Kara za niewystarczające zabezpieczenia organizacyjne i techniczne - wyciek danych z serwisu morele.net

W dniu 10 września 2019r. Prezes Urzędu Ochrony Danych Osobowych (zwany dalej PUODO, organ) wydał decyzję stwierdzającą naruszenie przez Morele.net Sp. z o. o. z siedzibą w Krakowie, przepisów Rozporządzenia Parlamentu Europejskiego i Rady UE 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) (Dz. Urz. UE L 119 z 04.05.2016, str. 1, oraz Dz. Urz. UE L 127 z 23.05.2018, str. 2), dalej: „Rozporządzenie 2016/679”.

W wyniku stwierdzonych naruszeń, PUODO nałożył na Morele.net sp. z o. o. z siedzibą w Krakowie karę pieniężną w wysokości 2 830 410 PLN.

 

Jak do tego doszło?

W listopadzie 2018r. doszło do włamania do systemu Morele.net i kradzieży baz danych klientów Morele.net. W rękach hakera znalazły się dane osobowe 2 200 000 (ok. dwóch milionów dwustu tysięcy) użytkowników spółki.

Przedmiotem działalności Morele.net sp z o.o. z siedzibą w Krakowie jest sprzedaż detaliczna prowadzona przez domy sprzedaży wysyłkowej lub Internet. Spółka prowadzi sklepy internetowe: morele.net, hulahop.pl, amfora.pl, pupilo.pl, trenujesz.pl, motoria.pl, digitalo.pl, ubieramy.pl, meblujesz.pl, sklep-presto.pl, budujesz.pl. Z związku z prowadzoną działalnością spółka przetwarza dane osobowe klientów, którzy dokonali rejestracji na stronie internetowej morele.net. Liczba osób, których dane są przetwarzane przez Spółkę wynosi ok. 2 200 000 (ok dwa miliony dwieście tysięcy) . Zakres tych danych obejmuje: imię, nazwisko, adres poczty elektronicznej (e-mail), numer telefonu i adres do doręczeń. Do grudnia 2018 r. Spółka przetwarzała również dane z wniosków ratalnych.

W związku z zaistniałą sytuacją Spółka powiadomiła PUODO o stwierdzonych naruszeniach, organ wszczął postępowanie, w szczególności poddając analizie  czy zastosowane przez spółkę środki organizacyjne i techniczne ochrony danych osobowych były odpowiednie do istniejącego ryzyka związanego z ich przetwarzaniem. Po przeprowadzeniu postępowania organ stwierdził, iż spółka nie posiadała odpowiednich zabezpieczeń przed nieuprawnionym dostępem do danych osobowych użytkowników. 

 

Ostra reakcja Urzędu Ochrony Danych Osobowych 

Organ zarzucił spółce przed wszystkim:

O tym, że spółka otrzymała karę przesądziło min. to, że w sposób niewystarczający oceniono zdolność do ciągłego zapewnienia poufności oraz nie uwzględniono ryzyka związanego z uzyskaniem nieuprawnionego dostępu. 

Zgodnie z wytycznymi POUDO kontrola dostępu i uwierzytelnianie to podstawowe środki bezpieczeństwa mające na celu ochronę przed nieautoryzowanym dostępem do systemu informatycznego wykorzystywanego do przetwarzania danych osobowych. Zapewnienie dostępu uprawnionym użytkownikom i zapobieganie nieuprawnionemu dostępowi do systemów i usług to jeden z wzorcowych elementów bezpieczeństwa według obowiązujących norm technicznych.  

Zgodnie z art. 32 ust. 1 rozporządzenia 2016/679, jednym z czynników jakie należy brać pod uwagę przy doborze właściwych środków technicznych i organizacyjnych, jest stan wiedzy technicznej, który powinno się oceniać z uwzględnieniem warunków rynkowych, w szczególności dostępności i akceptowalności rynkowej danego rozwiązania technicznego.

Powołując się na rekomendacje organizacji, których celem jest opracowywanie i szerzenie dobrych praktyk w zakresie bezpieczeństwa danych osobowych, PUODO rekomenduje stosowanie mechanizmu uwierzytelnia dwuetapowego dla systemów obejmujących dostęp do danych osobowych.

Zgodnie z decyzją organu, dobór właściwego środka uwierzytelniającego powinien być poprzedzony analizą ryzyka i być poddawany ciągłym przeglądom.

W ocenie Prezesa Urzędu Ochrony Danych Osobowych, nieskuteczne monitorowanie potencjalnych zagrożeń dla praw i wolności, których dane są przetwarzane przez Spółkę, przyczyniło się do zdarzenia polegającego na uzyskaniu nieuprawnionego dostępu do danych klientów z systemu bazodanowego Spółki.

W systemie spółki wystąpił nietypowy ruch sieciowy, spółka przez klika miesięcy „od wycieku” nie posiadała wiedzy na temat przyczyn zwiększonego przesyłu danych. W ocenie Prezesa Urzędu Ochrony Danych Osobowych, przyjęte przez Spółkę środki mogłyby być skuteczne gdyby były odpowiednio dostosowane oraz gdyby wdrożono procedurę reagowania na zdarzenia niepożądane takie jak nietypowy ruch sieciowy.  Zgodnie ze stanowiskiem organu, monitorowanie zdarzeń w systemach informatycznych jest istotnym elementem umożliwiającym identyfikację potencjalnych wewnętrznych lub zewnętrznych zagrożeń. Zadanie to powinno być realizowane w postaci odpowiednich wdrożonych procedur i systemu powiadamiania o zdarzeniach niepożądanych.

 

Wytyczne dla administratorów danych.

Oceniając, czy stopień bezpieczeństwa jest odpowiedni, uwzględnia się w szczególności ryzyko wiążące się z przetwarzaniem (w szczególności wynikające z przypadkowego lub niezgodnego z prawem zniszczenia, utraty, modyfikacji, nieuprawnionego ujawnienia lub nieuprawnionego dostępu do danych osobowych przesyłanych, przechowywanych lub w inny sposób przetwarzanych) i mogące w szczególności prowadzić do uszczerbku fizycznego, szkód majątkowych lub niemajątkowych.

Organ stwierdził, że  spółka przetwarzając dane osobowe ponad 2 200 000  użytkowników przetwarza dane osobowe na dużą skalę. Według organu , biorąc pod uwagę zakres danych i kontekst przetwarzania, do obowiązków Spółki należało  skuteczniejsze ocenianie na bieżąco i monitorowanie potencjalnego zagrożenia dla praw i wolności osób, których dane przetwarza.

Regularne testowanie, mierzenie i ocenianie skuteczności środków technicznych i organizacyjnych mających zapewnić bezpieczeństwo przetwarzania jest obowiązkiem każdego administratora oraz podmiotu przetwarzającego wynikającym z art. 32 ust 1 lit. rozporządzenia 2016/679. Administrator zobowiązany jest więc do weryfikacji zarówno doboru jak i poziomu skuteczności stosowanych środków technicznych. Kompleksowość tej weryfikacji powinna być oceniana przez pryzmat adekwatności do ryzyk oraz proporcjonalności w stosunku do stanu wiedzy technicznej, kosztów wdrażania oraz charakteru, zakresu, kontekstu i celów przetwarzania.

W ocenie PUODO Spółka tym samym nie podejmowała działań mających na celu ocenę doboru środków technicznych i organizacyjnych przez pryzmat adekwatności do ryzyk. 

Spółka, pomimo deklaracji monitorowania systemu sieciowego i reagowania w systemie 24/7 (dwadzieścia cztery godziny, siedem dni w tygodniu), nie stwierdziła w czasie rzeczywistym, tj. w dniach 07.10.2018 - 14.10.2018 r., zwiększonego ruchu na bramie sieciowej serwera i nie podjęła w tym czasie żadnych działań zaradczych, celem uniemożliwienia dostępu do danych około 2.200.000 (ok. dwóch milinów dwustu tysięcy) osób fizycznych, będących klientami Spółki. W związku z tym, zaniedbania Spółki zostały uznane za rażące. 

 

Nasz komentarz

Kara wobec spółki jest najwyższą karą dotychczas nałożoną w Polsce przez UODO i dotyczy zastosowanych przez spółkę środków bezpieczeństwa danych osobowych w obszarze IT. Stanowi więc wytyczną, która może ukształtować praktykę organu nadzoru w zakresie stosowania proporcjonalnych i odpowiednich środków zabezpieczeń. 

Prezes UODO w decyzji odwołał się do wytycznych unijnej organizacji ENISA dotyczących zasad przeprowadzania oceny ryzyka naruszenia praw i wolności osób fizycznych, których dane są przetwarzane.

Ze szczegółami sprawy można zapoznać się w treści decyzji, która dostępna jest pod linkiem: https://uodo.gov.pl/decyzje/ZSPR.421.2.2019.

30.10.2019 r.

 

DANE KONTAKTOWE

kancelaria

ul. Odyńca 7/13
02-606 Warszawa

BĄDŹMY W KONTAKCIE

Dzielimy się naszą fachową wiedzą oraz doświadczeniem.Bądź pierwszym, który się dowie o naszych inicjatywach, spotkaniach ze specjalistami Kancelarii i zmianach w prawie, istotnych dla działalności Twojej branży. Zachęcamy do lektury i subskrypcji naszego newslettera.

Uzupełnienie powyższego pola oznacza zgodę na otrzymywanie od Kancelarii Radcy Prawnego Monika Macura newslettera drogą e-mailową. Zgodę można wycofać w każdym czasie. Dane osobowe osób zapisujących się na newsletter są przetwarzane w celu przesyłania informacji dotyczących oferty Kancelarii drogą e-mailową. Zapoznaj się z zasadami przetwarzania Twoich danych osobowych.