Grupa Morele.net, na którą prezes Urzędu Ochrony Danych Osobowych (UODO) nałożył we wrześniu 2019 r. rekordową karę 2,8 mln zł za wyciek danych, przekonuje przed sądem, że pozbawiono ją szans na obronę.
Kara była konsekwencją wykradzenia z firmy rok wcześniej przez hakera bazy danych. Klienci internetowych sklepów należących do grupy zaczęli otrzymywać SMS-y wskazujące na konieczność dopłaty 1 zł. Link z wiadomości prowadził do podstawionej bramki płatności elektronicznej, za pośrednictwem której oszust mógł zdobyć login i hasło do konta w banku i w ten sposób uzyskać dostęp do pieniędzy znajdujących się na rachunku.
Grupa Morele.net zaskarżyła decyzję o nałożonej karze do Wojewódzkiego Sądu Administracyjnego w Warszawie. W czwartek odbyła się rozprawa. Pełnomocnicy spółki położyli główny nacisk na zarzuty proceduralne.
– Postępowanie było prowadzone według nieakceptowalnych standardów. Cały czas tak naprawdę nie wiemy, za co została nałożona kara. W decyzji mówi się, że jedynie częściowo spełniliśmy wymogi dotyczące środków bezpieczeństwa, ale nie wiadomo, co to znaczy – argumentował Sławomir Kowalski, partner z kancelarii Maruta Wachta reprezentującej Grupę Morele.net.
– Przez całe postępowanie nie wiedzieliśmy, do jakich zarzutów mamy się odnosić. Pierwsza ich konkretyzacja nastąpiła dopiero w uzasadnieniu decyzji i sprowadzała się do stwierdzenia, że powinniśmy zastosować dwuetapowe uwierzytelnianie. Dlaczego? Tego już nie wiadomo. Pozbawiono nas prawa do obrony – przemawiał.
Chodzi o dostęp do panelu pracownika, który pozwala następnie na dostęp do bazy danych klientów. Zdaniem UODO spółka powinna wdrożyć dwuetapowe zabezpieczenia. Takie choćby, jak są od pewnego czasu stosowane w bankowości elektronicznej (np. SMS z dodatkowym kodem). Tymczasem w 2018 r. pracownicy firmy mieli dostęp do systemu poprzez hasło i login.
UODO w swej decyzji wskazał na wytyczne Europejskiej Agencji ds. Bezpieczeństwa Sieci i Informacji, która rekomenduje dwustopniowe uwierzytelnianie. Powinno ono być wdrożone ze względu na masową skalę przetwarzania danych (w bazie były dane 2,2 mln klientów). Prawnicy spółki podkreślali jednak na rozprawie, że zarzut ten pojawił się dopiero w uzasadnieniu decyzji, więc nie mogli się do niego odnieść. Zwracali też uwagę, że zastosowanie takich ekstraordynaryjnych środków musiałoby wynikać z analizy ryzyka. Ta zaś ich zdaniem nie została przez UODO przeprowadzona. Skoro zaś nie wiadomo, jakie było ryzyko, trudno przesądzać, jakie środki byłyby adekwatne do jego uniknięcia. Zwłaszcza że urząd nie uwzględnił wniosku o przeprowadzenie opinii biegłego.
– Organ uważa, że sam ma wystarczającą wiedzę specjalistyczną. Na jakiej podstawie, skoro w postępowaniu nie uczestniczył z jego strony ktokolwiek mający wiedzę informatyczną? – pytał Sławomir Kowalski.
Zakwestionował również skalę wycieku. UODO w swej decyzji uznał, że chodziło o dane 2,2, mln osób. Tymczasem zdaniem spółki o niepodważalnych dowodach można mówić w przypadku 600 osób.
Pełnomocnicy UODO przekonywali, że decyzja jego prezesa jest słuszna. Ich zdaniem procedury zostały dochowane, w sentencji decyzji organu wskazano przepisy, które zostały naruszone, a uzasadnienie stanowi rozwinięcie zarzutów. Ich zdaniem jest oczywiste, że ukarana spółka nie dochowała należytej staranności. Świadczyć o tym może sam fakt, że wyciekły dane klientów.
– Przy tego rodzaju działalności, jaką prowadzi spółka, ochrona danych osobowych musi być zwiększona. My, klienci, musimy mieć pewność, że nasze dane są chronione na maksymalnym, a nie minimalnym poziomie – zauważył Piotr Wójcik, radca prawny reprezentujący UODO.
Jego zdaniem nałożona kara nie jest wygórowana. Przypomniał, że na British Airways za wyciek danych nałożono w Wielkiej Brytanii sankcję 183 mln funtów.
Sąd odroczył wydanie wyroku ze względu na skomplikowany charakter sprawy.