Kiedy się już wydawało, że Morele.net może spokojnie odetchnąć po kilkuletniej batalii z UODO okazuje się, że w dość nieoczekiwanej formie temat wraca i niejako rozpoczyna się na nowo.
Na wstępie zaznaczę, iż nie będę chciał tu stawać w obronie Morele.net,- nic podobnego, do wycieku danych klientów doszło w grudniu 2018 roku, tu nikt nie ma żadnych wątpliwości, potwierdził to sam serwis zgodnie z RODO informując publicznie o tym fakcie.
To cię zainteresuje UODO nakłada karę prawie 3 mln zł na Morele.net za ubiegłoroczny wyciek danych2,8 mln zł kary dla Morele.net uchylone. Co kierowało sądem?
Drogi Kliencie, doszło do nieuprawnionego dostępu do danych osobowych naszych Klientów: adresu e-mail, numeru telefonu, imienia i nazwiska (jeśli zostało podane) oraz hasła w postaci zaszyfrowanego ciągu znaków (hash). Istnieje ryzyko, że dotyczy to również Twoich danych. Dostęp został wykryty i zablokowany. Nieuprawniony dostęp nie dotyczył informacji o kartach płatniczych, loginów do banków czy informacji podawanych we wnioskach ratalnych. Grupa Morele nie gromadzi tych danych (dane podawane na naszej stronie są gromadzone w bazach operatora płatności i banku).
Co więcej, realnie ucierpieli na tym klienci serwisu, gdyż masowo zaczęli otrzymywać wiadomości phishingowe na swoje numery telefonów. Jednak winę trzeba udowodnić przed sądem ponad wszelką wątpliwość, a tu coś ewidentnie poszło nie tak ze strony UODO.
Tak więc, podsumowując - 18 grudnia 2018 roku Morele.net informuje o wycieku, we wrześniu 2019 roku UODO w wyniku swojego postępowania administracyjnego nakłada na serwis karę finansową w wysokości 2,8 mln zł, a ten odwołuje się do Wojewódzkiego Sądu Administracyjnego w Warszawie, nie zgadzając się z oceną materiału dowodowego i utrzymując, że sprawa powinna zostać ponownie rozpatrzona z udziałem niezależnych biegłych - to będzie kluczowe dla całej sprawy i jej obecnej kontynuacji.
WSA w 2020 roku podtrzymał decyzję prezesa UODO, a argumentował to tym, iż urząd udowodnił, że kradzież danych nastąpiła przez nieuprawniony dostęp do panelu pracownika, a jednoetapowa autoryzacja (poprzez login i hasło) była niewystarczająca do właściwego zabezpieczenia dostępu do danych klientów.
W takim przypadku, jedyną i jak można by było wówczas sądzić ostatnią i ostateczną instancją był Naczelny Sąd Administracyjny, do którego to Morele.net wniosło skargę kasację. NSA dokładnie rok temu, po dokładnym zbadaniu sprawy NSA uchylił decyzje WSA w lutym 2023 roku.
Czytaj dalej poniżej
Odbyło się to na posiedzeniu niejawnym i nie znaliśmy wówczas dokładnej argumentacji NSA, ale poznaliśmy ją teraz, dzięki UDODO:
NSA nie zakwestionował wszystkich ustaleń Prezesa UODO związanych z tym naruszeniem. Podważył jednak kompetencje organu dotyczące oceny zastosowanych przez administratora środków technicznych i organizacyjnych mających zabezpieczyć dane osobowe. Zdaniem sądu organ powinien uprawdopodobnić posiadanie wiedzy potrzebnej do przeprowadzenia takiej analizy zabezpieczeń. Z uzasadnienia wynikało, że Prezes UODO powinien był powołać biegłego albo wytworzyć wewnętrzny dokument stanowiący wnioski z analizy standardu środków bezpieczeństwa stosowanych przez spółkę, do którego administrator mógłby się odnieść w toku postępowania.
Co zrobił UODO? Ponownie przeprowadził w tym samym trybie postępowanie administracyjne, które potwierdziło poprzednie, tym razem nakładając karę w wysokości 3,8 mln zł (z uwzględnieniem inflacji?). Ponownie jednak, nie powołał biegłego, uznając wewnętrzną analizę za wystarczającą i nie noszącą znamion stronniczości, co zarzucał organowi serwis Morele.net.
Co na to Morele.net? Oto oficjalne oświadczenie:
Prezes UODO nie naprawił kluczowej nieprawidłowości wskazanej przez NSA w wyroku uchylającym pierwotną decyzję urzędu i nie powołał biegłego, który przygotowałby obiektywną ocenę prawidłowości zabezpieczeń danych osobowych stosowanych w 2018 r. przez Spółkę. Powołanie takiego biegłego w świetle oceny sytuacji sprzed ponad 5 lat jest konieczne dla niezależności i bezstronności oceny postępowania Spółki.
Co więcej, serwis Morele.net podnosi też brak zasadności zastosowania wyższej kary, niż ta nałożona w 2019 roku z uwagi na to, że od tego czasu nie pojawiły się nowe okoliczności w tej sprawie, a część ówczesnych zarzutów wobec spółki zostało nawet uchylonych wyrokiem NSA.
Zupełnie nie rozumiem postępowania UODO w tej sprawie. Skoro wina jest tak oczywista, skąd opór w temacie powołania biegłego, który jak mniemam potwierdził by wewnętrzne ustalenia urzędu i było by po sprawie?
Co dalej? Morele.net nie zgadza się rzecz jasna i z tą decyzją UODO, zamierza więc zaskarżyć ją do Wojewódzkiego Sądu Administracyjnego, czyli temat zaczyna się od nowa.
Źródło: UODO/Morele.net.
Stock Image from Depositphotos.
Hej, jesteśmy na Google News - Obserwuj to, co ważne w techu
