Prezesa Urzędu Ochrony Danych Osobowych (UODO) podjął decyzję o nałożeniu kary w wysokości ponad 3,8 mln zł na spółkę Morele.net za naruszenie przepisów ogólnego rozporządzenia o ochronie danych (RODO). Po interwencji Naczelnego Sądu Administracyjnego (NSA), który uchylił wcześniejszą decyzję UODO, organ nadzorczy ponownie przeprowadził dogłębną analizę sprawy. Wynik ponownego postępowania wskazał na brak odpowiednich zabezpieczeń technicznych i procedur reagowania na nietypowe zachowania, co miało kluczowe znaczenie dla wycieku danych osobowych 2,2 mln użytkowników. NSA, podważając kompetencje UODO w ocenie środków zabezpieczających, zwrócił uwagę na konieczność posiadania przez organ konkretnych dowodów wiedzy na temat standardów bezpieczeństwa.
Znaczenie tej sprawy wykracza poza konkretną karę finansową. Podnosi ona kwestię odpowiedzialności i gotowości organizacji do ochrony danych osobowych w erze cyfrowej. Brak szyfrowania danych, niedostateczne uwierzytelnianie dwuskładnikowe, brak przeprowadzenia analizy ryzyka oraz niewystarczające monitorowanie sieci to luki, które nie mogą być ignorowane.
Reakcja Morele.net po wycieku, mimo że stanowiła krok w dobrym kierunku, przyszła zbyt późno. Wdrożenie odpowiednich rozwiązań technicznych i administracyjnych przed incydentem mogłoby zapobiec nieautoryzowanemu dostępu i potencjalnej kradzieży danych. To przestroga dla innych firm, aby nie lekceważyły znaczenia wczesnego inwestowania w bezpieczeństwo danych.
Decyzja UODO, opierając się na nowych wytycznych Europejskiej Rady Ochrony Danych Osobowych, pokazuje ewolucję w podejściu do sankcji za naruszenia RODO. Podkreśla ona, że kary mają nie tylko charakter punitatywny, ale również prewencyjny. Mają one za zadanie nie tylko ukarać za stwierdzone naruszenia, ale również zachęcić inne podmioty do przestrzegania przepisów ochrony danych.