Biznes i Finanse
Morele.net: 2,8 mln złotych kary za wyciek danych 2 mln osób
Prezes Urzędu Ochrony Danych Osobowych nałożył 2,8 mln zł kary na spółkę Morele.net za niewystarczające zabezpieczenia danych osobowych. W efekcie uchybień wyciekły dane ponad 2 mln osób - poinformował w czwartek wiceprezes UODO Mirosław Sanek.
Urząd stwierdził, że naruszenie miało „znaczną wagę i poważny charakter” oraz dotyczyło dużej liczby osób. W wyniku naruszenia powstało wysokie ryzyko negatywnych skutków dla osób, których dane dostały się w niepowołane ręce, na przykład tzw. kradzieży tożsamości. Jako jeden z przejawów naruszenia UODO wymienił brak podwójnego uwierzytelniania klientów, w rezultacie czego do ataku hakerskiego można było z powodzeniem zastosować metodę "phishingu", czyli spreparowanej bramki płatności do wyłudzania danych uwierzytelniających.
Wiceprezes UODO na konferencji prasowej zwrócił uwagę, że większość skradzionych dane zawierała imię, nazwisko, telefon, e-mail, adres do doręczeń. Jednak - jak podkreślił - wyciekły też dane ok. 35 tys. osób z ich wniosków ratalnych. Zakres tych danych był szerszy - obejmował numery PESEL, dokumentów tożsamości, wykształcenie, adres zameldowania, źródło dochodu, wysokość zobowiązań kredytowych czy alimentacyjnych.
"Kara jest nie za to, że ktoś się włamał, ale za niewystarczające środki zabezpieczające. Nie karzemy podwójnie" - oświadczył Sanek. "Decyzja bazuje na złamaniu zasady poufności danych i nieadekwatnego zabezpieczenia danych" - podkreślił.
W decyzji nakładającej karę Prezes UODO stwierdził, że spółka naruszyła zapisy rozporządzenia RODO, nie stosując wystarczających środków technicznych ochrony danych osobowych. W dodatku spółka nie wykazała, skąd wynikały zgody na przetwarzanie danych klientów w systemie spłat ratalnych - zaznaczył wiceprezes Urzędu.
Sanek podkreślał, że decyzje zawsze podejmowane są na podstawie analizy konkretnego, jednostkowego przypadku. Po karę pieniężną, czyli najcięższy środek w arsenale Prezes UODO sięga, gdy uzna, że inne środki, np. upomnienie, są nieadekwatne. "Zastosowano miarkowanie kary - firma nie doprowadziła do naruszeń w sposób celowy, nie możemy jej przypisać umyślności, nie możemy zarzucić unikania współpracy z organem" - zaznaczył. Były to okoliczności łagodzące.
Urząd zwrócił także uwagę na nieskuteczne monitorowanie potencjalnych zagrożeń i brak procedur reagowania na wypadek pojawienia się nietypowego ruchu w sieci. Według UODO postępowanie wykazało także inne naruszenia, ale to brak odpowiednich zabezpieczeń i procedur przesądził o nałożeniu kary.