Rekordowa kara za naruszenie przepisów o ochronie danych osobowych
Rekordowa kara za naruszenie przepisów o ochronie danych osobowych
W dzisiejszych czasach handel odbywa się w dużej mierze w sieci. Internetowi sprzedawcy stoją przed niezwykle trudnym zadaniem zapewnienia swoim klientom nie tylko najwyższej jakości usług, ale również ogólnie pojętego bezpieczeństwa transakcji, które jest nierozerwalnie związane z zabezpieczaniem danych klientów, w tym ich danych osobowych.
Kilka dni temu polskie media obiegła informacja o nałożeniu przez Urząd Ochrony Danych Osobowych kolejnej kary administracyjnej za naruszenia przepisów o ochronie danych osobowych. Myli się ten, kto sądzi, że milionowej kary za niedopełnienie obowiązku informacyjnego dla Bisnode nie da się przebić. Otóż, okazuje się, że za uchybienia w stosowaniu przepisów o ochronie danych osobowych kara może być dużo wyższa! Przekonała się o tym krakowska spółka Morele.net Sp. z o.o., na którą 10 września zgodnie z decyzją UODO nałożono karę administracyjną w wysokości 2 830 410 PLN, bijąc tym samym dotychczasowy rekord w Polsce.
Krótki opis przypadku
W listopadzie ubiegłego roku klienci posiadający konta w sklepach internetowych należących do Morele.net po dokonaniu zakupów zaczęli otrzymywać podejrzane wiadomości SMS z informacją o konieczności dopłaty kwoty 1 PLN do złożonego zamówienia. Wiadomość zawierała dodatkowo link do fałszywej strony z płatnościami, która wyłudzała od klientów dane logowania do kont bankowych. Spółka zamieściła wówczas na swojej stronie internetowej ostrzeżenie o próbie wyłudzenia, w którym zwróciła się z apelem do swoich klientów, aby nie reagować na żadne z tych wiadomości. Kiedy okazało się, że zagrożenie związane z nieuprawnionym dostępem do bazy danych klientów jest dużo poważniejsze, spółka poinformowała klientów o kradzieży ich danych, w tym również haseł dostępowych. Przestępstwo zostało zgłoszone na policję oraz do Urzędu Ochrony Danych Osobowych, w związku z czym w styczniu 2019 organ nadzorczy podjął wobec spółki czynności sprawdzające na przedmiot zgodności przetwarzania danych osobowych z obowiązującymi przepisami.
W trakcie postępowania ujawniono, że przestępstwo kradzieży danych dotyczy ponad dwóch milionów klientów spółki – osób, które rejestrowały się na stronach sklepów internetowych należących do Morele.net Sp. z o.o. W niepowołane ręce dostały się takie dane jak imię i nazwisko, numer telefonu, adres e-mail, adresy do doręczeń. W przypadku ok. 35 tys. osób były to również dane z wniosków ratalnych, które obejmowały dodatkowo m.in. numer PESEL, serię i numer dokumentu tożsamości, informacje o wykształceniu, adresie zameldowania i korespondencji, źródłach dochodu i dochodach netto, kosztach utrzymania, liczbie osób jest na utrzymaniu, wysokości zobowiązań kredytowych i alimentacyjnych.
Co poszło nie tak?
W uzasadnieniu decyzji organ wskazał, że spółka dopuściła się następujących uchybień:
naruszenie zasady poufności danych z art. 5 ust. 1 lit. f
Zgodnie z tym przepisem administrator danych zobowiązany jest zapewnić bezpieczeństwo przetwarzania danych osobowych poprzez stosowanie odpowiednich środków technicznych i organizacyjnych adekwatnych do wytypowanych zagrożeń. Zdaniem organu spółka Morele.net Sp. z o.o. naruszyła wspomniany przepis poprzez zaniedbanie następujących obowiązków administratora:
Administrator danych, uwzględniając charakter, kontekst, zakres i cele przetwarzania, zobowiązany jest wdrożyć takie środki techniczne i organizacyjne, aby przetwarzanie danych odbywało się zgodnie z rozporządzeniem o ochronie danych osobowych i aby móc to wykazać. Ponadto środki te powinny podlegać okresowej weryfikacji i aktualizacji (art. 24 ust. 1);
Administrator danych zobowiązany jest uwzględnić ochronę danych osobowych i odpowiednie zabezpieczenia już w fazie projektowania, w oparciu o stan wiedzy technicznej, koszt wdrażania, charakter, kontekst, zakres i cele takiego przetwarzania (art. 25 ust. 1);
Administrator powinien wdrożyć takie zabezpieczenia, które pozwalają na ciągłe zapewnianie poufności, integralności, dostępności i odporności systemów oraz usług przetwarzania. Dodatkowo, Administrator powinien regularnie testować, mierzyć i oceniać skuteczność zastosowanych zabezpieczeń (art. 32 ust. 1 lit. b i d);
Administrator danych przy ocenie, czy zastosowane zabezpieczenia są odpowiednie, powinien uwzględnić ryzyko wiążące się z przetwarzaniem, w szczególności wynikające z przypadkowego lub niezgodnego z prawem zniszczenia, utraty, modyfikacji, nieuprawnionego ujawnienia lub nieuprawnionego dostępu (art. 32 ust. 2).
naruszenie zasady legalności, rzetelności i rozliczalności zgodnie z art. 5 ust. 1 lit. a oraz art. 5 ust. 2
Pierwszy z przywołanych przepisów mówi o tym, że administrator zobowiązany jest przetwarzać dane osobowe legalnie, rzetelnie i w sposób przejrzysty dla podmiotu danych. Drugi zaś nakłada na administratora odpowiedzialność za przestrzeganie wszystkich zasad opisanych w artykule 5 rozporządzenia i wskazuje, że administrator powinien być w stanie wykazać zgodność przetwarzania z tymi zasadami, co powszechnie w odniesieniu do przepisów o ochronie danych osobowych nazywa się „rozliczalnością”. Jak możemy przeczytać w uzasadnieniu decyzji organu nadzorczego, spółka Morele.net Sp. z o.o. nie wykazała, że dane osobowe z wniosków ratalnych zbierane przed 25 maja 2018 roku były zbierane na podstawie zgody osób, których dotyczą.
Za wszystkie powyższe uchybienia organ nadzorczy nałożył na spółkę Morele.net Sp. z o.o. rekordową jak do tej pory karę pieniężną. Czy słusznie? A jeśli tak, to czy jej wysokość jest adekwatna do zaistniałych uchybień? Po ujawnieniu ataku spółka niezwłocznie podjęła działania, mające na celu poinformowanie swoich klientów o zaistniałej sytuacji oraz zapobieganie jej negatywnym skutkom. Od samego początku też przez cały czas współpracowała z organami ścigania i UODO, ale jak widać – taka współpraca nie gwarantuje uniknięcia kary lub choćby jej łagodniejszego wymiaru. Z pewnością to nie koniec tej sprawy, więc pozostaje nam czekać na rozwój wydarzeń.
Agnieszka Bucikiewicz Konsultant ds. ochrony danych osobowych w PBSG
Ta strona używa pliki cookies, dzięki którym serwis może działać poprawnie. Korzystając ze strony wyrażasz zgodę na używanie cookie, zgodnie z aktualnymi ustawieniami przeglądarki. AkceptujęCzytaj więcej
Privacy & Cookies Policy
Privacy Overview
This website uses cookies to improve your experience while you navigate through the website. Out of these, the cookies that are categorized as necessary are stored on your browser as they are essential for the working of basic functionalities of the website. We also use third-party cookies that help us analyze and understand how you use this website. These cookies will be stored in your browser only with your consent. You also have the option to opt-out of these cookies. But opting out of some of these cookies may affect your browsing experience.
Necessary cookies are absolutely essential for the website to function properly. This category only includes cookies that ensures basic functionalities and security features of the website. These cookies do not store any personal information.
Any cookies that may not be particularly necessary for the website to function and is used specifically to collect user personal data via analytics, ads, other embedded contents are termed as non-necessary cookies. It is mandatory to procure user consent prior to running these cookies on your website.
