Morele.net się wyślizgnęło. Nie zapłaci kary za wielki wyciek danych
Naczelny Sąd Administracyjny uchylił w czwartek karę, jaką spółka Morele.net miała zapłacić za pamiętny wyciek danych.
Przypomnijmy, rekordową wówczas karę 2,83 mln zł nałożono na spółkę Morele.net we wrześniu 2019 roku. Po tym, jak nieznany napastnik uzyskał dostęp do bazy danych klientów sklepu, narażając ich na spam oraz ataki phishingowe. Decyzję taką wydał prezes Urzędu Ochrony Danych Osobowych, a następnie podtrzymał Wojewódzki Sąd Administracyjny w Warszawie.
Morele.net jednak kary nie zapłaci, a to za sprawą decyzji NSA – donosi „Dziennik Gazeta Prawna”. Z niewiadomego jeszcze względu, bo na posiedzeniu niejawnym, pierwotny wyrok uchylono.
Spółka skarżyła się na błędy proceduralne i pozbawienie jej prawa do obrony
Według dostępnych danych, Morele.net miało liczne zarzuty proceduralne. Jak przekonywali prawnicy firmy, przez cały czas nie było wiadome, do czego się właściwie odnieść. UODO po swojej stronie wskazywał zaś na zaniedbania w zakresie ochrony kont użytkownika, do których zaliczono przede wszystkim wyłącznie jednoetapowe logowanie do panelu klienta.
Dla poszkodowanych skutki wycieku danych z Morele.net, mimo upływu czasu, wciąż pozostają odczuwalne. Kopia bazy najpierw sprzedawana była na czarnym rynku, a następnie upubliczniona na hakerskich forach. Nie da się zliczyć naciągaczy, którzy położyli na niej ręce.
Abstrahując od adresów e-mail i numerów telefonów, najgorsze w wycieku było to, że miejscami zawierał także numery PESEL i skany dowodów. Były to wprawdzie przypadki jednostkowe, gdyż ograniczające się do osób wypełniających w serwisie wnioski ratalne i wyrażających zgodę na zapisanie danych w celu późniejszego wykorzystania, ale mimo wszystko obecne.
Z punktu widzenia konsumenta, nie pomogła też niezwykle mętna komunikacja, jaką sklep prowadził wokół incydentu. Na przykład wspomniany wątek z PESEL-ami oraz dowodami został wyjaśniony dopiero wtedy, gdy niezbite dowody na ich wyciek przedstawił serwis „Niebezpiecznik”.
