Picture of Rafał Kosuń

Rafał Kosuń

Inspektor Ochrony Danych, specjalista ds. bezpieczeństwa, audytor wiodący ISO, analityk biznesowy, członek Stowarzyszenia Praktyków Ochrony Danych, fan firmy DataLex

Kara 2.8 MLN PLN dla morele.net już z rabatem

19 września 2019 Prezes UODO umieścił na stronie urzędu uzasadnienie do nałożenia na spółkę morele.net kary. Najwyższej do tej pory nałożonej przez polski organ nadzorczy –
w wysokości 2 830 410 PLN (660 000 €).

Wysokość kary jest aktualnie (i zapewne jeszcze jakiś czas będzie) tematem gorącej dyskusji w mediach i w kuluarach wielu polskich przedsiębiorstw, specjalistów, prawników. Próbować będziemy wszyscy odpowiedzieć sobie na pytania:

  • dlaczego tak wysoka kara została nałożona na spółkę, która od początku współpracowała z policją i urzędem ochrony danych osobowych?
  • jaki wpływ kara będzie miała na rzeczywistą poprawę bezpieczeństwa w ochronie danych?
  • czy przypadkiem tak wysoka kara w podobnych sytuacjach (gdy ktoś okrada nas i szantażuje okupem) nie będzie zachętą by zapłacić okup – przypomnijmy, że sprawdca zażądał okupu w wysokości 500.000 zł za usunięcie bazy, kara jest natomiast 6-cio krotnie wyższa?
  • czy nie skończy się to utratą zaufania do Państwa i masowym procederem nieinformowania PUODO o wykrytych i ryzykownych naruszeniach?

Odpowiedzi na te pytania dzisiaj nie ma. Wiemy tylko, że przy tego typu postępowaniu można postawić pytanie, czy aby nie mieli racji specjaliści, którzy kilka miesięcy temu pisali, że nie chodzi w tym wszystkim o bezpieczeństwo danych osobowych a o pieniądze, pod hasłem bezpieczeństwa.

Podkreślmy też, że te 2.8 MLN PLN to już kara “po rabacie” za dobrą współpracę. Prezes UODO napisał:

“Przy ustalaniu jej wysokości Prezes UODO wziął jednak pod uwagę okoliczności łagodzące, jak np.: podjęcie przez spółkę działań zmierzających do usunięcia naruszenia, dobrą współpracę
z administratorem oraz to, że wcześniej spółka nie dopuściła się naruszenia przepisów
 o ochronie danych osobowych.”

Gdyby więc nie ta współpraca, należy spodziewać się, że byłoby drożej.

Historia całej sytuacji w telegraficznym skrócie:

  •  21 listopada 2018 niebezpiecznik.pl opublikował pierwsze ostrzeżenie skierowane do klientów morele.net.
  •  morele.net na swej stronie opublikowało komunikat:
    “Nie jesteśmy źródłem danych, nasza baza danych jest ściśle chroniona. Wiadomości najprawdopodobniej wysyłane są losowo, a ich zbieżność z Państwa zamówieniami to wynik masowości całego procederu”.
  •  6 grudnia 2018 komunikat został zaktualizowany. Powyższa treść została z niego usunięta.
  • Następnie morele.net całkowicie usuwa oświadczenie ze swojej strony.
  • 18 grudnia 2018 spółka rozpoczyna informowanie klientów o tym, że ich dane adresowe i zakodowane hasła zostały wykradzione.
  • 20 grudnia 2018 ujawnia się osoba, która podaje się za hakera. Wykorzystuje do tego celu popularny serwis wykop.pl.
  •  Tydzień później włamywacz informuje publicznie, że złamał już 350 000 haseł do kont użytkowników. 
  • Na jaw wychodzi wówczas, że firma nie wymusiła resetu haseł użytkowników! 
  • Okazuje się również, że wśród wykradzionych kont były także te, które użytkownicy wykasowali – wynika z tego, że konta kasowane nie były. Uniemożliwiano jedynie zalogowanie się na nie ich użytkownikom. Takich kont było 1849.
  • 6 lutego 2019 docierają do wiadomości publicznej informacje, że włamywacz nadal korzysta z wykradzionej bazy danych, wykorzystując ją do kontaktu z użytkownikami.

Linki do artykułu

Skontaktuj się z nami

Podane przez Ciebie dane osobowe wykorzystamy wyłącznie do udzielenia odpowiedzi na Twoje pytania. Poniżej znajdziesz szczegóły na temat przetwarzania przez nas Twoich danych osobowych.
  • Administratorem Twoich danych osobowych jest firma DataLex Rafał Kosuń z siedzibą w 32-566 Brodła, ul. Środkowa 4, NIP: 9542243117.
  • Twoje dane osobowe wysłane za pomocą powyższego formularza przetwarzać będziemy w celu prowadzenia z Tobą korespondencji, odpowiedzi na ewentualne pytania oraz wykonania wyraźnych próśb zawartych przez Ciebie w wiadomościach.
  • Cel wynika z prawnie uzasadnionych interesów Administratora na podstawie art. 6 ust. 1 lit. f Rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych).
  • Twoje dane udostępniać będziemy podmiotom uprawnionym do dostępu do danych osobowych na podstawie przepisów prawa oraz powierzać wyłącznie podmiotom świadczącym na naszą rzecz usługi wsparcia, w tym w szczególności dostawcom usług IT i innym firmom usługowym tylko na podstawie zawartych umów i na wyraźne polecenie i w imieniu Administratora.  
  • Twoje dane osobowe przetwarzać będziemy, dopóki istnieć będzie potrzeba kontaktu, jak również w celu archiwizacji korespondencji do czasu istnienia tej potrzeby po naszej stronie, nie dłużej niż 5 lat z upływem na koniec roku kalendarzowego w którym wypada usunięcie danych lub też do czasu realizacji wniesionego przez Ciebie sprzeciwu lub żądania usunięcia danych.
  • Masz prawo żądania dostępu do treści swoich danych, sprostowania, usunięcia, ograniczenia przetwarzania, przenoszenia, wniesienia sprzeciwu w stosunku do danych osobowych, których podanie jest dobrowolne. Przykładamy ogromną wagę do bezpieczeństwa Twoich danych, jeśli jednak uznasz, że przetwarzając dane naruszamy przepisy, masz prawo wniesienia skargi do Prezesa Urzędu Ochrony Danych Osobowych.
  • Jeżeli masz jakiekolwiek pytania odnośnie przetwarzania przez nas Twoich danych osobowych, w tym praw jakie Ci w związku z tym przysługują, możesz się z nami skontaktować pisząc na adres: rodo@datalex.pl lub telefonicznie: +48663307507.
  • Administratorem Twoich danych osobowych jest firma DataLex Rafał Kosuń z siedzibą w 32-566 Brodła, ul. Środkowa 4, NIP: 9542243117.
  • Twoje dane osobowe wysłane za pomocą powyższego formularza przetwarzać będziemy w celu prowadzenia z Tobą korespondencji, odpowiedzi na ewentualne pytania oraz wykonania wyraźnych próśb zawartych przez Ciebie w wiadomościach.
  • Cel wynika z prawnie uzasadnionych interesów Administratora na podstawie art. 6 ust. 1 lit. f Rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych).
  • Twoje dane udostępniać będziemy podmiotom uprawnionym do dostępu do danych osobowych na podstawie przepisów prawa oraz powierzać wyłącznie podmiotom świadczącym na naszą rzecz usługi wsparcia, w tym w szczególności dostawcom usług IT i innym firmom usługowym tylko na podstawie zawartych umów i na wyraźne polecenie i w imieniu Administratora.  
  • Twoje dane osobowe przetwarzać będziemy, dopóki istnieć będzie potrzeba kontaktu, jak również w celu archiwizacji korespondencji do czasu istnienia tej potrzeby po naszej stronie, nie dłużej niż 5 lat z upływem na koniec roku kalendarzowego w którym wypada usunięcie danych lub też do czasu realizacji wniesionego przez Ciebie sprzeciwu lub żądania usunięcia danych.
  • Masz prawo żądania dostępu do treści swoich danych, sprostowania, usunięcia, ograniczenia przetwarzania, przenoszenia, wniesienia sprzeciwu w stosunku do danych osobowych, których podanie jest dobrowolne. Przykładamy ogromną wagę do bezpieczeństwa Twoich danych, jeśli jednak uznasz, że przetwarzając dane naruszamy przepisy, masz prawo wniesienia skargi do Prezesa Urzędu Ochrony Danych Osobowych.
  • Jeżeli masz jakiekolwiek pytania odnośnie przetwarzania przez nas Twoich danych osobowych, w tym praw jakie Ci w związku z tym przysługują, możesz się z nami skontaktować pisząc na adres: rodo@datalex.pl lub telefonicznie: +48663307507.

Przeczytaj inne nasze artykuły

Zobacz co ciekawego mamy w naszym sklepie