REKLAMA

REKLAMA

Kategorie
Szukaj
Sklep
Kalkulatory
Szkolenia
Załóż konto
Zaloguj się
Nie pamiętam hasła
Zaloguj się

Zarejestruj się

Proszę podać poprawny adres e-mail Hasło musi zawierać min. 3 znaki i max. 12 znaków
* - pole obowiązkowe
Załóż konto Zaloguj się
Przypomnij hasło
Witaj
Usuń konto
Twoje dane
Aktualizacja danych
  Informacja
Twoje dane będą wykorzystywane do certyfikatów.
Konto
Serwisy
Strona główna » Prawo » Wiadomości » 3,8 mln zł zapłaci sklep internetowy Morele.net za wyciek danych osobowych? Prezes UODO ponownie ukarał firmę

3,8 mln zł zapłaci sklep internetowy Morele.net za wyciek danych osobowych? Prezes UODO ponownie ukarał firmę

Subskrybuj nas na Youtube
Dołącz do ekspertów Dołącz do grona ekspertów
08 lutego 2024, 11:44
[Data aktualizacji 08 lutego 2024, 15:28]
Piotr T. Szymański
Piotr T. Szymański
Redaktor portalu Infor.pl
3,8 mln zł zapłaci sklep internetowy Morele.net za wyciek danych osobowych
ShutterStock

REKLAMA

REKLAMA

3,8 mln złotych – karę w takiej wysokości prezes Urzędu Ochrony Danych Osobowych nałożył na spółkę Morele.net za dopuszczenie w 2018 r. do kradzieży danych osobowych 2,2 miliona klientów. To już druga kara, jaką wymierzył tej spółce prezes UODO; poprzednią decyzję w tej sprawie uchylił Naczelny Sąd Administracyjny. Obecnie wymierzona kara jest o milion złotych wyższa niż poprzednio. Morele.net nie zgadza się z obecną decyzją prezesa UODO i zapowiada, że zaskarży ją do sądu administracyjnego.

Wyciek danych osobowych ze sklepu internetowego Morele.net nastąpił w listopadzie 2018 r. W jego wyniku nieuprawnione osoby weszły w posiadanie danych osobowych blisko 2,2 miliona klientów sklepu. Prezes Urzędu Ochrony Danych Osobowych uznał, że było to wynikiem braku zastosowania przez spółkę prowadzącą sklep internetowy odpowiednich zabezpieczeń. Zdaniem UODO nałożenie w tej sprawie pieniężnej kary administracyjnej „jest konieczne i uzasadnione wagą, charakterem oraz zakresem zarzucanych administratorowi naruszeń”.

REKLAMA

REKLAMA

Druga kara wobec Morele.net

Po raz pierwszy spółka Morele.net sp. z o.o. została ukarana za wyciek danych osobowych we wrześniu 2019 r. – wówczas prezes UODO wymierzył karę w wysokości 2,8 mln zł. Wskutek odwołania złożonego przez Morele.net Naczelny Sąd Administracyjny 9 lutego 2023 r. uchylił decyzję prezesa UODO nakładającą karę na spółkę. 

Wobec tego organ nadzorczy przeprowadził ponowne postępowanie administracyjne w tej sprawie. W jego trakcie jeszcze raz przeanalizował naruszenie przepisów RODO w Morele.net i ponownie ukarał spółkę – administratora danych. Tym razem kara jest o milion złotych wyższa niż poprzednio. 

Jakie nieprawidłowości stwierdził UODO

Na potrzeby nowego postępowania Urząd Ochrony Danych Osobowych przeanalizował stosowane przez Morele.net środki i procedury ochrony danych klientów. Okazało się, że – w ocenie UODO – sklep internetowy stosował zabezpieczenie techniczne nieadekwatne do istniejącego ryzyka naruszenia ochrony danych osobowych. Nie zostały ponadto przygotowane procedury, które w odpowiedni sposób pozwoliłyby zareagować na nietypowe sytuacje świadczące o nieautoryzowanych próbach pozyskania danych osobowych przez osoby nieuprawnione (takie np. jak zwiększony ruch sieciowy).

Z analizy przygotowanej przez ekspertów UODO wynika, że w Morele.net nie szyfrowano części danych, ani nie wdrożono uwierzytelniania dwuskładnikowego. Nie została także przeprowadzona analiza ryzyka, uwzględniająca m.in. zagrożenia wynikające z możliwości logowania się do sklepu internetowego z sieci publicznej. Skutkiem tych zaniedbań – w ocenie UODO – był dwukrotny nieautoryzowany dostęp z zewnątrz do zasobów danych klientów sklepu internetowego. W taki właśnie sposób osoby niepowołane weszły w posiadanie danych osobowych klientów Morele.net.

W toku postępowania prezes UODO ustalił ponadto, że w spółce nie zastosowano rozwiązań technicznych i organizacyjnych, które umożliwiłyby monitoring ruchu w sieci oraz reagowanie w razie wykrycia nieprawidłowych działań. Wskutek braku takich rozwiązań – wskazano w komunikacie Urzędu – spółka nie miała pewności, czy i jakie dane osobowe zostały wykradzione z jej zasobów. Rozwiązania takie wdrożono dopiero po wycieku danych w listopadzie 2018 r. „W ocenie Prezesa UODO – podkreślono w komunikacie Urzędu –  gdyby [administrator] dysponował nimi wcześniej, byłby w stanie wykryć próby nieautoryzowanego dostępu i podjąć działania uniemożliwiające kradzież danych”.

Będzie kolejne odwołanie do sądu administracyjnego

Ukarana spółka nie zgadza się z ocenami stosowanych przez nią zabezpieczeń, jakie sformułował UODO. „Zabezpieczenia stosowane przez spółkę były starannie dobrane, zgodne z praktyką rynkową i spełniały wymogi RODO” – przekazał portalowi Infor.pl Krzysztof Witek, Communication Manager spółki Morele.net sp. z o.o.

Według Morele.net prezes UODO nie naprawił kluczowej nieprawidłowości wskazanej przez NSA w wyroku uchylającym pierwotną decyzję urzędu i nie powołał biegłego, który przygotowałby obiektywną ocenę prawidłowości zabezpieczeń danych osobowych stosowanych w 2018 r. przez spółkę. Powołanie takiego biegłego w świetle oceny sytuacji sprzed ponad 5 lat jest – zdaniem spółki – konieczne dla niezależności i bezstronności oceny jej postępowania. Dlatego też Morele.net zapowiada, że zamierza zaskarżyć decyzję prezesa UODO do Wojewódzkiego Sądu Administracyjnego.

W ocenie Morele.net prezes UODO nie był ponadto uprawniony do nałożenia kary wyższej niż kara nałożona w 2019 r. „W tym okresie nie zmieniły się okoliczności związane ze sprawą, w tym nie pojawiły się żadne okoliczności obciążające – czytamy w przekazanym redakcji oświadczeniu – wręcz przeciwne, część zarzutów wobec spółki zostało uchylonych wyrokiem NSA”. Zdaniem spółki zastosowany przez prezesa UODO sposób obliczenia kary był jednocześnie dowolny i nieuzasadniony przepisami RODO.

REKLAMA

Podstawa prawna

Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) (Dz. Urz. UE L 119 z 04.05.2016, str. 1, z późn. zm.)

Ustawa z dnia 10 maja 2018 r. o ochronie danych osobowych (t.j. Dz. U. z 2019 r. poz. 1781)

Źródło: INFOR
Wersja do druku
Napisz do nas

Oceń jakość naszego artykułu

Dziękujemy za Twoją ocenę!

Twoja opinia jest dla nas bardzo ważna

Powiedz nam, jak możemy poprawić artykuł.
Zaznacz określenie, które dotyczy przeczytanej treści:
Autopromocja

REKLAMA

QR Code

© Materiał chroniony prawem autorskim - wszelkie prawa zastrzeżone. Dalsze rozpowszechnianie artykułu za zgodą wydawcy INFOR PL S.A.

REKLAMA

Prawo
Czy można zignorować system kaucyjny i dalej wyrzucać puszki, plastikowe i szklane butelki do odpadów segregowanych tak jak dotychczas? Czy grożą za to kary?
26 lis 2025

Przez ostatnie miesiące dużo mówiło się o systemie kaucyjnym, który polega na selektywnym zbieraniu określonych butelek szklanych, plastikowych oraz puszek aluminiowych. Wiele kwestii zostało już opisanych, ale pojawia się praktyczny problem: co z osobami, które nie chcą albo z różnych względów nie są w stanie przechowywać niezgniecionych butelek i puszek oraz nosić ich do punktów zwrotu (automatów lub sklepów uczestniczących w systemie)? Czy w dalszym ciągu zgodne z prawem będzie wyrzucanie takich opakowań tak jak dotychczas – czyli szklanych do pojemników zielonych, a plastikowych i aluminiowych do żółtych – razem z innymi odpadami segregowanymi?
Podatek katastralny – kogo obejmie, ile wyniesie? Nowe ustalenia z Sejmu
27 lis 2025

Wraca sprawa podatku katastralnego. Lewica finalizuje projekt ustawy, który ma zostać złożony w grudniu, a jego szczegóły właśnie zaczynają wychodzić na światło dzienne. Choć propozycja ma charakter poselski, a nie rządowy, jej potencjalny wpływ na rynek nieruchomości i miliony właścicieli mieszkań może być znaczący.
Wielka reforma pracy. Nadchodzą dłuższe urlopy i rewolucja w L4. Wszystko od 1 stycznia 2026 roku
26 lis 2025

W ramach szeroko zakrojonej reformy orzecznictwa lekarskiego ZUS, w listopadzie 2025 roku Sejm procedował projekt nowelizacji w drugim czytaniu. Kluczowe zmiany w projekcie to m.in. likwidacja dotychczasowych trzyosobowych komisji lekarskich oraz modyfikacja regulacji dotyczących zaświadczeń L4, pozwalająca na podjęcie pracy przez ubezpieczonego w okresie trwania zwolnienia chorobowego.
Ważny komunikat z LUX MED: dotyczy osób z niepełnosprawnościami
26 lis 2025

Ważny komunikat z LUX MED: dotyczy osób z niepełnosprawnościami. Dzięki umowie z Grupą LUX MED OzN z PZSN START otrzymają dostęp do szerokiego zakresu usług medycznych, w tym m.in. opieki ambulatoryjnej, szpitalnej oraz innych świadczeń medycznych.

REKLAMA

TSUE nakazuje Polsce uznać małżeństwo dwóch osób tej samej płci legalnie zawarte w Niemczech i wydać polski akt małżeństwa w ramach tzw. transkrypcji
26 lis 2025

W dniu 25 listopada 2025 r. Trybunał Sprawiedliwości Unii Europejskiej wydał wyrok, zgodnie z którym państwo członkowskie ma obowiązek uznać małżeństwo dwóch obywateli Unii Europejskiej tej samej płci legalnie zawarte w innym państwie członkowskim, w którym korzystali oni z przysługującej im swobody przemieszczania się i pobytu. Zdaniem TSUE jako że transkrypcja jest jedynym przewidzianym w prawie polskim środkiem pozwalającym na to, aby małżeństwo zawarte w innym państwie członkowskim zostało faktycznie uznane przez organy administracyjne - Polska jest zobowiązana stosować transkrypcję bez rozróżnienia do małżeństw osób tej samej płci oraz małżeństw zawieranych przez osoby odmiennej płci.
Papież Leon XIV: małżeństwo wyłącznym związkiem kobiety i mężczyzny
26 lis 2025

Watykan w wydanym ostatnio dokumencie „Jedno ciało. Pochwała monogamii” zaznaczył, że małżeństwo jest wyłącznie związkiem kobiety i mężczyzny. Papież Leon XIV popiera dokument.
Zabójca prezydenta Adamowicza nie wniósł na czas kasacji wyroku. O przedterminowe zwolnienie będzie mógł starać się po 40 latach kary pozbawienia wolności
26 lis 2025

Zabójca prezydenta Gdańska, Pawła Adamowicza, nie ma już możliwości odwołania się od prawomocnego wyroku dożywotniego pozbawienia wolności. Obrońca nie złożył w odpowiednim czasie wniosku o doręczenie odpisu wyroku wraz z uzasadnieniem. Nie można więc wnieść kasacji.
Przekształcenie umów cywilnoprawnych w stosunek pracy. Będą odszkodowania dla przymusowych pracodawców
25 lis 2025

Jakie konsekwencje pociągnie za sobą przekształcenie umowy cywilnoprawnej w stosunek pracy, jeśli decyzja podjęta w tym zakresie przez inspektora pracy będzie niesłuszna? Zmieniła się treść projektu, który ma wprowadzać te zmiany, a w planowanych przepisach jest mowa o odszkodowaniu.

REKLAMA

Podwyżki dla tych pracowników z negatywną opinią. Czy i o ile od stycznia 2026 roku wzrosną wynagrodzenia?
25 lis 2025

Podwyżka płacy minimalnej zawsze pociąga za sobą konieczność wprowadzenia szeregu dalszych zmian. To jednak często nie jest wcale łatwe. Choć MPRiPS pracuje nad zmianami, to jednak przygotowane przez nie przepisy wzbudziły negatywne emocje.
Świadczenie wspierające. Wyższe dla 57-latka (2255 zł), niższe dla 67-latka (1504 zł). Obaj tak samo niepełnosprawni [stopień znaczny]
26 lis 2025

Czytelnicy Infor.pl przekazali nam dokument Wytycznych, które strona rządowa wysłała do WZON. Było to w grudniu 2024 r. Dokument potwierdza to, o czym wielokrotnie pisały do nas w listach osoby niepełnosprawne. Test niesamodzielności osób niepełnosprawnych pozwala na otrzymanie maksymalnie 100 punktów (tzw. poziom potrzeby wsparcia), co daje 4134 zł. W przypadku osób niepełnosprawnych w wieku 75 lat maksymalna wysokość 100 punktów jest według wytycznych obniżana nawet o 11,7 punktu. Dlatego, że Wytyczne przyjmują założenie, że osoba w wieku 75 jest niesamodzielna z dwóch przyczyn - 1) niepełnosprawność + 2) ograniczenia wynikające z wieku. Oba te czynniki nakładają się na siebie. Trzeba je oddzielić. Dlatego - co do zasady - osoba niepełnosprawna w wieku 75 lat (i więcej) musi mieć obniżoną punktację przyznającą świadczenie wspierające - o tą część niesamodzielności, która wynika z wieku. Argumentacja strony rządowej jest logiczna. Ma tylko jeden słaby punkt - nie przewidują możliwości jej zastosowania (poprzez Wytyczne) przepisy ustawowe.
Zapisz się na newsletter
Najlepsze artykuły, najpoczytniejsze tematy, zmiany w prawie i porady. Skoncentrowana dawka wiadomości z różnych kategorii: prawo, księgowość, kadry, biznes, nieruchomości, pieniądze, edukacja. Zapisz się na nasz newsletter i bądź zawsze na czasie.
Zaznacz wymagane zgody
loading
Zapisując się na newsletter wyrażasz zgodę na otrzymywanie treści reklam również podmiotów trzecich
Administratorem danych osobowych jest INFOR PL S.A. Dane są przetwarzane w celu wysyłki newslettera. Po więcej informacji kliknij tutaj.
success

Potwierdź zapis

Sprawdź maila, żeby potwierdzić swój zapis na newsletter. Jeśli nie widzisz wiadomości, sprawdź folder SPAM w swojej skrzynce.

failure

Coś poszło nie tak

REKLAMA