Rekordowa kara za naruszenie przepisów o ochronie danych osobowych

W listopadzie ubiegłego roku klienci posiadający konta w sklepach internetowych należących do Morele.net po dokonaniu zakupów zaczęli otrzymywać podejrzane wiadomości SMS z informacją o konieczności dopłaty kwoty 1 PLN do złożonego zamówienia. Wiadomość zawierała dodatkowo link do fałszywej strony z płatnościami, która wyłudzała od klientów dane logowania do kont bankowych. Spółka zamieściła wówczas na swojej stronie internetowej ostrzeżenie o próbie wyłudzenia, w którym zwróciła się z apelem do swoich klientów, aby nie reagować na żadne z tych wiadomości. Kiedy okazało się, że zagrożenie związane z nieuprawnionym dostępem do bazy danych klientów jest dużo poważniejsze, spółka poinformowała klientów o kradzieży ich danych, w tym również haseł dostępowych. Przestępstwo zostało zgłoszone na policję oraz do Urzędu Ochrony Danych Osobowych, w związku z czym w styczniu 2019 organ nadzorczy podjął wobec spółki czynności sprawdzające na przedmiot zgodności przetwarzania danych osobowych z obowiązującymi przepisami.

W trakcie postępowania ujawniono, że przestępstwo kradzieży danych dotyczy ponad dwóch milionów klientów spółki – osób, które rejestrowały się na stronach sklepów internetowych należących do Morele.net Sp. z o.o. W niepowołane ręce dostały się takie dane jak imię i nazwisko, numer telefonu, adres e-mail, adresy do doręczeń. W przypadku ok. 35 tys. osób były to również dane z wniosków ratalnych, które obejmowały dodatkowo m.in. numer PESEL, serię i numer dokumentu tożsamości, informacje o wykształceniu, adresie zameldowania i korespondencji, źródłach dochodu i dochodach netto, kosztach utrzymania, liczbie osób jest na utrzymaniu, wysokości zobowiązań kredytowych i alimentacyjnych.

Zgodnie z tym przepisem administrator danych zobowiązany jest zapewnić bezpieczeństwo przetwarzania danych osobowych poprzez stosowanie odpowiednich środków technicznych i organizacyjnych adekwatnych do wytypowanych zagrożeń. Zdaniem organu spółka Morele.net Sp. z o.o. naruszyła wspomniany przepis poprzez zaniedbanie następujących obowiązków administratora:

• Administrator danych, uwzględniając charakter, kontekst, zakres i cele przetwarzania, zobowiązany jest wdrożyć takie środki techniczne i organizacyjne, aby przetwarzanie danych odbywało się zgodnie z rozporządzeniem o ochronie danych osobowych i aby móc to wykazać. Ponadto środki te powinny podlegać okresowej weryfikacji i aktualizacji (art. 24 ust. 1);
• Administrator danych zobowiązany jest uwzględnić ochronę danych osobowych i odpowiednie zabezpieczenia już w fazie projektowania, w oparciu o stan wiedzy technicznej, koszt wdrażania, charakter, kontekst, zakres i cele takiego przetwarzania (art. 25 ust. 1);
• Administrator powinien wdrożyć takie zabezpieczenia, które pozwalają na ciągłe zapewnianie poufności, integralności, dostępności i odporności systemów oraz usług przetwarzania. Dodatkowo, Administrator powinien regularnie testować, mierzyć i oceniać skuteczność zastosowanych zabezpieczeń (art. 32 ust. 1 lit. b i d);
• Administrator danych przy ocenie, czy zastosowane zabezpieczenia są odpowiednie, powinien uwzględnić ryzyko wiążące się z przetwarzaniem, w szczególności wynikające z przypadkowego lub niezgodnego z prawem zniszczenia, utraty, modyfikacji, nieuprawnionego ujawnienia lub nieuprawnionego dostępu (art. 32 ust. 2).

Pierwszy z przywołanych przepisów mówi o tym, że administrator zobowiązany jest przetwarzać dane osobowe legalnie, rzetelnie i w sposób przejrzysty dla podmiotu danych. Drugi zaś nakłada na administratora odpowiedzialność za przestrzeganie wszystkich zasad opisanych w artykule 5 rozporządzenia i wskazuje, że administrator powinien być w stanie wykazać zgodność przetwarzania z tymi zasadami, co powszechnie w odniesieniu do przepisów o ochronie danych osobowych nazywa się „rozliczalnością”. Jak możemy przeczytać w uzasadnieniu decyzji organu nadzorczego, spółka Morele.net Sp. z o.o. nie wykazała, że dane osobowe z wniosków ratalnych zbierane przed 25 maja 2018 roku były zbierane na podstawie zgody osób, których dotyczą.

Za wszystkie powyższe uchybienia organ nadzorczy nałożył na spółkę Morele.net Sp. z o.o. rekordową jak do tej pory karę pieniężną. Czy słusznie? A jeśli tak, to czy jej wysokość jest adekwatna do zaistniałych uchybień? Po ujawnieniu ataku spółka niezwłocznie podjęła działania, mające na celu poinformowanie swoich klientów o zaistniałej sytuacji oraz zapobieganie jej negatywnym skutkom. Od samego początku też przez cały czas współpracowała z organami ścigania i UODO, ale jak widać – taka współpraca nie gwarantuje uniknięcia kary lub choćby jej łagodniejszego wymiaru. Z pewnością to nie koniec tej sprawy, więc pozostaje nam czekać na rozwój wydarzeń.

Agnieszka Bucikiewicz
Konsultant ds. ochrony danych osobowych w PBSG