Jeśli kupowałeś w tym internetowym sklepie możesz mieć duży problem. Wyciekły dane klientów tego sklepu. Z tego powodu, prezes Urzędu Ochrony Danych Osobowych nałożył 2,8 mln zł kary na spółkę Morele.net za niewystarczające zabezpieczenia danych osobowych. Według Urzędu skradziono dane ponad 2 mln osób.
Urząd stwierdził, że naruszenie miało „znaczną wagę i poważny charakter” oraz dotyczyło dużej liczby osób. W wyniku naruszenia powstało wysokie ryzyko negatywnych skutków dla osób, których dane dostały się w niepowołane ręce, na przykład tzw. kradzieży tożsamości. Jako jeden z przejawów naruszenia UODO wymienił brak podwójnego uwierzytelniania klientów, w rezultacie czego do ataku hakerskiego można było z powodzeniem zastosować metodę „phishingu”, czyli spreparowanej bramki płatności do wyłudzania danych uwierzytelniających.
Wiceprezes UODO na konferencji prasowej zwrócił uwagę, że większość skradzionych dane zawierała imię, nazwisko, telefon, e-mail, adres do doręczeń. Jednak – jak podkreślił – wyciekły też dane ok. 35 tys. osób z ich wniosków ratalnych. Zakres tych danych był szerszy – obejmował numery PESEL, dokumentów tożsamości, wykształcenie, adres zameldowania, źródło dochodu, wysokość zobowiązań kredytowych czy alimentacyjnych.
– Kara jest nie za to, że ktoś się włamał, ale za niewystarczające środki zabezpieczające. Nie karzemy podwójnie – oświadczył Sanek. – Decyzja bazuje na złamaniu zasady poufności danych i nieadekwatnego zabezpieczenia danych – podkreślił.
W decyzji nakładającej karę Prezes UODO stwierdził, że spółka naruszyła zapisy rozporządzenia RODO, nie stosując wystarczających środków technicznych ochrony danych osobowych. W dodatku nie wykazała, skąd wynikały zgody na przetwarzanie danych klientów w systemie spłat ratalnych – zaznaczył wiceprezes Urzędu.
Sanek podkreślał, że decyzje zawsze podejmowane są na podstawie analizy konkretnego, jednostkowego przypadku. Po karę pieniężną, czyli najcięższy środek w arsenale Prezes UODO sięga, gdy uzna, że inne środki, np. upomnienie, są nieadekwatne.
– Zastosowano miarkowanie kary firma nie doprowadziła do naruszeń w sposób celowy, nie możemy jej przypisać umyślności, nie możemy zarzucić unikania współpracy z organem – zaznaczył. Były to okoliczności łagodzące.
Urząd zwrócił także uwagę na nieskuteczne monitorowanie potencjalnych zagrożeń i brak procedur reagowania na wypadek pojawienia się nietypowego ruchu w sieci. Według UODO postępowanie wykazało także inne naruszenia, ale to brak odpowiednich zabezpieczeń i procedur przesądził o nałożeniu kary.
Źródło: PAP
