LexDigital

Kara w wysokości 2,8 mln zł. nałożona na sklep internetowy morele.net

W związku z wyciekiem danych klientów sklepu internetowego Morele.net do którego doszło w październiku 2018 r. Urząd Ochrony Danych Osobowych decyzją z 10 września br. Nałożył na sklep karę w wysokości 2 830 410 zł., jak dotąd najwyższą nałożoną przez organ nadzorczy w Polsce. Ukarana spółka padła ofiarą ataku hackerskiego, a hacker uzyskał dostęp do bazy danych klientów Morele.net, ale również dostęp do dziesięciu powiązanych z Morele sklepów internetowych.

Kara w wysokości 2,8 mln zł. nałożona na sklep internetowy morele.net

Szczegóły naruszenia - czy Administrator popełnił błędy?

Łącznie wyciekło 2,2 mln kont użytkowników. Dane, które wyciekły to m.in.  imiona i nazwiska, adresy e-mail oraz numery telefonów użytkowników.

Spółka, posiłkując się doświadczeniem i wiedzą najwyższej klasy specjalistów, własnymi zasobami, a także przy pomocy policji próbuje rozwikłać okoliczności tego zdarzenia. Jak dotąd bez powodzenia.

Klienci sklepu dokonujący zakupy w Morele chwilę po dokonaniu transakcji otrzymywali SMS (wskazujący na to, że kontaktuje się z nimi Morele) informujące o konieczności dopłaty 1 zł do złożonego przez nich zamówienia. W treści SMS znajdował się link, który przekierowywał klienta sklepu Morele do fałszywej strony pośrednika w płatnościach, a następnie wyłudzał od osoby dokonującej płatności wszystkie dane, które do dokonania tej płatności były potrzebne (login i hasło do konta w banku i kod autoryzujący przelew). Efekt był taki, że osoby udzielające tych informacji były okradane ze środków zgromadzonych na swoich rachunkach bankowych.

Natychmiast po tym, jak Morele zorientowała się, że jest ofiarą ataku wystosowała do swoich klientów informację o tym, że to nie Morele (ani żaden ze współpracujących z Morele podmiotów) jest nadawcą wiadomości, w których pojawia się prośba o dopłatę 1 zł do zamówienia i że najprawdopodobniej są to próby wyłudzenia pieniędzy. Morele poprosiła swoich klientów o zignorowanie tych wiadomości i niedokonywania płatności, jednocześnie zapewniając, że zarządzana przez Morele baza danych klientów jest chroniona w odpowiedni sposób oraz że Morele jest w kontakcie z Policją. 

Sklep poprosił również o zgłaszaniu faktu otrzymania SMS na specjalnie dedykowany adres e-mail.

Jakiś miesiąc później Morele opublikowała już oficjalną informację dla klientów o tym, że ich dane zostały wykradzione, jakie wiążą się z tym zagrożenia, co klient powinien w tej sytuacji zrobić oraz jakie kroki podjęła Morele, aby uniemożliwić dokonanie ponownego, nieuprawnionego dostępu do danych (m.in. jakie wdrożyła procedury i środki bezpieczeństwa).

Jakiś czas później włamywacz ujawnił się i dopuścił się wobec Morele szantażu oraz poinformował o ilości złamanych haseł, a także posiadaniu nr PESEL użytkowników Morele. Wtedy okazało się, że sklep nie zresetował haseł swoich użytkowników, a jedynie zachęcał do ich samodzielnej zmiany. Oznaczało to, że włamywaczbył w stanie logować się na konta osób, których hasła złamał i pozyskiwać z tych kont kolejne dane (adresy fizyczne, historie zamówień itp.).

Wielu zarejestrowanych w Morele klientów, pod wpływem komunikatów wystosowanych przez spółkę skasowało swoje konta. Okazało się jednak, że sklep kont tych nie usunął, a jedynie uniemożliwił logowanie się do nich i włamywacz nadal miał do tych kont dostęp. Jeszcze dwa miesiące później nadal z nich korzystał.

Decyzja Prezesa Urzędu Ochrony Danych Osobowych

W tzw. Środowisku RODO pojawiły się dyskusje, co do zasadności nałożenia przez organ nadzorczy tak wysokiej kary. Znawcy tematu dywagują, czy sklep mógł zrobić więcej niż tylko współpracować z Policja i powiadamiać klientów.

Dzisiaj, t.j. 19.09.2019 Urząd Ochrony Danych Osobowych opublikował uzasadnienie dla wydanej przez siebie decyzji.

Wskazuje w nim, żezastosowane przez spółkę środki organizacyjne i techniczne ochrony danych osobowych nie były odpowiednie do istniejącego ryzyka związanego z ich przetwarzaniem, przez co dane około 2 mln 200 tys. osób dostały się w niepowołane ręce. Zabrakło odpowiednich procedur reagowania na wypadek pojawiania się nietypowego ruchu w sieci. Niewłaściwa ochrona danych osobowych w konsekwencji doprowadziła do ich wycieku.

Urząd uznał, że naruszenie, do jakiego doszło miało znaczną wagę i poważny charakter oraz dotyczyło dużej ilości osób, a także powstało wysokie ryzyko negatywnych skutków dla osób, których dane dostały się w niepowołane ręce,  jak np. tzw. kradzież tożsamości.

W toku postępowania prowadzonego przez UODO ustalono, że dodatkowe środki zabezpieczenia technicznego spółka wdrożyła już po naruszeniu i że nieskutecznie monitorowała potencjalne zagrożenia.

Przy ustalaniu wysokości nałożonej kary, Prezes UODO wziął jednak pod uwagę okoliczności łagodzące, jak np.: podjęcie przez spółkę działań zmierzających do usunięcia naruszenia, dobrą współpracę z administratorem oraz to, że wcześniej spółka nie dopuściła się naruszenia przepisówo ochronie danych osobowych.

To nie pierwsza kara nałożona przez PUODO

Przypomnijmy, że opisany powyżej przypadek i nałożona w związku z tym kara nie jest pierwszą od czasu, w którym RODO zaczęło obowiązywać.

Pierwsza, jednocześnie bardzo dotkliwa, bo opiewająca na prawie 1 mln zł kara została nałożona przez Prezesa Urzędu Ochrony Danych Osobowych za niedopełnienie obowiązku informacyjnego przez Administratora danych. Administrator danych (przedsiębiorstwo zajmujące się gromadzeniem, opracowaniem i dostarczaniem informacji gospodarczej w postaci cyfrowej) nie powiadamiając osób fizycznych o tym, że przetwarza ich dane odebrała im możliwość skorzystania z praw, jakie przysługują im na gruncie RODO.

Kara została nałożona w marcu tego roku, a ówczesna Prezes UODO uznała, że stwierdzone naruszenie miało poważny charakter, gdyż dotyczyło podstawowych praw i wolności osób, których dane przetwarzała spółka, jak również dotyczyło jednej z podstawowych kwestii, jaką jest informacja o tym, że dane są przetwarzane. 

Wymierzając karę, organ wziął pod uwagę również fakt, że administrator nie podjął żadnych działań zmierzających do usunięcia naruszenia ani nie zadeklarował takiego zamiaru.

Kolejną karę nałożono na Dolnośląski Związek Piłki Nożnej (w kwocie 55 750,50 zł)

za nieskuteczne próby usunięcia naruszenia polegającego na upublicznieniu zbyt szerokiego zakresu danych osobowych. Związek upublicznił w sieci dane osobowe sędziów, którym przyznano licencje sędziowskie. Podano jednak nie tylko ich imiona i nazwiska, ale także dokładne adresy zamieszkania oraz numery PESEL. 

Wydana przez siebie decyzję UODO uzasadnił m. in. tym, że DZPN nie dopełnił obowiązku zastosowania odpowiednich środków technicznych i organizacyjnych, aby zapewnić stopień bezpieczeństwa odpowiadający ryzyku udostępniania danych osobowych na stronie internetowej przez co dane osób, którym przyznano licencje sędziowskie w roku 2015, w zakresie ich numeru PESEL oraz adresu zamieszkania, były dostępne na stronie internetowej Związku. Uznano, że powoduje to prawdopodobieństwo wysokiego ryzyka negatywnych skutków prawnych dla 585 osób, których dane zostały ujawnione w Internecie. 

Wymierzając karę, Prezes UODO uwzględnił też okoliczności łagodzące, którymi były m.in. dobra współpraca administratora z organem nadzoru czy brak dowodów na to, że powstały szkody po stronie osób, których dane ujawniono.

Odpowiednie zabezpieczenia - co zrobić by zminimalizować ryzyko naruszeń?

Opisane powyżej incydenty dowodzą, że, aby zapobiec wyciekom i zapewnić skuteczną ochronę dla przetwarzanych przez Administratora danych należy stosować odpowiednie zabezpieczenia, zlecać audyty bezpieczeństwa, budować świadomość konieczności ochrony danych wśród pracowników, regularnie monitorować wdrożone zabezpieczenia, monitorować potencjalne zagrożenia, przeprowadzać testy odtworzenia systemów i inne.

Warto również przypomnieć, że w przypadku podjęcia przez Prezesa UODO decyzji o nałożeniu na Administratora kary jej wysokość zależna będzie od wielu czynników, takich jak m.in.:

  • charakter, waga i czas trwania naruszenia,
  • liczba osób poszkodowanych w jego wyniku oraz rozmiar szkody,
  • umyślny lub nieumyślny charakter naruszenia,
  • działania podjęte przez administratora (lub podmiot przetwarzający) w celu zminimalizowania szkody,
  • kategorie danych, których dotyczyło naruszenie,
  • stopień współpracy z organem nadzorczym,
  • sposób, w jaki organ nadzorczy dowiedział się o naruszeniu, a więc czy administrator (lub podmiot przetwarzający) sam zgłosił naruszenie.

Na podkreślenie zasługuje również fakt, że Regulacje RODO nie narzucają przedsiębiorcy żadnych konkretnych rozwiązań – musi on sam zadecydować o tym, jakie środki organizacyjne i techniczne powinny zostać wdrożone w jego firmie. Zgodnie z przepisem art. 24 rozporządzenia, administrator danych osobowych ma obowiązek wdrożenia środków „odpowiednich” z punktu widzenia ochrony danych, a ich zakres musi być proporcjonalny do istniejących zagrożeń. Dokonanie takiej oceny nie jest oczywiście łatwe i nie zawsze jednoznaczne, dlatego należy ją wykonywać regularnie, uwzględniając zmieniające się okoliczności i dostępne narzędzia służące ochronie danych osobowych.

Polecane

Administrator systemów informatycznych. Rola w systemie

Administrator systemów informatycznych. Rola w systemie

W przepisach RODO próżno szukać regulacji dotyczącej Administratorów Systemów Informatycznych (ASI). Funkcja ASI występuje jednak w wielu przedsiębiorstwach i nie jest równoznaczna ani Administratorom Danych Osobowych ani Administratorom Bezpieczeństwa Informacji (czy też Inspektorom Ochrony Danych). Kim więc są ASI i jaką rolę pełnią w systemie ochrony danych osobowych?

Analiza i szacowanie ryzyka w RODO

Analiza i szacowanie ryzyka w RODO

Dyrektywa wymaga nie tylko stosowania procesu zarządzania ryzykiem zgodnego z RODO jako jednego z elementów ochrony danych osobowych, ale wprowadziła podejście, w którym zarządzanie ryzykiem jest fundamentem działań związanych z ochroną danych osobowych i ma charakter ciągłego procesu.

Aplikacja dla Inspektora Ochrony Danych Osobowych

Aplikacja dla Inspektora Ochrony Danych Osobowych

Każdy kto podejmował się wdrożenie RODO w organizacji, nie zważywszy na jej skalę, wie jak dużym wyzwaniem jest zarządzanie dokumentacją. Wersjonowanie dokumentów, ich dystrybucja do wszystkich zainteresowanych, a także zbieranie informacji w efektywny sposób są niezwykle istotnym elementem sprawnie przeprowadzonego wdrożenia.

Popularne

Szkolenie RODO w przedsiębiorstwie - praktyczne aspekty

Szkolenie RODO w przedsiębiorstwie - praktyczne aspekty

Od 25 maja 2018 roku zaczną obowiązywać przepisy rozporządzenia o ochronie danych osobowych. Od tego dnia, każda organizacja będzie miałą obowiązek funkcjonować w ramach nowych procedur. Ilość zmian, które wprowadza RODO wymusza stworzenie zupełnie nowego systemu prawnego, na który trzeba odpowiednio przygotować swoją organizację oraz wszystkich jej pracowników.

Bezpłatne szkolenie z RODO

Bezpłatne szkolenie z RODO

Wiedząc jak ważną rolę w procesie przygotowawczym do wprowadzenia rozporządzenia o ochronie danych osobowych stanowi wiedza, pragniemy się z Państwem z nią podzielić, podczas bezpłatnego szkolenia RODO.

Chcesz wdrożyć RODO? Nie czekaj!

Wspieramy przedsiębiorców

Nasi konsultanci rozpoczęli wdrożenia RODO już wiele miesięcy przed 25 maja 2018 roku. Jako jedni z pierwszych opracowaliśmy procedury dotyczące nowych przepisów i wdrożyliśmy je w życie. Nowe przepisy, jeśli są rzeczywiście przestrzegane, w żaden sposób nie utrudniają prowadzenia działalności Twojej firmy.

Napisz do nas

Informujemy, że Państwa zgoda może zostać cofnięta w dowolnym momencie przez wysłanie wiadomości e-mail na adres naszego Inspektora Ochrony Danych katarzyna.muszynska@lexdigital.pl spod adresu, którego zgoda dotyczy.

Administratorem Państwa danych osobowych jest LexDigital Sp. z o.o. z siedzibą w Poznaniu (60-363) przy ul. Grodziskiej 8. Wszystkie pytania i wątpliwości prosimy kierować do naszego Inspektora Ochrony Danych – Katarzyny Muszyńskiej na adres katarzyna.muszynska@lexdigital.pl

Państwa dane przetwarzane są w celu odpowiedzi na wiadomośćwysłaną za pomocą formularza kontaktowego, podjęcia na Państwa wniosek określonych działań przed zawarciem umowy lub wysłania Państwu treścimarketingowych. Przysługuje Państwu prawo dostępu do danych, ich sprostowania, usunięcia, ograniczenia przetwarzania, wniesienia sprzeciwu i cofnięcia w każdym momencie udzielonej zgody bez wpływu na zgodnośćz prawem przetwarzania danych, którego dokonano na podstawie zgody przed jej wycofaniem. Masz równieżprawo wniesienia skargi do Prezesa Urzędu Ochrony Danych Osobowych.

Więcej informacji na temat przetwarzania danych osobowych znajdziecie Państwo w naszej Polityce prywatności.

Biofarm Fibar Group Apart Wykop.pl PhytoPharm Veolia Cuf-podatki Netguru GetHero Tesgas GPD Agency Golden Submarine Pixers

Strona korzysta z plików cookies w celu realizacji usług i zgodnie z Polityką Plików Cookies.

Możesz określić warunki przechowywania lub dostępu do plików cookies w Twojej przeglądarce.