O nałożeniu kary w wysokości 2 830 410 zł poinformował w czwartek Mirosław Sanek, prezes UODO. – To jedno z największych i najpoważniejszych jak dotąd, naruszeń w Polsce. Klienci, których dane dotyczą w dalszym ciągu mogą być narażeni na dalsze wykorzystywanie ich danych – mówił na konferencji prasowej. Zarzucał, że firma nie zastosowała systemu podwójnego uwierzytelniania dostępu do danych.
„Zastosowane przez spółkę środki organizacyjne i techniczne ochrony danych osobowych nie były odpowiednie do istniejącego ryzyka związanego z ich przetwarzaniem, przez co dane około 2 mln 200 tys. osób dostały się w niepowołane ręce. Zabrakło odpowiednich procedur reagowania na wypadek pojawiania się nietypowego ruchu w sieci” – czytamy w informacji Prezesa Urzędu zamieszczonej na stronie Urzędu.
Większość danych, które wyciekły to takie dane jak: imię i nazwisko, numer telefonu, e-mail, adres doręczeń. Jednak w przypadku około 35 tys. osób wyciekły dane z ich wniosków ratalnych, a wraz z nimi numer PESEL, seria i numer dokumentu tożsamości, wykształcenie, adres zameldowania, adres do korespondencji, źródło dochodu, wysokość dochodu netto, koszty utrzymania gospodarstwa domowego, stan cywilny oraz wysokość zobowiązań kredytowych czy alimentacyjnych.
Kara ustalona przez UODO, mimo że najwyższa do tej pory, została jednak zmniejszona przez okoliczności łagodzące, takie jak „podjęcie przez spółkę działań zmierzających do usunięcia naruszenia, dobrą współpracę z administratorem oraz to, że wcześniej spółka nie dopuściła się naruszenia przepisów o ochronie danych osobowych”.
Odpowiedź Morele.net
Grupa Morele już zapowiada, ze odwoła się od decyzji UODO do sądu. „Nie zgadzamy się z oceną zebranego materiału dowodowego, dlatego chcemy, aby sprawa została ponownie rozpatrzona z udziałem niezależnych biegłych” – powiedział „Pulsowi Biznesu” Radosław Stasiak, wiceprezes Morele.net ds. IT. – Nie ma nakazu natychmiastowej zapłaty kary wskazanej przez urząd, stąd też ta sytuacja nie ma wpływu na bieżące działanie grupy – dodał.
Karę skomentował też dr Maciej Kawecki, związany z kancelarią prawną Maruta Wachta reprezentującą w tej sprawie Grupę Morele w nagraniu zamieszczonym w portalu LinkedIn.
– Morele.net padła ofiarą ataku hakerskiego. Nikt dotychczas nie był w stanie ustalić, jak do niego doszło. Ani Morele, ani zewnętrzni specjaliści najwyższej klasy, ani nawet policja. Ataki hackerskie, zdarzają się pomimo najsilniejszych zabezpieczeń – podkreślał Kawecki. – Spółka inwestowała rocznie dziesiątki milionów złotych w systemy IT i bezpieczeństwo, zlecając audyty bezpieczeństwa i testy penetracyjne. O incydencie poinformowana została policja, klienci i #UODO. Spółka współpracowała z organami ścigania w trakcie „negocjacji” z szantażystami. Działania zostały odkryte przez szantażystów, którzy w ramach „zemsty” podjęli szereg innych czynności – mówił.
Również Marcin Serafin, partner w kancelarii Maruta Wachta, nie zgadza się z argumentami urzędu. „UODO twierdzi, że powinno być wdrożone dwustopniowe uwierzytelnianie, ale nie przeprowadził analizy ryzyka, która by to wykazała” – tłumaczy Serafin cytowany przez portal prawo.pl. – Urząd odmówił też przeprowadzenia opinii biegłego, ani nie ustalił dokładnie, ile danych wyciekło – podkreśla.
Rekordowa kara
To trzecia i do tej pory najwyższa kara za naruszenie RODO nałożona przez UODO. Jak informuje portal prawo.pl. do tej pory prawie milion złotych kary otrzymała spółka Bisnode za niedopełnienie obowiązku informacyjnego wobec osób prowadzących jednoosobową działalność gospodarczą, a prawie 56 tys. zł kary dostał związek sportowy za ujawnienie numeru PESEL, imienia, nazwiska i adresu zamieszkania 585 sędziów.
Czytaj też:
GIS ostrzega uczniów przed e-papierosami. Używa ich aż 20 proc. młodzieży