Morele.net zapłaci 2,8 mln zł kary za wyciek danych

Ze sklepu internetowego Morele.net wyciekły dane ponad 2 mln osób. Urząd Ochrony Danych Osobowych (UODO) nałożył za to na spółkę karę w wysokości 2,8 mln zł. Morele.net przypomina zaś, że firma padła ofiarą cyberataku i od początku współpracowała w tej sprawie z odpowiednimi służbami.

Jak poinformował Urząd Ochrony Danych Osobowych zastosowane przez Morelę.net środki organizacyjne i techniczne ochrony danych osobowych nie były odpowiednie do istniejącego ryzyka związanego z ich przetwarzaniem, przez co dane około 2 mln 200 tys. osób dostały się w niepowołane ręce. - Zabrakło odpowiednich procedur reagowania na wypadek pojawiania się nietypowego ruchu w sieci – uznał prezes UODO.

Nakładając karę stwierdzono, że naruszenie do jakiego doszło w tej sprawie, miało znaczną wagę i poważny charakter oraz dotyczyło dużej skali osób. Tym samym powstało wysokie ryzyko negatywnych skutków dla osób, których dane dostały się w niepowołane ręce, jak np. tzw. kradzież tożsamości.

Chodzi o takie dane jak: imię i nazwisko, numer telefonu, e-mail, adres doręczeń. Jednak w przypadku około 35 tys. osób wyciekły dane z ich wniosków ratalnych, a w tym przypadku były podawane także numery PESEL, serie i numery dokumentu tożsamości, wykształcenie, adres zameldowania, adres do korespondencji, źródło dochodu, wysokość dochodu netto, koszty utrzymania gospodarstwa domowego, stan cywilny, wysokość zobowiązań kredytowych czy alimentacyjnych.

Jak podaje UODO, dodatkowe środki zabezpieczenia technicznego spółka Morele.net wdrożyła już "po naruszeniu".

Przy ustalaniu wysokości kary - 2,8 mln zł - prezes UODO wziął pod uwagę okoliczności łagodzące, jak np.: podjęcie przez spółkę działań zmierzających do usunięcia naruszenia, dobrą współpracę
z administratorem oraz to, że wcześniej firma nie dopuściła się naruszenia przepisów o ochronie danych osobowych.

Grupa Morele.net wydała oświadczenie komentujące decyzję UODO. Czytamy w nim m.in., że decyzja UODO "powinna zostać zweryfikowana przez niezależnych biegłych. Środki stosowane przez spółkę, m. in. zabezpieczenia dostępu oraz monitoring dostępu do panelu zarządzającego w naszej ocenie nie odbiegały od standardów, a w wielu obszarach je przewyższały".

Firma przypomina też, że wyciek danych to efekt cyberprzestępstwa, jakiego spółka padła ofiarą w 2018 r. To wówczas w nieuprawniony sposób uzyskano dostęp do bazy danych klientów sklepu morele.net. - Niezwłocznie zaangażowaliśmy [wtedy - przyp. red.] strategiczne zasoby firmy we współpracę z odpowiednimi służbami. Incydent został zgłoszony na policję oraz zgodnie z wytycznymi ustawodawcy przekazany do Urzędu Ochrony Danych Osobowych - czytamy w oświadczeniu.

Dale firma deklaruje, że wierzy iż wydarzenia te oraz ich medialność pozwolą na zwiększenie świadomości bezpieczeństwa w sieci, a wprowadzone przez Grupę działania i rozwiązania pozwolą innym minimalizować tego typu ataki oraz ich negatywne konsekwencje.

 

Komentarze

Prosimy o wypowiadanie się w komentarzach w sposób uprzejmy, z poszanowaniem innych uczestników dyskusji i ich odrębnych stanowisk. Komentując akceptujesz regulamin publikowania komentarzy.

} }