Analizowane orzeczenie dotyczyło decyzji Prezesa Urzędu Ochrony Danych Osobowych (dalej: „Prezesa UODO”) wydanej w sprawie nieodpowiednich zabezpieczeń stosowanych przez sklep internetowy Morele.net, wskutek czego doszło do nieautoryzowanego dostępu do bazy danych klientów tego sklepu, zawierającej informacje o ponad 2 200 000 użytkowników.
Fakt naruszenia ochrony danych osobowych został zgłoszony Prezesowi UODO przez Morele.net w dniu 30.11.2018 r. oraz w dniu 16.12.2018 r. W wyniku przeprowadzonego postępowania kontrolnego, Prezes UODO wszczął z urzędu postępowanie administracyjne w sprawie stwierdzonych w trakcie przeprowadzonej kontroli uchybień. Postępowanie to zakończyło się wydaniem przez organ decyzji z 10.9.2019 r. (nr ZSPR.421.2.2019; ZSPR.405.67.2019), na podstawie której na Spółkę nałożono karę pieniężną w wysokości 2 830 410 PLN.
W uzasadnieniu decyzji Prezes UODO wskazał, że Spółka naruszyła zasadę poufności danych wyrażoną w art. 5 ust. 1 lit. f w zw. z art. 32 ust. 1 lit. b i d w zw. z art. 32 ust. 2 RODO. Prezes UODO stwierdził w szczególności, że Spółka zastosowała nieskuteczny środek uwierzytelniania, niewystarczające było w szczególności zastosowanie środka w postaci loginu i hasła. Ponadto, jakkolwiek Spółka korzystała z zewnętrznych audytorów bezpieczeństwa i wdrażała ich rekomendacje, to w sposób niewystarczający oceniła zdolność do ciągłego zapewnienia poufności oraz nie uwzględniła ryzyka związanego z uzyskaniem nieuprawnionego dostępu do panelu pracownika. Uchybienia te doprowadziły do „wycieku” transakcyjnych danych ponad 2 200 000 użytkowników sklepu internetowego.
Od decyzji Prezesa UODO, Spółka wniosła skargę do Wojewódzkiego Sądu Administracyjnego. Wyrokiem WSA z 3.9.2020 r., II SA/Wa 2559/19, skarga ta została oddalona. Badając skargę, WSA przypomniał, że obowiązkiem administratora jest wdrożenie odpowiednich, adekwatnych do ryzyka, środków technicznych i administracyjnych oraz regularne testowanie, mierzenie i ocena skuteczności przyjętych rozwiązań. Skoro więc okazało się, że login i hasło do bazy to niewystarczający sposób uwierzytelnienia użytkownika, to — niezależnie od tego, że nie ma już normatywnego katalogu zabezpieczeń technicznych, zatem każdy sam musi podjąć odpowiednie decyzje — zarzut nieprawidłowego zastosowania się do obowiązków jest trafny, a wysokość kary prawidłowa. Zdaniem Sądu, skarżąca Spółka niewystarczająco oceniła zdolność do ciągłego zapewnienia poufności i nie uwzględniła ryzyka związanego z uzyskaniem nieuprawnionego dostępu do panelu pracownika. Spółka jedynie więc częściowo wywiązała się z obowiązku weryfikacji doboru i poziomu skuteczności stosowanych środków technicznych i organizacyjnych.
Od powyższego wyroku WSA, Morele.net wniosło skargę kasacyjną, zaskarżając go w całości. Skarga ta została uwzględniona i wyrokiem z 9.2.2023 r., NSA uchylił zaskarżony wyrok WSA oraz decyzję Prezesa UODO.
Jak wynika z uzasadnienia orzeczenia, o uwzględnieniu skargi zadecydowało podzielenie przez NSA argumentacji Morele.net, że Prezes UODO w prowadzonym postępowaniu nieprawidłowo oddalił wniosek Spółki o przeprowadzenie dowodu z opinii biegłego, na okoliczność „ustalenia standardów technicznych i organizacyjnych środków bezpieczeństwa, oceny czy środki techniczne i organizacyjne stosowane przez spółkę odpowiadały standardom środków bezpieczeństwa w działalności gospodarczej przedsiębiorców w obszarze e-commerce o skali i charakterze podobnym do skali i charakteru działalności Morele.net w 2018 r. i oceny, czy środki techniczne i organizacyjne stosowane przez Morele.net były odpowiednie uwzględniając stan wiedzy technicznej, koszt wdrażania oraz charakter, zakres, kontekst i cele przetwarzania oraz ryzyko naruszenia praw lub wolności osób fizycznych o różnym prawdopodobieństwie wystąpienia i wadze zagrożenia”.
Rozpatrując skargę Spółki, Naczelny Sąd Administracyjny stwierdził, że istota sprawy sprowadza się do ustalenia, czy środki techniczne i organizacyjne stosowane przez Morele.net były odpowiednie w rozumieniu art. 32 ust. 1 i 2 RODO. Nie ulega przy tym wątpliwości, że Prezes UODO posiada kompetencję do samodzielnej oceny w tym zakresie. Z drugiej jednak strony, jak wskazuje NSA w licznym orzecznictwie, chociaż powołanie biegłego ma charakter fakultatywny i zależy od uznania organu prowadzącego postępowanie, to wykorzystanie tego środka dowodowego jest zasadne, gdy dla prawidłowego załatwienia sprawy, ze względu na poziom jej skomplikowania, wymagane są wiadomości, którymi nie dysponuje organ (zob. np. wyroki NSA: z 6.10.2022 r., II OSK 3347/19, Legalis i z 23.6.2022 r., I OSK 1076/19, Legalis). W sprawie Morele.net powinna była więc być wzięta pod uwagę okoliczność precedensowego charakteru sprawy, związana ze skalą naruszenia poufności danych osobowych i rozmiarem działalności skarżącej Spółki, przetwarzającej dane osobowe ponad 2 200 000 użytkowników. W tym stanie rzeczy, zdaniem NSA należy poddać w wątpliwość, czy Prezes UODO – w dacie wydania zaskarżonej decyzji – posiadał własną wiedzę specjalistyczną, pozwalającą na ocenę odpowiedniości środków technicznych i organizacyjnych w działalności gospodarczej o tak dużej skali.
Biorąc pod uwagę powyższe okoliczności, NSA stwierdził, że Prezes UODO naruszył art. 78 § 1 KPA, stanowiący że: „żądanie strony dotyczące przeprowadzenia dowodu należy uwzględnić, jeżeli przedmiotem dowodu jest okoliczność mająca znaczenie dla sprawy”. Wskazane we wniosku dowodowym Morele.net okoliczności miały bowiem istotne znaczenie dla sprawy, a zatem wniosek o przeprowadzenie dowodu z opinii biegłego powinien zostać przez Prezesa UODO uwzględniony. Z tych przyczyn, NSA uchylił zaskarżony wyrok WSA i decyzję Prezesa UODO. Z uwagi na kasacyjny charakter wyroków NSA, sprawa ta będzie przedmiotem ponownego rozpoznania przez Prezesa UODO.
Analizowane orzeczenie NSA ma bardzo istotne znaczenie praktyczne. Potwierdziło ono bowiem możliwość składania w postępowaniach przed Prezesem UODO wniosków o dopuszczenie opinii biegłego. Pomimo fakultatywnego charakteru tego środka dowodowego, w wymagających wiedzy specjalistycznej sprawach strony będą mogły argumentować, że jego przeprowadzenie jest niezbędne, niezależnie od samodzielnej kompetencji Prezesa UODO do oceny np. odpowiedniości przyjętych zabezpieczeń danych osobowych. Wprowadza to możliwość weryfikacji prawidłowości ustaleń organu w tym zakresie.
W uzasadnieniu wyroku NSA znalazło się również inne istotne stwierdzenie. Sąd podkreślił bowiem, że sankcji administracyjnej za naruszenie obowiązków wskazanych w art. 32 RODO podlega nie ten, kto jako administrator albo podmiot przetwarzający dopuścił do nieuprawnionego przetwarzania danych osobowych, a tylko podmiot, który nie dochował odpowiedniego, w danych okolicznościach, standardu środków bezpieczeństwa. Innymi słowy, kara pieniężna nie może być nałożona przez Prezesa UODO wyłącznie z uwagi na stwierdzenie samego stanu naruszenia ochrony danych osobowych (np. hackingu), ale tylko wówczas, gdy organ wykaże, że do takiej sytuacji doszło w wyniku zawinionych uchybień podmiotów odpowiadających za zabezpieczenie danych.
https://orzeczenia.nsa.gov.pl/doc/55C45FFD79
[oprac. X. Konarski]
