Czy kara dla Morele.net oznacza, że UODO będzie teraz nakładać wysokie kary pieniężne?
Nie ukrywajmy, najpierw milion złotych za niedopełnienie obowiązków informacyjnych, teraz prawie 3 miliony za nieskuteczne zabezpieczenie danych – to robi wrażenie. Jeżeli zestawimy to z karami innych europejskich organów, np. dla British Airways (ponad 200 mln euro), Marriott International (ponad 100 mln euro), Google Inc (ponad 50 mln euro), to człowiek zaczyna się zastanawiać, czy jest sens prowadzić biznes. Czy nie jest tak, że gdy zacznie mu się powodzić, to zaraz przyjdą do niego „po pieniądze”. Na marginesie kara nałożona na Morele.net jest w pierwszej 10 najwyższych kar pieniężnych nałożonych dotychczas przez europejskie organy nadzorcze.
Najniższe kary to raptem kilkaset euro. Warto zwrócić uwagę, że od początku bezwzględnego obowiązywania RODO, wszystkie europejskie organy nadzorcze nałożyły łącznie raptem 82 kary finansowe, z czego prawie 70% nie przekracza 50 tys. euro. Myślę, że nie przesadzę stwierdzając, że kary finansowe nie stanowią głównego narzędzia karania administratorów, gdyż skala ich nakładania jest niewielka. Szczególnie, jeżeli porównamy ją z liczbą postępowań prowadzonych przez organy. Prezes UODO w tylko w okresie 25 maja – 31 grudnia 2019 roku otrzymał ok. 4,5 tys. skarg. Dodatkowo prowadził postępowania zgodnie zapowiedzianym planem kontroli. Jak na skalę działalności, liczba nałożonych kar to raptem igła w stogu siana. Analizując same decyzje administracyjne wyraźnie widać, że organ stosuje przede wszystkim nakazy. Oczywiście każdy ma swoją cierpliwość i jeżeli nakaz nie zostanie właściwie zrealizowany przez administratora, może zakończyć się karą, jak to miało miejsce w przypadku Dolnośląskiego Związku Piłki Nożnej. W tym przypadku kara wyniosła „raptem” ok. 55 tys. złotych. Jest to najlepszy dowód na to, że wysokość kary jest proporcjonalna do przychodu administratora i mały podmiot nie otrzyma kary podobnej do tej nałożonej na Morele czy Google.
Wracając do kwestii porażająco wysokich kar. Moim zdaniem, nie są one tak porażające, jeżeli spojrzy się na przyczynę nałożenia z perspektywy osoby, której dane dotyczą.
British Airways – na skutek cyberataku ok. 500 tys. klientów linii lotniczych zostało przekierowanych na fałszywą stronę, gdzie oszuści pozyskali dane osobowe, w tym dane z dokumentu tożsamości oraz dane z karty kredytowej poszkodowanych. Proceder trwał przez prawie dwa tygodnie (czyli nikt nie zorientował się, że coś jest nie tak). Szczerze, gdyby to były moje dane, to naprawdę uważałabym, że zasługują na bardzo, bardzo wysoką karę. Każdy z poszkodowanych mógł być ofiarą kradzieży danych oraz kradzieży środków z karty płatniczej. Swoją drogą, większość klientów (w Polsce) nie wie, że odpowiada za ukradzione z karty dane tylko do wartości 150 euro (przy płatnościach zbliżeniowych do 50 euro), a resztę powinien pokryć (czyli zwrócić) bank.
Marriott International – to jest ciekawy przypadek, bo MI przejęło sieć hoteli, w której jak się przypuszcza brytyjski organ nadzorczy w 2014 roku doszło do cyberataku. MI przejęło sieć w 2016 r., a wykryło naruszenie w 2018 r. W sumie poszkodowanych może być 338 mln (!!!) gości z całego świata. Organ nadzorczy uważa, że Marriott nie dołożył należytej staranności podczas audytu przejmowanej spółki. Przy skali poszkodowanych, wydaje się, że trochę ponad 100 mln euro jest adekwatne do czynu.
Morele.net – oczywiście największe wrażenie robi liczba poszkodowanych przekraczająca 2,2 mln użytkowników sklepu. Wśród wykradzionych danych były imiona, nazwiska, numery telefonu, adresy e-mail oraz hasło do sklepu internetowego, które pomimo że zaszyfrowane najprawdopodobniej zostało przez oszustów odszyfrowane. Wykradzione dane posłużyły do przeprowadzenia celowanego ataku na klientów sklepu, który namawiał ich do skorzystania z fałszywej strony w celu dopłaty do zamówienia, a w praktyce przekazania danych karty płatniczej. W tym momencie nie jest znana skala osób, które dały się złapać. Można przypuszczać, że wielu użytkowników korzystało z hasła do sklepu w innych miejscach, co daje złodziejom możliwość kradzieży tożsamości lub wykorzystania, np. poczty e-mail czy konta użytkownika na Facebooku do przeprowadzenia kolejnych ataków. Niewiele osób zwróciło uwagę na to, że wśród wykradzionych danych, było prawie 35 tys. w szerszym zakresie, gdzie złodzieje weszli w posiadanie PESEL-i, serii i nr dokumentu tożsamości, wysokości dochodu, czy źródła dochodu. Takie informacje w obecnym stanie prawnym umożliwiają zaciągnięcie szybkiej pożyczki, więc dla tych użytkowników szkoda może być o wiele większa. Dodatkowo organ nadzorczy zakwestionował legalność gromadzenia i przechowywania tego typu danych.
Reasumując, nie wiem jak Wy, ale ja nie mam poczucia niesprawiedliwości. Jasne, że wysokości tych kar robią na mnie wrażenie. Jednak z drugiej strony, okoliczności naruszenia, postępowanie tych podmiotów, możliwe ryzyko dla osób, których dane dotyczą, naprawdę powodują, że organ nadzorczy ma wręcz moralny obowiązek nałożyć odpowiednio wysoką karę, a jeżeli odniesiemy ją do przychodów spółki, to nie robi już takiego wrażenia (British Airways – 1,5 % przychodu, Marriott International – 1,9 % przychodu, Morele.net – 0,4% przychodu).
Nazywam się Sylwia Czub-Kiełczewska, jestem ekspertką ds. ochrony danych osobowych oraz certyfikowaną audytorką wewnętrzną ISO 27001 /TISAX. Pomagam organizacjom wdrożyć skuteczne systemy bezpieczeństwa informacji, przeprowadzam audyty zgodności z RODO / ISO27001. Jestem skuteczna, bo stosuję indywidualne podejście, oparte na zrozumieniu klienta oraz jego działalności. Potrzebujesz wsparcia? Napisz do mnie
Zapraszam na moje (bardzo praktyczne i konkretne) szkolenia!
We wpisie wykorzystano zdjęcie z serwisu Pixabay.com.