Najszerzej komentowanym RODOnewsem września pozostaje decyzja Prezesa Urzędu Ochrony Danych Osobowych nakładająca prawie 3 mln zł kary na Morele.net.
Ta rekordowa kara, to skutek wycieku danych klientów sklepów internetowych prowadzonych przez Morele.net. Pierwsze doniesienia sugerujące naruszenie pojawiły się już w listopadzie zeszłego roku. Hakerzy uzyskali wówczas dostęp do bazy danych ponad 2 milionów klientów.
W grudniu 2018 r. spółka poinformowała o incydencie Prezesa UODO, policję, jak i osoby, których dane dostały się w niepowołane ręce. W styczniu br. organ rozpoczął postępowanie wyjaśniające, które zakończyła decyzja o ukaraniu spółki.
Zdaniem UODO, zastosowane przez Morele.net środki organizacyjne i techniczne ochrony danych, nie były odpowiednie do istniejącego ryzyka związanego z ich przetwarzaniem. Zabrakło m.in. odpowiednich procedur reagowania na wypadek pojawiania się nietypowego ruchu w sieci.
W swojej decyzji Prezes UODO wskazał, że tak wysoki wymiar kary wynika ze znacznej wagi czynu i liczby osób poszkodowanych, których bezpieczeństwo zostało poważnie narażone.
Przedstawiciele Morele.net wskazują, że firma nie zgadza się z oceną zebranego materiału dowodowego i odwoła się od decyzji.
Komentarze naszych ekspertów
Mamy już trzecią karę nałożoną przez polskiego regulatora. Chyba nigdy dotąd i w żadnej branży decyzje polskiego regulatora nie były tak szeroko komentowane (również za granicą).
W tym przypadku zwróciło moją uwagę najbardziej:
- Kara jest najwyższą karą jaką nałożył Prezes UODO w Polsce,
- Po raz pierwszy kara dotyczy zastosowanych środków zabezpieczeń (ich odpowiedniości i proporcjonalności). A więc obszaru security IT. Dotychczasowe kary koncentrowały się wokół sfery prawnej.
- Odpowiedniość zastosowanych środków nie została oceniona przez biegłego, a przez urzędnika UODO.
Oczywiście spółka odwoła się do sądu od decyzji UODO. Analiza zastosowanych środków zabezpieczeń zostanie więc oceniona ponownie. Tym razem prawdopodobnie przez biegłego.
Administratorzy danych wciąż czekają na więcej wytycznych w obszarze security IT. Dzisiejszą decyzję można określić jako rozpoczęcie przecierania szlaków w tym zakresie.
O przetarciu szlaku i stabilnych wskazówkach na przyszłość, będziemy mogli powiedzieć dopiero po wydaniu orzeczenia przez wojewódzki sąd administracyjny. Ogromną pomocą będą także od dawna zapowiadane wytyczne Prezesa Urzędu Ochrony Danych Osobowych.
Kształtowanie się praktyki orzeczniczej czy decyzyjnej to zawsze czas dużego niepokoju i stresu. Nie pozostaje nam jednak nic innego jak czekanie. Nie czekajmy z założonymi rękoma, udoskonalajmy zarówno nasz system zabezpieczeń prawnych, organizacyjnych, jak i informatycznych.
Decyzja Prezesa UODO w sprawie spółki Morele.net jest ważna dla polskiego systemu ochrony danych osobowych, nie tylko ze względu na najwyższą karę sięgającą blisko 3 mln zł.
Przede wszystkim, decyzja ta, koncertuje się na kwestii stosowania środków technicznych i organizacyjnych, a więc tych zagadnień co do których przepisy Ogólnego rozporządzenia o ochronie danych nie zawierają precyzyjnych wytycznych. Przed rozpoczęciem stosowania przepisów RODO, to właśnie m.in. postanowienia mówiące o obowiązku stosowania „odpowiednich” środków technicznych i organizacyjnych budziły duże obawy wśród przedsiębiorców. Obawy o to, jak organ nadzoru będzie oceniał czy zastosowywane przez administratora środki były „odpowiednie”.
W tej sprawie organ uznał, że spółka nie dochowała należytej staranności w doborze środków technicznych i organizacyjnych co skutkowało wystąpieniem ataku hakerskiego.
Uzasadniając swoje stanowisko, Prezes UODO wskazał m.in. na normę PN – ISO/IEC 29115:2017 07, opracowanie NIST 800-63B czy dokument organizacji OWASP jako źródła wytycznych dla doboru właściwych środków. To na pewno jeden z ważniejszych wniosków wynikających z tej decyzji. Szkoda jedynie, że administrator dowiedział się o rekomendowanych poprzez organ rozwiązaniach dopiero w wydanej w stosunku do niego decyzji, w dodatku nakładającej na niego tak wysoką karę pieniężną.
Warto przypomnieć, że zgodnie z przepisami aktualnej Ustawy o ochronie danych osobowych Prezes UODO ma kompetencje do tego, aby wydawać rekomendacje określające środki techniczne i organizacyjne dedykowane do specyfiki danego rodzaju działalności. Mimo, że ustawa ta obowiązuje już od przeszło roku, organ do tej pory takich rekomendacji nie przygotował. Wprawdzie, rekomendacje takie nie będą miały charakteru wiążącego i nie zastąpią samodzielnej analizy ryzyka którą każdy administrator ma obowiązek wykonać, mogłyby jednak stanowić dla nich istotne wsparcie pokazując standardy oczekiwane przez organ. Być może więc, ta decyzja oraz dyskusja jaką wywołała przyczyni się do przyspieszenia prac na wydaniem takich rekomendacji.
Decyzja Prezesa UODO dotycząca Morele.net wzbudziła duże emocje zarówno wśród ekspertów ds. ochrony danych osobowych, jak i podmiotów, które na co dzień przetwarzają dane osobowe w ramach prowadzonej działalności.
Emocje są tym większe, że mówimy tu o prawie 3 mln złotych kary nałożonych na spółkę, która stała się ofiarą ataku hakerskiego. Nie było to zatem działanie umyślne. Naruszenie nie miało również charakteru wewnętrznego, jak np. nieznajomość lub nieprzestrzeganie procedur w zakresie bezpieczeństwa informacji.
Spółka korzystając z dostępnych rozwiązań oszacowała ryzyko i wdrożyła odpowiednie według niej zabezpieczenia przetwarzanych danych. Postąpiła zatem zgodnie z zasadą wprowadzoną przez RODO, czyli „zrób to sam” tj. samodzielnie przeprowadź analizę prowadzonych procesów przetwarzania, dokonaj oceny ryzyka i zastosuj takie środki i procedury, które będą adekwatne do oszacowanego ryzyka.
W mojej ocenie, niedopuszczenie do postępowania dowodu z opinii biegłego, w znacznym stopniu osłabia argumentację organu o zastosowaniu przez Morele.net niewystarczających zabezpieczeń technicznych.
W swojej decyzji Prezes UODO powołuje się m.in. na normę PN-EN ISO/IEC 27001:2017-06, normę PN-ISO/IEC 29115:2017-07, a także opracowanie amerykańskiej agencji „NIST 800-63B: Wytyczne dotyczące tożsamości cyfrowej: uwierzytelnianie i zarządzanie cyklem życia aplikacji”. Czy zatem te wytyczne administratorzy danych muszą umieścić na swojej liście „do bezwzględnego przestrzegania”? Czy też mogą równie skutecznie korzystać z innych norm i opracowań?
Warto wskazać, że wciąż czekamy na obiecane jeszcze w 2018 r. wytyczne organu w zakresie stosowania środków technicznych ochrony danych osobowych. Pomocna byłaby choćby lista norm, wytycznych, opracowań, wskazówek, w zgodzie z którymi, zdaniem organu, należy wdrażać techniczne środki ochrony danych.
Odpowiedź na to, czy środki zastosowane przez Morele.net były adekwatne czy nie, nie wpływa na sam fakt, że ponad 2 miliony danych klientów mogło znaleźć się w rękach nieuprawnionych osób. Mimo tego, że do tej pory nie ustalono rzeczywistej liczby poszkodowanych (w swojej decyzji organ opiera się na ogólnej liczbie klientów sklepu) liczba ta robi wrażenie. Zwłaszcza, że w przypadku części z tych osób, dane obejmowały informacje, które mogą posłużyć do kradzieży tożsamości czy też oszustw finansowych.
Nie ulega wątpliwości, że za wystąpienie tego naruszenia, spółka Morele.net jako administrator danych powinna ponieść odpowiedzialność. Pytanie tylko, czy aż w takim wymiarze.
Zminimalizuj ryzyko naruszenia RODO w Twojej organizacji – przeszkól zespół.
Zależy Ci na tym aby Twoi pracownicy otrzymali certyfikat i poznali praktyczną wiedzę z zakresu RODO zamiast nużących regułek?
Sprawdź nasze interaktywne szkolenia e-learningowe.
Decyzja PUODO: przypominamy kto, ile i za co
Kto?
Morele.net Sp. z o.o.
Ile?
2 830 410 PLN (równowartość 660 000 EUR)
Za co?
naruszenie przepisów Ogólnego rozporządzenia o ochronie danych, w zakresie:
- 5 ust. 1 lit. a – zasady zgodności z prawem, rzetelności i przejrzystości,
- 5 ust. 1 lit f – zasady integralności i poufności,
- 5 ust. 2 – zasady rozliczalności,
- 6 ust. 1 – podstaw prawnych przetwarzania danych osobowych,
- 7 ust. 1 – obowiązku wykazania, że osoba, której dane dotyczą, wyraziła zgodę na przetwarzanie swoich danych osobowych,
- 24 ust. 1 – obowiązku wdrażania odpowiednich środków technicznych i organizacyjnych, aby przetwarzanie odbywało się zgodnie z Ogólnym rozporządzeniem o ochronie danych i wykazania podjętych działań w tym zakresie oraz w razie potrzeby poddawania tych środków przeglądom i uaktualnianiu,
- 25 ust. 1 – zasady privacy by design,
- 32 ust. 1 lit. b – zdolności do ciągłego zapewnienia poufności, integralności, dostępności i odporności systemów i usług przetwarzania,
- 32 ust. 1 lit lit. d – regularnego testowania, mierzenia i oceniania skuteczności środków technicznych i organizacyjnych mających zapewnić bezpieczeństwo przetwarzania,
- 32 ust. 2 – obowiązku oceny stopnia bezpieczeństwa przetwarzania przy uwzględnieniu, w szczególności ryzyka wiążącego się z przetwarzaniem, w szczególności wynikającego z przypadkowego lub niezgodnego z prawem zniszczenia, utraty, modyfikacji, nieuprawnionego ujawnienia lub nieuprawnionego dostępu do danych osobowych.
Ocena Prezesa UODO
- do zdarzenia polegającego na uzyskaniu nieuprawnionego dostępu przyczynił się nieskuteczny środek uwierzytelniania,
- w sposób niewystarczający oceniono zdolność do ciągłego zapewnienia poufności oraz nie uwzględniono ryzyka związanego z uzyskaniem nieuprawnionego dostępu,
- nieskuteczne monitorowanie potencjalnych zagrożeń dla praw i wolności, których dane są przetwarzane przez Morele.net, przyczyniło się do zdarzenia polegającego na uzyskaniu nieuprawnionego dostępu do danych klientów z systemu bazodanowego,
- mimo zastosowania rozwiązania w postaci monitorowania ruchu sieciowego i przyjętych technicznych środków bezpieczeństwa Morele.net nie była w stanie zareagować na nietypowe zdarzenie w systemie monitorującym polegającym zwiększonym przesyle danych,
- od października 2018 r. do stycznia 2019 r. Morele.net nie posiadała wiedzy na temat przyczyn zwiększonego przesyłu danych,
- przyjęte przez Morele.net środki mogłyby być skuteczne, gdyby były odpowiednio dostosowane oraz wdrożono procedurę reagowania na zdarzenia niepożądane takie jak nietypowy ruch sieciowy,
- Morele.net przetwarzając dane osobowe ponad 2 200 000 użytkowników (co należy uznać za przetwarzanie danych osobowych na dużą skalę) oraz biorąc pod uwagę zakres danych i kontekst przetwarzania miała obowiązek skuteczniej na bieżąco oceniać i monitorować potencjalne zagrożenia dla praw i wolności osób, których dane przetwarza,
- Morele.net wywiązywała się z obowiązku regularnego testowania, mierzenia i oceniania skuteczności środków technicznych i organizacyjnych jedynie częściowo weryfikując wyłącznie poziom skuteczności wdrożonych zabezpieczeń pod kątem znanych podatności we wdrożonym oprogramowaniu – tym samym nie podejmowała działań mających na celu ocenę doboru środków technicznych i organizacyjnych przez pryzmat adekwatności do ryzyk,
- Morele.net zastosowała środki techniczne i organizacyjne, które przyczyniły się w ograniczonym stopniu do wypełnienia wymogów z art. 32 Ogólnego rozporządzenia o ochronie danych, gdyż przewidywalne ryzyka nie zostały odpowiednio zminimalizowane i ograniczone w czasie przetwarzania,
- Morele.net nie była w stanie wykazać od kiedy zbierała dane osobowe w celu ułatwienia wypełniania przyszłych wniosków o zakupy ratalne i w tym zakresie nie przedstawiła oświadczeń o wyrażeniu zgody na takie przetwarzanie,
- podejście Morele.net do tego procesu przetwarzania danych, pomimo, że sam proces uważany jest za zamknięty (dane zostały usunięte), godzi w podstawowe zasady przetwarzania danych w tym zasadę legalności i rzetelności wskazane bowiem administrator musi zawsze być w stanie wykazać, że dane osobowe są przetwarzane zgodnie z prawem,
- Morele.net wysłała do klientów zawiadomienie o nieuprawnionym dostępie do bazy danych klientów, w którym poinformowała, że nieuprawniony dostęp nie dotyczył informacji podawanych we wnioskach ratalnych, ponieważ nie gromadzi takich danych, co mogło wprowadzić klientów w błąd.
Kontrargumenty Morele.net
- Morele.net posiadała zabezpieczenia, techniczne oraz organizacyjne, adekwatne do zidentyfikowanych zagrożeń, z uwzględnieniem warunków określonych Ogólnym rozporządzeniu o ochronie danych,
- Morele.net na bieżąco dokonywała analizy ryzyka występujących zagrożeń i wdrażała nowe i aktualne metody zapewnienia bezpieczeństwa przetwarzanych danych,
- Morele.net od wielu lat regularnie prowadzi badania, weryfikuje zagrożenia, wynajmuje firmy zewnętrzne w celu przeprowadzenia audytów bezpieczeństwa,
- Ogólne rozporządzenie o ochronie danych nakłada na administratorów obowiązek odpowiednich (do zagrożeń) zabezpieczeń, a nie zabezpieczeń skutecznych w każdych okolicznościach,
- Morele.net monitoruje ruch sieciowy, o czym świadczą przyjęte techniczne środki bezpieczeństwa obejmujące monitorowanie ruchu sieciowego,
- według oceny Morele.net, zastosowane techniczne i organizacyjne środki bezpieczeństwa były odpowiednie do ryzyka związanego z przetwarzaniem danych osobowych, zgodnie z Ogólnym rozporządzeniu o ochronie danych,
- Morele.net na bieżąco weryfikowała, oceniała oraz monitorowała proces przetwarzania danych związany z wnioskami ratalnymi.
Okoliczności, które miały wpływ na wymiar kary
- stwierdzone naruszenie ma znaczną wagę i poważny charakter, stwarza bowiem wysokie ryzyko negatywnych skutków prawnych dla około 2 200 000 osób,
- naruszenie pociąga za sobą potencjalną, ale realną możliwość wykorzystania tych danych przez podmioty trzecie bez wiedzy i wbrew woli osób, których dane dotyczą,
- na Morele.net, przetwarzającej dane osobowe w sposób profesjonalny, w ramach jej działalności, ciąży większa odpowiedzialność i większe wymagania niż na podmiocie przetwarzającym dane osobowe w ramach działalności ubocznej, incydentalnie lub na niewielką skalę,
- Morele.net prowadząc działalność komercyjną, a przy tym gromadząc dane za pośrednictwem sieci Internet powinna podjąć wszelkie niezbędne działania i dochować należytej staranności w doborze środków technicznych i organizacyjnych, zapewniających bezpieczeństwo i poufność danych,
- na szczególnie naganną ocenę zasługuje przy tym okoliczność, iż Morele.net pomimo deklaracji monitorowania systemu sieciowego i reagowania w systemie 24/7 nie stwierdziła w czasie rzeczywistym zwiększonego ruchu na bramie sieciowej serwera i nie podjęła w tym czasie żadnych działań zaradczych,
- naruszenie powinno być oceniane surowo, ze względu na charakter i dużą wagę oraz zakres, a także z uwagi na jego możliwe długofalowe następstwa dla podmiotów danych.
A jaka jest Twoja opinia na temat nałożonej kary? Zapraszamy do dzielenia się swoimi przemyśleniami w komentarzach.
Pobierz artykuł w PDF1 Odpowiedź
Zostaw odpowiedź
Administratorem danych osobowych jest Lex Artist sp. z o.o., ul. Szańcowa 74/1, 01-458 Warszawa. Dane osobowe będą przetwarzane w celu umieszczenia i obsługi komentarza na blogu. Przysługują Panu/Pani następujące prawa: prawo dostępu do treści danych, prawo do sprostowania danych, prawo do usunięcia danych, prawo do ograniczenia przetwarzania danych, prawo do wniesienia sprzeciwu, prawo do wniesienia skargi do organu nadzorczego. Pełna treść klauzuli informacyjnej znajduje się tutaj.
Zanonimizowany ciąg znaków stworzony na podstawie Pani/Pana adresu email (tak zwany hash) może zostać przesłany do usługi Gravatar w celu sprawdzenia czy jej Pan/Pani używa. Polityka prywatności usługi Gravatar jest dostępna tutaj. Po zatwierdzeniu komentarza obrazek profilowy jest widoczny publicznie w kontekście twojego komentarza.
Według mnie decyzja ma formę jedynie straszaka, tzn. nałożymy, nie koniecznie wyegzekwujemy, ale postraszymy. Coś na zasadzie british airways – gdzie zapowiedziano nałożenie super rekordowej kary, a następnie temat ucichł – przynajmniej medialnie.