Prawie trzymilionowa kara za wyciek danych dla spółki prowadzącej sklepy internetowe

BIULETYN SAMORZĄDOWCA / ANALIZY SAMORZĄDOWE - SAS5/2019

Jakie wnioski powinien wyciągnąć każdy administrator danych z decyzji Prezesa Urzędu Ochrony Danych Osobowych z 10 września 2019 r.

WYCIEK DANYCH to hasło pojawia się niezwykle często w różnego rodzaju doniesieniach medialnych. Serwisy internetowe informowały swoich czytelników w ostatnich dniach o wycieku danych klientów spółki mFinanse S.A. (grupa mBanku) czy spółki PKO Leasing S.A. – obie organizacje padły ofiarą hakerów. Taki sam los spotkał w listopadzie 2018 r. Spółkę Morele.net Sp. z o.o., właściciela sklepów internetowych: morele.net, hulahop.pl, amfora.pl, pupilo.pl, trenujesz.pl, motoria.pl, digitalo.pl, ubieramy.pl, meblujesz.pl, sklep-presto.pl, budujesz.pl. W związku z tym zdarzeniem Prezes Urzędu Ochrony Danych Osobowych wszczął postępowanie kontrolne, w którym stwierdził uchybienia w zakresie wypełnienia przez administratora danych osobowych obowiązków z rozporządzenia Parlamentu Europejskiego i Rady UE 2016/679 z dnia 27 kwietnia 2016 r., w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych – dalej RODO). Następnie Prezes UODO wszczął postępowanie administracyjne w celu wyjaśnienia okoliczności sprawy.
W wyniku tego postępowania Prezes Urzędu Ochrony Danych Osobowych w dniu 10 września 2019 r. wydał decyzję, w której, stwierdzając naruszenie przez Morele.net Sp. z o.o. przepisów art. 5 ust. 1 lit. a oraz lit. f, art. 5 ust 2, art. 6 ust. 1, art. 7 ust. 1, art. 24  ust. 1, art. 25 ust. 1, art. 32 ust. 1 lit. b, lit. d, art. 32 ust. 2 RODO, nałożył na tę spółkę karę pieniężną w wysokości 2 830 410 zł (co stanowi równowartość 660 000 euro), według średniego kursu euro ogłoszonego przez Narodowy Bank Polski w tabeli kursów na dzień 28 stycznia 2019 r.

W przedmiotowej decyzji spółce zarzucono, że w procesie przetwarzania danych osobowych naruszyła przepisy o ochronie danych osobowych. Uchybienia te polegały na:

  • naruszeniu przez spółkę zasady poufności danych, wyrażonej w art. 5 ust 1 lit. f RODO, odzwierciedlonej w postaci obowiązków określonych w art. 24 ust. 1, art. 25 ust. 1 oraz art. 32 ust. 1 lit. b oraz d, art. 32 ust. 2, polegającym na niezapewnieniu bezpieczeństwa i poufności przetwarzanych danych osobowych, co spowodowało, że dostęp do danych osobowych klientów spółki uzyskały osoby nieuprawnione;
  • naruszeniu zasady legalności, rzetelności i rozliczalności, wyrażonych w art. 5 ust 1 lit. a oraz art. 5 ust. 2 RODO, uszczegółowionych w art. 7 ust. 1 oraz art. 6 ust. 1, poprzez niewykazanie, że dane osobowe z wniosków ratalnych, zbierane przed 25 maja 2018 r., były przetwarzane przez Morele.net Sp. z o.o. z siedzibą w Krakowie na podstawie zgody osoby, której dane dotyczyły.

Niniejsze opracowanie poświęcone jest pierwszemu z powyższych naruszeń, które doprowadziło do wycieku danych klientów spółki, a następnie wykorzystania tych danych w celu wyłudzenia środków pieniężnych od podmiotów danych metodą tzw. „phishingu”. W uzasadnieniu omawianej decyzji Prezesa UODO możemy przeczytać: „Jak wynika z raportów rocznych dotyczących działalności CERT Polska za 2016, 2017 i 2018 rok, phishing to jeden z najczęściej występujących typów incydentów i najbardziej wyróżniająca się kategoria na tle pozostałych ataków, a odsetek tego typu incydentów utrzymuje się wciąż na podobnym poziomie (w 2018 r. ok 44 proc.). Jak wskazuje CERT Polska, najbardziej powszechnym motywem przestępców jest chęć pozyskania danych uwierzytelniających do różnych serwisów internetowych, w tym banków. Ponadto scenariusze dotyczące podszywania się pod pośredników płatności, co miało miejsce w stanie faktycznym przedmiotowej sprawy, stały się w 2018 r. najpopularniejszym atakiem na użytkowników bankowości elektronicznej, powodując znaczne straty finansowe. CERT Polska wskazuje, że pierwsze tego typu praktyki miały miejsce już w 2017 r., co potwierdzają również doniesienia prasowe”.
W związku z powyższym wszystkim administratorom danych osobowych nasuwa się pytanie:

JAK ZABEZPIECZYĆ DANE PRZED WYCIEKIEM, BĘDĄCYM WYNIKIEM ATAKU HACKERSKIEGO?

W tym miejscu warto jednak zwrócić uwagę na stanowisko pełnomocnika ukaranej spółki, przedstawione w uzasadnieniu decyzji, zgodnie z którym: „Rozporządzenie 2016/679 nakłada na administratorów obowiązek odpowiednich (do zagrożeń) zabezpieczeń, a nie zabezpieczeń skutecznych w każdych okolicznościach. Ryzyko związane z przetwarzaniem zawsze istnieje, niezależnie od zastosowanych środków. Zadaniem administratora jest to, by je minimalizować, stosując środki adekwatne”.
Takie stanowisko należy w pełni podzielić. Wydaje się bowiem, że nie można dyskutować z faktem, iż żaden administrator nie jest w stanie (niezależnie od zastosowanych środków bezpieczeństwa) zredukować ryzyka utraty poufności danych do zera. Tym bardziej brak jest możliwości całkowitego wyeliminowania ryzyka wycieku danych z systemów informatycznych. Dlatego też niezwykle istotna wydaje się treść przepisu art. 83 ust. 2 d RODO, zgodnie z którym decydując, czy nałożyć administracyjną karę pieniężną, oraz ustalając jej wysokość, zwraca się w każdym indywidualnym przypadku należytą uwagę na stopień odpowiedzialności administratora lub podmiotu przetwarzającego, z uwzględnieniem środków technicznych i organizacyjnych wdrożonych przez nich na mocy art. 25 i 32. Oznacza to, że gdy dojdzie do incydentu skutkującego utratą poufności danych (tj. gdy dojdzie do wycieku danych), organ nadzorczy musi ocenić, czy wdrożone środki bezpieczeństwa były odpowiednie do występującego ryzyka i nie może a priori przyjmować, że sam fakt wycieku danych świadczy o braku odpowiednich środków. Słusznie bowiem zauważył pełnomocnik spółki, że administrator jest zobowiązany do wdrożenia środków odpowiednich do zagrożeń, a nie skutecznych w każdym przypadku. Może bowiem okazać się, że mimo wprowadzenia najwyższej jakości zabezpieczeń, zaangażowania ogromnych środków finansowych i zastosowania najlepszych technologicznie rozwiązań – dojdzie do skutecznego ataku hackerskiego i w konsekwencji do wycieku danych.
Wobec powyższego, prawidłowo postawione pytanie przez administratora danych brzmi:

JAKIE ŚRODKI TECHNICZNE I ORGANIZACYJNE BĘDĄ ODPOWIEDNIE I ZMNIEJSZĄ STOPIEŃ
ODPOWIEDZIALNOŚCI ZA WYSTĄPIENIE NARUSZEŃ?

Przed wejściem w życie RODO administratorzy danych mieli znacznie ułatwione zadanie, gdyż obowiązywało Rozporządzenie Ministra Spraw Wewnętrznych i Administracji z dnia 29 kwietnia 2004 r. w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne, służące do przetwarzania danych osobowych, które dawało konkretne wytyczne co do koniecznych zabezpieczeń, w tym bezpieczeństwa systemów informatycznych. Wypełnienie tych wytycznych było gwarantem zwolnienia administratora z odpowiedzialności za ewentualne naruszenia, w tym za wycieki danych. Obecnie brak jest takiego dokumentu i administratorzy danych muszą opierać się na własnej ocenie ryzyka i poszukiwać odpowiedzi na powyższe pytanie w wystąpieniach Prezesa Urzędu Ochrony Danych Osobowych, który jest jedynym organem w świetle przepisów RODO, który może obecnie dawać wytyczne w tym zakresie.
Niestety omawiana decyzja Prezesa UODO tylko w niewielkim stopniu zawiera przedmiotowe wytyczne. W uzasadnieniu tej decyzji znajduje się bowiem odwołanie do norm ISO (PN-EN ISO/IEC 27001:2017-06 oraz PN-ISO/IEC 29115:2017 07 – „Technika informatyczna – Techniki bezpieczeństwa – Ramy uzasadnionej pewności poziomów uwierzytelnienia”); do wytycznych Europejskiej Agencji ds. Bezpieczeństwa Sieci i Informacji (ENISA); do dokumentu Fundacji OWASP pt. „OWASP Top 10 – 2017”; czy do opracowania amerykańskiej agencji federalnej – Narodowego Instytutu Standaryzacji i Technologii (National Institute of Standards and Technology, NIST) dokumentu – „NIST 800-63B”.
Powyższe opracowania dają jedynie wskazówki i wytyczają pewne standardy, co do zasad wdrażania i funkcjonowania zabezpieczeń systemów informatycznych. Co więcej wdrożenie zasad wskazanych w tych dokumentach, nie jest osiągalne dla większości administratorów danych i w dalszym ciągu muszą oni polegać wyłącznie na własnej ocenie ryzyka i liczyć na to, że wdrożone przez nich zabezpieczenia będą wystarczające.

Urszula Danilczuk-Karnas
adwokat
Karnas. Kancelaria Adwokacka

SPIS TREŚCI

Wydawca: SKIBNIEWSKI MEDIA, Warszawa