Ogromna kara za naruszenie RODO. Wyciekły dane 2 milionów klientów popularnego sklepu
RODO. Prawie 3 mln złotych za niewystarczające zabezpieczenia danych osobowych
RODO, czyli Rozporządzenie o Ochronie Danych Osobowych, nie uchroniło sklepu Morele.net przed wyciekiem danych osobowych klientów. Musi zapłacić aż 2,8 mln złotych kary, nałożonej przez prezesa Urzędu Ochrony Danych Osobowych za niewystarczające zabezpieczenia danych osobowych. Według Urzędu skutkiem uchybień było ryzyko kradzieży danych ponad 2 mln osób.
Wyciekły dane i rachunki ratalne klientów
Brak podwójnego uwierzytelniania klientów, to jeden z głównych zarzutów UODO do Morele.net. Według urzędu niedopatrzenie to mogło skutkować atakiem hakerskim wykonanym metodą „phishingu”, czyli spreparowanej bramki płatności do wyłudzania danych uwierzytelniających. Wiceprezes UODO Mirosław Sanek na konferencji prasowej zwrócił uwagę, że większość skradzionych danych zawierała imię, nazwisko, telefon, e-mail, adres do doręczeń. Wyciekły również dane około 35 tys. osób z ich wniosków ratalnych. Zakres tych danych był szerszy – obejmował numery PESEL, dokumentów tożsamości, wykształcenie, adres zameldowania, źródło dochodu, wysokość zobowiązań kredytowych czy alimentacyjnych.
- Kara jest nie za to, że ktoś się włamał, ale za niewystarczające środki zabezpieczające. Nie karzemy podwójnie [...] Decyzja bazuje na złamaniu zasady poufności danych i nieadekwatnego zabezpieczenia danych - tłumaczył Mirosław Sanek. Podkreślał też, że decyzje urzędy zawsze podejmowane są na podstawie analizy konkretnego, jednostkowego przypadku. Po najcięższą karę, czyli grzywnę pieniężną, prezes UODO sięga, gdy uzna, że inne środki, np. upomnienie, nie dają skutków. - Zastosowano miarkowanie kary, firma nie doprowadziła do naruszeń w sposób celowy, nie możemy jej przypisać umyślności, nie możemy zarzucić unikania współpracy z organem - mówił Sanek.
Radosław Stasiak, wiceprezes ds. IT w Morele.net zapowiadał, że w rozmowie z “Pulsem Biznesu”, że firma będzie się odwoływać do Sądu Administracyjnego. - Nie zgadzamy się z oceną zebranego materiału dowodowego, dlatego chcemy, aby sprawa została ponownie rozpatrzona z udziałem niezależnych biegłych — mówił.
Pierwsza kara RODO
Pierwsza kara za naruszenie RODO wynosiła prawie milion złotych. Została nałożona w marcu 2019 roku na na prywatną spółkę za niespełnienie obowiązku informacyjnego wynikającego z rozporządzenia o ochronie danych. Incydent dotyczył danych ponad 6 milionów osób fizycznych. Nazwa ukaranej firmy nie została podana.