W grudniu 2018 roku firma Morele.net poinformowała klientów zarejestrowanych w jej sklepach internetowych, że doszło do włamania do bazy z ich danymi. - Dane mogą obejmować dane kontaktowe, dane dot. dowodu tożsamości, nr PESEL oraz dane dotyczące sytuacji finansowej. Nieuprawniony dostęp nie dotyczył informacji o kartach płatniczych i loginów do banków. Grupa Morele nie gromadzi tych danych (dane podawane na naszej stronie są gromadzone w bazach operatora płatności i banku) - wyliczono.
Firma zachęcała użytkowników do zmiany danych loginowych. Ostrzegała, że ich dane mogą posłużyć cyberprzestępcom do prób wyłudzeń.
Do Morele.net należy kilkanaście platform e-commerce z różnych kategorii tematycznych, m.in. Morele.net, Presto.pl, Hulahop.pl, Amfora.pl, Pupilo.pl, Budujesz.pl, Meblujesz.pl, Ubieramy.pl, Digitalo.pl i Motoria.pl. Prezes Urzędu Ochrony Danych Osobowych postępowanie w sprawie wycieku danych podjął na początku 2019 roku. - Prowadzone są czynności zmierzające do oceny, czy działalność podmiotu odbywa się zgodnie z przepisami o ochronie danych osobowych - opisywał Urząd.
We wrześniu 2019 roku poinformowano o nałożeniu na Morele.net 2,83 mln zł grzywny. To rekordowa kara wymierzona przez prezesa Urzędu Ochrony Danych Osobowych. Na konferencji Urzędu zwrócono uwagę, że wskutek ataku uzyskano nieuprawniony dostęp do danych 2,2 mln klientów e-sklepów Morele.net. Dodano, że firma nie zastosowała systemu podwójnego uwierzytelniania dostępu do danych, a w ramach postępowania prowadzonego przez regulatora nie wykazała, skąd pochodzą zgody przy składaniu wniosków o płatność w ratach za zakupy.
- To jedno z największych i najpoważniejszych jak dotąd, naruszeń w Polsce. Klienci, których dane dotyczą w dalszym ciągu mogą być narażeni na dalsze wykorzystywanie ich danych - podkreślił Mirosław Sanek, wiceprezes UODO.
Przedstawiciele Morele.net od razu zapowiedzieli, że firma odwoła się od decyzji UODO do sądu. - Nie zgadzamy się z oceną zebranego materiału dowodowego, dlatego chcemy, aby sprawa została ponownie rozpatrzona z udziałem niezależnych biegłych - podkreślił Radosław Stasiak, wiceprezes spółki ds. IT. - Nie ma nakazu natychmiastowej zapłaty kary wskazanej przez urząd, stąd też ta sytuacja nie ma wpływu na bieżące działanie grupy - zaznaczył.
Dwie porażki sądowe Morele.net
Morele.net odwołała się od decyzji prezesa UODO do sądu. Wojewódzki Sąd Administracyjny oddalił skargę skierowaną przez spółkę, natomiast w lutym 2023 roku, jak już informowaliśmy, Naczelny Sąd Administracyjny uchylił wyrok pierwszej decyzji.
Sprawa ponownie trafiła do WSA, a ten 16 września br. kolejny raz oddalił skargę Morele.net. Podkreślono, że prezes UODO „uwzględnił ocenę prawną i wskazania co do dalszego postępowania wyrażone w wyroku NSA, bowiem dokonał ponownej oceny wniosku Morele.net o dopuszczenie i przeprowadzenie dowodu z opinii biegłego, dostatecznie uzasadnił odmowę uwzględnienia tego wniosku, wytworzył i włączył do akt postępowania wewnętrzny dokument stanowiący wnioski z analizy standardu środków bezpieczeństwa stosowanych przez spółkę”.
Dodano, że pracownicy UODO mają „wystarczającą wiedzę i kompetencje w zakresie oceny środków technicznych i organizacyjnych zastosowanych przez administratora danych”, a prezes Urzędu w decyzji dotyczącej Morele.net „w sposób wyczerpujący uzasadnił zajęte stanowisko i wysokość nałożonej kary”.
