Czego uczy nas spór na linii Morele.net oraz UODO?

Początek sporu Morele.net z Urzędem Ochrony Danych Osobowych sięga 2018 roku, w którym spółka zgłosiła naruszenia ochrony danych osobowych. PUODO zadecydował wówczas o nałożeniu na Morele.net kary w wysokości około 2,8 miliona złotych (decyzja UODO sygn. akt. ZSPR.421.2.2019). Spółka nie zgodziła się z pierwszą decyzją PUODO, którą zaskarżyła do Wojewódzkiego Sądu Administracyjnego, jak również z orzeczeniem WSA, wydanym na skutek wniesienia odwołania. Ostatecznie, Naczelny Sąd Administracyjny uchylił pierwszą decyzję Prezesa Urzędu Ochrony Danych Osobowych (wyrok NSA o sygn. akt.: III OSK 3945/21). PUODO podjął jednak postępowanie administracyjne w sprawie Morele.net ponownie, na skutek czego ponownie ukarał spółkę. Tym razem kara wyniosła 3,8 miliona złotych (decyzja UODO sygn. akt.: ZSPR.421.2.2019, ZSPR.405.67.2019 z dnia 17 stycznia 2024 r.).

Co tak właściwie się stało?

Z licznych relacji medialnych wynika (Niebezpiecznik.pl, Telepolis.pl, Zaufanatrzeciastrona.pl), że:

• na skutek ataku hakerskiego, osoba nieuprawniona uzyskała dostęp do danych osobowych klientów Morele.net w systemie bazodanowym spółki,
• po dokonaniu transakcji klienci sklepu Morele mieli paść ofiarą ataku phishingowego, w ramach którego otrzymali fałszywe wiadomości SMS, sugerujące konieczność uiszczenia dokonania dodatkowej opłaty w wysokości 1 PLN do zamówienia na platformie Morele.net,
• treść wiadomości zawierała link, prowadzący do fałszywej witryny pośrednika płatności (imitacja panelu DotPay), co umożliwiało atakującym uzyskanie dostępu do danych logowania, hasła do konta bankowego oraz kodu autoryzacyjnego przesyłanego SMS-em.

Natomiast zgodnie z relacją osoby podającej się za hakera (udostępnioną w serwisie Wykop.pl), wykradzione miały zostać dane teleadresowe oraz zakodowane hasła, a sama baza miała zawierać dane ponad 2 milionów użytkowników (hasła natomiast miały być zabezpieczane funkcją md5crypt, co nie jest najbardziej bezpieczną opcją).

Ponadto, jak wskazuje Niebezpiecznik.pl, firma miała także nie zastosować odpowiednich zabezpieczeń zaraz po ataku, nie resetując haseł użytkownikom i nieskutecznie usuwając dane z kont usuniętych przez użytkowników.

Dlaczego więc Morele.net uniknęło kary?

To pytanie zadają sobie w szczególności osoby, których prywatność ucierpiała wskutek wycieku. Prawdę mówiąc, o rzeczywistych przyczynach wycieku oraz szczegółach technicznych przebiegu wydarzeń wiemy niewiele więcej niż z doniesień medialnych.

Należy podkreślić, że właśnie z uwagi na zarzut niedokładnej analizy materiału dowodowego, Naczelny Sąd Administracyjny uchylił pierwszą decyzję PUODO.

Podstawowe zasady RODO – nie warto ignorować ich przestrzegania!

Warto podkreślić, iż w każdej decyzji UODO wskazywał, iż spółka dopuściła się naruszenia podstawowych zasad przetwarzania danych osobowych, wynikających z RODO (zasady poufności, legalności, rzetelności i przejrzystości oraz rozliczalności) w związku z obsługą wniosków ratalnych klientów. Zdaniem UODO Spółka naruszyła zasadę poufności danych, ponieważ wywiązała się jedynie częściowo z obowiązku zapewnienia odpowiednich środków technicznego i organizacyjnego zabezpieczenia przetwarzania danych (art. 32 RODO). Naruszenie zasady legalności oraz zasady rozliczalności, stwierdzono natomiast z uwagi na fakt, iż spółka niedostatecznie wykazała, iż przestrzega obowiązków wynikających z przepisów RODO.

Realizację powyższych zasad warto mieć zatem zawsze na uwadze, projektując zabezpieczenia systemów informatycznych.

Nieskuteczne środki techniczne i organizacyjne – czyli jakie?

Zdaniem UODO spółka dobrała również nieskuteczne środki techniczne i organizacyjne w zakresie:

• kontroli dostępu i uwierzytelniania (niestosowanie uwierzytelniania dwuskładnikowego),
• monitorowania ruchu sieciowego w środowisku produkcyjnym (tj. spółka nie stwierdziła w czasie rzeczywistym zwiększonego ruchu na bramie sieciowej serwera, mimo deklaracji monitorowania systemu sieciowego i reagowania na incydenty w systemie 24/7),
• braku oceny zdolności do ciągłego zapewnienia poufności,
• braku oceny ryzyka uzyskania dostępu do panelu pracownika spółki oraz ryzyka naruszenia praw lub wolności osób, których dane przetwarza spółka (analizy ryzyka nie przeprowadzono w sposób sformalizowany, a więc udokumentowany lub w inny utrwalony sposób, czy też ujęty w postaci ściśle określonych, precyzyjnych formuł wyjaśniających i porządkujących przebieg tego procesu).

Wskazano także, że spółka nie podejmowała wystarczających działań mających na celu następczą ocenę (tj. po wdrożeniu środków technicznych i organizacyjnych), czy wybrane środki ochrony są adekwatne do ryzyka, związanego z przetwarzaniem.

Spór Morele.net i Prezesa UODO o opinię biegłego

Główną osią sporu w postępowaniu kontrolnym była odmowa uwzględnienia wniosku dowodowego Morele.net. Spółka wnosiła bowiem o powołanie biegłego posiadającego wiadomości specjalne z zakresu bezpieczeństwa systemów informatycznych na okoliczność:

• oceny czy środki techniczne i organizacyjne stosowane przez Morele.net odpowiadały standardom środków bezpieczeństwa oraz ustalenia standardów technicznych i organizacyjnych środków bezpieczeństwa – w działalności gospodarczej przedsiębiorców w obszarze e-commerce o skali i charakterze podobnym do skali i charakteru działalności Morele.net,
• oceny czy środki techniczne i organizacyjne stosowane przez Morele.net były odpowiednie – uwzględniając stan wiedzy technicznej, koszt wdrażania oraz charakter, zakres, kontekst i cele przetwarzania oraz ryzyko naruszenia praw lub wolności osób fizycznych o różnym prawdopodobieństwie wystąpienia i wadze zagrożenia.

Natomiast zdaniem PUODO, stopień skomplikowania sprawy nie przekraczał zakresu wiadomości będących w gestii organu, co oznaczałoby konieczność uwzględnienia wniosku dowodowego na gruncie przepisów postępowania administracyjnego. Z argumentacją tą nie zgodził się jednak Naczelny Sąd Administracyjny, adresując do organu szereg uwag odnośnie sposobu uzasadnienia decyzji.

Czy PUODO musi powołać biegłego, aby wykazać nieskuteczność stosowanych środków zabezpieczeń?

Przede wszystkim, NSA krytykował organ za przedstawienie w decyzji o nałożeniu kary zbyt ogólnych twierdzeń, które uniemożliwiają merytoryczną weryfikację posiadanej, bądź jedynie przywoływanej przez organ na kanwie uzasadnienia decyzji wiedzy specjalnej (np. normy ISO 27001). Argumenty te należałoby odnieść do konkretnych okoliczności działalności skarżącej.

Zdaniem NSA, PUODO, przy sporządzaniu argumentacji odnośnie podjętej decyzji, nie uwzględnił indywidualnych okoliczności sprawy, takich jak np. ryzyko nieuprawnionego ujawnienia przetwarzania danych, stan wiedzy technicznej, czy koszt wdrażania środków bezpieczeństwa.

Dodatkowo, NSA zauważył, że w postępowaniu dotyczącym nałożenia sankcji, może dojść do kumulacji ról oskarżyciela, podmiotu orzekającego i biegłego. Z uwagi na kumulację wskazanych ról, organ powinien jednoznacznie wykazać, jak doszedł do swoich wniosków na podstawie zebranych dowodów, a brak powołania biegłego nie zwalnia organu z dokładnego rozważenia kontekstu i specyfiki danej sytuacji.

Szczegółowa argumentacja mogłaby bowiem zapewnić, że nie zostanie naruszona zasada czynnego udziału strony w postępowaniu.

Czy opinia biegłego uratuje przedsiębiorcę?

Należy podkreślić, iż analiza przedmiotowego wyroku wykazuje, że powodem uchylenia decyzji UODO przez NSA było tylko i wyłącznie naruszenie przepisów prawa administracyjnego. Wyrok nie przesądza natomiast czy środki techniczne i organizacyjne stosowane przez spółkę były właściwe oraz czy doszło do naruszenia ochrony danych osobowych, wskutek którego zasadnym byłoby nałożenie tak wysokiej kary.

Jak czytamy w komunikacie UODO z dnia 8 lutego 2024 r., uwagi NSA zostały uwzględnione przy wydawaniu kolejnej decyzji. UODO przygotował bowiem dokument, stanowiący szczegółowe wnioski z analizy standardu środków bezpieczeństwa stosowanych przez Spółkę, tj. „Analiza zastosowanych przez Morele.net sp.  o. o. (…)”. Ma on na celu wykazanie twierdzeń UODO i jest alternatywą dla dopuszczenia dowodu z opinii biegłego.

Konieczność stosowania odpowiednich środków technicznych i organizacyjnych oraz przeprowadzenia ich adekwatnej oceny pozostaje zatem aktualna. W naszej opinii, brak jest również podstaw by sądzić, że jakikolwiek przedsiębiorca uniknie kary z uwagi na ewentualne naruszenia przez UODO przepisów KPA. Zdaje się, że UODO pozostaje nieugięty, a ewentualne uchybienia proceduralne wpłynąć mogą jedynie na wydłużenie czasu postępowań.

Postaw na prewencję!

Stoimy na stanowisku, że skutecznie i mądrze wdrażana polityka compliance pozwoli Państwu uniknąć straty czasu, zbędnych kosztów oraz nerwów, związanych z postępowaniami kontrolnymi i sądowymi. Szczególnie ważnym jest, aby dobrze wybrać spółkę, przeprowadzającą audyty z zakresu bezpieczeństwa informacji. Warto zadbać, aby wybrany audytor nie był jedynie podmiotem, który dostarcza raporty, lecz także Państwa zaufanym partnerem, który aktywnie wspomaga administratora danych osobowych w dostosowywaniu się do najnowszych wymagań oraz należytym uwzględnieniu kontekstu biznesowego.

Jak możemy pomóc?

Chętnie pomożemy Ci uniknąć problemów z UODO. Serdecznie zachęcamy do zapoznania się z naszą ofertą usług z zakresu cyberbezpieczeństwa (zwłaszcza Security Operations Center, testów penetracyjnych, audytów sieci teleinformatycznej oraz socjotechnicznych) oraz bezpieczeństwa informacji (ISO 27001) dostępną tutaj.