• Magdalena Bęza, autor |

Pierwsza taka istotna kara, w wysokości ok. 950 tys. złotych, została nałożona w marcu 2018 roku na wywiadownię gospodarczą, m.in. za niedopełnienie obowiązku informacyjnego względem podmiotów danych (osób, których dane dotyczą). We wrześniu 2019 roku, po przeprowadzonym uprzednio postępowaniu, Prezes UODO wydał kolejną decyzję nakładającą wysoką karę – tym razem na spółkę morele.net sp. z o.o. (dalej „Spółka” lub „morele.net”) prowadzącą sklepy internetowe, w wysokości 2 830 410 złotych (równowartość 660 000 EUR). Kara ta jest najwyższa z dotychczas nałożonych przez Prezesa UODO.

Podstawą nałożenia kary jest zarzut naruszenia przez Spółkę szeregu przepisów RODO, w szczególności zasady poufności danych osobowych poprzez niezapewnienie bezpieczeństwa i poufności danych oraz zasady legalności, rzetelności i rozliczalności, poprzez niewykazanie, że dane osobowe pochodzące ze zbieranych przez Spółkę wniosków ratalnych były przetwarzane na podstawie zgód podmiotów danych. 

Pierwotną przyczyną wszczęcia postępowania przez Prezesa UODO był wyciek danych klientów, którzy zawiadomili Spółkę o otrzymywaniu sms-ów informujących o konieczności dokonania opłaty w wysokości 1 zł, zawierających link do fałszywej bramki płatności. Spółka otrzymała również anonimowe wiadomości mailowe informujące o dokonanej kradzieży bazy danych jej klientów. Łącznie wyciek danych dotyczył ponad 2 200 000 użytkowników. Przede wszystkim, w ocenie Prezesa UODO, Spółka zastosowała niewystarczające środki na poziomie kontroli dostępu i uwierzytelniania do systemów informatycznych i baz danych. W szczególności, zdaniem Prezesa UODO, zastosowany mechanizm uwierzytelniania powinien mieć charakter dwuetapowy (podczas gdy, jak wynika z decyzji Prezesa UODO, Spółka zastosowała mechanizm jednoetapowy). Przykładowo, w ramach takiego dwuetapowego uwierzytelniania żąda się podania hasła oraz dodatkowo kodu otrzymywanego w postaci sms.

Prezes UODO uznał również, że Spółka zastosowała nieskuteczny sposób monitorowania nietypowych zdarzeń w sieci i w konsekwencji nie była w stanie zareagować na zwiększony przesył danych związany z zaistniałym naruszeniem. Powyższe zaniechania doprowadziły, w ocenie Prezesa UODO, do niezapewnienia bezpieczeństwa i poufności danych osobowych na odpowiednim poziomie. Ponadto, Spółka dokonała co prawda powiadomienia UODO oraz klientów o odnotowanym wycieku, natomiast Prezes UODO uznał, że powyższe powiadomienia klientów nie spełniały wymogów nałożonych przez RODO. 

Niezależnie od powyższego, w toku kontroli Spółki ustalono, że Spółka stosowała tzw. autouzupełnianie formularzy ratalnych. Oznacza to, że dane osobowe klientów, pozyskane w trakcie pierwotnie składanych wniosków ratalnych, miały być używane do uzupełnienia kolejnych wniosków. Spółka co prawda usunęła (w grudniu 2018 roku) bazę danych zawierającą dane klientów pochodzące z wniosków ratalnych, nie była natomiast w stanie wykazać, m.in. tego, że klienci wyrazili zgodę na takie przetwarzanie ich danych (tj. dla celów przyszłych wniosków ratalnych).

Mając na uwadze, że dane te były przetwarzane już po wejściu w życie RODO (okres maj – grudzień 2018), w tym zakresie w ocenie Prezesa UODO zostały naruszone wymogi dotyczące legalności i rzetelności przetwarzania danych. 

Wysokość nałożonej kary w okolicznościach analizowanej sprawy należy uznać za kontrowersyjną. Przede wszystkim, z dostępnych informacji wynika, że Spółka podjęła jednak działania mające na celu zabezpieczenie przetwarzanych danych, w szczególności prowadziła badania, weryfikowała zagrożenie i przeprowadziła szereg audytów bezpieczeństwa informatycznego. Ponadto, wydaje się, że o ile ryzyko naruszenia danych osobowych należy jak najdalej ograniczać (co Spółka czyniła), o tyle nie da się go w każdym przypadku wyeliminować całkowicie. Natomiast odnośnie do zarzucanego przetwarzania danych bez podstawy prawnej (brak zgody na przetwarzanie danych dla celów przyszłych wniosków ratalnych) należy wskazać, że Spółka na długo przed przeprowadzeniem kontroli usunęła ze swoich zasobów bazy danych, których dotyczył zarzut Prezesa UODO. Ryzyko naruszenia praw i wolności osób, których dane figurowały w tej bazie, jest zatem ograniczone.

O ile zatem naruszenie przepisów RODO rzeczywiście miało miejsce, wydaje się, że istnieją argumenty mogące przemawiać za (co najmniej) istotnym obniżeniem wysokości nałożonej kary pieniężnej.