Informacja o nałożeniu kary na spółkę Morele.net za naruszenie regulacji RODO i niewłaściwe zabezpieczenie danych osobowych 2,2 mln osób została przekazana przez Urząd Ochrony Danych Osobowych (UODO) w komunikacie wydanym w ostatni czwartek. W wyniku tego naruszenia, prezes UODO nałożył na przedsiębiorstwo karę przekraczającą 3,8 mln zł.
Sytuacja ta była wynikiem decyzji podjętej przez Naczelny Sąd Administracyjny (NSA) dnia 9 lutego 2023 roku. Sąd ten postanowił uchylić wcześniejszą decyzję Prezesa UODO dotyczącą kary nałożonej na Morele.net, skłaniając tym samym organ nadzorczy do ponownego przeprowadzenia postępowania administracyjnego w tej sprawie. Jak wykazało to postępowanie, doszło do naruszenia ochrony danych osobowych z powodu niezastosowania przez spółkę odpowiednich środków zabezpieczających, co skutkowało wyciekiem danych 2,2 mln osób.
Rzecznik prasowy UODO stwierdził, że NSA nie zakwestionował wszystkich ustaleń prezesa UODO związanych z tym naruszeniem, natomiast podważył kompetencje organu w zakresie oceny środków technicznych i organizacyjnych, które zostały zastosowane przez administratora celem zabezpieczenia danych osobowych. Sąd uznał, że organ powinien udowodnić posiadanie wiedzy niezbędnej do przeprowadzenia takiego badania bezpieczeństwa. Z wyjaśnień sądu wynikało, że Prezes UODO powinien był skorzystać z pomocy biegłego lub stworzyć dokument wewnętrzny zawierający wnioski z analizy standardu środków bezpieczeństwa stosowanych przez spółkę, który mógłby być przedmiotem odniesienia dla administratora w trakcie postępowania.
W nawiązaniu do powyższych kwestii, UODO ponownie przeprowadził postępowanie administracyjne, podczas którego stwierdzono, że środki techniczne zastosowane przez Morele.net były niewystarczające wobec istniejącego ryzyka naruszenia ochrony danych. W komunikacie czytamy również, że brakowało odpowiednio wprowadzonych procedur umożliwiających reagowanie na nietypowe sytuacje, takie jak na przykład wzrost ruchu sieciowego.
Stanowisko Spółki:
Spółka Morele.net potwierdza, że otrzymała decyzję Prezesa Urzędu Ochrony Danych Osobowych dotyczącą ataku hakerskiego z 2018 r.
Nie zgadza się jednak z decyzją Prezesa UODO i zamierza zaskarżyć ją do Wojewódzkiego Sądu Administracyjnego. Prezes UODO nie naprawił kluczowej nieprawidłowości wskazanej przez NSA w wyroku uchylającym pierwotną decyzję urzędu i nie powołał biegłego, który przygotowałby obiektywną ocenę prawidłowości zabezpieczeń danych osobowych stosowanych w 2018 r. przez Spółkę. Powołanie takiego biegłego w świetle oceny sytuacji sprzed ponad 5 lat jest konieczne dla niezależności i bezstronności oceny postępowania Spółki.
Zabezpieczenia stosowane przez Spółkę były starannie dobrane, zgodne z praktyką rynkową i spełniały wymogi RODO.
W ocenie Spółki Prezes UODO nie był też uprawniony do nałożenia kary wyższej niż kara nałożona w decyzji z 2019 r. W tym okresie nie zmieniły się okoliczności związane ze sprawą, w tym nie pojawiły się żadne okoliczności obciążające. Wręcz przeciwne, część zarzutów wobec Spółki zostało uchylonych wyrokiem NSA. Zastosowany przez Prezesa UODO sposób obliczenia kary był jednocześnie dowolny i nieuzasadniony przepisami RODO.