To nie koniec sagi UODO vs. Morele.net. Kolejna kara

Początek sporu trwa już od 2019 roku. Wtedy to ówczesny Prezes Urzędu Ochrony Danych Osobowych nałożył karę prawie trzech milionów złotych na spółkę Morele.net. Powodem nałożenia grzywny miało być niewystarczające zabezpieczenie danych osobowych, które doprowadziło do wycieku informacji o ponad dwóch milionach osób pod koniec 2018 roku.

Uchylenie kary

O sprawie ponownie zrobiło się głośno w ubiegłym roku. W lutym 2023 r. Naczelny Sąd Administracyjny zadecydował o uchyleniu kary, a w marcu upublicznił uzasadnienie, w którym poinformował o tym, że UODO nie przedstawiło opinii biegłego.

To wtedy też NSA zasądziło od urzędu karę 65 tys. złotych (koszty postępowania sądowego). Okazuje się, że po tym uchyleniu UODO zadecydowało o ponownym przeprowadzeniu postępowania administracyjnego w tej sprawie.

Ponowne rozpatrzenie sprawy

Okazuje się, że to pozornie zakończona sprawa. „NSA nie zakwestionował wszystkich ustaleń Prezesa UODO związanych z tym naruszeniem. Podważył jednak kompetencje organu dotyczące oceny zastosowanych przez administratora środków technicznych i organizacyjnych mających zabezpieczyć dane osobowe” – wskazuje UODO w komunikacie.

W uzasadnieniu Urząd wskazał na to, dlaczego ponownie przeprowadził postępowanie administracyjne.

„(…) Przygotowana analiza wykazała, że administrator nie szyfrował części danych (do czego zresztą się przyznał), nie dysponował dwuskładnikowym uwierzytelnieniem, nie przeprowadził analizy ryzyka, która uwzględniłaby m.in. zagrożenia związane z możliwością logowania się do systemu z sieci publicznej. W efekcie dwukrotnie doszło do nieautoryzowanego dostępu z zewnątrz, na skutek którego osoba niepowołana weszła w posiadanie danych klientów spółki Morele.net” - czytamy.

Wysokość kary nałożonej na Morele.net wynosi teraz 3,8 miliona złotych.

(Aktualizacja) Komentarz Morele

Do sprawy odniosły się władze spółki, które nie zgadzają się z decyzją Prezesa UODO. Jak czytamy w oświadczeniu, będzie ona zaskarżona do Wojewódzkiego Sądu Administracyjnego

„Prezes UODO nie naprawił kluczowej nieprawidłowości wskazanej przez NSA w wyroku uchylającym pierwotną decyzję urzędu i nie powołał biegłego, który przygotowałby obiektywną ocenę prawidłowości zabezpieczeń danych osobowych stosowanych w 2018 r. przez Spółkę. Powołanie takiego biegłego w świetle oceny sytuacji sprzed ponad 5 lat jest konieczne dla niezależności i bezstronności oceny postępowania Spółki” - czytamy.

Ponadto, według władz Morele.net, UODO nie ma podstaw do nałożenia kary, która jest wyższa od tej, która została nałożona w 2019 roku.

/MG

Serwis CyberDefence24.pl otrzymał tytuł #DigitalEUAmbassador (Ambasadora polityki cyfrowej UE). Jeśli są sprawy, które Was nurtują; pytania, na które nie znacie odpowiedzi; tematy, o których trzeba napisać – zapraszamy do kontaktu. Piszcie do nas na: [email protected].