Aktualny

Sprawa Morele.net – NSA uchyla karę UODO!

Dodano: 31 marca 2023
51485e9e25d45d81d1ef66480cd0c794c0755496-xlarge (2)

Wraca głośna sprawa Morele.net. Naczelny Sąd Administracyjny uchylił decyzję Prezesa UODO nakładającą karę na tę firmę. Co więcej zasądził od organu nadzorczego na rzecz administratora kwotę ponad 65 tys. zł tytułem zwrotu kosztów postępowania. Znamy już motywy rozstrzygnięcia.

Wyciek danych po ataku hakerskim

Przypomnijmy, że spółka Morele.net została ukarana za niewystarczające zastosowanie środków technicznych i organizacyjnych do zabezpieczenia danych swych klientów, w efekcie dane osobowe jej klientów uzyskały trafiły do osób nieuprawnionych. Incydent objął dane osobowe znajdujące się we wnioskach o kredyt ratalny m.in. dane identyfikacyjne, PESEL, ale też informacje o źródłach dochodu.

Wyciek był konsekwencją ataku hakerskiego. W ocenie Prezesa UODO zabezpieczenia stosowane przez spółkę nie były adekwatne do poziomu ryzyka wiążącego się z przetwarzaniem danych osobowych. W szczególności organ nadzorczy wskazał, że zabrakło rozwiązania w postaci podwójnego uwierzytelniania. Zarzucono też, że proces monitorowania nietypowych zachowań w sieci był nieskuteczny. Kara była bardzo wysoka – wyniosła aż 2,8 mln zł.

Wojewódzki Sąd Administracyjny podtrzymał decyzję UODO

Od tego decyzji została oczywiście złożona skarga. Tę jednak oddalił Wojewódzki Sąd Administracyjny w Warszawie. Sąd podzielił stanowisko Prezesa UODO, wskazując przede wszystkim, że stosowane przez spółkę środki bezpieczeństwa były niewystarczające.

NSA uchyla karę UODO

Jak można się było spodziewać, sprawa trafiła do Naczelnego Sądu Administracyjnego. Ten uchylił wcześniejszą decyzję Prezesa UODO i zasądził na rzecz Morele.net koszty postępowania w kwocie 65 075 zł. Jak uzasadniono rozstrzygnięcie? Uwzględniony został zarzut spółki o charakterze procesowym.

Skuteczność środków bezpieczeństwa powinien zbadać biegły

Prezes UODO w toku postępowania oddalił wniosek spółki o przeprowadzenie dowodu z opinii biegłego, na okoliczność oceny czy:

  • środki techniczne i organizacyjne stosowane przez spółkę odpowiadały standardom środków bezpieczeństwa w działalności gospodarczej przedsiębiorców w obszarze e-commerce o skali i charakterze podobnym do skali i charakteru działalności Morele.net w 2018 r.,

  • środki te były adekwatne uwzględniając stan wiedzy technicznej, koszt wdrażania oraz charakter, zakres, kontekst i cele przetwarzania oraz ryzyko naruszenia praw lub wolności osób fizycznych o różnym prawdopodobieństwie wystąpienia i wadze zagrożenia.

W ocenie NSA wniosek ten powinien być uwzględniony. Kara UODO jest bowiem wymierzana nie tyle za nielegalne działanie osoby trzeciej (np. cyberatak), ale za dopuszczenie do tego dostępu w związku z zabezpieczeniami nieadekwatnymi do poziomu ryzyka.

Uwaga

Jak wskazał sąd, skuteczny środek bezpieczeństwa to taki, środek, który powinien być w momencie i okolicznościach incydentu obiektywnie wymagany od danego administratora lub procesora.

Zbyt lakoniczne uzasadnienie decyzji

W uzasadnieniu wyroku wyrażono wątpliwość, czy organ nadzorczy miał własną specjalistyczną wiedzę, która pozwalałaby na ocenę czy zastosowane przez Morele.net środki bezpieczeństwa w działalności o tak dużej skali były odpowiednie. W każdym razie Prezes UODO nie uprawdopodobnił, że dysponował taką wiedzą w momencie wydania decyzji. Uzasadnienie decyzji w tym zakresie uznano za zbyt lakoniczne. Właśnie dlatego zasadne było uwzględnienie wniosku o dopuszczenie opinii biegłego, który oceniłby adekwatność środków bezpieczeństwa.

  • wyrok Naczelnego Sądu Administracyjnego z 9 lutego 2033 r. III OSK 3945/21

WIDEOSZKOLENIA »

Bezpieczne przechowywanie danych w chmurze

Bezpieczne przechowywanie danych w chmurze

Przechowywanie danych w chmurze polega na zapisywaniu i zarządzaniu danymi na zdalnych serwerach, które są dostępne przez internet. Zamiast przechowywać pliki na lokalnych dyskach twardych lub serwerach, użytkownicy mogą korzystać z infrastruktury dostarczanej przez dostawców usług chmurowych. Jest to wygodne i efektywne rozwiązanie, które zapewnia dostęp do danych z dowolnego miejsca, elastyczność, skalowalność oraz wysoki poziom bezpieczeństwa i niezawodności.

14.06.2024 czytaj więcej »

ZMIANY W PRAWIE »

Nasi partnerzy i zdobyte nagrody » 


Nagrody i wyróżnienia» 

Poznaj kluczowe zagadnienia, z jakimi możesz się zetknąć podczas codziennej pracy IODO.
E-kurs dla początkującego Inspektora Danych Osobowych. Rzetelna wiedza i praktyczne ćwiczenia.

24-h bezpłatny test portalu!
Zyskaj pełen dostęp do bazy porad i aktualności!

SPRAWDŹ »

x