Po ponownej analizie Prezes UODO ustalił nowy wymiar administracyjnej kary pieniężnej dla Morele.net. Na spółkę nałożona została kara w wysokości 3,8 mln zł. Sprawa, która ciągnie się od 2018 r. dotyczy bardzo dużego wycieku danych klientów spółki. W ocenie organu nadzorczego jest to konsekwencja nieprawidłowości dotyczących środków bezpieczeństwa danych. Poznaj motywy decyzji Prezesa UODO.
W głośnej sprawie Prezes UODO pierwotnie wymierzył spółce Morele.net karę 2,8 mln zł za brak środków technicznych i organizacyjnych adekwatnych do poziomu ryzyka wiążącego się z przetwarzaniem danych. Nieprawidłowości w zabezpieczeniach (a zwłaszcza brak uwierzytelniania dwuskładnikowego) spowodowały wyciek danych ponad 2 mln klientów, m.in. danych identyfikacyjnych, numerów PESEL czy informacji o źródłach dochodu wskutek ataku hakerskiego.
Sprawa trafiła do Naczelnego Sądu Administracyjnego, który uchylił decyzję Prezesa UODO z przyczyn procesowych. Chodziło o nieuwzględnienie wniosku o dopuszczenie dowodu z opinii biegłego. Jako alternatywę NSA wskazał wytworzenie wewnętrznego dokumentu stanowiącego wnioski z analizy standardu środków bezpieczeństwa stosowanych przez spółkę. Prezes UODO nie wykonał żadnej z tych czynności.
Po uchyleniu decyzji Prezes UODO ponownie przeprowadził postępowanie, w trakcie którego wprawdzie nie dopuścił dowodu z opinii biegłego, niemniej jednak opracował analizę zastosowanych przez Morele.net środków bezpieczeństwa danych osobowych. Spółka kwestionowała dokument, podnosząc, że był on stronniczy, ponieważ przygotowywali go pracownicy UODO.
Organ nadzorczy nie zgodził się jednak z tym stanowiskiem. Z przeprowadzonej analizy wywnioskował, że doszło do istotnych uchybień dotyczących środków bezpieczeństwa danych osobowych. Z analizy wynikało, że administrator nie zastosował takich rozwiązań, jak choćby szyfrowanie czy uwierzytelnianie dwuskładnikowe.
Administrator nie przeprowadził też analizy ryzyka uwzględniającej takie zagrożenia, jak możliwość logowania się do systemu z sieci publicznej.
Brakowało również rozwiązań technicznych i administracyjnych, które pozwoliłyby monitorować ruch w sieci i reagować w razie wykrycia nieprawidłowości. Przez to spółka nie miała wiedzy, czy i jakie dane uległy wyciekowi. Środki te zdaniem organu nadzorczego dałyby możliwość wykrycia prób nieautoryzowanego dostępu i zapobiegnięcia wycieku danych.
W ponownie przeprowadzonym postępowaniu administracyjnym Prezes UODO wymierzył wyższą karę ponad 3,8 mln zł. Uzasadnił to wagą, charakterem i zakresem zarzucanych spółce naruszeń. Kara UODO jest zatem wyższą od pierwotnie wymierzonej o ok. 1 mln zł.
Uodo.gov.pl
Przechowywanie danych w chmurze polega na zapisywaniu i zarządzaniu danymi na zdalnych serwerach, które są dostępne przez internet. Zamiast przechowywać pliki na lokalnych dyskach twardych lub serwerach, użytkownicy mogą korzystać z infrastruktury dostarczanej przez dostawców usług chmurowych. Jest to wygodne i efektywne rozwiązanie, które zapewnia dostęp do danych z dowolnego miejsca, elastyczność, skalowalność oraz wysoki poziom bezpieczeństwa i niezawodności.
© Portal Poradyodo.pl
