Prezes Urzędu Ochrony Danych Osobowych nałożył 2,8 mln zł kary na spółkę Morele.net za niewystarczające zabezpieczenia danych osobowych - poinformował w czwartek wiceprezes UODO Mirosław Sanek. Według Urzędu skutkiem uchybień była kradzież danych ponad 2 mln osób.
Urząd stwierdził, że naruszenie miało "znaczną wagę i poważny charakter" oraz dotyczyło dużej liczby osób. W wyniku naruszenia powstało wysokie ryzyko negatywnych skutków dla osób, których dane dostały się w niepowołane ręce, na przykład tzw. kradzieży tożsamości. Jako jeden z przejawów naruszenia UODO wymienił brak podwójnego uwierzytelniania klientów, w rezultacie czego do ataku hakerskiego można było z powodzeniem zastosować metodę "phishingu", czyli spreparowanej bramki płatności do wyłudzania danych uwierzytelniających.
Wiceprezes UODO na konferencji prasowej zwrócił uwagę, że większość skradzionych dane zawierała imię, nazwisko, telefon, e-mail, adres do doręczeń. Jednak - jak podkreślił - wyciekły też dane ok. 35 tys. osób z ich wniosków ratalnych. Zakres tych danych był szerszy - obejmował numery PESEL, dokumentów tożsamości, wykształcenie, adres zameldowania, źródło dochodu, wysokość zobowiązań kredytowych czy alimentacyjnych.
- Kara jest nie za to, że ktoś się włamał, ale za niewystarczające środki zabezpieczające. Nie karzemy podwójnie - oświadczył Sanek. - Decyzja bazuje na złamaniu zasady poufności danych i nieadekwatnego zabezpieczenia danych - podkreślił.
W decyzji nakładającej karę Prezes UODO stwierdził, że spółka naruszyła zapisy rozporządzenia RODO, nie stosując wystarczających środków technicznych ochrony danych osobowych. W dodatku spółka nie wykazała, skąd wynikały zgody na przetwarzanie danych klientów w systemie spłat ratalnych - zaznaczył wiceprezes Urzędu.
Sanek podkreślał, że decyzje zawsze podejmowane są na podstawie analizy konkretnego, jednostkowego przypadku. Po karę pieniężną, czyli najcięższy środek w arsenale Prezes UODO sięga, gdy uzna, że inne środki, np. upomnienie, są nieadekwatne. "Zastosowano miarkowanie kary - firma nie doprowadziła do naruszeń w sposób celowy, nie możemy jej przypisać umyślności, nie możemy zarzucić unikania współpracy z organem" - zaznaczył. Były to okoliczności łagodzące.
Urząd zwrócił także uwagę na nieskuteczne monitorowanie potencjalnych zagrożeń i brak procedur reagowania na wypadek pojawienia się nietypowego ruchu w sieci. Według UODO postępowanie wykazało także inne naruszenia, ale to brak odpowiednich zabezpieczeń i procedur przesądził o nałożeniu kary.
Jeżeli chcesz codziennie otrzymywać informacje o aktualnych publikacjach ukazujących się na portalu netTG.pl Gospodarka i Ludzie, zapisz się do newslettera.
