We wrześniu 2019 r. prezes Urzędu Ochrony Danych Osobowych nałożył na spółkę Morele.net najwyższą z dotychczasowych kar - 2,830 mln zł. Była to konsekwencja wykradzenia rok wcześniej przez hakera bazy danych. Klienci sklepów internetowych należących do grupy zaczęli otrzymywać SMS-y wskazujące na konieczność dopłaty jednego złotego. Link z wiadomości prowadził do podstawionej bramki płatności elektronicznej, za pośrednictwem której oszust mógł zdobyć login i hasło do konta w banku i w ten sposób uzyskać dostęp do środków znajdujących się na rachunku.

Reklama

Spółka zaskarżyła decyzję prezesa UODO do sądu. Skarga została w czwartek oddalona. Sąd uznał, że Morele.net nie zastosowało wystarczających środków technicznych i organizacyjnych do zabezpieczenia danych swych klientów. Morele.net, mając na uwadze, że przetwarza dane osobowe 2,2 mln osób, a także zakres tych danych i kontekst powinno skutecznie oceniać związane z tym ryzyko i zagrożenia – podkreśliła w ustnych motywach wyroku sędzia sprawozdawca Joanna Kube. Jej zdaniem UODO udowodnił, że kradzież danych nastąpiła przez nieuprawniony dostęp do panelu pracownika i słusznie uznał, że jednoetapowa autoryzacja (poprzez login i hasło) była niewystarczająca.

Pełnomocnicy spółki kładli główny nacisk na zarzuty proceduralne. Postępowanie było prowadzone według nieakceptowalnych standardów. Cały czas, tak naprawdę nie wiemy, za co nałożona kara. W decyzji mówi się o tym, że jedynie częściowo spełniliśmy wymogi wobec środki bezpieczeństwa, ale nie wiadomo, co to znaczy - argumentował podczas rozprawy Sławomir Kowalski, partner z kancelarii Maruta Wachta reprezentującej Grupę Morele.net. Przez całe postępowanie postępowanie nie wiedzieliśmy do jakich zarzutów mamy się odnosić. Pierwsza ich konkretyzacja nastąpiła dopiero w uzasadnieniu decyzji i sprowadzała się do stwierdzenia, że powinniśmy zastosować dwuetapowe uwierzytelnianie. Dlaczego? Tego już nie wiadomo. Pozbawiono nas prawa do obrony - przemawiał.

Sąd nie zgodził się z tą argumentacją. Jego zdaniem w sentencji decyzji prezesa UODO wskazano jakie przepisy RODO zostały naruszone, a w jej uzasadnieniu w sposób wystarczający rozwinięto zarzuty.

Reklama

CZYTAJ WIĘCEJ W PONIEDZIAŁKOWYM WYDANIU DZIENNIKA GAZETY PRAWNEJ>>>