We wrześniu 2019 r. prezes Urzędu Ochrony Danych Osobowych nałożył na spółkę Morele.net najwyższą z dotychczasowych kar - 2,830 mln zł. Była to konsekwencja wykradzenia rok wcześniej przez hakera bazy danych. Klienci sklepów internetowych należących do grupy zaczęli otrzymywać SMS-y wskazujące na konieczność dopłaty jednego złotego. Link z wiadomości prowadził do podstawionej bramki płatności elektronicznej, za pośrednictwem której oszust mógł zdobyć login i hasło do konta w banku i w ten sposób uzyskać dostęp do środków znajdujących się na rachunku.
Spółka zaskarżyła decyzję prezesa UODO do sądu. Skarga została w czwartek oddalona. Sąd uznał, że Morele.net nie zastosowało wystarczających środków technicznych i organizacyjnych do zabezpieczenia danych swych klientów.
- Morele.net, mając na uwadze, że przetwarza dane osobowe 2,2 mln osób, a także zakres tych danych i kontekst powinno skutecznie oceniać związane z tym ryzyko i zagrożenia – podkreśliła w ustnych motywach wyroku sędzia sprawozdawca Joanna Kube.
Jej zdaniem UODO udowodnił, że kradzież danych nastąpiła przez nieuprawniony dostęp do panelu pracownika i słusznie uznał, że jednoetapowa autoryzacja (poprzez login i hasło) była niewystarczająca.
Pełnomocnicy spółki kładli główny nacisk na zarzuty proceduralne.
- Postępowanie było prowadzone według nieakceptowalnych standardów. Cały czas, tak naprawdę nie wiemy, za co nałożona kara. W decyzji mówi się o tym, że jedynie częściowo spełniliśmy wymogi wobec środki bezpieczeństwa, ale nie wiadomo, co to znaczy – argumentował podczas rozprawy Sławomir Kowalski, partner z kancelarii Maruta Wachta reprezentującej Grupę Morele.net.
- Przez całe postępowanie postępowanie nie wiedzieliśmy do jakich zarzutów mamy się odnosić. Pierwsza ich konkretyzacja nastąpiła dopiero w uzasadnieniu decyzji i sprowadzała się do stwierdzenia, że powinniśmy zastosować dwuetapowe uwierzytelnianie. Dlaczego? Tego już nie wiadomo. Pozbawiono nas prawa do obrony – przemawiał.
Sąd nie zgodził się z tą argumentacją. Jego zdaniem w sentencji decyzji prezesa UODO wskazano jakie przepisy RODO zostały naruszone, a w jej uzasadnieniu w sposób wystarczający rozwinięto zarzuty.
Więcej na ten temat przeczytasz w poniedziałkowym wydaniu Dziennika Gazety Prawnej
