Spółka Morele.net wyczerpała drogę sądową w sprawie naruszenia obowiązków związanych z przetwarzaniem danych osobowych – spółce pozostała jedynie skarga kasacyjna do Naczelnego Sądu Administracyjnego. WSA w Warszawie uznał zasadność decyzji Prezesa Urzędu Ochrony Danych Osobowych. W związku z tym, Morele.net musi zapłacić nałożoną przez Prezesa UODO karę. Dlaczego ta sprawa jest tak ważna? Na spółkę została nałożona najwyższa do tej pory kara – do zapłaty pozostaje ok. 2,8 mln złotych.
Otóż, doszło do ujawnienia danych klientów Morele.net oraz spółek z nią powiązanych. Nie można dokładnie określić skali wycieku danych. Niestety, można się spodziewać, że osoby trzecie miały dostęp do wszystkich osób mających konto w serwisach Morele.net, co daje niebagatelną liczbę ok. 2,2 mln (dla porównania – w Warszawie na koniec grudnia 2019 r. mieszkało ok 1,790 mln osób). W tym świetle, należy zauważyć jaką skalę i jak daleko idące konsekwencje ma ta sytuacja.
Sprawa wyszła na jaw kiedy pod koniec 2018 r. użytkownicy serwisów otrzymali wiadomości, głównie za pośrednictwem SMS, o obowiązku dopłaty do zamówienia. „Rachunek” opiewał na złotówkę (1 PLN). W wiadomości podany był link afilacyjny, który przekierowywał odbiorcę do strony, na której po zalogowaniu do swojej bankowości internetowej, mógł dokonać płatności. W momencie zalogowania, osoba trzecia zyskiwała dostęp do loginu oraz hasła dopłacającego, a dalej – zdobywała dostęp do zgromadzonych na tym koncie środków (zjawisko tzw. pishingu).
Prezes UODO otrzymał pierwsze zgłoszenie w listopadzie 2018 r. a kolejne już w grudniu tego samego roku. Kończąc postępowanie (styczeń 2019 r.) Prezes UODO stwierdził m.in., że:
W zależności od sytuacji, Spółka przetwarzała różny zbiór danych osobowych. W zakresie podstawowych danych: imię, nazwisko, adres poczty elektronicznej, numer telefonu oraz adres do doręczeń.
Jeśli użytkownik serwisu złoży wniosek ratalny, zbiór jego danych osobowych się powiększał. Dodatkowo, przy wnioskach kredytowych, Spółka otrzymywała następujące dane: numer PESEL, serię i numer dokumentu tożsamości, datę wydania dokumentu, datę ważności dokumentu tożsamości, wykształcenie, adres zameldowania, adres do korespondencji, źródło dochodu, miesięczny dochód netto, koszty utrzymania gospodarstwa domowego, liczbę osób na utrzymaniu, stan cywilny, wysokość miesięcznych innych zobowiązań w instytucjach finansowych, informację o wysokości zobowiązań alimentacyjnych oraz innych wynikających z wyroków sądowych.
Spółka podjęła działania mające na celu wyjaśnienie zaistniałej sytuacji. W związku z tym, poinformowała Policję o zdarzeniu, poinformowała swoich klientów poprzez wiadomości SMS oraz e-mail a także wystosowała komunikat, który umieściła na stronie internetowej. W tym samym miesiącu (listopad 2018 r.) Morele.net otrzymało wiadomość od nieznanej osoby o kradzieży bazy danych, której dokonała.
Prezes UODO stwierdził, w swojej decyzji, że Spółka podjęła takie działania, które w minimalnym stopniu ograniczały ryzyko zajścia naruszenia. Nie były jednak wystarczające. Prezes w swojej decyzji stwierdził, że: Spółka zastosowała środki techniczne i organizacyjne, które przyczyniły się w ograniczonym stopniu do wypełnienia wymogów z art. 32 rozporządzania rozporządzenia 2016/679, gdyż przewidywalne ryzyka nie zostały odpowiednio zminimalizowane i ograniczone w czasie przetwarzania. Dodatkowo, w związku z danymi dotyczącymi wniosków kredytowych, wg Prezesa UODO, administrator nie był w stanie (a taki jest jego obowiązek) wskazać w każdym możliwym momencie podstawę przetwarzania danych osobowych.
Spółka podjęła próbę zmiany decyzji Prezesa Urzędu Ochrony Danych Osobowych i wniosła do Wojewódzkiego Sądu Administracyjnego w Warszawie skargę na otrzymaną decyzję.
3 września WSA oddalił skargę a decyzję Prezesa UODO o nałożeniu kary administracyjnej uznał za zasadną. Postępowanie przeprowadzone przez Prezesa UODO zostało uznane za przeprowadzone prawidłowo i wyczerpująco. Jednakże, Morele.net uważa, że została pozbawiona prawa do obrony, co według Spółki przekładało się na postępowanie. Spółka twierdzi, że nie wiedziała co było jej zarzucane w trakcie postępowania.
Skontaktuj się z nami:
Należy zatem pamiętać, że kara, którą nakłada Prezes UODO powinna być adekwatna do stopnia naruszenia ochrony danych osobowych. Kara nałożona na Morele.net jest, jak dotąd, najwyższą prawomocną karą w Polsce. Dbanie o ochronę danych osobowych może nie być tak wysokim kosztem jak później nałożona kara za niepodjęcie się ich ochrony.
Źródła:
Komunikat PUODO w sprawie prawomocności decyzji o nałożonej karze na Morele.net tutaj.
Materiał prasowy dotyczący wyroku Sądu tutaj.
Decyzja PUODO dotycząca nałożenia kary na Morele.net tutaj.
Komunikaty prasowe PUODO dotyczące kar nałożonych na:
– Burmistrza Aleksandrowa Kujawskiego tutaj;
– GGK tutaj oraz tutaj;
– SGGW tutaj.
