Kara w wysokości 2,8 mln zł nałożona na sklep internetowy morele.net
W związku z wyciekiem danych klientów sklepu internetowego Morele.net do którego doszło w październiku 2018 r. Urząd Ochrony Danych Osobowych decyzją z 10 września br. Nałożył na sklep karę w wysokości 2 830 410 zł., jak dotąd najwyższą nałożoną przez organ nadzorczy w Polsce. Ukarana spółka padła ofiarą ataku hackerskiego, a hacker uzyskał dostęp do bazy danych klientów Morele.net, ale również dostęp do dziesięciu powiązanych z Morele sklepów internetowych.
Szczegóły naruszenia - czy Administrator popełnił błędy?
Łącznie wyciekło 2,2 mln kont użytkowników. Dane, które wyciekły to m.in. imiona i nazwiska, adresy e-mail oraz numery telefonów użytkowników.
Spółka, posiłkując się doświadczeniem i wiedzą najwyższej klasy specjalistów, własnymi zasobami, a także przy pomocy policji próbuje rozwikłać okoliczności tego zdarzenia. Jak dotąd bez powodzenia.
Klienci sklepu dokonujący zakupy w Morele chwilę po dokonaniu transakcji otrzymywali SMS (wskazujący na to, że kontaktuje się z nimi Morele) informujące o konieczności dopłaty 1 zł do złożonego przez nich zamówienia. W treści SMS znajdował się link, który przekierowywał klienta sklepu Morele do fałszywej strony pośrednika w płatnościach, a następnie wyłudzał od osoby dokonującej płatności wszystkie dane, które do dokonania tej płatności były potrzebne (login i hasło do konta w banku i kod autoryzujący przelew). Efekt był taki, że osoby udzielające tych informacji były okradane ze środków zgromadzonych na swoich rachunkach bankowych.
Natychmiast po tym, jak Morele zorientowała się, że jest ofiarą ataku wystosowała do swoich klientów informację o tym, że to nie Morele (ani żaden ze współpracujących z Morele podmiotów) jest nadawcą wiadomości, w których pojawia się prośba o dopłatę 1 zł do zamówienia i że najprawdopodobniej są to próby wyłudzenia pieniędzy. Morele poprosiła swoich klientów o zignorowanie tych wiadomości i niedokonywania płatności, jednocześnie zapewniając, że zarządzana przez Morele baza danych klientów jest chroniona w odpowiedni sposób oraz że Morele jest w kontakcie z Policją.
Sklep poprosił również o zgłaszaniu faktu otrzymania SMS na specjalnie dedykowany adres e-mail.
Jakiś miesiąc później Morele opublikowała już oficjalną informację dla klientów o tym, że ich dane zostały wykradzione, jakie wiążą się z tym zagrożenia, co klient powinien w tej sytuacji zrobić oraz jakie kroki podjęła Morele, aby uniemożliwić dokonanie ponownego, nieuprawnionego dostępu do danych (m.in. jakie wdrożyła procedury i środki bezpieczeństwa).
Jakiś czas później włamywacz ujawnił się i dopuścił się wobec Morele szantażu oraz poinformował o ilości złamanych haseł, a także posiadaniu nr PESEL użytkowników Morele. Wtedy okazało się, że sklep nie zresetował haseł swoich użytkowników, a jedynie zachęcał do ich samodzielnej zmiany. Oznaczało to, że włamywaczbył w stanie logować się na konta osób, których hasła złamał i pozyskiwać z tych kont kolejne dane (adresy fizyczne, historie zamówień itp.).
Wielu zarejestrowanych w Morele klientów, pod wpływem komunikatów wystosowanych przez spółkę skasowało swoje konta. Okazało się jednak, że sklep kont tych nie usunął, a jedynie uniemożliwił logowanie się do nich i włamywacz nadal miał do tych kont dostęp. Jeszcze dwa miesiące później nadal z nich korzystał.
Udostępnianie danych osobowych bez zgody - dowiedz się więcej
Decyzja Prezesa Urzędu Ochrony Danych Osobowych
W tzw. Środowisku RODO pojawiły się dyskusje, co do zasadności nałożenia przez organ nadzorczy tak wysokiej kary. Znawcy tematu dywagują, czy sklep mógł zrobić więcej niż tylko współpracować z Policja i powiadamiać klientów.
Dzisiaj, t.j. 19.09.2019 Urząd Ochrony Danych Osobowych opublikował uzasadnienie dla wydanej przez siebie decyzji.
Wskazuje w nim, żezastosowane przez spółkę środki organizacyjne i techniczne ochrony danych osobowych nie były odpowiednie do istniejącego ryzyka związanego z ich przetwarzaniem, przez co dane około 2 mln 200 tys. osób dostały się w niepowołane ręce. Zabrakło odpowiednich procedur reagowania na wypadek pojawiania się nietypowego ruchu w sieci. Niewłaściwa ochrona danych osobowych w konsekwencji doprowadziła do ich wycieku.
Urząd uznał, że naruszenie, do jakiego doszło miało znaczną wagę i poważny charakter oraz dotyczyło dużej ilości osób, a także powstało wysokie ryzyko negatywnych skutków dla osób, których dane dostały się w niepowołane ręce, jak np. tzw. kradzież tożsamości.
W toku postępowania prowadzonego przez UODO ustalono, że dodatkowe środki zabezpieczenia technicznego spółka wdrożyła już po naruszeniu i że nieskutecznie monitorowała potencjalne zagrożenia.
Przy ustalaniu wysokości nałożonej kary, Prezes UODO wziął jednak pod uwagę okoliczności łagodzące, jak np.: podjęcie przez spółkę działań zmierzających do usunięcia naruszenia, dobrą współpracę z administratorem oraz to, że wcześniej spółka nie dopuściła się naruszenia przepisówo ochronie danych osobowych.
Kradzież danych osobowych w internecie - dowiedz się więcej
To nie pierwsza kara nałożona przez PUODO
Przypomnijmy, że opisany powyżej przypadek i nałożona w związku z tym kara nie jest pierwszą od czasu, w którym RODO zaczęło obowiązywać.
Pierwsza, jednocześnie bardzo dotkliwa, bo opiewająca na prawie 1 mln zł kara została nałożona przez Prezesa Urzędu Ochrony Danych Osobowych za niedopełnienie obowiązku informacyjnego przez Administratora danych. Administrator danych (przedsiębiorstwo zajmujące się gromadzeniem, opracowaniem i dostarczaniem informacji gospodarczej w postaci cyfrowej) nie powiadamiając osób fizycznych o tym, że przetwarza ich dane odebrała im możliwość skorzystania z praw, jakie przysługują im na gruncie RODO.
Kara została nałożona w marcu tego roku, a ówczesna Prezes UODO uznała, że stwierdzone naruszenie miało poważny charakter, gdyż dotyczyło podstawowych praw i wolności osób, których dane przetwarzała spółka, jak również dotyczyło jednej z podstawowych kwestii, jaką jest informacja o tym, że dane są przetwarzane.
Wymierzając karę, organ wziął pod uwagę również fakt, że administrator nie podjął żadnych działań zmierzających do usunięcia naruszenia ani nie zadeklarował takiego zamiaru.
Kolejną karę nałożono na Dolnośląski Związek Piłki Nożnej (w kwocie 55 750,50 zł)
za nieskuteczne próby usunięcia naruszenia polegającego na upublicznieniu zbyt szerokiego zakresu danych osobowych. Związek upublicznił w sieci dane osobowe sędziów, którym przyznano licencje sędziowskie. Podano jednak nie tylko ich imiona i nazwiska, ale także dokładne adresy zamieszkania oraz numery PESEL.
Wydana przez siebie decyzję UODO uzasadnił m. in. tym, że DZPN nie dopełnił obowiązku zastosowania odpowiednich środków technicznych i organizacyjnych, aby zapewnić stopień bezpieczeństwa odpowiadający ryzyku udostępniania danych osobowych na stronie internetowej przez co dane osób, którym przyznano licencje sędziowskie w roku 2015, w zakresie ich numeru PESEL oraz adresu zamieszkania, były dostępne na stronie internetowej Związku. Uznano, że powoduje to prawdopodobieństwo wysokiego ryzyka negatywnych skutków prawnych dla 585 osób, których dane zostały ujawnione w Internecie.
Wymierzając karę, Prezes UODO uwzględnił też okoliczności łagodzące, którymi były m.in. dobra współpraca administratora z organem nadzoru czy brak dowodów na to, że powstały szkody po stronie osób, których dane ujawniono.
Odpowiednie zabezpieczenia - co zrobić by zminimalizować ryzyko naruszeń?
Opisane powyżej incydenty dowodzą, że, aby zapobiec wyciekom i zapewnić skuteczną ochronę dla przetwarzanych przez Administratora danych należy stosować odpowiednie zabezpieczenia, zlecać audyty bezpieczeństwa, budować świadomość konieczności ochrony danych wśród pracowników, regularnie monitorować wdrożone zabezpieczenia, monitorować potencjalne zagrożenia, przeprowadzać testy odtworzenia systemów i inne.
Warto również przypomnieć, że w przypadku podjęcia przez Prezesa UODO decyzji o nałożeniu na Administratora kary jej wysokość zależna będzie od wielu czynników, takich jak m.in.:
- charakter, waga i czas trwania naruszenia,
- liczba osób poszkodowanych w jego wyniku oraz rozmiar szkody,
- umyślny lub nieumyślny charakter naruszenia,
- działania podjęte przez administratora (lub podmiot przetwarzający) w celu zminimalizowania szkody,
- kategorie danych, których dotyczyło naruszenie,
- stopień współpracy z organem nadzorczym,
- sposób, w jaki organ nadzorczy dowiedział się o naruszeniu, a więc czy administrator (lub podmiot przetwarzający) sam zgłosił naruszenie.
Na podkreślenie zasługuje również fakt, że Regulacje RODO nie narzucają przedsiębiorcy żadnych konkretnych rozwiązań – musi on sam zadecydować o tym, jakie środki organizacyjne i techniczne powinny zostać wdrożone w jego firmie. Zgodnie z przepisem art. 24 rozporządzenia, administrator danych osobowych ma obowiązek wdrożenia środków „odpowiednich” z punktu widzenia ochrony danych, a ich zakres musi być proporcjonalny do istniejących zagrożeń. Dokonanie takiej oceny nie jest oczywiście łatwe i nie zawsze jednoznaczne, dlatego należy ją wykonywać regularnie, uwzględniając zmieniające się okoliczności i dostępne narzędzia służące ochronie danych osobowych.