Kara za naruszenie podstawowych przepisów z zakresu ochrony danych osobowych nałożona przez Prezesa UODO

Prezes Urzędu Ochrony Danych Osobowych nałożył karę pieniężną w wysokości 2 830 410 zł na spółkę administracyjną Morele.net Sp. z o.o. za naruszenie podstawowych przepisów z zakresu ochrony danych osobowych. Decyzja ta wynikała z uzasadnienia naruszeń związanych z brakiem zapewnienia poufności danych oraz niezgodności z zasadami legalności, rzetelności i rozliczalności w procesie przetwarzania danych osobowych.

Tematyka: Prezes UODO, karanie, naruszenie przepisów, ochrona danych osobowych, sankcja administracyjna, RODO, kara pieniężna, Morele.net Sp. z o.o., poufność danych, zgodność z prawem, obowiązki administratora

Na podstawie art. 104 § 1 ustawy z ustawy z 14.6.1960 r. – Kodeks postępowania administracyjnego (t.j. Dz.U.
z 2018 r. poz. 2096 ze zm., dalej jako: KPA) oraz art. 7 ust 1 i ust. 2, art. 60, art. 101, art. 103 ustawy o ochronie
danych osobowych z 10.5.2018 r. (Dz.U. z 2018 r. poz. 1000 ze zm., dalej jako: OchrDanychU) w zw. z art. 5
ust. 1 lit. a oraz lit. f, art. 5 ust. 2, art. 6 ust. 1, art. 7 ust. 1, art. 24 ust. 1, art. 25 ust. 1, art. 32 ust. 1 lit. b, lit. d,
art. 32 ust. 2, art. 58 ust. 2 lit. i oraz z art. 83 ust. 3, art. 83 ust. 4 lit a, art. 83 ust. 5 lit. a Rozporządzenia
Parlamentu Europejskiego i Rady (UE) 2016/679 z 27.4.2016 r. w sprawie ochrony osób fizycznych w związku
z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia
dyrektywy 95/46/WE (Dz.Urz. UE L Nr 119 z 4.5.2016 r., s. 1, dalej jako: RODO), po przeprowadzeniu
postępowania administracyjnego w sprawie przetwarzania danych osobowych przez Morele.net Sp. z o.o.,
Prezes Urzędu Ochrony Danych Osobowych stwierdził naruszenie podstawowych przepisów z zakresu
ochrony danych osobowych i nałożył na spółkę administracyjną karę pieniężną w wysokości 2 830 410 zł.
Stan faktyczny
W listopadzie 2018 r. Morele.net Sp. z o.o. zgłosiła Prezesowi UODO dwa naruszenia ochrony danych
osobowych, które dotyczyły uzyskania przez osobę nieuprawnioną dostępu do bazy danych klientów
sklepów internetowych morele.net, hulahop.pl, amfora.pl, pupilo.pl, trenujesz.pl, motoria.pl, digitalo.pl, ubieramy.pl,
meblujesz.pl, sklep-presto.pl, budujesz.pl, a w konsekwencji uzyskania danych osobowych klientów realizujących
zakupy w tych sklepach internetowych. Następnie, w grudniu 2018 r., Spółka zgłosiła do Prezesa UODO kolejne
naruszenie.
W styczniu 2019 r. w celu kontroli zgodności przetwarzania danych z przepisami o ochronie danych osobowych
dokonano czynności kontrolnych w Morele.net Sp. z o.o. Zakresem kontroli objęto przetwarzanie danych osobowych
klientów wymienionych sklepów internetowych, których administratorem jest spółka.
Na podstawie zgromadzonego materiału dowodowego Prezes UODO ustalił, że w procesie przetwarzania
danych osobowych spółka, jako administrator, naruszyła przepisy o ochronie danych osobowych. Uchybienia
te polegały na: naruszeniu przez Spółkę zasady poufności danych wyrażonej w art. 5 ust 1 lit. f RODO,
odzwierciedlonej w postaci obowiązków określonych w art. 24 ust 1, art. 25 ust. 1 oraz art. 32 ust. 1 lit. b oraz d, art.
32 ust. 2 RODO polegającym na niezapewnieniu bezpieczeństwa i poufności przetwarzanych danych osobowych, co
spowodowało, że dostęp do danych osobowych klientów spółki uzyskały osoby nieuprawnione oraz na naruszeniu
zasad legalności, rzetelności i rozliczalności wyrażonych w art. 5 ust 1 lit. a oraz art. 5 ust. 2 RODO,
uszczegółowionych w art. 7 ust. 1 oraz art. 6 ust. 1 RODO przez niewykazanie, że dane osobowe z wniosków
ratalnych zbierane przed 25.5.2018 r. były przetwarzane przez Morele.net Sp. z o. o. z siedzibą w Krakowie na
podstawie zgody osoby, której dane dotyczyły.
Rozstrzygnięcie
W uzasadnieniu decyzji Prezes UODO wskazał, że zasada poufności, której prawidłowa realizacja zapewnia,
że dane nie są udostępniane osobom nieupoważnionym, w stanie faktycznym przedmiotowej sprawy została
naruszona w wyniku dwukrotnego uzyskania dostępu do danych wszystkich klientów z systemu
bazodanowego Spółki, co skutkowało zrealizowaniem ryzyka naruszenia praw i wolności osób fizycznych,
których dane przetwarzane są przez Spółkę, w postaci zastosowania metody zwanej phishingiem, mającej na
celu wyłudzenie danych, m.in. uwierzytelniających do konta bankowego przez podszycie się pod Spółkę
w wiadomościach SMS i wykorzystanie faktu dokonania zamówienia przez klienta.
Prezes UODO, w zawiadomieniu o wszczęciu postępowania administracyjnego, wskazał, że Spółka nie wypełniła
obowiązku wynikającego z art. 32 ust. 1 i 2 RODO polegającego na doborze skutecznych środków technicznych
i organizacyjnych na poziomie kontroli dostępu i uwierzytelniania. W odpowiedzi Spółka wskazała, że jej pracownicy
otrzymują stosowne uprawnienia i upoważnienia dostępu do poszczególnych systemów informatycznych i baz
danych a dostęp ten nadzorowany jest przez zespół administratorów. P onadto wskazała, że zespół IT Spółki na
bieżąco monitoruje funkcjonowanie i dostosowuje rozwiązania do standardów rynkowych oraz zagrożeń,
a stosowane w Spółce środki umożliwiały wykrywanie nietypowych zachowań.
Prezes UODO wskazał, że kontrola dostępu i uwierzytelnianie to podstawowe środki bezpieczeństwa mające na celu
ochronę przed nieautoryzowanym dostępem do systemu informatycznego wykorzystywanego do przetwarzania
danych osobowych.

Na zasadność stosowania prawidłowo dobranych środków technicznych w zakresie kontroli dostępu
i uwierzytelniania wskazują również inne organizacje zajmujące się bezpieczeństwem informacji. Podkreślają one, że
dobór właściwego środka uwierzytelniającego powinien być poprzedzony analizą ryzyka i być poddawany ciągłym
przeglądom.
Zdaniem Prezesa UODO w stanie faktycznym omawianej sprawy, nieskuteczne monitorowanie potencjalnych
zagrożeń dla praw i wolności osób, których dane są przetwarzane przez Spółkę, przyczyniło się do zdarzenia
polegającego na uzyskaniu nieuprawnionego dostępu do danych klientów z systemu bazodanowego Spółki.
Mimo zastosowania takiego rozwiązania Spółka nie była w stanie zareagować na nietypowe zdarzenie w systemie
monitorującym polegającym zwiększonym przesyle danych. Przedstawiony stan faktyczny wskazuje, ze Spółka, od
października 2018 r. do stycznia 2019 r. nie posiadała wiedzy na temat przyczyn zwiększonego przesyłu danych.
W ocenie Prezesa UODO, przyjęte przez Spółkę środki mogłyby być skuteczne gdyby były odpowiednio
dostosowane oraz wdrożono procedurę reagowania na zdarzenia niepożądane takie jak nietypowy ruch
sieciowy.
W stanie faktycznym przedmiotowej sprawy, Spółka p rzetwarzając dane osobowe ponad 2 200 000
użytkowników, co uznano za przetwarzanie danych osobowych na dużą skalę oraz biorąc pod uwagę zakres
danych i kontekst przetwarzania miała obowiązek skuteczniej na bieżąco oceniać i monitorować potencjalne
zagrożenia dla praw i wolności osób, których dane przetwarza.
Regularne testowanie, mierzenie i ocenianie skuteczności środków technicznych i organizacyjnych
mających zapewnić bezpieczeństwo przetwarzania jest obowiązkiem każdego administratora oraz podmiotu
przetwarzającego wynikającym z art. 32 ust 1 lit. d RODO. Administrator zobowiązany jest więc do weryfikacji
zarówno doboru jak i poziomu skuteczności stosowanych środków technicznych. Kompleksowość tej weryfikacji
powinna być oceniana przez pryzmat adekwatności do ryzyk oraz proporcjonalności w stosunku do stanu wiedzy
technicznej, kosztów wdrażania oraz charakteru, zakresu, kontekstu i celów przetwarzania.
W stanie faktycznym przedmiotowej sprawy Spółka wywiązywała się z tego obowiązku częściowo, gdyż zastosowała
środki techniczne i organizacyjne, które przyczyniły się w ograniczonym stopniu do wypełnienia wymogów z art. 32
RODO. Przewidywalne ryzyka nie zostały odpowiednio zminimalizowane i ograniczone w czasie przetwarzania.
Odnosząc się do wyjaśnień dotyczących naruszenia zasady zgodności z prawem, rzetelności i rozliczalności
przy przetwarzaniu danych osobowych pochodzących z wniosków ratalnych, trzeba stanowczo podkreślić,
że Spółka nie była w stanie wykazać od kiedy zbierała dane osobowe w celu ułatwienia wypełniania
przyszłych wniosków i w tym zakresie nie przedstawiła oświadczeń o wyrażeniu zgody na takie
przetwarzanie.
Takie podejście Spółki do procesu przetwarzania danych, mimo że sam proces uważany jest za zamknięty (dane
zostały usunięte), godzi w podstawowe zasady przetwarzania danych, w tym zasadę legalności i rzetelności
Kara
Decydując o nałożeniu na Spółkę administracyjnej kary pieniężnej Prezes UODO – stosownie do treści art. 83
ust. 2 lit. a–k RODO wziął pod uwagę: niedopełnienie przez Spółkę obowiązku zastosowania odpowiednich
środków technicznych i organizacyjnych, by zapewnić stopień bezpieczeństwa odpowiadający ryzyku
nieuprawnionego dostępu do danych osobowych jej klientów; stwierdzone w niniejszej sprawie naruszenie art. 5 ust.
1 lit. f w zw. z art. 32 ust. 1 lit. b i d w zw. z art. 32 ust. 2 RODO polegające na uzyskaniu nieuprawnionego dostępu
do panelu pracownika Spółki przez osobę bądź osoby nieuprawnione, a w konsekwencji również i dostępu do bazy
danych klientów Spółki, niedochowanie należytej staranności przez Spółkę, która nie stwierdziła w czasie
rzeczywistym zwiększonego ruchu na bramie sieciowej serwera i nie podjęła w tym czasie żadnych działań
zaradczych (to naruszenie Prezes UODO uznał za rażące), charakter i dużą wagę oraz zakres, a także z uwagi na
jego możliwe długofalowe następstwa dla podmiotów danych.
Uwzględniając wszystkie omówione wyżej okoliczności, Prezes UODO uznał, że nałożenie administracyjnej kary
pieniężnej na Spółkę jest konieczne i uzasadnione wagą oraz charakterem i zakresem zarzucanych Spółce
naruszeń. Stwierdzić należy, że zastosowanie wobec Spółki jakiegokolwiek innego środka naprawczego
przewidzianego w art. 58 ust. 2 RODO, w szczególności zaś poprzestanie na upomnieniu (art. 58 ust. 2 lit b), nie
byłoby proporcjonalne do stwierdzonych nieprawidłowości w procesie przetwarzania danych osobowych oraz nie
gwarantowałoby tego, że Spółka w przyszłości nie dopuści się podobnych, co w sprawie niniejszej zaniedbań.
Zastosowana kara pieniężna jest również proporcjonalna do stwierdzonego naruszenia, w tym zwłaszcza
jego wagi, kręgu dotkniętych nim osób fizycznych oraz ryzyka, jakie w związku z naruszeniem ponoszą.
Zdaniem Prezesa Urzędu Ochrony Danych Osobowych, nałożona na Spółkę kara pieniężna jest również
proporcjonalna do jej sytuacji finansowej i nie będzie stanowiła nadmiernego dla niej obciążenia. Wysokość
kary została określona na takim poziomie, aby z jednej strony stanowiła adekwatną reakcję organu nadzorczego na
stopień naruszenia obowiązków administratora, z drugiej jednak strony nie powodowała sytuacji, w której

konieczność uiszczenia kary finansowej pociągnie za sobą negatywne następstwa, w postaci znaczącej redukcji
zatrudnienia lub istotnego spadku obrotów Spółki..
Celem nałożonej kary jest doprowadzenie do właściwego wykonywania przez Spółkę obowiązków przewidzianych
w art. 5 ust. 1 lit. f, art. 24 ust. 1, art. 25 ust. 1 oraz art. 32 ust. 1 lit. b i d, art. 32 ust. 2 RODO, a w konsekwencji do
prowadzenia procesów przetwarzania danych zgodnie z obowiązującymi przepisami prawa.
Decyzja Prezesa UODO z 10.9.2019 r., ZSPR.421.2.2019.
ZSPR.421.2.2019

Prezes UODO uznał nałożenie kary pieniężnej za konieczne i proporcjonalne do stwierdzonych naruszeń oraz sytuacji finansowej Spółki. Celem kary jest poprawa wykonywania obowiązków związanych z ochroną danych osobowych i prowadzeniem procesów przetwarzania zgodnie z prawem.