Prezes Urzędu Ochrony Danych Osobowych nałożył na spółkę Morele.net karę w wysokości ponad 2,8 mln zł. PUODO uznał, że zastosowane przez spółkę środki organizacyjne i techniczne ochrony danych osobowych nie były odpowiednie do istniejącego ryzyka związanego z ich przetwarzaniem, przez co dane około 2.200 tys. osób wyciekły z bazy sklepu. Ponadto, Prezes stwierdził, że spółka nie zastosowała odpowiednich procedur reagowania na tego typu ryzyka.
Nakładając karę, organ nadzorczy stwierdził, że naruszenie, do jakiego doszło w sprawie, miało znaczną wagę i poważny charakter oraz dotyczyło dużej skali osób. W swojej decyzji organ nadzoru wskazał również, że w wyniku naruszenia powstało wysokie ryzyko negatywnych skutków dla osób, których dane dostały się w niepowołane ręce, jak np. tzw. kradzież tożsamości.
W większości skradzione zostały takie dane jak: imię i nazwisko, numer telefonu, e-mail, adres doręczeń. Jednak w przypadku około 35 tys. osób wyciekły dane z ich wniosków ratalnych. Ich zakres obejmował dodatkowo numer PESEL, serię i numer dokumentu tożsamości, wykształcenie, adres zameldowania, adres do korespondencji, źródło dochodu, wysokość dochodu netto, koszty utrzymania gospodarstwa domowego, stan cywilny, wysokość zobowiązań kredytowych czy alimentacyjnych.
Prezes UODO w wydanej decyzji uznał, że spółka nie zastosowała wystarczających technicznych środków ochrony danych, przez co naruszyła m.in. określoną w art. 5 ust. 1 lit f RODO zasadę poufności. Organ uznał, że podmiot posługiwał się nieskutecznym środkiem uwierzytelniania dostępu do danych, co doprowadziło do nieuprawnionego dostępu do danych klientów i ich kradzieży. Ulepszenie zabezpieczeń nastąpiło dopiero po incydencie.
W toku postępowania ustalono, że do naruszenia doszło także z uwagi na nieskutecznie monitorowanie potencjalnych zagrożeń. Ponadto, wykazano także inne uchybienia, jednak to brak odpowiednich środków technicznych (niewystarczające zabezpieczenia) i organizacyjnych (dotyczących monitorowania potencjalnych zagrożeń, związanych z nietypowymi zachowaniami w sieci) przesądził o nałożeniu kary.
Przy ustalaniu jej wysokości Prezes UODO wziął pod uwagę okoliczności łagodzące, jak np. podjęcie przez spółkę działań zmierzających do usunięcia naruszenia, dobrą współpracę
z administratorem oraz brak wcześniejszych przypadków naruszenia przepisów o ochronie danych osobowych.
