Czy największa nałożona kara za naruszenie RODO była słuszna? Sąd oceni, czy zabezpieczenia Morele.net były wystarczające

&lt![CDATA[

Sprawa sięga jesieni 2018 r., kiedy to klienci sklepów Grupy Morele.net zaczęli otrzymywać SMS-y wskazujące na konieczność dopłaty jednego złotego. Link z wiadomości prowadził do podstawionej bramki płatności elektronicznej, za pośrednictwem której oszust mógł zdobyć login i hasło do konta w banku i w ten sposób uzyskać dostęp do środków znajdujących się na rachunku. Nie wiadomo, ile osób padło ofiarą. Jak informował we wrześniu 2019 r. serwis internetowy Niebezpiecznik.pl, zyski przestępcy z takiego procederu mogą wynosić nawet kilkaset tysięcy złotych dziennie.

Dane 2,2 mln klientów

Zaraz po wykryciu kradzieży danych ze swej bazy Grupa Morele.net zgłosiła incydent Urzędowi Ochrony Danych Osobowych. Ten zaś wszczął kontrolę. Objęła ona działalność sklepów internetowych: Morele.net, Hulahop.pl, Amfora.pl, Pupilo.pl, Trenujesz.pl, motoria.pl, Digitalo.pl, Ubieramy.pl, Meblujesz.pl, Sklep-presto.pl, Budujesz.pl. W sumie chodziło o dane ponad 2,2 mln klientów: imię, nazwisko, adres poczty elektronicznej (e-mail), numer telefonu i adres do doręczeń.

Choć decyzja prezesa UODO z 10 września 2019 r. nakładająca na spółkę 2,83 mln zł kary finansowej wskazuje na wiele naruszeń, najważniejsze jest jedno – naruszenie zasady poufności określonej w art. 5 ust 1 lit. f RODO. Mówiąc wprost, chodzi o to, że dane nie były chronione w wystarczający sposób, skoro oszust uzyskał do nich dostęp. Na wysokość kary wpłynęła z jednej strony waga naruszenia, a z drugiej szeroki krąg osób, których dane wyciekły.

„Co istotne, w stosunku do ww. liczby osób w dalszym ciągu istnieje wysokie ryzyko niezgodnego z prawem posłużenia się ich danymi osobowymi, albowiem nieznany jest cel, dla którego osoba nieuprawniona podjęła działania zmierzające do uzyskania dostępu do tychże informacji” – napisano w uzasadnieniu decyzji o nałożeniu kary.

Osoba, która przyznawała się do kradzieży danych (przedstawiała się jako: xArm), twierdziła, że sprzedała bazę w darknecie. Potem, jak wskazywał serwis Niebezpiecznik.pl, miała m.in. obdarowywać zyskami z tego procederu znanych streamerów (osoby transmitujące na żywo w internecie obraz wideo).

Niewystarczające zabezpieczenia?

Zdaniem UODO Morele.net, przetwarzając dane osobowe ponad 2,2 mln klientów, czyli na dużą skalę, a także zważywszy zakres tych danych, powinna skuteczniej monitorować potencjalne zagrożenia. „Regularne testowanie, mierzenie i ocenianie skuteczności środków technicznych i organizacyjnych mających zapewnić bezpieczeństwo przetwarzania jest obowiązkiem każdego administratora oraz podmiotu przetwarzającego wynikającym z art. 32 ust. 1 lit. d RODO. Administrator zobowiązany jest więc do weryfikacji zarówno doboru, jak i poziomu skuteczności stosowanych środków technicznych. Kompleksowość tej weryfikacji powinna być oceniana przez pryzmat adekwatności do ryzyk oraz proporcjonalności w stosunku do stanu wiedzy technicznej, kosztów wdrażania oraz charakteru, zakresu, kontekstu i celów przetwarzania” – napisano w uzasadnieniu.

Zdaniem kontrolerów ukarana spółka jedynie częściowo wywiązywała się z tego obowiązku. Nie oceniała, czy środki techniczne i organizacyjne są adekwatne do istniejącego ryzyka. O tym, że były niewystarczające, świadczy zaś fakt, że doszło do wykradzenia bazy danych.

Na dzisiaj wyznaczono przed Wojewódzkim Sądem Administracyjnym w Warszawie termin rozpoznania skargi na decyzję prezesa UODO. Na tym etapie spółka nie chce zdradzać, co konkretnie kwestionuje.

– Nie zgadzamy się z decyzją i będziemy dążyć do jej uchylenia – ucina Sławomir Kowalski, partner z kancelarii Maruta Wachta reprezentującej Grupę Morele.net w tej sprawie.

Wcześniej, po nałożeniu kary, spółka polemizowała z zarzutami, jakoby jedynie częściowo zapewniała wymagane przepisami środki zabezpieczenia. „Środki stosowane przez spółkę, m.in. zabezpieczenia dostępu oraz monitoring dostępu do panelu zarządzającego, w naszej ocenie nie odbiegały od standardów, a w wielu obszarach je przewyższały. Wskazanie na niedopełnienie obowiązku zastosowania odpowiednich środków technicznych i organizacyjnych wskazuje na jedno konkretne rozwiązanie, pomijając inne środki bezpieczeństwa oraz procesy obowiązujące w spółce. Poziom bezpieczeństwa systemów informatycznych powinien być analizowany jako całość. Z tego też powodu będziemy korzystać z dostępnych nam dróg odwoławczych” – napisała w oświadczeniu.

Testowanie i ocenianie skuteczności środków zabezpieczających przetwarzanie danych jest obowiązkiem administratora

]]
Więcej informacji

Prawo budowlane w Polsce

Prawo budowlane – najważniejsza polska ustawa z zakresu projektowania, budowy, nadzoru, utrzymania i rozbiórki obiektów budowlanych oraz zasad działania organów administracji publicznej w tym zakresie.

Ustawa reguluje także sprawy związane z:

  • ochroną środowiska podczas działań związanych z wykonywaniem rozbiórek, wznoszenia nowych obiektów i ich utrzymania
  • miejscem realizacji inwestycji i sposobem uzyskiwania pozwolenia na budowę oraz rozbiórkę, a także określeniem rodzajów robót budowlanych i budów niewymagających pozwolenia na budowę
  • oddawania obiektów budowlanych do użytkowania
  • prowadzeniem działalności zawodowej osób związanych z budownictwem (uprawnień do wykonywania samodzielnych funkcji w budownictwie, tzw. uprawnienia budowlane) i ich odpowiedzialnością karną i zawodową
  • prawami i obowiązkami uczestników procesu budowlanego
  • postępowaniem w wypadku katastrofy budowlanej.

Pierwszy akt prawny, w którym można dopatrywać się odpowiednika obecnej ustawy Prawo budowlane, powstał 16 lutego 1928 roku. Było to rozporządzenie Prezydenta Rzeczypospolitej Polskiej o „prawie budowlanym i zabudowaniu osiedli”. Przepis ten był bardzo obszerny, liczył aż 422 artykuły i jako rozporządzenie wydany został z mocą ustawy (wg przedwojennych uregulowań prawnych zawierał artykuły). Tak duża liczba umieszczonych w nim artykułów absolutnie nie oznacza jednak, że był on bardziej złożony i skomplikowany od obecnych przepisów. Jego objętość wynikała wyłącznie z prostego faktu, że obszar kodyfikacji w nim zawartej był bez porównania szerszy niż w obecnej ustawie Prawo budowlane. Oprócz dzisiejszych kwestii wchodzących w sferę zainteresowania Prawa budowlanego znalazły w nim miejsce liczne zagadnienia z zakresu dzisiejszej ustawy o gospodarce nieruchomościami, ustawy o planowaniu i zagospodarowaniu przestrzennym, ochrony przeciwpożarowej, prawa cywilnego, ustawy o drogach publicznych, prawa lokalowego czy wreszcie dzisiejszych przepisów techniczno -budowlanych dla części obiektów budowlanych.

Ostatni przedwojenny tekst jednolity rozporządzenia z 1928 roku ukazał się w Dzienniku Ustaw nr 34 z 17 kwietnia 1939 roku pod pozycją 216.

Dowodem uniwersalności przedwojennego prawa budowlanego może być fakt, że zostało ono zastąpione przez nowe przepisy dopiero po ponad 33 latach, 13 sierpnia 1961 roku, kiedy to jego miejsce zajęła ustawa Prawo budowlane z 31 stycznia 1961 roku, opublikowana w Dzienniku Ustaw nr 7 z 1961 roku pod pozycją 46.

Ówczesna, pierwsza polska powojenna ustawa budowlana, była już znacznie odchudzona, liczyła zaledwie 96 artykułów i przetrwała jako akt obowiązującego prawa przez kolejnych blisko 14 lat, aż do l marca 1975 roku. O jej precyzji i jednoznaczności oraz adekwatności w opisie procesu budowlanego rzeczywistości lat 60-tych może świadczyć fakt, że w okresie wspomnianych 14 lat dokonano zaledwie dwóch niewielkich nowelizacji jej pierwotnego tekstu.

Od l marca 1975 roku weszła wżycie kolejna, nowa ustawa Prawo budowlane. Jej wprowadzenie związane było z przeżywanym w tym okresie znacznym ożywieniem gospodarczym, związanym z chwytliwym hasłem „budowy drugiej Polski”, w sposób szczególnie duży przekładającym się na skalę rozpoczynanych i prowadzonych wówczas inwestycji budowlanych.

Ustawa ta zawierała tylko 71 artykułów, a ważniejsze zmiany to likwidacja funkcji inspektora nadzoru inwestorskiego (na całe 6 lat, aż do roku 1981, kiedy to w jednej z kolejnych nowelizacji inspektor nadzoru wrócił do tekstu ustawy), zniesienie wymogu zdawania egzaminu przy nabywaniu uprawnień budowlanych, zwanych wówczas „stwierdzeniem posiadania przygotowania zawodowego do pełnienia samodzielnej funkcji technicznej w budownictwie”, itd.

Transformacja ustrojowa początku lat 90-tych wymusiła rozpoczęcie prac nad całkiem nowym prawem budowlanym. Liczne rządowe, resortowe i środowiskowe projekty nowej budowlanej ustawy zasadniczej zostały scalone w 1993 roku w jeden rządowy projekt nowej ustawy i ostatecznie w dniu 7 lipca 1994 roku Sejm przyjął nową ustawę Prawo budowlane, z datą jej wejścia w życie określoną na l stycznia 1995 roku.

Formalnie obowiązuje ona do dnia dzisiejszego, z tym, że ilość nowelizacji, jakim podlegał jej tekst w ciągu 17 lat od momentu wprowadzenia powoduje, że już tylko w bardzo małym stopniu obecne jej zapisy przypominają te, z którymi mieliśmy do czynienia na początku roku 1995.

Dodaj komentarz

Twój adres e-mail nie zostanie opublikowany. Wymagane pola są oznaczone *