Co wydarzyło się w Morele.net?
W 2018 r. media obiegła informacja o incydencie związanym z nieuprawnionym dostępem do danych klientów sklepu internetowego Morele.net. Otrzymywali oni smsy z komunikatem o konieczności dokonania dopłaty z odesłaniem do fałszywych witryn z płatnościami. Hackerzy uzyskali dostęp do danych ponad 2 milionów osób. W 2019 r. Prezes UODO wydał decyzję nakładającą na spółkę administracyjną karę pieniężną w wysokości ponad 2,8 mln zł, którą ostatecznie uchylił NSA w 2023 r.
Z decyzją organu nadzorczego z dnia 10 września 2019 r. od początku nie zgadzał się administrator danych osobowych. Zaskarżył decyzję do Wojewódzkiego Sądu Administracyjnego, który utrzymał decyzję Prezesa UODO w mocy. Dlatego też nikt nie spodziewał się, że skarga kasacyjna administratora będzie skuteczna. Tymczasem Naczelny Sąd Administracyjny uchylił wyrok WSA i decyzję organu nadzorczego. Zasądził od Prezesa UODO na rzecz Morele.net 65 tys. zł tytułem zwrotu kosztów postępowania sądowego (orzeczenie jest prawomocne). Aby lepiej zrozumieć, co stoi za taką decyzją sądu, warto przyjrzeć się całościowo tej sprawie - od wycieku danych, do wyroku NSA.
Wyciek danych czy atak hackerski?
W kontekście Morele.net mówiło się na początku o wycieku danych, jednak takowy nie miał wtedy miejsca. Dostęp do danych klientów uzyskali hackerzy. Wykorzystali dane do generowania wiadomości sms z linkami, po kliknięciu których użytkownik był kierowany do fałszywej strony płatności, która miała służyć przejęciu danych dostępowych do konta bankowego klienta, a następnie kradzieży pieniędzy z rachunku. Firma dokonała zgłoszenia o naruszeniu jeszcze w listopadzie 2018 r. na skutek zgłaszanych przez klientów informacji o próbie wyłudzenia.
Reakcja z opóźnieniem
Dopiero po ponad miesiącu Morele.net wydało oświadczenie dotyczące tego zdarzenia. Spółka wskazała jaki zakres danych wpadł w ręce nieuprawnionych osób, zapewniła także, że dostęp został wykryty i zablokowany. Firma rozpoczęła także zawiadamianie osób, których dane dotyczą o naruszeniu, co można uznać za realizowanie obowiązku wynikającego z art. 34 RODO. Pierwsze oficjalne stanowisko potwierdzające kradzież danych zbiegło się z upublicznieniem wykradzionej bazy danych w Internecie.
Przetwarzanie danych bez podstawy
Część klientów Morele.net korzystało z możliwości ratalnych spłat zakupów. Wiązało się to jednak z udostępnieniem spółce większej ilości danych (w tym m.in. nr PESEL) a także zapamiętaniem wprowadzonych danych, w celu umożliwienia szybszego wypełniania wniosku w przyszłości. W przypadku zakupów ratalnych sklep był jedynie pośrednikiem przekazującym dane osobowe do współpracującego banku. Prezes UODO po analizie stwierdził, że pozyskiwanie tych danych wymagało uprzedniej świadomej i dobrowolnej zgody klienta. Spółka nie dostarczyła jednak organowi nadzorczemu wystarczającego dowodu, że skutecznie pozyskała zgody, więc wg UODO przetwarzanie tych danych odbywało się z naruszeniem zasad legalności przetwarzania danych.
Niewystarczające zabezpieczenia
W toku kontroli Prezes UODO stwierdził także, że środki organizacyjne i techniczne stosowane w firmie nie były adekwatne do ryzyk i zagrożeń dla ochrony danych. I choć w decyzji brakuje szczegółowych danych w tym zakresie, w doniesieniach medialnych mówiono, że stosowana przez Morele.net metoda „hashowania” haseł użytkowników, była jedną ze słabszych i oszuści mniej więcej miesiąc po kradzieży danych informowali, że udało im się to zabezpieczenie złamać.
WSA utrzymał decyzję PUODO w mocy
Spółka zaskarżyła decyzję organu nadzorczego do WSA . Sąd ten przyjął, że decyzja zawiera poprawnie sformułowane rozstrzygnięcie i podzielił zawarte w niej stanowisko Prezesa UODO dotyczące m.in. naruszenia zasady poufności. Zdaniem WSA środek uwierzytelniania, z którego korzystała spółka, był niewystarczający. Zabrakło również oceny ryzyka związanego z możliwością uzyskania nieuprawnionego dostępu do panelu pracownika. Znaczenie dla sprawy w ocenie WSA miał również fakt, że spółka przetwarzała dane osobowe ponad 2 mln użytkowników, co powinno w praktyce oznaczać częstsze ocenianie i monitorowanie potencjalnych zagrożeń naruszenia danych. W związku z tym powinny zostać dobrane odpowiednie środki techniczne i organizacyjne adekwatne do ryzyka, co wynika z art. 32 RODO.
WSA podkreślił, że wdrożenie organizacyjnych i technicznych środków bezpieczeństwa nie może być jednorazowe. Administrator powinien stale obserwować i dostosowywać środki to aktualizujących się ryzyk. W konsekwencji powinien również zapewnić dowody przeprowadzania oceny, celem wywiązania się z obowiązku rozliczalności. Ona bowiem nie ma tylko wymiaru aktualnego, ale również historyczny, co również wskazała Ekspertka Joanna Łukaszyk.
NSA uchylił wyrok WSA i decyzję PUODO
Naczelny Sąd Administracyjny nie zgodził się z wnioskami WSA i uchylił zarówno orzeczenie jak i decyzję PUODO. Wskazał, że głównym problemem było nieprecyzyjne opisanie naruszenia prawa w decyzji PUODO oraz odstąpienie od jednolitego rozstrzygania spraw o takim samym podłożu prawnym. Tym samym NSA uznał, że w sprawie doszło do naruszenia prawa do obrony. Z wyroku NSA dowiadujemy się, że „Jakkolwiek ustawa z 14 czerwca 1960 r.- Kodeks postępowania administracyjnego (Dz. U. z 2018 r. poz. 1000 z późn. zm.) nie przewiduje wprost "prawa do obrony", to szereg uprawnień składających się na to prawo można wywieść z art. 10 k.p.a. oraz przepisów stanowiących konkretyzację zasady czynnego udziału, takich jak art. 78 k.p.a.”. Wyrok NSA jest prawomocny, a PUODO opublikował swoje stanowisko w tej sprawie.
Julia Magulska
Redakcja Publikacji Elektronicznych