RODO a informatyka
16 października, 2019Urząd Ochrony Danych Osobowych nałożył karę 2,8 mln zł na internetowy sklep Morele.net. To najwyższa dotychczas kara nałożona przez UODO. Z systemu informatycznego sklepu wyciekły dane osobowe zgromadzone na kontach łącznie, jak się domniema, 2,2 mln użytkowników. Zdarzenie było spowodowane atakiem hakerskim. Internetowy sklep został ukarany za to, że nie był w stanie zapobiec atakowi , podaje ekspert ds. RODO Maciej Kawecki. Ukarana spółka zapowiada odwołanie do sądu i zapewnia, że serwis był dobrze zabezpieczony i po prostu padł ofiarą ataku.
Faktem jest, że zabezpieczenia sieci informatycznej spółki okazały się niewystarczające, co spowodowało, że doszło do nieuprawnionego dostępu do bazy danych klientów. Prezes UODO uznał, że spółka nie stosując wystarczających środków technicznych ochrony danych naruszyła określoną w art. 5 ust. 1 lit f RODO zasadę poufności. Zgodnie z nią dane powinny być przetwarzane w sposób zapewniający odpowiednie bezpieczeństwo, w tym ochronę przed niedozwolonym, albo niezgodnym z prawem przetwarzaniem lub przypadkową utratą, zniszczeniem lub uszkodzeniem. Ponadto wg Prezesa UODO miało miejsce zastosowanie nieskutecznego środka uwierzytelniania dostępu do danych. Zgodnie z wytycznymi Agencja Unii Europejskiej ds. Bezpieczeństwa Sieci i Informacji wskazane jest stosowanie podwójnego uwierzytelniania. Do naruszenia doszło także z uwagi na nieskutecznie monitorowanie sieci i potencjalnych zagrożeń związanych z nietypowymi zachowaniami serwera w systemach informatycznych. Informatyk Spółki nie zorientował się, że dochodzi do pobierania dużej ilości danych.
W efekcie ataku hakerskiego na sklep morele.net do Internetu trafiły takie dane jak: imię i nazwisko, numer telefonu, e-mail, adres. Ilu klientów zostało poszkodowanych, tego dokładnie UODO nie ustalił. Wskazuje jednak, że spółka informacje o naruszeniu wysłała do 2,2 miliona klientów. Wiadomo jednak, że w przypadku około 35 tys. osób wyciekły dane z ich wniosków ratalnych obejmujące dodatkowo: numer PESEL, serię i numer dokumentu tożsamości, wykształcenie, adres zameldowania, adres do korespondencji, źródło dochodu, wysokość dochodu netto, koszty utrzymania gospodarstwa domowego, stan cywilny, wysokość zobowiązań kredytowych czy alimentacyjnych.