Sprawa Morele.net to lekcja dla rynku

SMB stworzył Kodeks postępowania i dobrych praktyk w zakresie ochrony danych osobowych w działaniach marketingu bezpośredniego (nazwa skrócona: KODO). KODO dotyczy branży marketingu bezpośredniego i doprecyzowuje szereg zagadnień wynikających z RODO.

Jego celem jest ułatwienie przedsiębiorcom stosowania wymogów RODO w praktyce. RODO jest bardzo ogólnym aktem prawnym, który najczęściej nie mówi „co” konkretnie należy robić, ale raczej „jak” należy działać i jakimi zasadami się kierować. KODO w ostatecznym kształcie ma zostać zatwierdzony przez Prezesa Urzędu Ochrony Danych Osobowych.

KODO zaopatrzony będzie w szereg praktycznych przykładów i wyjaśnień ułatwiających stosowanie przepisów w praktyce. Po zatwierdzeniu kodeksu przez UODO, będzie on oficjalnym dokumentem prawnym wiążącym dla samego Urzędu oraz sygnatariuszy Kodeksu. Na członkostwo w KODO będzie można powoływać się w relacji z partnerami biznesowymi oraz UODO i będzie to miało pełną moc prawną. Rada ds. RODO przy SMB prowadzi zaawansowane prace nad Kodeksem i jest on na bieżąco konsultowany z przedstawicielami UODO w ramach spotkań roboczych. Niedługo odbędzie się kolejny etap konsultacji społecznych kodeksu. 

SMB jest członkiem FEDMA Europejskiej Federacji Stowarzyszeń Marketingu Bezpośredniego zrzeszającej organizacje z kilkunastu rynków europejskich. FEDMA ma wpływ na ostateczny kształt regulacji europejskich dotyczących marketingu bezpośredniego, a SMB jest jedyną organizacją reprezentującą rynek polski w FEDMA. SMB już od ponad 20 lat bierze aktywny udział w pracach FEDMA, obecnie przede wszystkim w zakresie prac nad regulacjami m.in. związanymi z RODO i e-Privacy, dzięki czemu dysponuje informacjami z pierwszej ręki i ma najlepsze na rynku wyczucie dotyczące kierunków zmian istotnych dla niego regulacji. W pracach FEDMA SMB reprezentowane jest m.in. przez kancelarię prawną CORE Law Grzybowski & Pilc – aktywnego członka Stowarzyszenia. Dzięki swojej aktywności międzynarodowej, SMB może mieć bezpośredni wpływ na kształt przepisów unijnych, a także mieć dostęp do aktualnej i niszowej, a przez to niezwykle cennej wiedzy o trendach prawnych pojawiających się w unijnych instytucjach.

SMB w sposób aktywny monitoruje rynek i wyzwania związane z nowymi regulacjami dotyczącymi ochrony danych osobowych. Reprezentuje branżę marketingu bezpośredniego w rozmowach z UODO, UKE i UOKIK w zakresie działań dotyczących koregulacji rynku. W odpowiedzi na głośny przypadek nałożenia wysokiej kary pieniężnej na właściciela sklepu Morele.net, SMB przygotowało wnioski wynikające z decyzji UODO, przekładające się na konkretne działania i inwestycje w zaplecze techniczne, które dotyczą wszystkich firm przetwarzających dane osobowe. 

19 września 2019 r. Urząd Ochrony Danych Osobowych ogłosił nałożenie kary pieniężnej w kwocie ponad 2.800.000 zł na spółkę Morele.net za niewystarczające zabezpieczenia organizacyjne i techniczne.

Tłem dla nałożenia kary był incydent, który miał miejsce prawie rok temu i polegał na uzyskaniu nieuprawnionego dostępu do systemów IT Morele.net i wykradzeniu danych około 2.200.000 użytkowników. W większości były to takie dane jak: imię i nazwisko, numer telefonu, e-mail, adres doręczeń. Jednak w przypadku około 35 tys. osób wyciekły dane z ich wniosków ratalnych. Zakres danych obejmował dodatkowo numer PESEL, serię i numer dokumentu tożsamości, wykształcenie, adres zameldowania, adres do korespondencji, źródło dochodu, wysokość dochodu netto, koszty utrzymania gospodarstwa domowego, stan cywilny, wysokość zobowiązań kredytowych czy alimentacyjnych.

Nieuprawniony dostęp miał miejsce w dniach 7-14.10.2018. Morele.net stwierdziła incydent w listopadzie 2018 r. na podstawie sygnałów otrzymywanych od klientów, którzy padali ofiarą phishingu przy pomocy ich danych z Morele.net (klienci informowali o otrzymywaniu widomości sms wzywających do dokonania dodatkowej opłaty w wysokości 1 PLN w celu dokończenia realizacji zamówienia wraz z linkiem odsyłającym do fałszywej bramki płatności elektronicznej DotPay).

Jest to z pewnością niezwykle ważna decyzja dla całego rynku, a szczególnie z perspektywy podmiotów bazujących na przetwarzaniu danych online. 

Decyzja dotyczy zabezpieczeń technicznych i organizacyjnych przy przetwarzaniu danych osobowych. Obowiązek stosowania odpowiednich zabezpieczeń jest nałożony na wszystkie podmioty, które przetwarzają dane osobowe, bez wyjątku. Nie jest to sprawa szczególna, która mogłaby dotyczyć tylko wybranej części rynku. Przeciwnie, mówimy tu o wymogach RODO dla każdej firmy. Każda z firm mogłaby potencjalnie znaleźć się z sytuacji Morele.net.

Urząd daje rynkowi silny sygnał, że RODO to konkretne wymagania również w zakresie środków bezpieczeństwa, zwłaszcza technicznych. Kara może być nałożona choćby za sam brak stosowania odpowiednich zabezpieczeń. W centrum uwagi Urzędu są tutaj konkretne środki bezpieczeństwa (techniczne i organizacyjne), które były stosowane przez Morele.net. Urząd Ochrony Danych Osobowych generalnie nie skupia się na kwestiach czysto prawnych (np. poprawności stosowanej dokumentacji). Decyzja w niewielkim stopniu odnosi się do stosowania w ukaranej spółce określonych dokumentów.

Analiza pełnej treści decyzji prowadzi do następujących, kluczowych wniosków:

  1. Przeprowadzanie przez zewnętrznych audytorów testów podatności w kodzie oprogramowania stosowanego do przetwarzania danych nie jest wystarczające.

Morele.net korzystała z zewnętrznych audytorów bezpieczeństwa i wdrażała ich rekomendacje w zakresie zidentyfikowanych podatności w kodzie oprogramowania, który służy do przetwarzania danych osobowych. W ocenie Urzędu nie przeanalizowano jednak dostatecznie innych obszarów ryzyka związanego z uzyskaniem nieuprawnionego dostępu do danych. Atak na Morele.net został przeprowadzony przez użycie konta pracownika spółki, do którego osoba z zewnątrz uzyskała nieautoryzowany dostęp. Konto to pozwalało na bardzo szeroki dostęp do baz danych przetwarzanych przez Morele.net. 

  1. Monitorowanie ruchu sieciowego musi być rzeczywiste. Biorąc pod uwagę ilość przetwarzanych danych i ryzyko z tym związane, stałe monitorowanie ruchu i reagowanie na anomalie powinno być standardem w sytuacji takiej, jak Morele.net. Brak takiego monitorowania może stanowić rażące zaniedbanie.

Morele.net argumentowała, że stale monitoruje swój ruch sieciowy (24/7) i reaguje na ewentualne nieprawidłowości. Urząd w odpowiedzi uznał, że twierdzenia Morele.net są bezpodstawne, ponieważ gdyby rzeczywiście monitorowania ruch i reagowała na anomalie, to incydent zostałby wykryty od razu (w październiku 2018 r.), a nie miesiąc później. W dniach 07.10.2018 - 14.10.2018 r. doszło bowiem do zwiększonego ruchu na bramie sieciowej serwera, a ukarane spółka nie podjęła w tym czasie żadnych działań zaradczych celem uniemożliwienia dostępu do danych około 2.200.000 osób będących klientami Spółki.

  1. Normy ISO i wytyczne Europejskiej Agencji ds. Bezpieczeństwa Sieci i Informacji powinny być wzorem do wdrażania konkretnych środków bezpieczeństwa. Będą one punktem odniesienia dla Urzędu przy ocenie, czy stosowane w firmie środki bezpieczeństwa są wystarczające. Jeśli firma ma wdrożone odpowiednie normy ISO, można generalnie przyjąć, że spełnia wymogi RODO w zakresie bezpieczeństwa.

Zgodnie z art. 32 ust. 1 RODO środki bezpieczeństwa stosowane przy przetwarzaniu danych osobowych powinny być dostosowane m.in. do ryzyka, a także stanu wiedzy technicznej. Przepisy RODO są tu bardzo ogólne i nie dają konkretnych wskazówek. Dlatego zdaniem Urzędu szczegółowych wytycznych należy szukać w szczególności w normach ISO, które są stale aktualizowane. 

Urząd wskazuje, że zapewnienie dostępu uprawnionym użytkownikom i zapobieganie nieuprawnionemu dostępowi do systemów i usług to jeden z wzorcowych elementów bezpieczeństwa, na którą wskazuje m.in. norma PN-EN ISO/IEC 27001:2017-06. 

Urząd podaje również wytyczne Europejskiej Agencja ds. Bezpieczeństwa Sieci i Informacji (ENISA) jako wzór do wdrażania konkretnych środków bezpieczeństwa (dostępne na: https://www.enisa.europa.eu/publications/guidelines-for-smes-on-the-security-of-personal-data-processing)

  1. Jeśli w systemie przetwarzana jest duża ilość danych lub dane podwyższonego ryzyka (wrażliwe), to standardem powinno być stosowanie dwuetapowego (dwuskładnikowego) uwierzytelniania.

Zgodnie z wytycznymi ENISA, na które powołuje się Urząd i które stworzone są z uwzględnieniem norm ISO (w wersji z 2013 r.), w ramach kontroli dostępu i uwierzytelniania rekomenduje się stosowanie m. in. stosowanie mechanizmu uwierzytelnia dwuetapowego dla systemów obejmujących dostęp do danych osobowych.  A więc użytkownicy powinni mieć nadane nie tylko login i hasło, ale również powinien być stosowany dodatkowy etap logowania, np. podanie kodu z SMS. Tego rodzaju wymogi są od 14.09.2019 r. stosowane obowiązkowo przez banki.

  1. W postępowaniu przed Urzędem generalnie nie można się bronić poprzez wnioskowanie o powołanie zewnętrznego biegłego. 

Urząd nie powoływał zewnętrznych specjalistów, choć Morele.net o to wniosła. Prawdopodobnie Urząd wychodzi z założenia, że sam dysponuje odpowiednimi specjalistami i przeprowadzenie dowodu z opinii biegłego nie jest potrzebne. Taka sytuacja może generować ryzyko w kontekście ewentualnego zaskarżenia decyzji o karze do sądu administracyjnego. W postępowaniu przed takim sądem nie ma możliwości powoływania biegłych, a sędziowie z natury rzeczy mogą nie dysponować odpowiednią wiedzą techniczną odnośnie zabezpieczeń IT.

  1. Urząd uznał, że ewentualne usuwanie danych z systemów powinno być przemyślane. Nie można usuwać danych z systemów „ad hoc". 

Morele.net w grudniu 2018 r. stwierdziła, że część danych objętych incydentem była dla niej niepotrzebna. Spółka nie wykorzystywała tych danych do niczego. Usunięto więc bazę, ale nie przeprowadzono w tym zakresie szczegółowej analizy oraz nie udokumentowano usunięcia danych. Nie zachowano informacji o tym, kiedy zebrano te dane, w jaki sposób, na jakiej podstawie itd. Morele.net nie była w stanie podczas kontroli przedstawić klauzul ani wzorów stosowanych zgód, więc Urząd stwierdził, że nie można uznać, że przetwarzanie odbywało się zgodnie z przepisami prawa, w tym na podstawie prawidłowo sformułowanej zgody. 

Według Urzędu takie podejście godzi w podstawowe zasady RODO, bowiem administrator musi zawsze być w stanie wykazać, że dane osobowe są przetwarzane zgodnie z prawem. Wymogi te dotyczą wszystkich etapów przetwarzania danych, co odnosi się  także do sytuacji, gdy występują naruszenia ochrony danych lub w przetwarzaniu zachodzą istotne zmiany. Rozliczalność ma zastosowanie nie tylko w chwili zbierania danych osobowych, ale przez cały czas przetwarzania, bez względu na przekazywane informacje lub sposób komunikacji. Z tych też powodów decyzja Morele.net o usunięciu danych, która nie została poprzedzona utrwaloną analizą świadczy zdaniem UODO o nierespektowaniu podstawowych zasad ochrony danych osobowych.

  1. Naruszeniem praw i wolności związanych z ochroną danych osobowych jest już samo to, że osoba dotknięta incydentem ma uzasadnione podstawy do strachu przed kradzieżą tożsamości lub stratą finansową. 

Urząd uznał, że dla nałożenia kary nie jest wymagane, aby osoby dotknięte incydentem poniosły realną szkodę (np. wzięto na nie kredyt). Zdaniem Urzędu, samo naruszenie poufności danych stanowi szkodę niemajątkową (krzywdę). Osoby fizyczne, do których danych dostęp uzyskano w sposób nieuprawniony mogą bowiem odczuwać strach przed utratą kontroli nad swoimi danymi osobowymi, kradzieżą tożsamości lub oszustwem dotyczącym tożsamości, czy wreszcie przed stratą finansową. Już sam taki strach jest zagrożeniem dla ich praw i wolności.

W decyzji zawarte są również dodatkowe wskazówki dotyczące innych aspektów związanych z przetwarzaniem danych. Urząd potwierdza, jakie informacje o uzyskanych zgodach trzeba zapisywać, aby móc wykazać uzyskanie zgody na przetwarzanie danych:

Za prawidłowe dla celów dowodowych, związanych ze spoczywającym na administratorze w myśl art. 7 ust. 1 rozporządzenia 2016/679 ciężarem dowodu, uznaje się zbieranie i utrwalanie informacji na temat tego, kto udzielił zgody i jaką miała ona treść, kiedy została ona udzielona, jakie informacje otrzymał podmiot danych przy składaniu oświadczenia o wyrażeniu zgody, jakie informacje zostały udzielone o sposobie wyrażenia zgody, oraz czy zgoda została wycofana i jeśli tak, to kiedy. Posiadanie przez administratora ww. informacji, na temat zgody wyrażonej przez osobę, której dane dotyczą stanowi uszczegółowienie ogólnej zasady rozliczalności sformułowanej w art. 5 ust. 2 rozporządzenia 2016/679. W przypadku gdy administrator nie jest w stanie wykazać, że i jaką zgodę na przetwarzanie danych wyraziła osoba, której dane dotyczą, zgoda ta może być kwestionowana. (cytat z decyzji ws. Morele.net)

Bartosz Pilc z kancelarii prawnej CORE Law Grzybowski & Pilc, która jako aktywny członek Stowarzyszenia Marketingu Bezpośredniego DMB reprezentuje branżę marketingu bezpośredniego.

Komentarze

Prosimy o wypowiadanie się w komentarzach w sposób uprzejmy, z poszanowaniem innych uczestników dyskusji i ich odrębnych stanowisk. Komentując akceptujesz regulamin publikowania komentarzy.