Morele.net i kara za RODO. Przegrana w sądzie

W czwartek, 3 września, Wojewódzki Sąd Administracyjny w Warszawie utrzymał w mocy nałożoną przez Prezesa Urzędu Ochrony Danych Osobowych rekordową w polskiej przedsiębiorczości karę na Morele.net za naruszenie przepisów RODO.

Kwota, jaką UODO chce ukarać popularny w polskim internecie sklep jest absolutnie rekordowa. Wynosi aż 2.830.410 złotych. Żadna inna firma w naszym kraju nigdy wcześniej nie otrzymała tak wysokiej kary z tytułu naruszenia przepisów związanych z ochroną danych osobowych przetwarzanych przez dany podmiot – w tym przypadku sklep Morele.net.

Przypomnijmy, że sam fakt nałożenia kary nastąpił jeszcze w ubiegłym roku, we wrześniu. Wówczas Jan Nowak, pełniący funkcję Prezesa Urzędu Ochrony Danych Osobowych, 10 września 2019 roku podjął decyzję o ukaraniu Morele.net Sp. z o.o., na skutek, jak stwierdzono w uzasadnieniu, m.in.: „naruszeniu przez Spółkę zasady poufności danych”. Wcześniej, w wyniku ataku hakerskiego do danych klientów firmy Morele.net dostęp uzyskały osoby nieuprawnione. Zainteresowanych pełną treścią Decyzji Prezesa UODO odsyłam do źródła na witrynie Urzędu.

Morele.net złożyło skargę na tę decyzję, którą rozpatrzył właśnie Wojewódzki Sąd Administracyjny w Warszawie. Zdaniem WSA decyzja UODO o karze nałożonej na spółkę była zasadna. Sąd podzielił stanowisko UODO w kwestii tego, że zastosowane przez Spółkę środki techniczne i organizacyjne okazały się nieskuteczne w zakresie ochrony danych osobowych klientów. Z tym trudno w jakikolwiek sposób dyskutować, bo włamanie i wynikający z niego wyciek danych to fakt.

Rok przed podjęciem decyzji o karze cyberprzestępcy wykradli dane z bazy Morele.net. W wyniku tego klienci Morele.net zaczęli otrzymywać SMS-y z próbami wymuszenia i kradzieży dalszych danych. Treść tych wiadomości namawiała ludzi do niewielkich (nawet rzędu 1 zł) dopłat. Problem polega na tym, że link przesyłany w wiadomości prowadził do fałszywego serwisu podszywającego się pod usługę płatności elektronicznych. Cyberprzestępcy posługując się wykradzionymi danymi mogli zdobyć dodatkowe, wrażliwe informacje. Chodziło o dane niezbędne do logowania się w systemach bankowości elektronicznej wykorzystywanych przez klientów zaatakowanego sklepu.

WSA potwierdził argument UODO o niewystarczającym monitorowaniu przez Morele.net potencjalnych zagrożeń dla praw i wolności osób, których dane firma przetwarzała. Sąd nie stwierdził również żadnych uchybień formalnych decyzji o ukaraniu. Tym samym wytrącając oręż obrońców strony ukaranej. W skardze na decyzję UODO skupili się oni na zarzutach proceduralnych próbując je obalić.

Sąd uznał również prawidłową ocenę stanu faktycznego przez organ nadzorczy. Co więcej, WSA uznał, że kara jest wysoka, przypomnijmy – najwyższa jaką dotychczas nałożono w podobnym przypadku. Niemniej mieści się ona w granicach prawa i jest uzasadniona okolicznościami. Oczywiście zgodnie z Konstytucją RP, a dokładniej z jej art. 176 wynika, że „postępowanie sądowe jest co najmniej dwuinstancyjne”. Decyzja WSA to pierwsza instancja.