Morele.net otrzymało wiadomość od nieznanej osoby o kradzieży bazy danych, której dokonała.

Uzasadnienie Prezesa UODO

Prezes UODO stwierdził, w swojej decyzji, że Spółka podjęła takie działania, które w minimalnym stopniu ograniczały ryzyko zajścia naruszenia. Nie były jednak wystarczające. Prezes w swojej decyzji stwierdził, że: Spółka zastosowała środki techniczne i organizacyjne, które przyczyniły się w ograniczonym stopniu do wypełnienia wymogów z art. 32 rozporządzania rozporządzenia 2016/679, gdyż przewidywalne ryzyka nie zostały odpowiednio zminimalizowane i ograniczone w czasie przetwarzania. Dodatkowo, w związku z danymi dotyczącymi wniosków kredytowych, wg Prezesa UODO, administrator nie był w stanie (a taki jest jego obowiązek) wskazać w każdym możliwym momencie podstawę przetwarzania danych osobowych.

Morele.net się broni (ale czy się obroni?)

Spółka podjęła próbę zmiany decyzji Prezesa Urzędu Ochrony Danych Osobowych i wniosła do Wojewódzkiego Sądu Administracyjnego w Warszawie skargę na otrzymaną decyzję.

3 września WSA oddalił skargę a decyzję Prezesa UODO o nałożeniu kary administracyjnej uznał za zasadną. Postępowanie przeprowadzone przez Prezesa UODO zostało uznane za przeprowadzone prawidłowo i wyczerpująco. Jednakże, Morele.net uważa, że została pozbawiona prawa do obrony, co według Spółki przekładało się na postępowanie. Spółka twierdzi, że nie wiedziała co było jej zarzucane w trakcie postępowania.

Prezes UODO sypie karami
  1. Nie jest to jedyna kara nałożona przez Prezesa Urzędu Ochrony Danych Osobowych. Kary zostały nałożone także na:
    Burmistrza Aleksandrowa Kujawskiego w wysokości 40 tys. zł (kara jest już prawomocna, 20 sierpnia 2020 r. Wojewódzki Sąd Administracyjny oddalił skargę burmistrza na decyzję PUODO) – pojawiają się o informacji w zakresie skargi do NSA.
  2. Głównego Geodetę Kraju w wysokości po 100 tys. zł w związku z przeprowadzonymi postępowaniami (jedno w zakresie niezapewnienia organowi nadzorczemu dostępu do wszelkich dokumentów, pomieszczeń etc. sprawdzanych podczas kontroli oraz za niezgodne z prawem przetwarzanie danych osobowych i ich udostępnianie w sposób umyślny bez podstawy prawnej).
  3. SGGW w wysokości 50 tys. zł (naruszenie ochrony danych osobowych w związku z kradzieżą prywatnego komputera przenośnego jednego z pracowników uczelni, który służył także do celów służbowych).

Chcesz zmniejszyć ryzyko potencjalnej kary? Chętnie pomożemy!

Skontaktuj się z nami:

biuro@itls.pl

Należy zatem pamiętać, że kara, którą nakłada Prezes UODO powinna być adekwatna do stopnia naruszenia ochrony danych osobowych. Kara nałożona na Morele.net jest, jak dotąd, najwyższą prawomocną karą w Polsce. Dbanie o ochronę danych osobowych może nie być tak wysokim kosztem jak później nałożona kara za niepodjęcie się ich ochrony.

Źródła:

Komunikat PUODO w sprawie prawomocności decyzji o nałożonej karze na Morele.net tutaj.

Materiał prasowy dotyczący wyroku Sądu tutaj.

Decyzja PUODO dotycząca nałożenia kary na Morele.net tutaj.

Komunikaty prasowe PUODO dotyczące kar nałożonych na:

– Burmistrza Aleksandrowa Kujawskiego tutaj;
– GGK tutaj oraz tutaj;
– SGGW tutaj.

 

Biuro IT Law Solutions