09.09.2020

Rekordowa kara za naruszenie przepisów RODO utrzymana w mocy

Michał Czuryło

 

Wyrokiem z 3 września 2020 r. Wojewódzki Sąd Administracyjny w Warszawie oddalił skargę wniesioną przez spółkę Morele.net na decyzję Prezesa UODO z września 2019 r. nakładającą rekordową karę za naruszenie przepisów RODO.

Rekordowa kara

Przypomnijmy – decyzją z dnia 10 września 2019 r. More.net została ukarana przez PUODO karą w wysokości ponad 2,8 mln PLN.

Wśród kilku naruszeń przepisów RODO za najistotniejsze uznane zostało naruszenie zasady poufności danych, wynikającej z przepisu art. 5 ust. 1 lit. f Rozporządzenia. Decyzja została wydana w wyniku postępowania przeprowadzonego z urzędu przez PUODO po tym, jak sam kontrolowany zgłosił organowi podejrzenie wycieku danych jego klientów. Incydent wykryty został w 2018 r., gdy kolejni klienci Grupy Morele.net zaczęli otrzymywać SMSy informujące o zaistnieniu konieczności dopłacenia kwoty 1 PLN  w celu dokończenia realizacji zamówienia oraz zawierające odesłanie do strony umożliwiającej dokonanie płatności. W ten sposób możliwe miało być nieuprawnione pozyskanie loginu i hasła do rachunku bankowego klientów. Pomimo, że nie ustalono ostatecznej liczby ofiar przestępstwa, wskazuje się, że ich liczba mogła osiągnąć nawet 2,2 mln osób – klientów wszystkich sklepów internetowych należących do Grupy Morele.net. To właśnie m.in. znacząca liczba osób, których dane wyciekły, wpłynęła na wysokość nałożonej kary.

Wskazując na obowiązek ciągłego monitorowania adekwatności stosowanych zabezpieczeń, wynikający z przepisu art. 32 ust. 1 RODO, Organ uznał, że Grupa nie zastosowała adekwatnych środków techniczno-organizacyjnych, zapewniających odpowiedni poziom bezpieczeństwa danych, stosując jednoetapowe uwierzytelnienie, jakie uznano za niewystarczające. Spółka miała też niewystarczająco monitorować pojawiające się zagrożenia dla bezpieczeństwa danych.

Organ wziął jednak pod uwagę okoliczności łagodząco wpływające na wymiar kary, takie jak m.in. brak wcześniejszych naruszeń zasad ochrony danych osobowych.

Wyrok

Decyzja została zaskarżona przez Morele.net do Wojewódzkiego Sądu Administracyjnego w Warszawie. W ramach obrony zarzucono między innymi niewystarczające uzasadnienie podstawy nałożenia kary, w tym stwierdzonych uchybień, mające pozbawiać Spółkę prawa do obrony. Morele.net utrzymywała, że zapewnia wystarczające, zgodne z obowiązującymi standardami.

Stanowisko Morele.net nie zostało jednak zaaprobowane przez sąd rozpoznający skargę. Sąd przychylił się do zasadności decyzji PUODO utrzymując ją w mocy.

Podzielając stanowisko o zasadności nałożenia kary, Sąd za adekwatną uznał również wysokość kary. Ze względu na stopień naruszenia obowiązków oraz wspomniany powyżej rozmiar wycieku danych, Sąd uznał, że wysokość kary jest uzasadniona, spełniając przy tym swoje cele, jako odstraszająca, a przy tym uzasadniona i proporcjonalna.

 

Wyrok WSA w Warszawie nie jest prawomocny. Grupie przysługuje prawo do zaskarżenia go skargą kasacyjną do Naczelnego Sądu Administracyjnego.

Chcesz być na bieżąco? Zapisz się do naszego newslettera

Zapisując się do naszego newslettera wyrażasz zgodę na przesyłanie drogą e-mail informacji na temat istotnych wydarzeń z dziedziny prawa, zmian legislacyjnych oraz działalności Kancelarii.

czytaj więcej

Administratorem Twoich danych osobowych jest KWKR Konieczny Wierzbicki i Partnerzy S.K.A. z siedzibą w Krakowie, ul. Kącik 4, 30-549 Kraków. Twoje dane będą przetwarzane w celu wysyłki naszego newslettera. Masz prawo do żądania dostępu do swoich danych osobowych, ich kopii, sprostowania, usunięcia lub ograniczenia przetwarzania, a także prawo wniesienia sprzeciwu wobec przetwarzania oraz wniesienia skargi do organu nadzorczego. Więcej szczegółów znajdziesz w naszej Polityce Prywatności.

Kontakt

KWKR Konieczny Wierzbicki i Partnerzy S.K.A.
Strona jest chroniona przez Google reCAPTCHA v3. Więcej informacji o Google reCAPTCHA znajduje się w polityce prywatności i warunkach świadczenia usług.

Administratorem Twoich danych osobowych jest
KWKR Konieczny Wierzbicki i Partnerzy S.K.A. z siedzibą w Krakowie, ul. Kącik 4, 30-549 Kraków. NIP: 9452181482 REGON: 123240424
Przetwarzamy Twoje dane wyłącznie w celu udzielenia odpowiedzi na wiadomość przesłaną przez formularz kontaktowy i dalszej komunikacji (co stanowi nasz prawnie uzasadniony interes) – przez czas nie dłuższy niż konieczny do udzielenia Ci odpowiedzi, a potem przez okres przedawnienia ewentualnych roszczeń. Masz prawo do żądania dostępu do swoich danych osobowych, ich kopii, sprostowania, usunięcia lub ograniczenia przetwarzania, a także prawo wniesienia sprzeciwu wobec przetwarzania oraz wniesienia skargi do organu nadzorczego. Więcej szczegółów znajdziesz w naszej Polityce Prywatności.
Warszawa

Rondo ONZ 1,

00-124 Warszawa,

+48 12 3957161

kontakt@kwkr.pl

Chcesz być na bieżąco? Zapisz się do naszego newslettera

Zapisując się do naszego newslettera wyrażasz zgodę na przesyłanie drogą e-mail informacji na temat istotnych wydarzeń z dziedziny prawa, zmian legislacyjnych oraz działalności Kancelarii.

czytaj więcej

Administratorem Twoich danych osobowych jest KWKR Konieczny Wierzbicki i Partnerzy S.K.A. z siedzibą w Krakowie, ul. Kącik 4, 30-549 Kraków. Twoje dane będą przetwarzane w celu wysyłki naszego newslettera. Masz prawo do żądania dostępu do swoich danych osobowych, ich kopii, sprostowania, usunięcia lub ograniczenia przetwarzania, a także prawo wniesienia sprzeciwu wobec przetwarzania oraz wniesienia skargi do organu nadzorczego. Więcej szczegółów znajdziesz w naszej Polityce Prywatności.

 

Do you want to be up to date? Sign up for our newsletter

By subscribing to our newsletter, you consent to the sending of information by e-mail on important events in the field of law, legislative changes and the activities of the Law Firm.

read more

The administrator of your personal data is KWKR Konieczny Wierzbicki i Partnerzy S.K.A. with headquarters in Krakow, ul. Kącik 4, 30-549 Krakow. Your data will be processed for the purpose of sending our newsletter. You have the right to request access to your personal data, their copies, rectification, deletion or limitation of processing, as well as the right to object to the processing and to lodge a complaint with the supervisory authority. More details can be found in our Privacy Policy.