aktualności

Sprawa Morele: piłka nadal w grze

Czy głośny wyrok NSA zmienia reguły postępowania? Wbrew pozorom nie jest niczym nowym i nie będzie tak, że powołanie biegłego stanie się teraz standardem w sporach z UODO. Nie zawsze zresztą taka opinia da przewagę spółce. I w przypadku Morele też tak mogło być

Zanim zdążyliśmy dokładnie zapoznać się z wyrokiem Naczelnego Sądu Administracyjnego z 9 lutego 2023 r. (sygn. akt III OSK 3945/21), stał się on już w świadomości wielu swoistym punktem zwrotnym w standardach ochrony danych osobowych. Uchyla on bowiem poprzedni wyrok wojewódzkiego sądu administracyjnego i decyzje Urzędu Ochrony Danych Osobowych nakładającą ogromną (prawie 3 mln zł) karę na administratora danych, m.in. z tytułu nieodpowiedniego zabezpieczenia danych. Ale czy w istocie zmienia to zasady gry, skoro UODO ponownie wyda decyzję w niniejszej sprawie? Piłka nadal jest zatem w grze.

Postanowiliśmy przyjrzeć się tej sprawie z perspektywy przedsiębiorców (administratorów danych i podmiotów przetwarzających) i zastanowić, co w istocie wydarzyło się 9 lutego br. i jaki ma to lub powinno mieć wpływ na projektowanie systemu ochrony danych osobowych w Polsce, w tym na przebieg postępowań prowadzonych przed UODO. Zacznijmy od krótkiego przypomnienia samej sprawy.

Zarys sprawy

Spółka Morele.net zarządza wieloma popularnymi sklepami internetowymi (10 innych portali poza flagowym morele.net), a w czasie ataku hakerskiego, którego stała się celem pod koniec 2018 r., administrowała bazą danych 2,2 mln osób, przy czym 35 tys. rekordów zawierało dane dotyczące sytuacji osobistej, majątkowej (dochodów), w tym także PESEL. W wyniku ataku doszło do wycieku danych osobowych klientów. Po nieudanej próbie szantażu wykradziona baza została udostępniona w internecie, a część klientów otrzymała SMS-y z prośbą o dopłatę do zamówienia w wysokości 1 zł za pomocą fałszywej bramki DotPay (ok. 600 osób). Tym sposobem oszuści w drodze phishingu mogli pozyskać dostęp do loginów i haseł rachunków bankowych osób objętych wyciekiem.