Przypominamy, iż decyzją nr ZSPR.421.2.2019 z dnia 10 września 2019 roku Prezes Urzędu Ochrony Danych Osobowych (PUODO) nałożył na Morele.net Sp. z o.o. (Spółka) karę administracyjną w wysokości 2.830 410,00 zł Kara za niewystarczające zabezpieczenie teleinformatyczne, a konkretnie, że Spółka nie wypełniła obowiązku wynikającego z art. 32 ust. 1 i 2 rozporządzenia RODO polegającego na doborze skutecznych środków technicznych i organizacyjnych na poziomie kontroli dostępu i uwierzytelniania, co ostatecznie doprowadziło do nieuprawnionego dostępu do danych osobowych 2,2 mln klientów tej Spółki.
Jak wskazał PUODO cyt. „kontrola dostępu i uwierzytelnianie to podstawowe środki bezpieczeństwa mające na celu ochronę przed nieautoryzowanym dostępem do systemu informatycznego wykorzystywanego do przetwarzania danych osobowych. Zapewnienie dostępu uprawnionym użytkownikom i zapobieganie nieuprawnionemu dostępowi do systemów i usług to jeden z wzorcowych elementów bezpieczeństwa, na którą wskazuje m.in. norma PN-EN ISO/IEC 27001:2017-06.”
Spółka nie zgodziła się z tą decyzją i w odpowiednim trybie złożyła skargę do Wojewódzkiego Sądu Administracyjnego w Warszawie. Sąd jednak podtrzymał w pełni decyzję PUODO zarówno w zakresie zasadności nałożenia kary jak i jej wysokości. „Morele.net, mając na uwadze, że przetwarza dane osobowe 2,2 mln osób, a także zakres tych danych i kontekst powinno skutecznie oceniać związane z tym ryzyko i zagrożenia. (…) RODO wprowadziło podejście oparte na ryzyku. Zrezygnowano z listy wymagań określanych przez ustawodawcę na rzecz samodzielnego doboru środków przez administratora” – stwierdził Sąd.
Co ważne w niniejszej sprawie, należy wskazać, iż podnoszone przez Spółkę, spełnienie przez nią jako administratora danych części z możliwych do zastosowania w danych okolicznościach wymogów bezpieczeństwa, okazało się jednak niewystarczające aby przekonać PUODO i następnie Sąd do uchylenia kary. Spółce przysługuje jeszcze prawo do wniesienia skargi kasacyjnej do Naczelnego Sądu Administracyjnego.
Pozdrawiamy,
Zespół rodo.pl