LexDigital

Kara w wysokości 2,8 mln zł. nałożona na sklep internetowy morele.net

W związku z wyciekiem danych klientów sklepu internetowego Morele.net do którego doszło w październiku 2018 r. Urząd Ochrony Danych Osobowych decyzją z 10 września br. Nałożył na sklep karę w wysokości 2 830 410 zł., jak dotąd najwyższą nałożoną przez organ nadzorczy w Polsce. Ukarana spółka padła ofiarą ataku hackerskiego, a hacker uzyskał dostęp do bazy danych klientów Morele.net, ale również dostęp do dziesięciu powiązanych z Morele sklepów internetowych.

Kara w wysokości 2,8 mln zł. nałożona na sklep internetowy morele.net

Szczegóły naruszenia - czy Administrator popełnił błędy?

Łącznie wyciekło 2,2 mln kont użytkowników. Dane, które wyciekły to m.in.  imiona i nazwiska, adresy e-mail oraz numery telefonów użytkowników.

Spółka, posiłkując się doświadczeniem i wiedzą najwyższej klasy specjalistów, własnymi zasobami, a także przy pomocy policji próbuje rozwikłać okoliczności tego zdarzenia. Jak dotąd bez powodzenia.

Klienci sklepu dokonujący zakupy w Morele chwilę po dokonaniu transakcji otrzymywali SMS (wskazujący na to, że kontaktuje się z nimi Morele) informujące o konieczności dopłaty 1 zł do złożonego przez nich zamówienia. W treści SMS znajdował się link, który przekierowywał klienta sklepu Morele do fałszywej strony pośrednika w płatnościach, a następnie wyłudzał od osoby dokonującej płatności wszystkie dane, które do dokonania tej płatności były potrzebne (login i hasło do konta w banku i kod autoryzujący przelew). Efekt był taki, że osoby udzielające tych informacji były okradane ze środków zgromadzonych na swoich rachunkach bankowych.

Natychmiast po tym, jak Morele zorientowała się, że jest ofiarą ataku wystosowała do swoich klientów informację o tym, że to nie Morele (ani żaden ze współpracujących z Morele podmiotów) jest nadawcą wiadomości, w których pojawia się prośba o dopłatę 1 zł do zamówienia i że najprawdopodobniej są to próby wyłudzenia pieniędzy. Morele poprosiła swoich klientów o zignorowanie tych wiadomości i niedokonywania płatności, jednocześnie zapewniając, że zarządzana przez Morele baza danych klientów jest chroniona w odpowiedni sposób oraz że Morele jest w kontakcie z Policją. 

Sklep poprosił również o zgłaszaniu faktu otrzymania SMS na specjalnie dedykowany adres e-mail.

Jakiś miesiąc później Morele opublikowała już oficjalną informację dla klientów o tym, że ich dane zostały wykradzione, jakie wiążą się z tym zagrożenia, co klient powinien w tej sytuacji zrobić oraz jakie kroki podjęła Morele, aby uniemożliwić dokonanie ponownego, nieuprawnionego dostępu do danych (m.in. jakie wdrożyła procedury i środki bezpieczeństwa).

Jakiś czas później włamywacz ujawnił się i dopuścił się wobec Morele szantażu oraz poinformował o ilości złamanych haseł, a także posiadaniu nr PESEL użytkowników Morele. Wtedy okazało się, że sklep nie zresetował haseł swoich użytkowników, a jedynie zachęcał do ich samodzielnej zmiany. Oznaczało to, że włamywaczbył w stanie logować się na konta osób, których hasła złamał i pozyskiwać z tych kont kolejne dane (adresy fizyczne, historie zamówień itp.).

Wielu zarejestrowanych w Morele klientów, pod wpływem komunikatów wystosowanych przez spółkę skasowało swoje konta. Okazało się jednak, że sklep kont tych nie usunął, a jedynie uniemożliwił logowanie się do nich i włamywacz nadal miał do tych kont dostęp. Jeszcze dwa miesiące później nadal z nich korzystał.

Decyzja Prezesa Urzędu Ochrony Danych Osobowych

W tzw. Środowisku RODO pojawiły się dyskusje, co do zasadności nałożenia przez organ nadzorczy tak wysokiej kary. Znawcy tematu dywagują, czy sklep mógł zrobić więcej niż tylko współpracować z Policja i powiadamiać klientów.

Dzisiaj, t.j. 19.09.2019 Urząd Ochrony Danych Osobowych opublikował uzasadnienie dla wydanej przez siebie decyzji.

Wskazuje w nim, żezastosowane przez spółkę środki organizacyjne i techniczne ochrony danych osobowych nie były odpowiednie do istniejącego ryzyka związanego z ich przetwarzaniem, przez co dane około 2 mln 200 tys. osób dostały się w niepowołane ręce. Zabrakło odpowiednich procedur reagowania na wypadek pojawiania się nietypowego ruchu w sieci. Niewłaściwa ochrona danych osobowych w konsekwencji doprowadziła do ich wycieku.

Urząd uznał, że naruszenie, do jakiego doszło miało znaczną wagę i poważny charakter oraz dotyczyło dużej ilości osób, a także powstało wysokie ryzyko negatywnych skutków dla osób, których dane dostały się w niepowołane ręce,  jak np. tzw. kradzież tożsamości.

W toku postępowania prowadzonego przez UODO ustalono, że dodatkowe środki zabezpieczenia technicznego spółka wdrożyła już po naruszeniu i że nieskutecznie monitorowała potencjalne zagrożenia.

Przy ustalaniu wysokości nałożonej kary, Prezes UODO wziął jednak pod uwagę okoliczności łagodzące, jak np.: podjęcie przez spółkę działań zmierzających do usunięcia naruszenia, dobrą współpracę z administratorem oraz to, że wcześniej spółka nie dopuściła się naruszenia przepisówo ochronie danych osobowych.

To nie pierwsza kara nałożona przez PUODO

Przypomnijmy, że opisany powyżej przypadek i nałożona w związku z tym kara nie jest pierwszą od czasu, w którym RODO zaczęło obowiązywać.

Pierwsza, jednocześnie bardzo dotkliwa, bo opiewająca na prawie 1 mln zł kara została nałożona przez Prezesa Urzędu Ochrony Danych Osobowych za niedopełnienie obowiązku informacyjnego przez Administratora danych. Administrator danych (przedsiębiorstwo zajmujące się gromadzeniem, opracowaniem i dostarczaniem informacji gospodarczej w postaci cyfrowej) nie powiadamiając osób fizycznych o tym, że przetwarza ich dane odebrała im możliwość skorzystania z praw, jakie przysługują im na gruncie RODO.

Kara została nałożona w marcu tego roku, a ówczesna Prezes UODO uznała, że stwierdzone naruszenie miało poważny charakter, gdyż dotyczyło podstawowych praw i wolności osób, których dane przetwarzała spółka, jak również dotyczyło jednej z podstawowych kwestii, jaką jest informacja o tym, że dane są przetwarzane. 

Wymierzając karę, organ wziął pod uwagę również fakt, że administrator nie podjął żadnych działań zmierzających do usunięcia naruszenia ani nie zadeklarował takiego zamiaru.

Kolejną karę nałożono na Dolnośląski Związek Piłki Nożnej (w kwocie 55 750,50 zł)

za nieskuteczne próby usunięcia naruszenia polegającego na upublicznieniu zbyt szerokiego zakresu danych osobowych. Związek upublicznił w sieci dane osobowe sędziów, którym przyznano licencje sędziowskie. Podano jednak nie tylko ich imiona i nazwiska, ale także dokładne adresy zamieszkania oraz numery PESEL. 

Wydana przez siebie decyzję UODO uzasadnił m. in. tym, że DZPN nie dopełnił obowiązku zastosowania odpowiednich środków technicznych i organizacyjnych, aby zapewnić stopień bezpieczeństwa odpowiadający ryzyku udostępniania danych osobowych na stronie internetowej przez co dane osób, którym przyznano licencje sędziowskie w roku 2015, w zakresie ich numeru PESEL oraz adresu zamieszkania, były dostępne na stronie internetowej Związku. Uznano, że powoduje to prawdopodobieństwo wysokiego ryzyka negatywnych skutków prawnych dla 585 osób, których dane zostały ujawnione w Internecie. 

Wymierzając karę, Prezes UODO uwzględnił też okoliczności łagodzące, którymi były m.in. dobra współpraca administratora z organem nadzoru czy brak dowodów na to, że powstały szkody po stronie osób, których dane ujawniono.

Odpowiednie zabezpieczenia - co zrobić by zminimalizować ryzyko naruszeń?

Opisane powyżej incydenty dowodzą, że, aby zapobiec wyciekom i zapewnić skuteczną ochronę dla przetwarzanych przez Administratora danych należy stosować odpowiednie zabezpieczenia, zlecać audyty bezpieczeństwa, budować świadomość konieczności ochrony danych wśród pracowników, regularnie monitorować wdrożone zabezpieczenia, monitorować potencjalne zagrożenia, przeprowadzać testy odtworzenia systemów i inne.

Warto również przypomnieć, że w przypadku podjęcia przez Prezesa UODO decyzji o nałożeniu na Administratora kary jej wysokość zależna będzie od wielu czynników, takich jak m.in.:

  • charakter, waga i czas trwania naruszenia,
  • liczba osób poszkodowanych w jego wyniku oraz rozmiar szkody,
  • umyślny lub nieumyślny charakter naruszenia,
  • działania podjęte przez administratora (lub podmiot przetwarzający) w celu zminimalizowania szkody,
  • kategorie danych, których dotyczyło naruszenie,
  • stopień współpracy z organem nadzorczym,
  • sposób, w jaki organ nadzorczy dowiedział się o naruszeniu, a więc czy administrator (lub podmiot przetwarzający) sam zgłosił naruszenie.

Na podkreślenie zasługuje również fakt, że Regulacje RODO nie narzucają przedsiębiorcy żadnych konkretnych rozwiązań – musi on sam zadecydować o tym, jakie środki organizacyjne i techniczne powinny zostać wdrożone w jego firmie. Zgodnie z przepisem art. 24 rozporządzenia, administrator danych osobowych ma obowiązek wdrożenia środków „odpowiednich” z punktu widzenia ochrony danych, a ich zakres musi być proporcjonalny do istniejących zagrożeń. Dokonanie takiej oceny nie jest oczywiście łatwe i nie zawsze jednoznaczne, dlatego należy ją wykonywać regularnie, uwzględniając zmieniające się okoliczności i dostępne narzędzia służące ochronie danych osobowych.

Polecane

Upoważnienie do przetwarzania danych osobowych

Upoważnienie do przetwarzania danych osobowych

Jest jednym z wymagań, które stawia przed nami RODO w art. 29 — Przetwarzanie z upoważnienia administratora lub podmiotu przetwarzającego: "Podmiot przetwarzający oraz każda osoba działająca z upoważnienia administratora lub podmiotu przetwarzającego i mająca dostęp do danych osobowych przetwarzają je wyłącznie na polecenie administratora danych, chyba że wymaga tego prawo Unii lub prawo państwa członkowskiego."

Cookiesy, zgody i RODO oraz nowy projekt raportu od EDPB

Cookiesy, zgody i RODO oraz nowy projekt raportu od EDPB

Kwestie regulacji dotyczących plików cookie oraz zgody na ich używanie od dawna intrygują osoby zajmujące się ochroną danych osobowych. Jak obecnie wygląda ta kwestia? Jakie akty prawne dotyczą zasady używania ciasteczek w Polsce oraz jak ewoluuje ten temat w Unii Europejskiej?

Popularne

Chcesz skorzystać z naszej oferty?Nie czekaj!

Wspieramy przedsiębiorców

Skontaktuj się osobiście z doradcą LexDigital - odpowiemy na nurtujące Cię pytania, zaplanujemy spotkanie, przygotujemy spersonalizowaną ofertę dopasowaną do potrzeb Twojej organizacji.

Zapraszamy do kontaktu

Informujemy, że Państwa zgoda może zostać cofnięta w dowolnym momencie przez wysłanie wiadomości e-mail na adres naszego Inspektora Ochrony Danych iod@lexdigital.pl spod adresu, którego zgoda dotyczy.

Administratorem Państwa danych osobowych jest LexDigital Sp. z o.o. z siedzibą w Poznaniu (60-363), przy ul. Grodziska 8. Wszystkie pytania i wątpliwości prosimy kierować do naszego Inspektora Ochrony Danych na adres iod@lexdigital.pl

Państwa dane przetwarzane są w celu odpowiedzi na wiadomość wysłaną za pomocą formularza kontaktowego, podjęcia na Państwa wniosek określonych działań przed zawarciem umowy lub wysłania Państwu treści marketingowych. Przysługuje Państwu prawo dostępu do danych, ich sprostowania, usunięcia, ograniczenia przetwarzania, wniesienia sprzeciwu i cofnięcia w każdym momencie udzielonej zgody bez wpływu na zgodność z prawem przetwarzania danych, którego dokonano na podstawie zgody przed jej wycofaniem. Masz również prawo wniesienia skargi do Prezesa Urzędu Ochrony Danych Osobowych.

Więcej informacji na temat przetwarzania danych osobowych znajdziecie Państwo w naszej Polityce prywatności.

komputronik biofarm lpp apart wykop volkswagen tpay netguru novol pearson impel phyto-pharm veolia cuf-podatki talex gethero tesgas uep fibaro akademia-kozminskiego bilety24 bims cichy-zasada currency >
<img src= kir ministerstwo cyfryzacji pierre-fabre polomarket porr przelewy24 swiss-krono vox wielkopolska-izba-lekarska wsb wtk