Pozostałe

Ochrona danych osobowych

Kara za RODO

Prezes Urzędu Ochrony Danych Osobowych (Prezes UODO) nałożył na spółkę Morele.net karę w wysokości ponad 2,8 mln zł.

Kara za niewystarczające zabezpieczenia organizacyjne i techniczne

Zastosowane przez spółkę środki organizacyjne i techniczne ochrony danych osobowych nie były odpowiednie do istniejącego ryzyka związanego z ich przetwarzaniem, przez co dane około 2 mln 200 tys. osób dostały się w niepowołane ręce. Zabrakło odpowiednich procedur reagowania na wypadek pojawiania się nietypowego ruchu w sieci – uznał Prezes UODO.

Co stwierdził Prezes UODO?

Nakładając karę, organ nadzorczy stwierdził, że naruszenie, do jakiego doszło w tej sprawie, miało znaczną wagę i poważny charakter oraz dotyczyło dużej skali osób. W swojej decyzji organ nadzoru wskazał również, że w wyniku naruszenia powstało wysokie ryzyko negatywnych skutków dla osób, których dane dostały się w niepowołane ręce, jak np. tzw. kradzież tożsamości.

W większości były to takie dane jak: imię i nazwisko, numer telefonu, e-mail, adres doręczeń. Jednak w przypadku około 35 tys. osób wyciekły dane z ich wniosków ratalnych. A zakres danych obejmował dodatkowo numer PESEL, serię i numer dokumentu tożsamości, wykształcenie, adres zameldowania, adres do korespondencji, źródło dochodu, wysokość dochodu netto, koszty utrzymania gospodarstwa domowego, stan cywilny, wysokość zobowiązań kredytowych czy alimentacyjnych.

W decyzji nakładającej karę Prezes UODO uznał, że spółka nie stosując wystarczających środków technicznych ochrony danych naruszyła m.in. określoną w art. 5 ust. 1 lit. f RODO zasadę poufności. W związku z tym doszło do nieuprawnionego dostępu do danych klientów i do uzyskania tych danych. Organ uznał, że miało miejsce zastosowanie nieskutecznego środka uwierzytelniania dostępu do danych. Dodatkowe środki zabezpieczenia technicznego spółka wdrożyła już po naruszeniu.

W toku postępowania ustalono, że do naruszenia doszło także z uwagi na nieskutecznie monitorowanie potencjalnych zagrożeń. Postępowanie wykazało także inne uchybienia, jednak to brak odpowiednich środków technicznych (niewystarczające zabezpieczenia) i organizacyjnych (dotyczących monitorowania potencjalnych zagrożeń, związanych z nietypowymi zachowaniami w sieci) przesądził o nałożeniu kary. Przy ustalaniu jej wysokości Prezes UODO wziął jednak pod uwagę okoliczności łagodzące, jak np.: podjęcie przez spółkę działań zmierzających do usunięcia naruszenia, dobrą współpracę z administratorem oraz to, że wcześniej spółka nie dopuściła się naruszenia przepisów o ochronie danych osobowych.

Ze szczegółami sprawy można zapoznać się w treści decyzji, która dostępna jest pod linkiem: https://uodo.gov.pl/decyzje/ZSPR.421.2.2019.

Obserwuj nas na:

Potrzebujesz porady prawnej?

KOMENTARZE (0)

Nie dodano jeszcze żadnego komentarza. Bądź pierwszy!!


Dodaj komentarz

DODAJ KOMENTARZ

ZOBACZ TAKŻE:

  • 30.4.2018

    Sankcje z RODO

    Nowe rozporządzenie o ochronie danych uprawnia organ nadzorczy do nakładania administracyjnych kar pieniężnych. Kary powinny być proporcjonalne i odstraszające.

  • 4.11.2018

    Decyzje administracyjne bez numeru PESEL

    Do oznaczania stron postępowania nie powinno się wykorzystywać numeru PESEL. Takie działanie jest niezgodne z prawem, np. z RODO.

  • 26.3.2019

    Prezes UODO nałożyła pierwszą karę pieniężną

    Za niedopełnienie obowiązku informacyjnego Prezes Urzędu Ochrony Danych Osobowych (UODO) nałożyła pierwszą karę w wysokości ponad 943 tys. zł.

  • 21.11.2018

    Nie daj się oszukać „na RODO”

    W ostatnim okresie przedsiębiorcy dostają wezwania do zapłaty za rzekome nieprawidłowości w stosowaniu RODO. Nie daj się nabrać.

  • 26.3.2019

    Nie można pobierać opłat za realizację praw wynikających z RODO

    Prezes UODO zawiadomiła Prokuratora Generalnego o podejrzeniu popełnienia przestępstwa przez spółkę, która jako administrator kilkunastu stron internetowych żąda pieniędzy za (...)