Maciej Kawecki, dziekan Wyższej Szkoły Bankowej w Warszawie, współpracownik kancelarii Kancelaria Maruta Wachta, w czwartek w godzinach porannych napisał na LinkedIn, że decyzją z 10 września prezes Urzędu Ochrony Danych Osobowych nałożył na spółkę Morele.net karę w wysokości 2 830 410 zł (ok. 660 tys. EURO) za to, że padła ofiarą ataku hakerskiego. W efekcie doszło jednak do wycieku danych klientów sklepu. W postępowaniu przed UODO spółkę reprezentowała kancelaria Maruta Wachta. Prezes UODO uznał zaś, że spółka miała niewystarczające zabezpieczenia organizacyjne i techniczne. Wskazał, że powinna mieć podwójne uwierzytelnianie. Według Mirosława Sanka, wiceprezesa UODO, to nie oznacza, że wszystkie sklepy internetowe powinny je mieć. Każda sprawa jest badana indywidualnie.

To już trzecia - najwyższa - kara za naruszenie RODO. Pierwszą w wysokości prawie miliona złotych otrzymała spółka Bisnode za niedopełnienie obowiązku informacyjnego wobec osób prowadzących jednoosobową działalność gospodarczą. Drugą karę - prawie 56 tys. zł - ma zapłacić związek sportowy za ujawnienie numeru PESEL, imienia, nazwiska i adresu zamieszkania 585 sędziów.

Czytaj również: Spółka Koksztys ukarana za telefony do firm, bo dezorganizują pracę >>

Zarzuty UODO: brak podwójnego uwierzytelniania

Prezes UODO uznał, że spółka nie stosując wystarczających środków  technicznych ochrony danych naruszyła m.in. określoną w art. 5 ust. 1 lit f RODO zasadę poufności. Zgodnie z nią dane powinny być przetwarzane w sposób zapewniający odpowiednie bezpieczeństwo, w tym ochronę przed niedozwolonym lub niezgodnym z prawem przetwarzaniem oraz przypadkową utratą, zniszczeniem lub uszkodzeniem, za pomocą odpowiednich środków technicznych lub organizacyjnych. 

Nieadekwatne zabezpieczenia spowodowały zaś, że doszło do nieuprawnionego dostępu do danych klientów. Prezes UODO uznał, że miało miejsce zastosowanie nieskutecznego środka uwierzytelniania dostępu do danych. - Tymczasem zgodnie z wytycznymi Agencja Unii Europejskiej ds. Bezpieczeństwa Sieci i Informacji wskazane jest stosowanie podwójnego uwierzytelniania - podkreślił Mirosław Sanek. Ponadto zdaniem prezesa UODO do naruszenia doszło także z uwagi na nieskutecznie monitorowanie potencjalnych zagrożeń związanych z nietypowymi zachowaniami w sieci. Spółka nie zorientowała się odpowiednio szybko, że dochodzi do pobierania dużej ilości danych.

Czytaj również: Zarabiają fasadowi inspektorzy, karę zapłaci administrator >>

Morele.net: UODO nie analizował całego systemu zabezpieczeń

Spółka nie zgadza się z tym zarzutem. W swoim stanowisku podkreśla zaś, że stosowane przez nią środki m. in. zabezpieczenia dostępu oraz monitoring dostępu do panelu zarządzającego nie odbiegały od standardów, a w wielu obszarach je przewyższały. Urząd jednak wskazuje na jedno konkretne rozwiązanie, pomijając inne oraz procesy obowiązujące w spółce. Zaś zdaniem spółki poziom bezpieczeństwa systemów informatycznych powinien być analizowany jako całość.

Maciej Gawroński, radca prawny i partner w kancelarii Gawroński & Partners, zauważa, że nie można składać obietnic bez pokrycia. - Z uzasadnienia decyzji wynika, że ukarana spółka twierdziła, że prowadzi monitoring sieci 24/7. Równocześnie nie dostrzegła istotnej anomalii w ruchu sieciowym, która trwała długi czas - co Urząd uznał za dowód, że ciągłego monitoringu sieci nie było. Składanie obietnic bez pokrycia może być naruszeniem zbiorowych interesów konsumentów, nieuczciwą konkurencją oraz ...naruszeniem RODO - ocenia Maciej Gawroński

Jakie dane trafiły do sieci

W efekcie ataku hakerskiego na sklep morele.net do sieci trafiły takie dane jak: imię i nazwisko, numer telefonu, e-mail, adres doręczeń. Ile klientów - tego dokładnie UODO nie ustalił, wskazuje, że spółka informacje o naruszeniu wysłała do 2,2 miliona klientów. Wiadomo jednak, że w przypadku około 35 tys. osób wyciekły dane z ich wniosków ratalnych obejmujące dodatkowo: numer PESEL, serię i numer dokumentu tożsamości, wykształcenie, adres zameldowania, adres do korespondencji, źródło dochodu, wysokość dochodu netto, koszty utrzymania gospodarstwa domowego, stan cywilny, wysokość zobowiązań kredytowych czy alimentacyjnych. .

Czytaj w LEX: Privacy by design czyli projektowanie prywatności >>

Spółka pójdzie do sądu

Marcin Serafin, partner w kancelarii Maruta Wachta, podkreśla jednak, że nie zgadza się z argumentami urzędu. - UODO twierdzi, że powinno być wdrożone dwustopniowe uwierzytelnianie, ale nie przeprowadził analizy ryzyka, która by to wykazała - tłumaczy. - Urząd odmówił też przeprowadzenia opinii biegłego, ani nie ustalił dokładnie, ile danych wyciekło - podkreśla mec. Serafin. Dlatego zapowiada, że spółka odwoła się od decyzji do sądu administracyjnego. Wszczęcie procesu wstrzyma wykonanie decyzji do czasu wydania prawomocnego wyroku przez sąd. W sądzie czeka tez już na rozpoznanie skarga spółki Bisnode.

Czy branża e-commerce ma się bać

Czy po decyzji UODO każdy e-sklep powinien się bać kontroli, bo większość nie ma podwójnego uwierzytelniania - metody, którą banki stosują dosłownie od kilku dni? - Na pewno sklepy powinny przeanalizować, czy stosują adekwatne zabezpieczenia. Nie każdy przecież przetwarza numer PESEL, czy inne dane podawane we wnioskach ratalnych. Warto też, pamiętać, że póki co w planie kontroli UODO nie ma branży e-commerce - mówi Karolina Gałęzowska z kancelarii Kobylańska Lewoszewski Mednis. Spółka Morele.net po ataku wdrożyła dodatkowe środki zabezpieczenia. Wzmocniła dział bezpieczeństwa w IT, wprowadziła dwustopniową weryfikację przy zmianie adresu e-mail i numeru telefonu, zmieniła sposób hashowania, zaczęłą hashować też większe zbiory danych, rozbudowała monitoring systemów wewnętrznych, wdrożyła weryfikację antybotową, a także umożliwiła zakupy bez rejestracji.

Najwyższa kara za atak hakerski

Maciej  Kawecki podkreśla, że jest to najwyższa dotychczasowa kara finansowa w polskim systemie prawnym. - Jestem silnie poruszony okolicznościami nałożenia tak wysokiej kary - podkreśla mec. Kawecki. - Sprzeciwiam się nazywaniu każdego incydentu nieuprawnionego dostępu do treści danych „wyciekiem”. Morele.net padła ofiarą ataku hakerskiego. Nikt dotychczas nie był w stanie ustalić, jak do niego doszło. Ani Morele, ani zewnętrzni specjaliści najwyższej klasy, ani nawet policja. Ataki hackerskie zdarzają się, pomimo najsilniejszych zabezpieczeń. Spółka inwestowała rocznie dziesiątki milionów złotych w systemy IT i bezpieczeństwo, zlecając audyty bezpieczeństwa i testy penetracyjne. O incydencie poinformowana została policja, klienci i UODO. Spółka współpracowała z organami ścigania w trakcie „negocjacji” z szantażystami. Działania zostały odkryte przez szantażystów, którzy w ramach „zemsty” podjęli szereg innych czynności - podkreśla Maciej Kawecki. Mirosław Sanek podkreśla jednak,  że przy ustalaniu wysokości kary wzięto okoliczności łagodzące, jak np.: podjęcie przez spółkę działań zmierzających do usunięcia naruszenia, dobrą współpracę z administratorem oraz to, że wcześniej spółka nie dopuściła się naruszenia przepisów o ochronie danych osobowych. Z kolei Maciej Gawroński, nie ma wątpliwości, że wysokość kary świadczy o tym, że UODO poważnie traktuje ochronę danych. -  Trzeba skończyć z marzeniami o tym, że RODO nie zaboli, że to tylko dokumenty. Trzeba przeprowadzać analizy ryzyka oraz stosować odpowiednie środki ochrony danych - podkreśla Maciej Gawroński.

Czytaj w LEX: Przeprowadzenie oceny skutków dla ochrony danych w sektorze publicznym i prywatnym >>

Ochrona danych osobowych. Przewodnik po ustawie i RODO ze wzorami ebook

Maciej Gawroński

Sprawdź  

Jak dane wyciekły z Morele.net

W połowie grudnia sklep morele.net rozesłał takiego maila: Doszło do nieuprawnionego dostępu do danych osobowych naszych klientów: adresu e-mail, numeru telefonu, imienia i nazwiska (jeśli zostało podane) oraz hasła w postaci zaszyfrowanego ciągu znaków (hash). Istnieje ryzyko, że dotyczy to również twoich danych. Dostęp został wykryty i zablokowany. Nieuprawniony dostęp nie dotyczył informacji o kartach płatniczych, loginów do banków czy informacji podawanych we wnioskach ratalnych. Grupa Morele nie gromadzi tych danych.  Potem okazało się, że włamywacz – co podał portal  Niebezpiecznik.pl –  uzyskał też dostęp do danych z dowodów osobistych.  Po tej informacji sklep potwierdził, że wyciek mógł dotyczyć części danych podawanych w niektórych wnioskach ratalnych, w przypadku zaznaczenia opcji “zgadzam się na zapisanie w Morele.net moich danych z formularza ratalnego na poczet przyszłych wniosków kredytowych”. Z decyzji prezesa UODO wynika jednak, że klienci już w listopadzie poinformowali sklep o tym, że dostają smsy informujące o konieczności dokonania dodatkowej opłaty w wysokości 1 zł, i już w listopadzie spółka stwierdziła naruszenie ochrony danych. Tyle, że urząd wykreślił z decyzji informację, którego dokładnie listopada, czy np. 15 czy 30.