Jak pisaliśmy w połowie lutego, Naczelny Sąd Administracyjny uchylił karę, którą nałożył Urząd Ochrony Danych Osobowych na sklep Morele.net. Ponad miesiąc od ogłoszenia, światło dzienne ujrzało uzasadnienie tej decyzji, które rzuca nowe spojrzenie na całą sprawę. O tym dokumencie jako pierwszy napisał serwis Niebezpiecznik.pl.

W orzeczeniu z 9 lutego, które właśnie opublikowano, NSA nie zgadza się co prawda z niektórymi elementami linii obrony Morele, ale ocenia, że nie można sklepu bezsprzecznie obarczyć winą za to, że doszło do wycieku. Sąd argumentuje, że dostęp np. hakera do bazy danych może wystąpić, nawet jeśli zastosuje się najwyższy poziom zabezpieczeń. Wpływ na ostateczną decyzję NSA miał jednak jeden konkretny czynnik.

Przeczytajcie także: • Rząd zrobi konkurencję fintechowi Urban.one

Naczelny Sąd Administracyjny zauważa, że do wycieku doszło w październiku 2018 r., a więc niedługo po tym, jak w życie weszły przepisy RODO (wprowadzono je w maju tego samego roku). UODO prowadząc postępowanie wobec Morele "rozstrzygało sprawę w nowym stanie prawnym". – Organ nie mógł skutecznie powołać się na wiedzę specjalistyczną pracowników urzędu, skoro odnosiła się ona do poprzedniego stanu prawnego – czytam w uzasadnieniu wyroku. NSA ocenia więc, że urząd mógł nie mieć "własnej wiedzy specjalistycznej", by obiektywnie ocenić skalę naruszenia. Dlatego też powinien był powołać biegłego, który takiej oceny by dokonał, o co wnosiło Morele. Tak się nie stało i... to właśnie brak biegłego przesądził o decyzji NSA na korzyść Morele.

W efekcie uchylenia wyroku przez NSA Morele nie tylko nie zapłaci rekordowej (przynajmniej wtedy) kary z 2019 roku w wysokości 2,8 mln zł, ale odzyska koszty postępowania sądowego. Oszacowano je na ponad 65 tys. złotych.

Przeczytajcie także: • Raport "Insurtechy w Polsce, vol. 2" już dostępny

To kończy pierwszą głośną sprawę dotyczącą wycieku danych w Polsce, której początki sięgają 2018 roku. Klienci Morele mieli zaraz po zakupach w tym sklepie otrzymywać wiadomości, jakoby musieli dopłacić 1 zł do zamówienia. SMS-y z taką informacją zawierały też link do fałszywej strony internetowej, na której wyłudzano dane do logowania w banku. Później okazało się, że oszuści bazowali na danych wykradzionych z serwerów Morele.net i weszli w posiadanie danych osobowych 2,2 mln klientów – imion, nazwisk, adresów mailowych czy numeru telefonu.

W reakcji na wyciek we wrześniu 2019 roku Urząd Ochrony Danych Osobowych nałożył na sklep Morele.net karę w wysokości 2,8 mln zł. Firma zaskarżyła tę decyzję urzędu, ale podtrzymał ją Wojewódzki Sąd Administracyjny. Sprawa trafiła ostatecznie do Naczelnego Sądu Administracyjnego (Morele wniosło skargę kasacyjną). Morele w trakcie całej sprawy miało nieprzejrzystą politykę informacyjną: początkowo zaprzeczało, że to baza sklepu jest źródłem wycieku, później to przyznało. Następnie okazało się, że poza numerami itd. w ręce hakerów wpadły też numery PESEL czy skany dowodów osobistych.

Fot. Image by rawpixel.com