Decyzją z dnia 10 września 2019 r. Urząd Ochrony Danych Osobowych nałożył na spółkę Morele.net karę w wysokości ponad 2,8 mln zł.
Uchybienia, za które w/w spółka została ukarana, to niezapewnienie bezpieczeństwa i poufności przetwarzanych danych osobowych (co spowodowało, że dostęp do danych osobowych klientów tejże spółki uzyskały osoby nieuprawnione) oraz naruszenie tzw. zasady legalności, rzetelności i rozliczalności (poprzez niewykazanie, że dane osobowe z wniosków ratalnych były przetwarzane przez spółkę na podstawie zgody).
Bezpośrednim źródłem wycieku danych, był atak phishingowy, mający na celu wyłudzenie danych, m. in. uwierzytelniających do konta bankowego poprzez podszycie się pod spółkę.
Ukarana spółka prowadzi sprzedaż detaliczną przez domy sprzedaży wysyłkowej lub Internet i posiada dane – jak ustalił Urząd – ok. 2 200 000 (ok. dwa miliony dwieście tysięcy) osób, przy czym w stosunku do 35 000 spośród w/w osób, spółka posiadała dane z wniosków ratalnych.
Jak stwierdził Prezes UODO, regularne testowanie, mierzenie i bieżące ocenianie skuteczności środków technicznych i organizacyjnych mających zapewnić bezpieczeństwo przetwarzania jest obowiązkiem każdego podmiotu, który przetwarza dane osobowe. W ocenie organu, tego właśnie zabrakło w przypadku ukaranej spółki. Spółka odwołała się od decyzji.