Po decyzji Naczelnego Sądu Administracyjnego z dnia 9 lutego 2023 roku, która uchyliła decyzję Prezesa Urzędu Ochrony Danych Osobowych (UODO) nakładającą karę na spółkę Morele.net, organ nadzorczy ponownie przeprowadził postępowanie administracyjne w tej sprawie. Wyniki tego postępowania wykazały, że naruszenie ochrony danych osobowych miało miejsce z powodu braku stosowania przez Spółkę odpowiednich środków zabezpieczeń, co spowodowało wyciek danych osobowych 2,2 miliona osób. Naczelny Sąd Administracyjny nie zakwestionował wszystkich ustaleń Prezesa UODO dotyczących tego naruszenia, ale podważył kompetencje organu odnośnie do oceny zastosowanych przez administratora środków technicznych i organizacyjnych mających zabezpieczyć dane osobowe.
Według sądu organ powinien był udowodnić posiadanie wiedzy niezbędnej do przeprowadzenia takiej analizy zabezpieczeń. Z uzasadnienia wynikało, że Prezes UODO powinien był powołać biegłego lub utworzyć wewnętrzny dokument, który zawierałby wnioski z analizy standardu środków bezpieczeństwa stosowanych przez spółkę, do którego administrator mógłby się odnieść w trakcie postępowania.
W rezultacie, Urząd Ochrony Danych Osobowych (UODO) przeprowadził ponownie postępowanie administracyjne, które wykazało, że spółka Morele.net stosowała niewystarczające środki techniczne wobec istniejącego ryzyka naruszenia ochrony danych. Dodatkowo, nie wprowadzono odpowiednich procedur, które pozwoliłyby reagować na nietypowe zachowania, takie jak wzrost ruchu sieciowego. Niedociągnięcia w zabezpieczeniach potwierdziła „Analiza zastosowanych przez Morele.net sp. o. o.”, opracowana przez organ nadzorczy w celu dostosowania się do wyroku NSA.
W trakcie przeprowadzonej analizy stwierdzono, że administrator nie zastosował szyfrowania części danych (co przyznał), nie wprowadził dwuskładnikowego uwierzytelniania, ani nie przeprowadził analizy ryzyka, która uwzględniałaby potencjalne zagrożenia związane z możliwością logowania się do systemu z sieci publicznej. W efekcie doszło dwukrotnie do nieautoryzowanego dostępu z zewnątrz, w wyniku którego osoba nieupoważniona uzyskała dostęp do danych klientów spółki Morele.net.
Brakowało również rozwiązań technicznych i administracyjnych umożliwiających monitorowanie ruchu w sieci i reagowanie na nieprawidłowości. To potwierdzają ustalenia, które sugerują, że spółka nie była pewna, czy i jakie dane zostały wykradzione z jej zasobów. Wiele z tych rozwiązań administrator wdrożył dopiero po wystąpieniu wycieku danych. W trakcie postępowania administrator sam przyznał, że zaniechanie wdrożenia odpowiednich rozwiązań było jego błędem.
W związku z tym Prezes UODO uznał, że nałożenie kary administracyjnej jest w tej sprawie konieczne i uzasadnione, biorąc pod uwagę wagę, charakter oraz zakres popełnionych naruszeń przez administratora.
Czytaj także: Wojciech Tomaszewski został nowym wiceprezesem Morele.net
