Urząd Ochrony Danych Osobowych nałożył 3,8 mln zł kary na sklep internetowy Morele.net, który pod koniec 2018 r. dopuścił do wycieku danych prawie 2,2 mln osób. To już druga próba ukarania spółki.

Po tym, jak Naczelny Sąd Administracyjny w 2023 r. uchylił decyzję prezesa UODO wobec Morele.net, urząd ponownie przeprowadził postępowanie i podniósł karę do 3,8 mln zł.

Postępowanie miało wykazać, że do naruszenia ochrony danych osobowych doszło przez brak zastosowania przez Morele.net odpowiednich zabezpieczeń a to doprowadziło  do wycieku danych osobowych 2,2 mln osób

"Z ustaleń kontrolnych wynika, że administrator m.in. nie szyfrował części danych, nie dysponował wystarczającym uwierzytelnianiem, nie przeprowadził analizy ryzyka, która uwzględniałaby np. zagrożenia związane z możliwością logowania się do systemu z sieci publicznej. W efekcie dwukrotnie doszło do nieautoryzowanego dostępu z zewnątrz, na skutek którego osoba niepowołana weszła w posiadanie danych klientów" - uzasadnia UODO.

Według urzędu zabrakło też rozwiązań technicznych i administracyjnych pozwalających monitorować ruch w sieci i reagować w przypadku wykrycia nieprawidłowych działań. Potwierdzają to ustalenia, z których wnika, że spółka nie miała pewności czy i jakie dane zostały wykradzione z jej zasobów. 

Szereg rozwiązań w tym zakresie administrator wdrożył dopiero po wycieku danych. W ocenie Prezesa UODO, gdyby dysponował nimi wcześniej, byłby w stanie wykryć próby nieautoryzowanego dostępu i podjąć działania uniemożliwiające kradzież danych.