fbpx
urząd ochrony danych osobowych logo

UODO: 3 mln złotych kary dla Morele.net za wyciek danych

Sprawa wycieku danych z Morele dotarła do finału – Urząd Ochrony Danych Osobowych był bezlitosny.

2 miliony 830 tysięcy złotych – tyle Morele.net musi zapłacić za swoje zaniedbania w ochronie danych osobowych. Jest to rekordowa kara urzędu i informacja dla innych przedsiębiorców: UODO długo zbierało się do działania, ale w końcu wzięło się za robotę i lekko nie będzie.

Oficjalna informacja o decyzji zawisła na stronie uodo.gov.pl kilka dni temu. Możemy w niej przeczytać:

Zastosowane przez spółkę środki organizacyjne i techniczne ochrony danych osobowych nie były odpowiednie do istniejącego ryzyka związanego z ich przetwarzaniem, przez co dane około 2 mln 200 tys. osób dostały się w niepowołane ręce. Zabrakło odpowiednich procedur reagowania na wypadek pojawiania się nietypowego ruchu w sieci – uznał Prezes UODO.

Nakładając karę, organ nadzorczy stwierdził, że naruszenie, do jakiego doszło w tej sprawie, miało znaczną wagę i poważny charakter oraz dotyczyło dużej skali osób. W swojej decyzji organ nadzoru wskazał również, że w wyniku naruszenia powstało wysokie ryzyko negatywnych skutków dla osób, których dane dostały się w niepowołane ręce, jak np. tzw. kradzież tożsamości.

W większości były to takie dane jak: imię i nazwisko, numer telefonu, e-mail, adres doręczeń. Jednak w przypadku około 35 tys. osób wyciekły dane z ich wniosków ratalnych. A zakres danych obejmował dodatkowo numer PESEL, serię i numer dokumentu tożsamości, wykształcenie, adres zameldowania, adres do korespondencji, źródło dochodu, wysokość dochodu netto, koszty utrzymania gospodarstwa domowego, stan cywilny, wysokość zobowiązań kredytowych czy alimentacyjnych.

Jak widać, zakres informacji jaki wypłynął ze sklepu jest bardzo szeroki i może zagrażać bardzo dużej liczbie osób. Chociaż wydaje nam się, że w sklepach internetowych przetwarzamy stosunkowo niewiele danych i nie są to dane wrażliwe, to przypadek Morele pokazuje, że prawda bywa gorzka i czasami trzeba się z nią zderzyć.

O całej sprawie pisaliśmy już w grudniu 2018 roku. Informacja o włamaniu spłynęła do klientów najprawdopodobniej aż miesiąc po fakcie.  Po drugie, Niebiezpiecznik zwrócił uwagę, że pisanie o zablokowaniu wycieku stwarza złudne poczucie bezpieczeństwa. Sęk w tym, że dane wypłynęły w świat i nie ma już czego blokować. O jakich danych osobowych mowa? Co więcej, ówczesna analiza Niebezpiecznika prowadziła do nienajlepszych wniosków. Treść przesłanego przez Morele.net komunikatu wskazywała, że sklep nie wiedział od jak dawna ktoś wykrada dane jego klientów.

 

Więcej informacji:

https://uodo.gov.pl/pl/138/1189

Zostaw odpowiedź