UODO nałożył na Morele.net prawie 3 mln zł kary
  • 0
  • 0
19.09.2019

UODO nałożył na Morele.net prawie 3 mln zł kary

Prezes Urzędu Ochrony Danych Osobowych nałożył na spółkę Morele.net karę w wysokości ponad 2,8 mln zł. To kara za niewystarczające zabezpieczenia organizacyjne i techniczne.

Zastosowane przez spółkę środki organizacyjne i techniczne ochrony danych osobowych nie były odpowiednie do istniejącego ryzyka związanego z ich przetwarzaniem. Na skutego tego dane około 2 mln 200 tys. osób dostały się w niepowołane ręce. Zabrakło odpowiednich procedur reagowania na wypadek pojawiania się nietypowego ruchu w sieci – uznał prezes UODO.

Nakładając karę, organ nadzorczy stwierdził, że naruszenie, do jakiego doszło, miało znaczną wagę i poważny charakter oraz dotyczyło dużej skali. W swojej decyzji organ nadzoru wskazał również, że w wyniku naruszenia powstało wysokie ryzyko negatywnych skutków dla osób, których dane dostały się w niepowołane ręce. Wśród nich kradzieży tożsamości.

W większości były to takie dane, jak imię i nazwisko, numer telefonu, e-mail, adres doręczeń. W przypadku około 35 tys. osób wyciekły jednak dane z wniosków ratalnych. Zakres danych obejmował zaś dodatkowo:

  • numer PESEL,
  • serię i numer dokumentu tożsamości,
  • wykształcenie,
  • adres zameldowania,
  • adres do korespondencji,
  • źródło dochodu,
  • wysokość dochodu netto,
  • koszty utrzymania gospodarstwa domowego,
  • stan cywilny,
  • wysokość zobowiązań kredytowych czy alimentacyjnych.

W decyzji nakładającej karę prezes UODO uznał, że spółka, nie stosując wystarczających środków technicznych ochrony danych, naruszyła m.in. określoną w art. 5 ust. 1 lit. f RODO zasadę poufności. W związku z tym doszło do nieuprawnionego dostępu do danych klientów i do uzyskania tych danych. Organ uznał, że miało miejsce zastosowanie nieskutecznego środka uwierzytelniania dostępu do danych. Dodatkowe środki zabezpieczenia technicznego spółka wdrożyła już po naruszeniu.

W toku postępowania ustalono, że do naruszenia doszło także ze względu na nieskutecznie monitorowanie potencjalnych zagrożeń. Postępowanie wykazało też inne uchybienia, jednak to brak odpowiednich środków technicznych (niewystarczające zabezpieczenia) i organizacyjnych (dotyczących  monitorowania potencjalnych zagrożeń związanych z nietypowymi zachowaniami w sieci) przesądził o nałożeniu kary.

Przy ustalaniu jej wysokości prezes UODO wziął jednak pod uwagę okoliczności łagodzące. Na przykład podjęcie przez spółkę działań zmierzających do usunięcia naruszenia, dobrą współpracę z administratorem oraz to, że wcześniej spółka nie dopuściła się naruszenia przepisów o ochronie danych osobowych.

Ze szczegółami sprawy można zapoznać się w treści decyzji, która dostępna jest na stronie www.uodo.gov.pl.

19 września 2019