Zaskoczyła Pana wysokość kary nałożonej przez prezesa Urzędu Ochrony Danych Osobowych nałożył na spółkę Morele.net, którą Państwa kancelaria obsługuje?
Marcin Serafin: Wysokość kary jest nieproporcjonalna do naruszenia. Spółka padła ofiarą ataku hakerskiego, od razu po jego zidentyfikowaniu zgłosiła to na policję oraz do UODO, a następnie współpracowała z urzędem w trakcie postępowania. Dlatego nie rozumiem, skąd tak wysoka kara za wykradzenie danych.
UODO twierdzi, że doszło do dużego naruszenia, bo chodzi o dane wszystkich klientów – to ponad 2,2 miliona osób, w tym w przypadku 35 tys. klientów chodzi też o dane szczególne obejmujące m.in. numer PESEL.
W decyzji nie padają konkretne liczby określające, do ilu i jakich danych cyberprzestępcy uzyskali dostęp. UODO opiera się na liczbie wszystkich klientów sklepu, w tym wnioskujących o sprzedaż w systemie ratalnym. Proszę pamiętać, że do chwili obecnej nikt nie ustalił, jak doszło do ataku. Prowadząc politykę w zakresie ochrony danych osobowych liczyłbym zaś, że organ dużo bardziej rozważnie będzie stosował argumenty siły i siłę argumentów. Kolejny raz wydaje się, że jednak siła poszła w niewłaściwą stronę i ofiara została ukarana. W dobie myślenia o tym jak wspierać rodzime startupy, żeby osiągnęły sukces, być może warto pomyśleć też i o tych, które w 2000 r. były małą garażową firmą, a w 2019 roku są istotnym graczem rynkowym.
Duża firma powinna się może jednak lepiej przygotować. UODO podkreśla, że utratę danych spowodowały niewystarczające zabezpieczenia organizacyjne i techniczne, w tym brak podwójnego uwierzytelniania i skutecznego monitoringu zagrożeń w sieci.
Nie zgadzam się z argumentami urzędu. UODO twierdzi, że sklep internetowy powinien mieć wdrożone dwustopniowe uwierzytelnianie, ale nie przeprowadził analizy ryzyka, która by to wykazała. Wskazał jedynie wytyczne, m.in. Europejska Agencja ds. Bezpieczeństwa Sieci i Informacji czy Fundacji OWASP, ale nie dokonał oceny, jakie konkretne zabezpieczenia techniczne i organizacyjne powinna zastosować spółka. Co więcej urząd odmówił przeprowadzenia opinii biegłego.
Czytaj również rozmowę z wiceprezesem UODO i poznaj argumenty urzędu >>
Co miałby ustalić biegły?
Biegły z zakresu bezpieczeństwa systemów informatycznych powinien m.in. ustalić standardy techniczne i organizacyjne środków bezpieczeństwa w obszarze e-commerce o skali i charakterze podobnym do działalności spółki w 2018 r. Ponadto powinien ocenić, czy środki stosowane przez spółkę są odpowiednie uwzględniając stan wiedzy technicznej, koszt wdrażania oraz charakter, zakres, kontekst i cele przetwarzania oraz ryzyko naruszenia praw lub wolności osób fizycznych o różnym prawdopodobieństwie wystąpienia i wadze zagrożenia.
UODO nie przeprowadziło takiej oceny?
Nie, co widać zresztą w decyzji. Tymczasem zdaniem spółki środki, jakie stosowała, m. in. zabezpieczenia dostępu oraz monitoring dostępu do panelu zarządzającego nie odbiegały od standardów, a w wielu obszarach je przewyższały. Dlatego spółka zamierza skorzystać z dostępnych dróg odwoławczych.
