Kara za nieadekwatne zabezpieczenia dla poziomu ryzyka naruszenia danych klientów

18 grudnia 2018 r. spółka Morele.net sp. z o. o. („Spółka”) ujawniła, że doszło do nieuprawnionego dostępu do danych osobowych jej klientów, w tym adresów e-mail, numerów telefonów, imion i nazwisk oraz haseł w postaci zaszyfrowanego ciągu znaków (tzw. hashy). Dwa dni po wydaniu przez Spółkę komunikatu o wycieku danych, włamywacz poinformował, że jest w posiadaniu 2,2 mln danych klientów, w tym kilkudziesięciu tysięcy numerów PESEL oraz kilku tysięcy skanów dowodów osobistych.

Decyzją z dnia 10 września 2019 r. Prezes Urzędu Danych Osobowych („PUODO”) nałożył na Spółkę karę pieniężną w wysokości 2 830 410 PLN za naruszenie przepisów art. 5 ust. 1 lit. a oraz lit. f, art. 5 ust 2, art. 6 ust. 1, art. 7 ust. 1, art. 24 ust. 1, art. 25 ust. 1, art. 32 ust. 1 lit. b, lit. d, art. 32 ust. 2 rozporządzenia Parlamentu Europejskiego i Rady UE 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych („RODO”) (decyzja nr. ZSPR.421.2.2019).

PUODO na podstawie zgromadzonego materiału dowodowego ustalił, że przetwarzając dane osobowe Spółka, jako administrator, naruszyła zasadę poufności i integralności danych (nie zapewniła odpowiedniego stopnia bezpieczeństwa i poufności przetwarzanych danych osobowych, poprzez brak wdrożenia niezbędnych środków technicznych i organizacyjnych), wyrażoną na gruncie art. 5 ust 1 lit. f RODO. Przyczyną naruszenia wskazanej zasady, było w ocenie PUODO, korzystanie przez Spółkę z nieskutecznych środków uwierzytelniania, które nie zapewniały wystarczającej poufności. Zgodnie z dostępnymi informacjami, Spółka stosowała środek uwierzytelniający w postaci loginu i hasła.

W uzasadnieniu decyzji PUODO podkreślił, że kontrola dostępu i uwierzytelnianie to podstawowe środki bezpieczeństwa mające na celu ochronę przed nieautoryzowanym dostępem do systemu informatycznego wykorzystywanego do przetwarzania danych osobowych. Ponadto zwrócił uwagę. że dobierając właściwe środki techniczne i organizacyjne, należy kierować się stanem wiedzy technicznej i warunkami rynkowymi (akceptowalności rynkowej danego rozwiązania technicznego). PUODO zarekomendował w decyzji, aby Spółka na bieżąco monitorowała obowiązujące standardy i normy, w szczególności normy ISO, które ulegają ciągłym zmianom warunkowanym postępem technologicznym.

PUODO dodatkowo powołał się na zalecenia Europejskiej Agencji ds. Bezpieczeństwa Sieci i Informacji (ENISA), rekomendując Spółce: stosowanie mechanizmu uwierzytelnia dwuetapowego (MFA, multi factor-authentication) dla systemów obejmujących dostęp do danych osobowych; monitorowanie potencjalnych zagrożeń dla praw i wolności osób, których dane są przetwarzane; wprowadzenie procedury reagowania na zdarzenia niepożądane takie jak nietypowy ruch sieciowy; regularne testowanie, mierzenie i ocenianie skuteczności środków technicznych i organizacyjnych mających zapewnić bezpieczeństwo przetwarzania.

Spółka zaskarżyła decyzję PUODO do Wojewódzkiego Sądu Administracyjnego w Warszawie („WSA w Warszawie”), podnosząc m.in. naruszenie przepisów poprzez brak wszechstronnej oraz merytorycznej oceny zgromadzonego materiału dowodowego oraz oddalenie wniosku dowodowego o przeprowadzenie dowodu z opinii biegłego na okoliczność oceny, czy środki techniczne i organizacyjne stosowane przez Spółkę na czas wycieku danych były odpowiednie.

WSA w Warszawie wyrokiem z dnia 3 września 2020 r. (sygn. akt II SA/Wa 2559/19) oddalił skargę Spółki. Zdaniem WSA w Warszawie, PUODO nie naruszył przepisów prawa materialnego w stopniu mającym wpływ na wynik sprawy. Ponadto poparł argumentację PUODO w kwestii niezastosowania przez Spółkę wystarczających środków technicznych i organizacyjnych adekwatnych do skali przetwarzanych danych. Odnosząc się do podniesionego przez Spółkę argumentu o oddaleniu przeprowadzenia dowodu z opinii biegłego, WSA w Warszawie stwierdził, że skoro PUODO dysponował dostatecznym materiałem dowodowym w sprawie, to prowadzenie wszelkich innych dowodów, w świetle poczynionych ustaleń, było zbędne.

Na wydany przez WSA w Warszawie wyrok Spółka złożyła skargę kasacyjną do Naczelnego Sądu Administracyjnego („NSA”). 9 lutego 2023 r. NSA uchylił wyrok WSA w Warszawie oraz decyzję PUODO (sygn. akt III OSK 3945/21). NSA nie zakwestionował w wydanym wyroku wszystkich ustaleń PUODO związanych z naruszeniem przez spółkę przepisów RODO. Podważył jednak jego kompetencje do oceny zastosowanych przez administratora środków technicznych i organizacyjnych mających zabezpieczyć dane osobowe. Zdaniem NSA, PUODO powinien był uprawdopodobnić posiadanie wiedzy potrzebnej do przeprowadzenia takiej analizy zabezpieczeń. Z uzasadnienia NSA wynika, że należało powołać biegłego albo wytworzyć wewnętrzny dokument zawierający wnioski z analizy standardu środków bezpieczeństwa stosowanych przez Spółkę, do którego administrator mógłby się odnieść w toku postępowania, co stanowiło naruszenie art. 78 § 1 KPA.

Z orzeczeniem NSA nie zgodził się PUODO publikując w dniu 12 maja 2023 r. pismo adresowane do Prezesa NSA. PUODO w piśmie wskazał, że wydany wyrok w sposób niezaprzeczalny i precedensowy kwestionuje niezależność PUODO jako organu nadzorczego, jak i podważa jego kompetencje oraz kwalifikacje merytoryczne pracowników Urzędu Ochrony Danych Osobowych, niezbędne do wykonywania zadań, do których organ ten został powołany.

Po ponownym rozpoznaniu sprawy PUODO kolejny raz uznał, że Spółka stosowała niewystarczające środki zabezpieczające w stosunku do istniejącego ryzyka naruszenia ochrony danych. Zgodnie z przeprowadzoną analizą, Spółka w czasie, gdy nastąpił wyciek danych klientów nie posiadała odpowiednich procedur zarządzania ryzykiem oraz zabezpieczeń technicznych (monitorowanie ruchu sieci, szyfrowanie części danych, dwuskładnikowe uwierzytelnianie). Wobec naruszeń, PUODO ponownie wydał decyzję nakładającą na Spółkę karę pieniężną, podnosząc jej wartość do 3,8 mln PLN.

Spółka w odpowiedzi na decyzję PUODO wydała oświadczenie, w którym poinformowała, że nie zgadza się z wydaną decyzją i zamierza zaskarżyć ją do sądu administracyjnego. Zdaniem Spółki, PUODO ponownie nie powołał biegłego, który przyczyniłby się do przygotowania obiektywnej oceny prawidłowości zabezpieczeń danych osobowych stosowanych w 2018 r. Spółka wskazała również, że zastosowane zabezpieczenia w 2018 r. były starannie dobrane, zgodne z praktyką rynkową i spełniały wymogi RODO, a nowa kara nałożona przez PUODO jest dowolna i nieuzasadniona.

Online & eCommerce

Online & eCommerce

Zobacz również

#Bankowość&Fintech #Legislacja #Online & eCommerce #Retail

Objęcie branży pożyczkowej nadzorem KNF

Od 1 stycznia 2024 r. działalność regulowana w ...

Objęcie branży pożyczkowej nadzorem KNF

#Online & eCommerce #Retail

Niedopełnienie obowiązku informacyjnego wobec konsumenta i uniemożliwienie dochodzenia roszczeń związanych z umową

Konsument, który zawarł umowę o świadczenie usł...

Niedopełnienie obowiązku informacyjnego wobec konsumenta i uniemożliwienie dochodzenia roszczeń związanych z umową

#Bankowość&Fintech #Online & eCommerce #Retail

Nowe zasady dostępu do rachunku bez SCA

25 lipca 2023 r. wchodzi w życie nowelizacja RT...

Nowe zasady dostępu do rachunku bez SCA

Skontaktuj się

Biuro Warszawa

Ogrodowa City Gate
ul. Ogrodowa 58
00-876 Warszawa

mapa > +48 22 652 26 18

Biuro Kraków

ul. Jana Kilińskiego 2
30-308 Kraków

mapa > +48 12 31 51 841