Zarejestruj się i uzyskaj dostęp do licznych narzędzi

Morele.net ponownie ukarane przez Prezesa UODO

08/02/2024

Prezes Urzędu Ochrony Danych Osobowych podjął decyzję dotyczącą ponownego przeanalizowania naruszenia RODO przez firmę Morele.net, związaną z dużym wyciekiem danych. W efekcie tego incydentu, administrator został ponownie ukarany, a kara wyniosła ponad 3,8 mln zł.


Morele.net ponownie ukarane przez Prezesa UODO

Morele.net ponownie ukarane przez Prezesa UODO

Po decyzji Naczelnego Sądu Administracyjnego z 9 lutego 2023 r., która uchyliła wcześniejszą decyzję Prezesa UODO, organ nadzorczy ponownie przeprowadził postępowanie administracyjne. Wykazało ono, że naruszenie ochrony danych osobowych wynikało z braku odpowiednich zabezpieczeń, co spowodowało wyciek danych osobowych 2,2 mln osób

 

Naczelny Sąd Administracyjny nie zakwestionował wszystkich ustaleń Prezesa UODO, ale podważył kompetencje organu w ocenie zastosowanych środków technicznych i organizacyjnych przez administratora.

 

UODO przeprowadził kolejne postępowanie, które potwierdziło niewystarczające zabezpieczenia techniczne i brak odpowiednich procedur reakcji na nietypowe zachowania sieciowe. Analiza zastosowanych środków bezpieczeństwa potwierdziła braki w zabezpieczeniach. Analiza wykazała braki, m.in. w szyfrowaniu danych i dwuskładnikowym uwierzytelnianiu. Spółka nie przeprowadziła również analizy ryzyka, która uwzględniałaby m.in. zagrożenia związane z możliwością logowania się do systemu z sieci publicznej. W efekcie dwukrotnie doszło do nieautoryzowanego dostępu z zewnątrz, na skutek którego osoba niepowołana weszła w posiadanie danych klientów spółki Morele.net.

 

Administrator przyznał, że brak odpowiednich rozwiązań był jego błędem.

 

Prezes UODO nie powołał biegłego w toku postępowania, pomimo zarzutów stronniczości, argumentując, że prowadziłoby to do tego, że żaden z pracowników UODO nie mógłby zajmować się tą sprawą z uwagi na zarzut stronniczości.

 

Decyzja Prezesa UODO jest pierwszą, w której zastosowano wytyczne Europejskiej Rady Ochrony Danych Osobowych w obliczaniu kar pieniężnych. Wprowadzone środki mają zapewnić skuteczną ochronę danych osobowych.

 

Źródło: https://uodo.gov.pl/pl/138/2983

 

Jeżeli chcesz być informowany na bieżąco o naszych publikacjach w www.odoserwis.pl dołącz do nas:

Facebook https://www.facebook.com/odoserwis.pl.2016/

Linkedin https://www.linkedin.com/company/odoserwis-pl/

 

-----------------------------------------------------

Wydawcą odoserwis.pl jest firma JDS Consulting świadcząca usługi outsourcingu Inspektora ochrony danych, doradztwa i audytu RODO; www.jds.com.pl

 

Włoski organ ochrony danych ponownie zajmuje się platformą AI ChatGPT i powiadamia OpenAI o naruszeniach
Włoski organ ochrony danych ponownie zajmuje się platformą AI ChatGPT i powiadamia OpenAI o naruszeniach
CNIL nakłada na AMAZON FRANCE LOGISTIQUE grzywnę w wysokości 32 mln euro
CNIL nakłada na AMAZON FRANCE LOGISTIQUE grzywnę w wysokości 32 mln euro
CNIL nakłada grzywnę na NS Cards France za naruszenie zasad przechowywania danych i gromadzenia plików cookie
CNIL nakłada grzywnę na NS Cards France za naruszenie zasad przechowywania danych i gromadzenia plików cookie