W ostatnim czasie Prezes Urzędu Ochrony Danych Osobowych nałożył karę w wysokości 660 000 EUR (2 830 410 PLN) na spółkę Morele.net Sp. z o.o. działającą w sektorze e-commerce. To trzecia kara pieniężna nałożona przez UODO za naruszenie przepisów RODO.
Fakty w sprawie
- Administrująca siecią sklepów internetowych spółka zgłosiła do UODO dwa naruszenia ochrony danych osobowych, które dotyczyły uzyskania nieuprawnionego dostępu do bazy obejmującej dane około 2 milionów klientów.
- Wśród tych danych znajdowały się m.in. informacje zawarte w ok. 35 000 wnioskach ratalnych, w tym o wysokości zobowiązań alimentacyjnych.
- O pierwszym naruszeniu spółka dowiedziała się od swoich klientów, którzy padli ofiarą tzw. spear-phishingu, polegającego na wysyłaniu wiadomości sms, informujących o konieczności dokonania dodatkowej opłaty w celu dokończenia realizacji zamówienia. Po tym incydencie spółka wdrożyła dodatkowe zabezpieczenia techniczne, co nie zapobiegło jednak drugiemu, lecz dużo mniejszemu w swej skali, naruszeniu w kolejnym miesiącu. O każdym z naruszeń spółka poinformowała swoich klientów.
- Po zgłoszeniu naruszeń, UODO przeprowadził w spółce kontrolę.
Zarzuty UODO
- Najpoważniejszym zarzutem było naruszenie przez spółkę zasady poufności i bezpieczeństwa danych poprzez niedopełnienie obowiązku zastosowania odpowiednich środków technicznych i organizacyjnych.
- Drugi zarzut dotyczył zbierania danych z wniosków ratalnych bez zgody (przed rozpoczęciem stosowania RODO) i niewystarczającego dokumentowania procesów przetwarzania danych. To naruszenie zostało jednak przez organ uznane za mniej istotne.
Okoliczności wzięte pod uwagę przez UODO
- W ocenie UODO spółka nie uwzględniła ryzyka związanego z uzyskaniem nieuprawnionego dostępu do danych i zastosowaniem metody phishingu. Organ powołał się na standardy i normy: PN-EN ISO/IEC 27001:2017-06, PN-ISO/IEC 29115:2017‑07, wytyczne Europejskiej Agencji ds. Bezpieczeństwa Sieci i Informacji (ENISA), „OWASP Top 10 – 2017” opracowane przez Fundację OWASP, jak również dokument „NIST 800-63B” amerykańskiej agencji federalnej - Narodowego Instytutu Standaryzacji i Technologii. UODO wskazał, że kontrola dostępu i uwierzytelnianie to podstawowe środki bezpieczeństwa chroniące przed nieuprawnionym dostępem. Dobór tych środków powinien być poprzedzony analizą ryzyka oraz powinien podlegać stałym przeglądom. Organ zwrócił również uwagę, że analiza ryzyka powinna być odpowiednio udokumentowana, czego w tej sprawie zdaniem UODO zabrakło.
- Co ciekawe, pomimo że jak wskazała spółka, RODO nakłada na administratorów obowiązek dobrania odpowiednich, tj. adekwatnych, zabezpieczeń, UODO uznał, że administrator zobowiązany jest do weryfikacji zarówno doboru jak i skuteczności stosowanych środków technicznych. To, że spółka nie „wyeliminowała ryzyka” powstania szkód, zostało uznane przez UODO za okoliczność obciążającą i mającą wpływ na wymiar nałożonej kary.
- Kolejną okolicznością obciążającą byłą duża skala naruszenia, tj. stworzenie wysokiego ryzyka negatywnych skutków prawnych dla ponad 2 milionów osób. Zdaniem UODO przemówiło to za uznaniem, że naruszenie miało znaczną wagę i poważny charakter.
- UODO uznał również, że spółka przetwarza dane w sposób „profesjonalny”, wobec czego ciążą na niej większe wymagania w zakresie zapewnienia bezpieczeństwa przetwarzania danych, co także przyczyniło się do wymiaru kary.
- Interesujące jest także podejście organu do czasu trwania naruszenia. Choć, jak przyznał UODO, naruszenie trwało stosunkowo krótko, to z uwagi na znaczną liczbę dotkniętych nim osób, okoliczność ta nie wpłynęła łagodząco.
- Wśród uznanych przez UODO okoliczności łagodzących na uwagę zasługuje przede wszystkim podjęcie przez spółkę działań nakierowanych na usunięcie naruszenia oraz dobra współpraca z organem na etapie samej kontroli i w trakcie postępowania.
- W odniesieniu do drugiego zarzutu, UODO wskazał na duże znaczenie dokumentacji procesów przetwarzania, takich jak zbieranie zgód czy przeprowadzanie analizy ryzyka, czego zdaniem organu spółka nie czyniła.
Wnioski
- Przed wyborem i wdrożeniem technicznych i organizacyjnych środków bezpieczeństwa w organizacji oraz w trakcie ich stosowania należy przeprowadzać analizę ryzyka, która powinna pozwolić na dobór i stosowanie odpowiednich (a w rozumieniu UODO również skutecznych) środków bezpieczeństwa w praktyce.
- Przebieg wszystkich procesów przetwarzania danych w organizacji należy dokumentować.
- Dobra współpraca z organem podjęta już na etapie kontroli oraz dążenie do usunięcia naruszenia jest okolicznością, która łagodząco wpływa na wymiar ewentualnej kary nałożonej przez UODO.
[1] Na temat pierwszej kary wymierzonej przez UODO przeczytasz tutaj (w jęz. ang.).
