Nie zgadzam się z argumentami UODO. Urząd twierdzi, że sklep internetowy powinien mieć wdrożone dwustopniowe uwierzytelnianie, ale nie przeprowadził analizy ryzyka, która by to wykazała. Nie dopuścił też biegłego, który by ocenił standardy stosowane przez spółkę. Dlatego odwołamy się od decyzji do sądu – mówi Marcin Serafin, partner w kancelarii Maruta Wachta, obsługującej spółkę Morele.net.
Marcin Serafin: Wysokość kary jest nieproporcjonalna do naruszenia. Spółka padła ofiarą ataku hakerskiego, od razu po jego zidentyfikowaniu zgłosiła to na policję oraz do UODO, a następnie współpracowała z urzędem w trakcie postępowania. Dlatego nie rozumiem, skąd tak wysoka kara za wykradzenie danych.
W decyzji nie padają konkretne liczby określające, do ilu i jakich danych cyberprzestępcy uzyskali dostęp. UODO opiera się na liczbie wszystkich klientów sklepu, w tym wnioskujących o sprzedaż w systemie ratalnym. Proszę pamiętać, że do chwili obecnej nikt nie ustalił, jak doszło do ataku. Prowadząc politykę w zakresie ochrony danych osobowych liczyłbym zaś, że organ dużo bardziej rozważnie będzie stosował argumenty siły i siłę argumentów. Kolejny raz wydaje się, że jednak siła poszła w niewłaściwą stronę i ofiara została ukarana. W dobie myślenia o tym jak wspierać rodzime startupy, żeby osiągnęły sukces, być może warto pomyśleć też i o tych, które w 2000 r. były małą garażową firmą, a w 2019 roku są istotnym graczem rynkowym.
Nie zgadzam się z argumentami urzędu. UODO twierdzi, że sklep internetowy powinien mieć wdrożone dwustopniowe uwierzytelnianie, ale nie przeprowadził analizy ryzyka, która by to wykazała. Wskazał jedynie wytyczne, m.in. Europejska Agencja ds. Bezpieczeństwa Sieci i Informacji czy Fundacji OWASP, ale nie dokonał oceny, jakie konkretne zabezpieczenia techniczne i organizacyjne powinna zastosować spółka. Co więcej urząd odmówił przeprowadzenia opinii biegłego.
Czytaj również rozmowę z wiceprezesem UODO i poznaj argumenty urzędu >>
Biegły z zakresu bezpieczeństwa systemów informatycznych powinien m.in. ustalić standardy techniczne i organizacyjne środków bezpieczeństwa w obszarze e-commerce o skali i charakterze podobnym do działalności spółki w 2018 r. Ponadto powinien ocenić, czy środki stosowane przez spółkę są odpowiednie uwzględniając stan wiedzy technicznej, koszt wdrażania oraz charakter, zakres, kontekst i cele przetwarzania oraz ryzyko naruszenia praw lub wolności osób fizycznych o różnym prawdopodobieństwie wystąpienia i wadze zagrożenia.
Nie, co widać zresztą w decyzji. Tymczasem zdaniem spółki środki, jakie stosowała, m. in. zabezpieczenia dostępu oraz monitoring dostępu do panelu zarządzającego nie odbiegały od standardów, a w wielu obszarach je przewyższały. Dlatego spółka zamierza skorzystać z dostępnych dróg odwoławczych.
