Po tym jak Naczelny Sąd Administracyjny (NSA) 9 lutego 2023 r. uchylił decyzję Prezesa UODO, nakładającą karę na spółkę Morele.net organ nadzorczy ponownie przeprowadził postępowanie administracyjne w tej sprawie. Wykazało ono, że do naruszenia ochrony danych osobowych doszło przez brak zastosowania przez spółkę odpowiednich zabezpieczeń, co doprowadziło do wycieku danych osobowych 2,2 mln osób.
Jak poinformował rzecznik prasowy UODO, NSA nie zakwestionował wszystkich ustaleń prezesa UODO związanych z tym naruszeniem. Podważył jednak kompetencje organu dotyczące oceny zastosowanych przez administratora środków technicznych i organizacyjnych mających zabezpieczyć dane osobowe. Zdaniem sądu organ powinien uprawdopodobnić posiadanie wiedzy potrzebnej do przeprowadzenia takiej analizy zabezpieczeń. Z uzasadnienia wynikało, że Prezes UODO powinien był powołać biegłego albo wytworzyć wewnętrzny dokument stanowiący wnioski z analizy standardu środków bezpieczeństwa stosowanych przez spółkę, do którego administrator mógłby się odnieść w toku postępowania.
"W związku z tym UODO ponownie przeprowadził postępowanie administracyjne, które również wykazało, że spółka Morele.net stosowała niewystarczające zabezpieczenia techniczne do istniejącego ryzyka naruszenia ochrony danych. Zabrakło też wdrożenia odpowiednich procedur, które pozwoliłyby zareagować na nietypowe zachowania, takie jak zwiększony ruch sieciowy" - czytamy w komunikacie.
Braki w zabezpieczeniach
Dodano, że braki w zabezpieczeniach potwierdziła „Analiza zastosowanych przez Morele.net sp. o. o. (…)”, opracowana przez organ nadzorczy w związku z koniecznością dostosowania się do wyroku NSA.
Wyjaśniono, że w toku postępowania prezes UODO nie powołał biegłego, a strona postępowania kwestionowała przedstawioną analizę, zarzucając m.in. stronniczość jej autorów i domagając się ich wyłączenia. Organ nadzorczy nie uwzględnił tego zarzutu w toku postepowania, gdyż de facto prowadziłoby to do tego, że żaden z pracowników UODO nie mógłby zajmować się tą sprawą z uwagi na zarzut stronniczości.
Tymczasem przygotowana analiza wykazała, że administrator nie szyfrował części danych (do czego zresztą się przyznał), nie dysponował dwuskładnikowym uwierzytelnianiem, nie przeprowadził analizy ryzyka, która uwzględniałaby m.in. zagrożenia związane z możliwością logowania się do systemu z sieci publicznej. W efekcie dwukrotnie doszło do nieautoryzowanego dostępu z zewnątrz, na skutek którego osoba niepowołana weszła w posiadanie danych klientów spółki Morele.net. - podkreślono w komunikacie.
Według UODO zbrakło też rozwiązań technicznych i administracyjnych pozwalających monitorować ruch w sieci i reagować w przypadku wykrycia nieprawidłowych działań. Potwierdzają to ustalenia, z których wnika, że spółka nie miała pewności czy i jakie dane zostały wykradzione z jej zasobów. Szereg rozwiązań w tym zakresie administrator wdrożył dopiero po wycieku danych. W ocenie prezesa UODO, gdyby dysponował nimi wcześniej, byłby w stanie wykryć próby nieautoryzowanego dostępu i podjąć działania uniemożliwiające kradzież danych.
W toku postępowania administrator sam przyznał, że brak wdrożonych odpowiednich rozwiązań był błędem z jego strony.
Prezes UODO uznał, że w tej sprawie nałożenie pieniężnej kary administracyjnej jest konieczne i uzasadnione wagą, charakterem oraz zakresem zarzucanych administratorowi naruszeń - wyjaśniono w komunikacie.
