Decyzja o ukaraniu Morele.net sp. z o.o. jest rezultatem kontroli przeprowadzonej w spółce po zgłoszeniu przez nią do Prezesa UODO naruszeń danych osobowych. W listopadzie 2018 roku w wyniku ataku phishingowego nieuprawniona osoba uzyskała dostęp do danych osobowych ponad 2 mln klientów sklepów internetowych spółki, do których wysłała następnie SMS nakłaniające do wykonania przelewu na kwotę 1 zł w celu finalizacji zamówienia. Wiadomość przekierowywała do fałszywej bramki płatności, dzięki której osoba ta mogła uzyskać dostęp do danych logowania klientów. W grudniu 2018 roku spółka ponownie zgłosiła wyciek danych, tym razem o szerszym zakresie - obejmującym również informacje z wniosków kredytowych klientów.
Decyzja Prezesa UODO dowodzi, że efektywne nie wdrożenie RODO w organizacji to nie tylko przygotowanie dokumentacji dotyczącej przetwarzania danych osobowych, ale również zapewnienie odpowiedniego poziomu bezpieczeństwa danych. W ocenie organu spółka poważnie naruszyła następujące obowiązki jako administrator danych osobowych:
- naruszenie zasady poufności i integralności (art. 5 ust. 1 lit f RODO)
Mimo, że Morele.net sp. z o.o. wprowadziła zabezpieczenia dostępu do przetwarzanych danych, dokonywała ich okresowego przeglądu, a nawet korzystała z pomocy zewnętrznych audytorów, środki te okazały się niewystarczające. W krótkim odstępie czasu doszło do dwukrotnego wycieku danych, który został wykryty po otrzymaniu sygnałów od klientów sklepów internetowych. Organ doszedł do wniosku, że kontrola dostępu i uwierzytelniania zastosowana do ochrony danych okazała się być jednak nieskuteczna, ponieważ nie dostosowano jej do poziomu ryzyk występujących przy tym takim przetwarzaniu danych. System został zaprojektowany w ten sposób, że nie umożliwił spółce odpowiednio wczesnego wykrycia naruszenia - poprzez identyfikację zwiększonego ruchu w sieci i ustalenie jego źródła. Zawiodła analiza ryzyka, która powinna zostać przeprowadzona przez administratora danych w celu dobrania odpowiednich zabezpieczeń, w tym narzędzi do skutecznego monitorowania.
- naruszenie zasady legalności, rzetelności i rozliczalności (art. 5 ust 1 lit. a i art. 5 ust. 2 RODO)
Podczas kontroli ustalono również, że spółka mimo, że przetwarzała dane osobowe zawarte we wnioskach kredytowych klientów by ułatwić im uzupełnienie kolejnych wniosków poprzez autouzupełnienie formularza, nie była w stanie wykazać, że pozyskała na to ich zgodę. Co więcej nie była w stanie wykazać od kiedy przetwarzała w tym celu dane osobowe i kiedy zostały one usunięte. Morele.net sp. z o.o. nie tylko nie rejestrowała poszczególnych uzyskanych zgód od klientów, w toku postępowania nie przedłożyła również wzorów, które miałaby w tym celu używać. Organ uznał więc, że spółka nie posiadała podstawy prawnej do przetwarzania tych danych, a brak dokumentacji dotyczącej ich przetwarzania , w tym okresu przetwarzania, naruszyło zasadę rozliczalności danych.
Decyzja nakładająca karę administracyjną nie jest ostateczna, a spółka już zapowiedziała, że będzie się od niej odwoływać. W ocenie Morele.net sp. z o.o. środki stosowane przez nią w celu ochrony danych osobowych były adekwatne, mimo że ostatecznie nie okazały się w pełni skuteczne. Obowiązkiem administratora jest bowiem wdrożenie odpowiednich zabezpieczeń, a nie zabezpieczeń bezwzględnie skutecznych.
