Nałożona na sklep Morele.net kara za wyciek danych osobowych użytkowników wzbudziła znaczne kontrowersje i to po obu stronach barykady. Zdarzają się opinie arcykontrowersyjne (np. ta, że właściwie jest to kara dla ofiary przestępstwa), widziałem także próby przeliczenia kwoty 2,8 mln złotych na liczbę 2,2 mln klientów (daje to ok. 1,02 złotych + VAT od łebka — czyli tanio). Biorąc jednak pod uwagę, że stosowna decyzja PUODO z 10 września 2019 r. (ZSPR.421.2.2019) została już opublikowana, możemy pokusić się o krótką analizę — za co właściwie sklep Morele.net został ukarany?
Formalnie sprawa zaczęła się od dokonanego przez spółkę Morele.net sp. z o.o. zgłoszenia naruszenia ochrony danych osobowych polegającego na uzyskaniu przez osobę nieuprawnioną dostępu do bazy danych klientów prowadzonych sklepów internetowych (morele.net, hulahop.pl, amfora.pl, pupilo.pl, trenujesz.pl, motoria.pl, digitalo.pl, ubieramy.pl, meblujesz.pl, sklep-presto.pl, budujesz.pl).
Nominalnie rzecz zaczęła się w listopadzie 2018 r. od otrzymywanych przez użytkowników Morele.net wiadomości stanowiących klasyczny phishing oraz żądania okupu. Spółka stwierdziła, że dane, którymi posługiwał się oszust, wyciekły z jej systemu, o czym powiadomiono PUODO, zaś stosowną informację opublikowano na stronie internetowej sklepu.
art. 5 ust. 1 lit. f rozporządzenia 2016/679 (RODO)
Dane osobowe muszą być:
f) przetwarzane w sposób zapewniający odpowiednie bezpieczeństwo danych osobowych, w tym ochronę przed niedozwolonym lub niezgodnym z prawem przetwarzaniem oraz przypadkową utratą, zniszczeniem lub uszkodzeniem, za pomocą odpowiednich środków technicznych lub organizacyjnych („integralność i poufność”).
W toku prowadzonej kontroli spółka Morele.net stwierdziła, że jej zdaniem nie naruszyła obowiązków w zakresie zapewnienia poufności przetwarzanych danych osobowych, stosowane zabezpieczenia i rozwiązania techniczne są adekwatne do zidentyfikowanych zagrożeń (są one badane i weryfikowane od lat, na bieżąco), czego dowodzą m.in. udokumentowana analiza procesu przetwarzania danych osobowych, stosowane rozwiązania techniczne, stałe monitorowanie ruchu sieciowego, a także reakcja na wyciek danych. RODO nie nakazuje bowiem stosowania zabezpieczeń skutecznych w każdych okolicznościach (art. 24 RODO i art. 32 RODO) — zabezpieczenia muszą być adekwatne do zagrożeń, zaś ryzyko związane z przetwarzaniem danych istnieje zawsze. Natomiast dane dotyczące wniosków ratalnych zostały już usunięte (bo administrator może usunąć dane osobowe ze względu na cel przetwarzania).
art. 24 ust. 1 RODO
Uwzględniając charakter, zakres, kontekst i cele przetwarzania oraz ryzyko naruszenia praw lub wolności osób fizycznych o różnym prawdopodobieństwie i wadze, administrator wdraża odpowiednie środki techniczne i organizacyjne, aby przetwarzanie odbywało się zgodnie z niniejszym rozporządzeniem i aby móc to wykazać. Środki te są w razie potrzeby poddawane przeglądom i uaktualniane.
W ocenie PUODO nie ma wątpliwości, że sklep Morele.net naruszył następujące reguły ochrony danych osobowych:
- zasadę poufności danych osobowych (art. 5 ust 1 lit. f RODO) — obowiązek zapewnienia bezpieczeństwa i poufności przetwarzanych danych osobowych (art. 24 ust 1, art. 25 ust. 1 oraz art. 32 ust. 1 lit. b oraz d, art. 32 ust. 2 RODO), wskutek czego dostęp do danych klientów uzyskały osoby nieuprawnione;
- zasadę legalności, rzetelności i rozliczalności przetwarzanych danych osobowych (art. 5 ust 1 lit. a oraz art. 5 ust. 2 RODO) poprzez niewykazanie, że dane osobowe z wniosków ratalnych zbierane przed 25 maja 2018 r. były przetwarzane przez Morele.net na podstawie zgody tych osób (art. 7 ust. 1 i art. 6 ust. 1 RODO).
art. 32 ust. 1 RODO
Uwzględniając stan wiedzy technicznej, koszt wdrażania oraz charakter, zakres, kontekst i cele przetwarzania oraz ryzyko naruszenia praw lub wolności osób fizycznych o różnym prawdopodobieństwie wystąpienia i wadze, administrator i podmiot przetwarzający wdrażają odpowiednie środki techniczne i organizacyjne, aby zapewnić stopień bezpieczeństwa odpowiadający temu ryzyku, w tym między innymi w stosownym przypadku:
a) pseudonimizację i szyfrowanie danych osobowych;
b) zdolność do ciągłego zapewnienia poufności, integralności, dostępności i odporności systemów i usług przetwarzania;
c) zdolność do szybkiego przywrócenia dostępności danych osobowych i dostępu do nich w razie incydentu fizycznego lub technicznego;
d) regularne testowanie, mierzenie i ocenianie skuteczności środków technicznych i organizacyjnych mających zapewnić bezpieczeństwo przetwarzania.
Obowiązkiem każdego administratora jest przetwarzanie danych osobowych w sposób zapewniający ich bezpieczeństwo, zwłaszcza ochronę przed niedozwolonym lub niezgodnym z prawem przetwarzaniem oraz przypadkową utratą, uszkodzeniem lub zniszczeniem („poufność i integralność”). Dlatego należy dostosować środki techniczne i organizacyjne bezpieczeństwa, biorąc pod uwagę m.in. charakter i cele przetwarzania, a także ryzyko, zaś środki te powinny być uwzględniane już w fazie projektowania). Tymczasem kontrola wykazała, że wyciek danych spowodował brak doboru skutecznych środków „na poziomie kontroli dostępu i uwierzytelniania” — pozwolił osobie nieuprawnionej na dostęp do danych osobowych sklepu Morele.net. Mimo prowadzonych audytów niewystarczająco oceniono zdolność do ciągłego zapewnienia poufności i nie uwzględniono ryzyk, które to obowiązki są najważniejsze z punktu widzenia bezpieczeństwa przetwarzanych danych.
Skoro wszyscy wiedzą, że przetwarzanie danych tego rodzaju wiąże się ze znacznym ryzykiem phishingu (wyłudzenia płatności elektronicznej na podstawie sfałszowanej wiadomości), to brak skutecznego monitorowania zagrożeń — nietypowym zdarzeniem był w tym przypadku zwiększony przesył danych — przyczyniło się do incydentu. Sklep przez kilka miesięcy nie znał przyczyn zwiększonego przesyłu danych, co oznacza, że nie wdrożono na taką okoliczność skutecznej procedury — skupiono się na testach pod kątem znanych podatności w oprogramowaniu, ale środki pozwalające zapobiec wyciekowi wdrożono dopiero po wycieku…
W odniesieniu natomiast do wniosków ratalnych (autouzupełnianie formularza ratalnego w celu ułatwienia występowanie z kolejnymi wnioskami o zakupy na raty) spółka, spółka ani nie potrafi wskazać uruchomienia tej funkcjonalności, ani nie posiada udokumentowanej analizy procesu przetwarzania danych. Dane z wniosków zostały usunięte po wycieku, ale bez szczegółowej analizy i bez udokumentowania usunięcia danych osobowych.
Oznacza to, że Morele.net ani nie była w stanie wykazać od kiedy dane osobowe z wniosków ratalnych były przetwarzane, ani nawet nie przedstawiła zgód użytkowników na przetwarzanie ich danych w celu ułatwienia wypełniania przyszłych wniosków (o tym, że dwie zgody należy dodać powiedziano sobie dopiero „w związku z RODO” (sic!) — co należy interpretować w ten sposób, że w bazie przetwarzano dane osobowe zebrane bez podstawy prawnej. W konsekwencji należy przyjąć, iż sklep nie wykazał, że przetwarzanie jest zgodne z prawem, zatem naruszył zasadę legalności i rzetelności przetwarzania.
Sumarycznie na wysokość kary pieniężnej (2,8 mln złotych) miały wpływ zaniedbania spółki, przez co doszło do dwukrotnego nieuprawnionego dostępu do danych osobowych 2,2 mln klientów sklepu Morele.net — czego dalszą konsekwencją jest „potencjalna ale realna” możliwość wykorzystania tych danych dla dalszych oszustw. Naruszenie oczywiście miało charakter nieumyślny i powstało wskutek niedochowania należytej staranności (czyli nie można zarzucać celowego wycieku danych), ale odpowiedzialność administratora wynika już z samego faktu rażących zaniedbań (spółka oświadczyła, że ruch był monitorowany 24/7, co okazało się raczej nieprawdą). Okolicznością łagodzącą nie jest szybka reakcja na informacje o phishingu — natomiast zakwalifikowano w ten sposób m.in. wprowadzenie dodatkowych zabezpieczeń, dobrą współpracę z PUODO, brak dowodów, iżby wyciek danych spowodował szkodę majątkową u tych osób (?), a także brak wcześniejszych naruszeń przepisów RODO. Nałożona na Morele.net kara za wyciek danych osobowych w wysokości 2,8 mln złotych (równowartość 660 tys. euro) jest — w ocenie PUODO — adekwatna do sytuacji, a zwłaszcza skali zagrożeń i zaniedbań.
Podsumowując: ujmując rzecz realnie nie można powiedzieć, iżby nałożona na Morele.net kara dotyczyła wycieku danych osobowych użytkowników sklepu. Administrator nie ponosi bowiem odpowiedzialności za to, że został napadnięty i okradziony — jego odpowiedzialność dotyczyć może co najwyżej tego, że dał się napaść i okraść. Obowiązkiem każdego, kto przetwarza dane osobowe jest dopełnienie wszelkich niezbędnych starań w celu prawidłowego zabezpieczenia danych i przeciwdziałanie wszystkim realnym zagrożeniom — skoro realnym zagrożeniem towarzyszącym przetwarzaniu danych w internecie jest wyciek, któremu można zapobiegać (np. poprzez ową analizę ruchu), to brak wdrożenia takich środków oznacza, że serwis nie zastosował wszelkich koniecznych środków technicznych.
I za to właśnie została na spółkę Morele.net nałożona kara — a nie za jako taki wyciek danych osobowych.