Rekordowa kara pieniężna za naruszenie przepisów o ochronie danych osobowych dla Morele.net

Rekordowa kara pieniężna za naruszenie przepisów o ochronie danych osobowych dla Morele.net

Dokładnie 2 830 410 złotych (ponad 2,8 mln) nałożono na operatora sklepów internetowych, rozpoznawanego pod nazwą Morele.net. Jest to najwyższa do tej pory kara pieniężna nałożona przez Prezesa Urzędu Ochrony Danych Osobowych. Kara nie jest jednak nałożona za sam wyciek danych – o czym poniżej. Jakie więc powody zaważyły na tak wysokiej karze pieniężnej ?

Morele.net padło ofiarą ataku hakerskiego (od października do listopada 2018 roku), w wyniku którego nieznani sprawcy uzyskali dostęp do danych ponad dwóch milionów użytkowników (imię, nazwisko, nr telefonu, e-mail, adres do doręczeń) – wyciekły też dane 35 tysięcy klientów, którzy korzystali dobrowolnego „ułatwienia” w postaci auto-uzupełniania wniosków kredytowych na wypadek przyszłych zakupów – tam zakres danych był już znacznie szerszy, ponieważ obejmował także: imię, nazwisko, e-mail, numer telefonu, numer PESEL, serię i numer dokumentu tożsamości, data jego wydania i ważności, wykształcenie, adres zameldowania, adres do korespondencji, źródło dochodu, miesięczny dochód netto, koszty utrzymania gospodarstwa domowego, liczba osób na utrzymaniu, stan cywilny, wysokość miesięcznych innych zobowiązań w instytucjach finansowych, informacja o wysokości zobowiązań alimentacyjnych i innych wynikających z wyroków sądowych.

Dla dalszych rozważań pamiętajmy jednak, że kwota kary to mniej niż 0,5 % rocznego przychodu ukaranego podmiotu (ponad 700 milionów złotych rocznie) – rozważając skalę – gdyby naruszenia dopuścił się podmiot dysponujący przychodem 100 000 zł rocznie, to stosując podobny próg kara dla niego wyniosła by ok. 500 zł. Organ nadzorczy nie jest jednak w żaden sposób formalnie związany praktycznym progiem procentowym nakładanych kar.

Spółka sama, dobrowolnie zgłosiła naruszenie danych osobowych do organu nadzorczego (tych zgłoszeń przeprowadzono kilka) – wydała też komunikat do użytkowników, nie można więc jej zarzucić, że doszło do zatajenia całej sytuacji.

Prezes UODO uznał fakt zgłoszenia naruszenia oraz dobrej współpracy ze spółką jako okoliczność łagodzącą wymiar kary finansowej – nie wystarczało to jednak do uznania, że z zastosowania kary pieniężnej można zrezygnować np. na rzecz upomnienia.

Kara za naruszenie przepisów, a nie naruszenie (wyciek) ochrony danych.

Jest to bardzo często mylone – a decyzja w sprawie Morele.net jest tu najlepszym przykładem – naruszenie ochrony danych osobowych, które należy zgłosić do organu nadzorczego najpóźniej w ciągu 72 godzin od jego stwierdzenia nie jest tożsame z naruszeniem przepisów, za które może być nałożona kara pieniężna.

Może istnieć naruszenie ochrony (np. atak hakera) które będzie należało zgłosić pomimo tego, że administrator danych zrobił (racjonalnie i przy uwzględnieniu aktualnych standardów) to, co mógł by temu zapobiec. Nawet pomimo skutecznego ataku, wycieku lub zainstalowania ransomware – administrator uniknie kary pieniężnej jeżeli wykaże, że dochował należytej staranności przy zachowaniu bezpieczeństwa danych osobowych.

Prezes UODO stwierdził, że nie było tak w tym przypadku: „Spółka jako administrator tych danych powinna podjąć wszelkie niezbędne działania i dochować należytej staranności w doborze środków technicznych i organizacyjnych, zapewniających bezpieczeństwo i poufność danych; poczynione przez Prezesa Urzędu Ochrony Danych Osobowych ustalenia faktyczne dowodzą, iż Spółka w chwili wystąpienia stwierdzonych naruszeń zadaniu temu nie sprostała;”

Co więcej, Prezes UODO wskazał na cały szereg naruszonych przepisów : „art. 5 ust. 1 lit. a oraz lit. f, art. 5 ust 2, art. 6 ust. 1, art. 7 ust. 1, art. 24 ust. 1, art. 25 ust. 1, art. 32 ust. 1 lit. b, lit. d, art. 32 ust. 2” RODO. Mówiąc ogólnie – zarzucono naruszenie polegające przede wszystkim na stosowaniu nieodpowiednich środków zabezpieczających – ale nie tylko, także naruszenie zasady rozliczalności (zarzucono, że spółka nie potrafi wykazać jak, kiedy i w jaki sposób osoby wypełniające formularze kredytowe w celu późniejszego auto-uzupełniania wyrażały zgodę na przetwarzanie danych).

Co konkretnie podważył organ nadzorczy ?

W szczególności – podważono monitorowanie aktualnych zagrożeń dla systemu – spółka odpowiedziała, że np. ruch sieciowy jest na bieżąco monitorowany, jednak Prezes UODO słusznie wskazał, że ruch jest monitorowany, lecz nie są wyciągane z tego monitoringu wnioski  – gdy  na początku października ruch sieciowy na bramie serwera znacznie wzrósł nie potraktowano tego jako potencjalny atak, nie ustalono przyczyn tego zwiększonego ruchu.

„(…)na szczególnie naganną ocenę zasługuje przy tym okoliczność, iż Spółka, pomimo deklaracji monitorowania systemu sieciowego i reagowania w systemie 24/7 (dwadzieścia cztery godziny, siedem dni w tygodniu), nie stwierdziła w czasie rzeczywistym, tj. w dniach 07.10.2018 – 14.10.2018 r., zwiększonego ruchu na bramie sieciowej serwera i nie podjęła w tym czasie żadnych działań zaradczych, celem uniemożliwienia dostępu do danych około 2.200.000 (ok. dwóch milinów dwustu tysięcy) osób fizycznych, będących klientami Spółki. W tym stanie rzeczy, zaniedbanie Spółki należy uznać za rażące;(…)”

Spółce wytknięto jako naruszenie standardu także brak stosowania dwustopniowego uwierzytelniania – organ nadzorczy jako argument za zastosowaniem tego standardu wskazał dużą skalę działania (miliony klientów, setki milionów złotych przychodu) – wydaje się, że organ nadzorczy dostrzega, że ustalając, jakie rozwiązanie zabezpieczające uznaje się za standard, należy wziąć pod uwagę, czy też mamy do czynienia z małym, jednoosobowym sklepem interesowych, czy też z gigantem przetwarzającym dane milionów klientów.

Bardzo cenna jest informacja, o tym, że Prezes UODO przy ustalaniu tego, co należy traktować jako standard zabezpieczeń IT powołuje się na konkretne dokumenty:

– norma PN-EN ISO/IEC 27001:2017-06

– Guidelines for SMEs on the security of personal data processing  (ENISA) Link

– OWASP Top 10 – 2017 Link PDF

– NIST 800-63B: Wytyczne dotyczące tożsamości cyfrowej: uwierzytelnianie i zarządzanie cyklem życia aplikacji” (ang. Digital Identity Guidelines: Authentication and Lifecycle Management) Link PDF

Należy więc rekomendować, by każda osoba odpowiadająca za IT  – zwłaszcza w większych jednostkach organizacyjnych – dokładnie zapoznała się z powyższymi dokumentami.

Wysokość kary

Wprost zostało wskazane, że kara pieniężna w tej sprawie ma pełnić funkcję represyjną i prewencyjną: „jako że sama Spółka, jak i inni administratorzy będą skutecznie zniechęceni do naruszania przepisów o ochrony danych osobowych w przyszłości.”

Prezes UODO stwierdził jednak, że: „Wysokość kary została bowiem określona na takim poziomie, aby z jednej strony stanowiła adekwatną reakcję organu nadzorczego na stopień naruszenia obowiązków administratora, z drugiej jednak strony nie powodowała sytuacji, w której konieczność uiszczenia kary finansowej pociągnie za sobą negatywne następstwa, w postaci znaczącej redukcji zatrudnienia bądź istotnego spadku obrotów Spółki. Zdaniem Prezesa Urzędu Ochrony Danych Osobowych, Spółka powinna i jest w stanie ponieść konsekwencje swoich zaniedbań w sferze ochrony danych, stąd nałożenie kary w wysokości 2 830 410 PLN jest w pełni uzasadnione.”

Podsumowując – organ nadzorczy uznał, że spółka mogła zrobić więcej, by ryzyko skutecznego ataku zminimalizować, i dlatego należy jej się kara pieniężna – spółka jednak z tym zarzutem się nie zgadza i sprawę rozpatrywał będzie Wojewódzki Sąd Administracyjny… oczywiście kara pieniężna płatna jest dopiero po uprawomocnieniu orzeczenia, a więc praktyczna jej dotkliwość dla spółki może zostać odłożona nawet o kilka lat.

Dodaj komentarz