Decyzją z dnia 10 września 2019 roku (nr ZSPR.421.2.2019) Prezes Urzędu Ochrony Danych Osobowych stwierdził naruszenie przez spółkę Morele.net Sp. z o.o. przepisów RODO (w szczególności zasady poufności) i nałożył na spółkę karę pieniężną w wysokości 2.830.410 PLN.

W ocenie PUODO „Zastosowane przez spółkę środki organizacyjne i techniczne ochrony danych osobowych nie były odpowiednie do istniejącego ryzyka związanego z ich przetwarzaniem, przez co dane około 2 mln 200 tys. osób dostały się w niepowołane ręce. Zabrakło odpowiednich procedur reagowania na wypadek pojawiania się nietypowego ruchu w sieci.”

PUODO uznał, że spółka nie stosowała wystarczających środków technicznych ochrony danych (tj. zastosowała nieskuteczny środek uwierzytelniający dostępu do danych), czym naruszyła bezpieczeństwo danych osobowych swoich klientów. W wyniku powyższego doszło do nieuprawnionego dostępu do tych danych, a następnie do ich nieuprawnionego użycia. Do naruszenia bezpieczeństwa danych mogło dojść także z uwagi na nieskuteczne – w ocenie PUODO - monitorowanie potencjalnych zagrożeń, związanych z nietypowymi zachowaniami w sieci.

Organ – co ciekawe - w uzasadnieniu decyzji odwołał się do dobrych praktyk kierowanych do twórców oprogramowania, opracowanych przez Fundację OWASP, a także do wytycznych NIST800-63B, wskazując, że rekomendowanym środkiem zapobiegawczym, minimalizującym ryzyko przełamania zabezpieczeń, jest wieloetapowe uwierzytelnianie. 

W ocenie PUODO spółka nieskutecznie monitorowała zagrożenia i nie dokonała stosownej analizy ryzyka, co skutkowało brakiem minimalizacji ryzyka przetwarzania danych.

Spółka w toku postępowania przed UODO wykazywała, że stała się ofiarą ataku hakerskiego, któremu – pomimo stosowanych adekwatnych zabezpieczeń – nie była w stanie zapobiec. Spółka kwestionuje stanowisko UODO o niestosowaniu wystarczających zabezpieczeń, braku ich monitorowania czy braku przeprowadzania bieżących analiz ryzyka.

Decyzja UODO budzi wiele kontrowersji i pytań (tym bardziej, że nie znamy całości stanu faktycznego i zgromadzonego w sprawie materiału dowodowego). Z jednej strony trudno nie zgodzić się ze stanowiskiem UODO, że stosowane przez spółkę zabezpieczenia okazały się nieskuteczne (skoro zostały przełamane, a ponadto upłynęło sporo czasu pomiędzy pierwszymi sygnałami o nieuprawnionym dostępie a oficjalnym komunikatem spółki w tej sprawie), z drugiej strony – rodzi się pytanie gdzie jest granica adekwatności i odpowiedniości stosowanych zabezpieczeń? Czy powyższą decyzję należy odczytywać jako wyraźny sygnał dla przedsiębiorców co do konieczności zweryfikowania systemu bezpieczeństwa danych osobowych pod kątem wytycznych wskazanych w uzasadnieniu decyzji? Duży niedosyt musi budzić fakt, że w sprawie nie został powołany biegły z zakresu zabezpieczeń IT. Opinia eksperta wydaje się kluczowa dla oceny zabezpieczeń technicznych.

Decyzja w sprawie Morele.net oddaje – wbrew pozorom istotę i ducha RODO -  zwraca bowiem uwagę jak ważne są: prawidłowa ocena ryzyka dla praw i wolności, kontekstu i skali przetwarzanych danych, dobór odpowiednich zabezpieczeń, a następnie ciągłe, bieżące monitorowanie stosowanych zabezpieczeń. Ochrona danych osobowych to proces – i nic tu nie jest „dane raz na zawsze”.

Decyzja UODO wyznacza ważny kierunek dla systemu ochrony danych osobowych w Polsce - pokazuje, że RODO naprawdę ma na celu ochronę praw i wolności osób. Być może represja (kara dla Morele.net) spełni jednocześnie funkcję prewencyjną i skłoni przedsiębiorców do pochylenia się nad tematem i rzeczywistego wdrożenia RODO.

Rekomendując to ostatnie – zachęcamy Państwa do kontaktu. Możemy pomóc, doradzić w zakresie oceny skuteczności wdrożenia RODO, a także przeprowadzić audyt powdrożeniowy.