Urząd Ochrony Danych Osobowych nałożył na sklep Morele.net karę finansową w wysokości 2.8 mln zł za to, że dane ponad 2 milionów klientów sklepu dostały się w niepowołane ręce. Spółka nie zgadza się z decyzją UODO i zapowiada złożenie odwołania.
Do wycieku danych ze sklepu Morele.net doszło w grudniu 2018 roku. Klienci zaczęli dostawać podejrzane maile i SMS-y. Firma informowała wówczas, że część danych klientów dostała się w niepowołane ręce, ale nie potwierdziła, jakoby przyczyną wycieku był problem z wewnętrznymi zabezpieczeniami.
Prezes UODO Jan Nowak wydał 10.09.2019 roku decyzję stwierdzającą naruszenie przez Morele.net przepisów RODO. Uzasadniając nałożenie kary finansowej podaje, że spółka Morele.net nie zadbała o wystarczające zabezpieczenia organizacyjne i techniczne, w wyniku czego doszło do wycieku danych klientów na bardzo dużą skalę.
W wyniku zaniedbań wyciekły takie informacje jak: imiona i nazwiska klientów, numer telefonu, adres email i adres dostawy. Dodatkowo w przypadku ok. 35 tys. klientów wyciekły także wnioski kredytowe zawierające dane wrażliwe: PESEL, nr dokumentu tożsamości, adres zameldowania, adres korespondencyjny, źródło i wysokość dochodu, dochód na członka gospodarstwa domowego, wysokość zobowiązań alimentacyjnych oraz kredytowych w innych instytucjach, a nawet wykształcenie i stan cywilny.
Sklep Morele.net w opinii UODO zastosował nieskuteczny środek uwierzytelniania dostępu do danych. Ryzyko naruszenia byłoby znacznie mniejsze, gdyby spółka wdrożyła środki techniczne i organizacyjne adekwatne do skali przetwarzanych danych osobowych oraz wprowadziła procedury reagowania na wypadek nietypowego ruchu w sieci. Brak właściwych zabezpieczeń doprowadził do kradzieży tożsamości klientów sklepu na wielką skalę, co może dla nich oznaczać wysokie ryzyko negatywnych skutków.
Spółka Morele.net wdrożyła odpowiednie zabezpieczenia techniczne już po naruszeniu, nie uchylała się też od współpracy z organem nadzorczym, oraz była to pierwsza taka sytuacja w jej historii – wszystko to stanowiło okoliczności łagodzące podczas ustalania wysokości kary przez UODO.
Morele.net mimo to zapowiada złożenie odwołania od decyzji UODO.