W ciągu ostatnich kilkunastu lat, internetowa platforma handlowa Morele.net stała się jednym z najbardziej rozpoznawalnych graczy na polskim rynku e-commerce. Założona w 2000 roku przez Michała Pawlika i Radosława Stasiaka, ewoluowała w sklep internetowy ok. 2005 roku. Firma szybko zyskała uznanie jako platforma, gdzie nabyć można szeroki wybór elektronicznych urządzeń użytkowych, od laptopów po sprzęt RTV i AGD, a także komponenty komputerowe, takie jak karty graficzne czy podzespoły PC.
Firma aktywnie angażuje się w budowanie społeczności zainteresowanej elektroniką użytkową poprzez platformy społecznościowe, takie jak YouTube, gdzie jej kanał liczy ponad 300 tysięcy subskrybentów (blisko 400 tyś). Na kanale prezentowane są różnorodne treści, począwszy od testów podzespołów komputerowych, po praktyczne poradniki.
Jednak, mimo sukcesu i reputacji firmy, Morele.net niedawno znalazło się w centrum uwagi ze względu na niefortunny incydent – wyciek danych użytkowników. Według najnowszych komunikatów UODO, firma będzie musiała zapłacić ponad 3 miliony złotych w związku z tym zdarzeniem.
O sprawie było głośno już wcześniej
Warto również wspomnieć, że sprawa wycieku danych użytkowników Morele.net była już wcześniej przedmiotem szerokiej dyskusji i zainteresowania mediów oraz instytucji nadzorczych. Zgodnie z komunikatem Urzędu Ochrony Danych Osobowych (UODO), datowanym na 9 lutego 2023 roku, Naczelny Sąd Administracyjny podjął decyzję o uchyleniu wcześniejszego wyroku Wojewódzkiego Sądu Administracyjnego w Warszawie dnia 3 września 2020 roku oraz decyzji Prezesa UODO z dnia 10 września 2019 roku. W ramach tej sprawy, nałożona została kara pieniężna związana z wyciekiem danych osobowych ponad 2 200 000 użytkowników sklepów internetowych należących do spółki.
Ponowne ukaranie spółki
Po ponownym przeprowadzeniu postępowania administracyjnego przez Prezesa Urzędu Ochrony Danych Osobowych (UODO) w sprawie naruszenia przepisów RODO przez Morele.net, firma ponownie została ukarana. Tym razem kara nałożona na administratora wyniosła ponad 3,8 miliona złotych.
Postępowanie to było konsekwencją wcześniejszego wyroku Naczelnego Sądu Administracyjnego, który uchylił decyzję Prezesa UODO dotyczącą kary nałożonej na spółkę Morele.net związanej z wyciekiem danych osobowych ponad 2,2 miliona użytkowników. Nowe ustalenia organu nadzorczego wykazały, że spółka nadal stosowała niewystarczające zabezpieczenia techniczne, co umożliwiło kolejny wyciek danych.
Prezes UODO zauważył braki w szyfrowaniu danych, brak dwuskładnikowego uwierzytelniania oraz zaniechanie przeprowadzenia analizy ryzyka. Ponadto, spółka nie dysponowała rozwiązaniami monitorującymi ruch sieciowy i reagującymi na nieprawidłowości, co umożliwiło nieautoryzowany dostęp do danych klientów. Mimo, że administrator przyznał błąd w zastosowanych rozwiązaniach, Prezes UODO uznał, że nałożenie kary pieniężnej jest uzasadnione, biorąc pod uwagę charakter i zakres naruszeń. Decyzja ta, oparta na wytycznych Europejskiej Rady Ochrony Danych Osobowych, stanowi krok w kierunku skuteczniejszej ochrony danych osobowych w obszarze e-commerce.
Oświadczenie wydane przez morele.net
W dniu 8 lutego 2024 roku, spółka Morele.net wydała oficjalne oświadczenie w sprawie otrzymanej decyzji Prezesa Urzędu Ochrony Danych Osobowych (UODO) dotyczącej ataku hakerskiego, który miał miejsce w 2018 roku. W oświadczeniu spółka potwierdza fakt otrzymania decyzji, ale jednocześnie wyraża swoje niezgody z podejrzeniami oraz karami nałożonymi przez Prezesa UODO. W związku z tym, spółka zapowiedziała zamiar zaskarżenia decyzji organu nadzorczego do Wojewódzkiego Sądu Administracyjnego.
Komunikat spółki Morele.net: “Spółka Morele.net potwierdza, że otrzymała decyzję Prezesa Urzędu Ochrony Danych Osobowych dotyczącą ataku hakerskiego z 2018 r. Nie zgadza się jednak z decyzją Prezesa UODO i zamierza zaskarżyć ją do Wojewódzkiego Sądu Administracyjnego.”