Niedawno zostało opublikowane uzasadnienie wyroku Naczelnego Sądu Administracyjnego (III OSK 3945/21) z 9 lutego br. w sprawie Morele.net. NSA uchylił decyzję UODO o nałożeniu administracyjnej kary pieniężnej w wysokości prawie 3 mln zł. Kasacja wyroku została oparta o zarzut niedopuszczenia opinii biegłego, przy braku wiedzy specjalnej po stronie urzędu. Spotkało się to ze zdecydowanym sprzeciwem ze strony UODO, który podczas briefingu prasowego stwierdził, że jest to zamach na jego niezależność. Orzeczenie sądu jest warte by się z nim zapoznać nie tylko z powodu tego precedensowego zarzutu. Sąd uzasadniając swoje orzeczenie odnosił się szerzej do zasadniczej kwestii „odpowiedniego zabezpieczenia” i odpowiedzialności administratora, co wydaje się kluczowe w tej sprawie.
Retrospekcja
Portal Morele.net (administrator) zajmuje się sprzedażą elektroniki użytkowej, posiada on również dużą bazę klientów. W 2018 roku doszło do sporego wycieku danych osobowych klientów, który mógł w szczególności prowadzić do kradzieży ich tożsamości. Skradzione zostały numery telefonów, numery PESEL oraz skany dowodów. Następnie dane osobowe klientów Morele stały się przedmiotem handlu w Internecie. Wiele firm o wątpliwej reputacji wykorzystało zdobyte w ten sposób numery telefonów do nękania dotkniętych naruszeniem niechcianymi połączeniami marketingowymi.
W wyniku postępowania rozpoczętego przez Urząd Ochrony Danych Osobowych na administratora została nałożona administracyjna kara pieniężna w wysokości 2,8 mln złotych. UODO stwierdził naruszenie przepisów RODO, w szczególności art. 32 RODO, gdzie niezgodności miały polegać na błędnym doborze środków technicznych i organizacyjnych m.in. na poziomie kontroli dostępu i uwierzytelniania. Morele odwołało się do Wojewódzkiego Sądu Administracyjnego, w którym WSA przyznał rację UODO. Organizacja składała nawet wniosek o pytanie prejudycjalne do Trybunału Sprawiedliwości Unii Europejskiej, ale WSA odrzucił i ten wniosek. Sprawa ostatecznie stanęła przed Naczelnym Sądem Administracyjnym.
Środki techniczne i organizacyjne
NSA podkreślił, że samo wystąpienie naruszenia nie oznacza, że zastosowane środki techniczne i organizacyjne były błędnie dobrane. O naruszeniu art. 32 RODO nie przesądza sama okoliczność nieuprawnionego dostępu do danych, ponieważ taki stan rzeczy jest potencjalnie możliwy do zaistnienia również przy dochowaniu najwyższego poziomu zabezpieczeń. Odpowiednie środki techniczne i organizacyjne wedle NSA, to nie środki skuteczne w każdym przypadku, a takie które w zależności od okoliczności, mogły być obiektywnie wymagane od danego podmiotu (administratora albo podmiotu przetwarzającego). Kara za naruszenie art. 32 nie może więc mieć charakteru automatycznego. Natomiast UODO w swojej decyzji lakonicznie i pobieżnie ocenił środki techniczne i organizacyjne zastosowane przez Morele.
Nie zwlekaj i posłuchaj
Opinia biegłego
Najważniejszym zarzutem w skardze kasacyjnej Morele, był brak uwzględnienia przez WSA wniosku o powołanie biegłego, tak aby ocenił on zastosowane środki techniczne i organizacyjne w kontekście prowadzenia e-commerce o rozmiarach Morele.net. Było to argumentowane przez WSA posiadaniem wszystkich niezbędnych do oceny sprawy informacji. W ocenie NSA brak uwzględnienia tego wniosku był błędem, gdyż sprawa była wysoce nowatorska, a wątpliwe jest, aby UODO posiadał taką wysoce specjalistyczną wiedzę na rok po wejściu w życie RODO.
Zasada rozliczalności, a rozstrzyganie wątpliwości
Kolejnym zarzutem uznanym przez NSA, było błędne przyjęcie przez UODO, że spółka nie zbierała prawidłowo zgód na przetwarzanie danych przed 25 maja 2018 r. – bez przeprowadzenia odpowiedniego postępowania dowodowego. Sąd pierwszej instancji oraz UODO błędnie przyjęli, że wyjaśnienia spółki, wobec braku innych dowodów, były niewystarczające i wobec tego przetwarzanie nie odbywało się zgodnie z przepisami. Taka sytuacja stanowi naruszenie zakazu rozstrzygania wątpliwości co do stanu faktycznego na niekorzyść jednostki. Wedle NSA nie zmienia tego zasada rozliczalności wskazana w art. 5 ust. 2 RODO. UODO nie może bowiem czynić ustaleń w sprawie bez zgromadzenia odpowiednich dowodów. Przed stwierdzeniem naruszeń RODO, organ musi zwrócić się do strony o złożenie stosownych wyjaśnień.
NSA uchylił wyrok WSA i decyzje UODO i nakazał zwrócenie kosztów procesu dla Morele. Nie oznacza to jednak końca sprawy, UODO ma ponownie ją rozpatrzyć, biorąc pod uwagę wskazówki NSA.
Wnioski
NSA w swoim wyroku podkreśla, że nie każde naruszenie ochrony danych osobowych oznacza automatycznie naruszenie art. 32 RODO a ocena środków organizacyjnych i technicznych nie może być abstrakcyjna i oderwana od realiów prowadzone działalności. Wyrok nie jest jednak tak jednostronny jakby mogło się wydawać po pobieżnej lekturze. Sprawa wraca do rozpoznania przez UODO, które ponownie przyjrzy się sprawie. Sąd w istocie nie rozstrzygnął o braku odpowiedzialności administratora, ale jednocześnie zwrócił uwagę na nieprawidłowości w trakcie postępowania toczącego się przed UODO. Będziemy przyglądać się tej sprawie.
Wyrok NSA: https://orzeczenia.nsa.gov.pl/doc/55C45FFD79
Zostań certyfikowanym Inspektorem Ochrony Danych i zapisz się na szkolenie