REKLAMA

Morele.net przegrało w sądzie. Rekordowa kara za naruszenie RODO utrzymana

Morele.net przegrało w sądzie. Rekordowa kara za naruszenie RODO utrzymana

Wojewódzki Sąd Administracyjny w Warszawie utrzymał w czwartek karę ponad 2,8 mln zł nałożoną na spółkę Morelę.net. Uznał, że niewystarczająco zabezpieczyła ona dostęp do danych klientów i dlatego doszło do wycieku.

REKLAMA

We wrześniu 2019 r. prezes Urzędu Ochrony Danych Osobowych nałożył na spółkę Morele.net najwyższą z dotychczasowych kar – 2,830 mln zł. Była to konsekwencja wykradzenia rok wcześniej przez hakera bazy danych. Klienci sklepów internetowych należących do grupy zaczęli otrzymywać SMS-y wskazujące na konieczność dopłaty jednego złotego. Link z wiadomości prowadził do podstawionej bramki płatności elektronicznej, za pośrednictwem której oszust mógł zdobyć login i hasło do konta w banku i w ten sposób uzyskać dostęp do środków znajdujących się na rachunku.

Spółka zaskarżyła decyzję prezesa UODO do sądu. Skarga została w czwartek oddalona. Sąd uznał, że Morele.net nie zastosowało wystarczających środków technicznych i organizacyjnych do zabezpieczenia danych swych klientów. Morele.net, mając na uwadze, że przetwarza dane osobowe 2,2 mln osób, a także zakres tych danych i kontekst powinno skutecznie oceniać związane z tym ryzyko i zagrożenia – podkreśliła w ustnych motywach wyroku sędzia sprawozdawca Joanna Kube. Jej zdaniem UODO udowodnił, że kradzież danych nastąpiła przez nieuprawniony dostęp do panelu pracownika i słusznie uznał, że jednoetapowa autoryzacja (poprzez login i hasło) była niewystarczająca.

Pełnomocnicy spółki kładli główny nacisk na zarzuty proceduralne. Postępowanie było prowadzone według nieakceptowalnych standardów. Cały czas, tak naprawdę nie wiemy, za co nałożona kara. W decyzji mówi się o tym, że jedynie częściowo spełniliśmy wymogi wobec środki bezpieczeństwa, ale nie wiadomo, co to znaczy – argumentował podczas rozprawy Sławomir Kowalski, partner z kancelarii Maruta Wachta reprezentującej Grupę Morele.net. Przez całe postępowanie postępowanie nie wiedzieliśmy do jakich zarzutów mamy się odnosić. Pierwsza ich konkretyzacja nastąpiła dopiero w uzasadnieniu decyzji i sprowadzała się do stwierdzenia, że powinniśmy zastosować dwuetapowe uwierzytelnianie. Dlaczego? Tego już nie wiadomo. Pozbawiono nas prawa do obrony – przemawiał.

Źródło: dziennik.pl, gazetaprawna.pl

REKLAMA

Komentarze