Morele.net, popularny sklep internetowy, został ponownie ukarany przez Urząd Ochrony Danych Osobowych. Zgodnie z decyzją organu, spółka ma zapłacić rekordową karę 3,8 mln złotych za wyciek danych klientów, do którego doszło w 2018 roku.
Przeczytaj również: Ogromny spadek przychodów polskiej marki. Ponadto ogłoszono jej wyjście z GPW
To już druga próba ukarania spółki Morele.net. Urząd Ochrony Danych Osobowych po raz kolejny przeanalizował kwestię naruszenia przepisów RODO przez sklep Morele.net, nakładając na sprzedawcę 3,8 mln złotych kary. Sprawa dotyczy wycieku danych 2,2 mln klientów sklepu, do którego doszło w 2018 roku.
Do ponownego rozpatrzenia sprawy doszło po tym, jak Naczelny Sąd Administracyjny (NSA) zdecydował o uchyleniu wcześniejszej decyzji prezesa UOKiK, która nakładającej karę na Morele.net. – NSA w prawomocnym wyroku wytknął urzędowi, że ten źle przeprowadził postępowanie dowodowe – powiedział cytowany przez „Rzeczpospolitą” adwokat dr Paweł Litwiński.
Sprawa ponownie trafiła do UODO, który wskazał na brak zastosowania wystarczających zabezpieczeń technicznych, biorąc pod uwagę ryzyko naruszenia ochrony danych. Podkreślono również brak odpowiednich procedur reagowania na nietypowe zachowania, jak zwiększony ruch sieciowy.
Z ustaleń kontrolnych wynika, że administrator m.in. nie szyfrował części danych, nie dysponował wystarczającym uwierzytelnianiem, nie przeprowadził analizy ryzyka, która uwzględniałaby np. zagrożenia związane z możliwością logowania się do systemu z sieci publicznej. W efekcie dwukrotnie doszło do nieautoryzowanego dostępu z zewnątrz, na skutek którego osoba niepowołana weszła w posiadanie danych klientów – brzmi uzasadnienie UODO.
Morele.net wydało oświadczenie
Morele.net potwierdziło, że otrzymało decyzje UODO. Poinformowano jednak, że firma nie zgadza się z wyrokiem. Poniżej pełne oświadczenie wydane przez spółkę:
[Spółka] Nie zgadza się jednak z decyzją Prezesa UODO i zamierza zaskarżyć ją do Wojewódzkiego Sądu Administracyjnego. Prezes UODO nie naprawił kluczowej nieprawidłowości wskazanej przez NSA w wyroku uchylającym pierwotną decyzję urzędu i nie powołał biegłego, który przygotowałby obiektywną ocenę prawidłowości zabezpieczeń danych osobowych stosowanych w 2018 r. przez Spółkę. Powołanie takiego biegłego w świetle oceny sytuacji sprzed ponad 5 lat jest konieczne dla niezależności i bezstronności oceny postępowania Spółki.
Zabezpieczenia stosowane przez Spółkę były starannie dobrane, zgodne z praktyką rynkową i spełniały wymogi RODO.
W ocenie Spółki Prezes UODO nie był też uprawniony do nałożenia kary wyższej niż kara nałożona w decyzji z 2019 r. W tym okresie nie zmieniły się okoliczności związane ze sprawą, w tym nie pojawiły się żadne okoliczności obciążające. Wręcz przeciwne, część zarzutów wobec Spółki zostało uchylonych wyrokiem NSA. Zastosowany przez Prezesa UODO sposób obliczenia kary był jednocześnie dowolny i nieuzasadniony przepisami RODO.
Zdjęcie główne: Pexels
Przeczytaj również: RPP nie zaskoczyła decyzją o wysokości stóp procentowych
