Rekordowa kara za naruszenie przepisów o ochronie danych osobowych

W dzisiejszych czasach handel odbywa się w dużej mierze w sieci. Internetowi sprzedawcy stoją przed niezwykle trudnym zadaniem zapewnienia swoim klientom nie tylko najwyższej jakości usług, ale również ogólnie pojętego bezpieczeństwa transakcji, które jest nierozerwalnie związane z zabezpieczaniem danych klientów, w tym ich danych osobowych.

Kilka dni temu polskie media obiegła informacja o nałożeniu przez Urząd Ochrony Danych Osobowych kolejnej kary administracyjnej za naruszenia przepisów o ochronie danych osobowych. Myli się ten, kto sądzi, że milionowej kary za niedopełnienie obowiązku informacyjnego dla Bisnode nie da się przebić. Otóż, okazuje się, że za uchybienia w stosowaniu przepisów o ochronie danych osobowych kara może być dużo wyższa! Przekonała się o tym krakowska spółka Morele.net Sp. z o.o., na którą 10 września zgodnie z decyzją UODO nałożono karę administracyjną w wysokości 2 830 410 PLN, bijąc tym samym dotychczasowy rekord w Polsce.

Krótki opis przypadku

W listopadzie ubiegłego roku klienci posiadający konta w sklepach internetowych należących do Morele.net po dokonaniu zakupów zaczęli otrzymywać podejrzane wiadomości SMS z informacją o konieczności dopłaty kwoty 1 PLN do złożonego zamówienia. Wiadomość zawierała dodatkowo link do fałszywej strony z płatnościami, która wyłudzała od klientów dane logowania do kont bankowych. Spółka zamieściła wówczas na swojej stronie internetowej ostrzeżenie o próbie wyłudzenia, w którym zwróciła się z apelem do swoich klientów, aby nie reagować na żadne z tych wiadomości. Kiedy okazało się, że zagrożenie związane z nieuprawnionym dostępem do bazy danych klientów jest dużo poważniejsze, spółka poinformowała klientów o kradzieży ich danych, w tym również haseł dostępowych. Przestępstwo zostało zgłoszone na policję oraz do Urzędu Ochrony Danych Osobowych, w związku z czym w styczniu 2019 organ nadzorczy podjął wobec spółki czynności sprawdzające na przedmiot zgodności przetwarzania danych osobowych z obowiązującymi przepisami.

W trakcie postępowania ujawniono, że przestępstwo kradzieży danych dotyczy ponad dwóch milionów klientów spółki – osób, które rejestrowały się na stronach sklepów internetowych należących do Morele.net Sp. z o.o. W niepowołane ręce dostały się takie dane jak imię i nazwisko, numer telefonu, adres e-mail, adresy do doręczeń. W przypadku ok. 35 tys. osób były to również dane z wniosków ratalnych, które obejmowały dodatkowo m.in. numer PESEL, serię i numer dokumentu tożsamości, informacje o wykształceniu, adresie zameldowania i korespondencji, źródłach dochodu i dochodach netto, kosztach utrzymania, liczbie osób jest na utrzymaniu, wysokości zobowiązań kredytowych i alimentacyjnych.

Co poszło nie tak?

W uzasadnieniu decyzji organ wskazał, że spółka dopuściła się następujących uchybień:

Naruszenie zasady poufności danych z art. 5 ust. 1 lit. f

Zgodnie z tym przepisem administrator danych zobowiązany jest zapewnić bezpieczeństwo przetwarzania danych osobowych poprzez stosowanie odpowiednich środków technicznych i organizacyjnych adekwatnych do wytypowanych zagrożeń. Zdaniem organu spółka Morele.net Sp. z o.o. naruszyła wspomniany przepis poprzez zaniedbanie następujących obowiązków administratora:

  • Administrator danych, uwzględniając charakter, kontekst, zakres i cele przetwarzania, zobowiązany jest wdrożyć takie środki techniczne i organizacyjne, aby przetwarzanie danych odbywało się zgodnie z rozporządzeniem o ochronie danych osobowych i aby móc to wykazać. Ponadto środki te powinny podlegać okresowej weryfikacji i aktualizacji (art. 24 ust. 1);
  • Administrator danych zobowiązany jest uwzględnić ochronę danych osobowych i odpowiednie zabezpieczenia już w fazie projektowania, w oparciu o stan wiedzy technicznej, koszt wdrażania, charakter, kontekst, zakres i cele takiego przetwarzania (art. 25 ust. 1);
  • Administrator powinien wdrożyć takie zabezpieczenia, które pozwalają na ciągłe zapewnianie poufności, integralności, dostępności i odporności systemów oraz usług przetwarzania. Dodatkowo, Administrator powinien regularnie testować, mierzyć i oceniać skuteczność zastosowanych zabezpieczeń (art. 32 ust. 1 lit. b i d);
  • Administrator danych przy ocenie, czy zastosowane zabezpieczenia są odpowiednie, powinien uwzględnić ryzyko wiążące się z przetwarzaniem, w szczególności wynikające z przypadkowego lub niezgodnego z prawem zniszczenia, utraty, modyfikacji, nieuprawnionego ujawnienia lub nieuprawnionego dostępu (art. 32 ust. 2).

Naruszenie zasady legalności, rzetelności i rozliczalności zgodnie z art. 5 ust. 1 lit. a oraz art. 5 ust. 2

Pierwszy z przywołanych przepisów mówi o tym, że administrator zobowiązany jest przetwarzać dane osobowe legalnie, rzetelnie i w sposób przejrzysty dla podmiotu danych. Drugi zaś nakłada na administratora odpowiedzialność za przestrzeganie wszystkich zasad opisanych w artykule 5 rozporządzenia i wskazuje, że administrator powinien być w stanie wykazać zgodność przetwarzania z tymi zasadami, co powszechnie w odniesieniu do przepisów o ochronie danych osobowych nazywa się „rozliczalnością”. Jak możemy przeczytać w uzasadnieniu decyzji organu nadzorczego, spółka Morele.net Sp. z o.o. nie wykazała, że dane osobowe z wniosków ratalnych zbierane przed 25 maja 2018 roku były zbierane na podstawie zgody osób, których dotyczą.

Za wszystkie powyższe uchybienia organ nadzorczy nałożył na spółkę Morele.net Sp. z o.o. rekordową jak do tej pory karę pieniężną. Czy słusznie? A jeśli tak, to czy jej wysokość jest adekwatna do zaistniałych uchybień? Po ujawnieniu ataku spółka niezwłocznie podjęła działania, mające na celu poinformowanie swoich klientów o zaistniałej sytuacji oraz zapobieganie jej negatywnym skutkom. Od samego początku też przez cały czas współpracowała z organami ścigania i UODO, ale jak widać – taka współpraca nie gwarantuje uniknięcia kary lub choćby jej łagodniejszego wymiaru. Z pewnością to nie koniec tej sprawy, więc pozostaje nam czekać na rozwój wydarzeń.

 

Agnieszka Bucikiewicz
Konsultant ds. ochrony danych osobowych w PBSG

Zainteresowaliśmy Cię? Napisz do nas i porozmawiajmy o Twoim projekcie

O Autorze

PBSG
Od 2006 roku pomagamy polskim przedsiębiorcom i organizacjom administracji publicznej w zarządzaniu bezpieczeństwem danych i systemów teleinformatycznych. Przez kilkanaście lat działalności zdobyliśmy niezbędne doświadczenie, dzięki któremu wypracowaliśmy pozycję lidera w obszarze systemowego zarządzania organizacją. Dzisiaj zatrudniamy ponad 180 ekspertów biznesowych i technicznych w ramach grupy kapitałowej. Ponadto współpracujemy z kilkudziesięcioma specjalistami z różnych dziedzin w zakresie zarządzania i wymagań branżowych, aby jak najbardziej dopasować ofertę do realiów i potrzeb polskich firm.