Prezes Urzędu Ochrony Danych Osobowych w krótkim czasie, kolejny już raz, wygrywa w warszawskim Wojewódzkim Sądzie Administracyjnym. W czwartek 2 września, sąd uznał zasadność decyzji z 10 września 2019 roku (sygn. II Sa/WA 2559/19). Prezes UODO nałożył nią na Morele.net karę w wysokości 2 830 410 zł (ok. 660 tys. EURO) za wyciek 2,2 mln rekordów na skutek ataku hakerskiego. Warto przypomnieć, że 6 sierpnia WSA oddalił skargę Burmistrza Aleksandrowa Kujawskiego na decyzję UODO nakładającą 40 tys. kary za naruszenie RODO. Pod koniec 2019 roku WSA co prawda uchylił jego decyzję w sprawie Bisnode, ale otworzył tym drogę do nałożenia nawet wyższej kary.

 


Zarzuty UODO: brak podwójnego uwierzytelniania

Prezes UODO uznał, że spółka, nie stosując wystarczających środków technicznych ochrony danych, naruszyła m.in. określoną w art. 5 ust. 1 lit f RODO zasadę poufności. Zgodnie z nią dane powinny być przetwarzane w sposób zapewniający odpowiednie bezpieczeństwo, w tym ochronę przed niedozwolonym lub niezgodnym z prawem przetwarzaniem oraz przypadkową utratą, zniszczeniem lub uszkodzeniem, za pomocą odpowiednich środków technicznych lub organizacyjnych.  Nieadekwatne zabezpieczenia spowodowały zaś, że doszło do nieuprawnionego dostępu do danych klientów. Prezes UODO uznał, że miało miejsce zastosowanie nieskutecznego środka uwierzytelniania dostępu do danych. Uważa on, że zgodnie z wytycznymi Agencji Unii Europejskiej ds. Bezpieczeństwa Sieci i Informacji, wskazane jest stosowanie podwójnego uwierzytelniania. Ponadto, zdaniem prezesa UODO, do naruszenia doszło także z uwagi na nieskutecznie monitorowanie potencjalnych zagrożeń związanych z nietypowymi zachowaniami w sieci. Spółka nie zorientowała się odpowiednio szybko, że dochodzi do pobierania dużej ilości danych.

 


Sąd podzielił argumentację UODO

UODO wskazuje, że sędzia Joanna Kube w ustnym uzasadnieniu podzieliła w pełni stanowisko urzędu. Wskazał, że zastosowane przez spółkę środki techniczne i organizacyjne okazały się nieskuteczne w celu ochrony danych osobowych klientów, w tym jednoetapowa autoryzacja do panelu pracownika. Sąd potwierdził również argument, że spółka niewystarczająco monitorowała potencjalne zagrożenia dla praw i wolności osób, których dane przetwarza. UODO podkreśla również, że sąd oddalając skargę uznał, że decyzja spełnia wymogi decyzji wynikające z kodeksu postępowania administracyjnego, a zarzuty strony skarżącej dotyczące naruszenia jej praw, w tym ograniczenia prawa do obrony nie zasługują na uwzględnienie. - Zdaniem sądu sentencja decyzji wskazuje, które przepisy zostały naruszone. Sąd nie miał wątpliwości za jakie naruszenia została nałożona kara – czytamy w stanowisku UODO. Ponadto WSA stwierdził, że organ nadzorczy prawidłowo ocenił stan faktyczny w przedmiotowej sprawie i uznał, że nałożona kara jest wysoka, ale w granicach prawa oraz uzasadniona okolicznościami. Zdaniem Sądu organ nadzorczy prawidłowo wziął pod uwagę czynniki obciążające oraz łagodzące karę.

Prawnicy wskazują niedoskonałości procedury

Choć dr Arwid Mednis, radca prawny, partner w kancelarii Kobylańska Lewoszewski Mednis, nie chce komentować orzeczenia przed zapoznaniem się z pisemnym uzasadnieniem, to jednak zwraca uwagę, że sąd uznał, że skoro doszło do wycieku, to zabezpieczenie było niewystarczające. Jego zdaniem to nie jest do końca właściwe podejście. – W RODO przyjęto podejście oparte na analizie ryzyka, a środki zabezpieczenia danych powinny uwzględniać ryzyko, ale i stan wiedzy technicznej, koszt wdrożenia tych środków i szereg innych okoliczności. W praktyce nie ma możliwości zabezpieczenia się przed wszystkim. Jeśli ktoś napisze wirusa pod konkretny system, to nawet najlepsze oprogramowanie antywirusowe na nic, trzeba się więc bronić różnymi środkami i na różnych poziomach. I nie ma takiego punktu, w którym moglibyśmy powiedzieć, że jesteśmy całkowicie bezpieczni. Dlatego spełnienie wymagań RODO odnośnie bezpieczeństwa danych to w dużej mierze kwestia ocenna. Administrator ocenia ryzyko, koszty, itp. i dobiera odpowiednie zabezpieczenia, prezes UODO może zbadać poprawność tej oceny i dobór środków, rolą sądu jest zaś zbadanie, czy organ wziął pod uwagę wszystko to czego RODO w tym zakresie wymaga – wskazuje dr Mednis.

Bez prawa do obrony

Marcin Serafin, partner w kancelarii Maruta Wachta, reprezentującej spółkę Morele.net, będzie rekomendował wniesienie skargi do Naczelnego Sądu Administracyjnego. Czy sąd drugiej instancji inaczej spojrzy na sprawę? WSA w ogóle nie odniósł się do faktu, że sklep padł ofiarą ataku hakerskiego, a policja nie ustaliła, kto był jego sprawcą. Dr Mirosław Gumularz, radca prawny partner w kancelarii GKK Gumularz Kozik zwraca uwagę, że sąd w ogóle nie badał, czy rzeczywiście spółka jest winna. – Niestety moim zdaniem model dowodowy przed sądami administracyjnymi nie gwarantuje prawa do obrony. Nie wiem czy działania spółki były właściwe. Wiem jednak, że nie dano jej szansy przed sądem na przeprowadzenie dowodu w tym zakresie - wyjaśnia dr Gumularz. Może dlatego w 2019 roku WSA uwzględnił tylko 12 proc. skarg na decyzje wówczas Generalnego Inspektora Danych Osobowych.  

Sprawa dla TSUE

Model sądowej kontroli decyzji zakłada, ze sąd bazuje na dokumentach zebranych przez urząd. Nie przeprowadza dowodu z zeznań świadków czy opinii biegłego. - Jest to typowe dla postępowania administracyjnego i sprawdza się tam, gdzie przepisy materialne, np. budowlane nie odwołują się do przesłanek podmiotowych przy wydawaniu decyzji i ich późniejszej kontroli, np. sprawy o rozbiórkę obiektów - wyjaśnia dr Gumularz. - Natomiast w RODO liczy się m.in. czy zachowanie było umyślne czy nieumyślne. Tego nie da się weryfikować na podstawie samych dokumentów. Zwłaszcza że postępowanie o nałożenie administracyjnej kary pieniężnej ma charakter quasi karny. Wydaje się, że WSA powinien skierować w tym zakresie pytanie do TSUE – podsumowuje.