Wyciek danych osobowych klientów Morele.net od początku był istotną sprawą dla ochrony danych osobowych. Chodziło przecież o dane osobowe ponad 2 milionów użytkowników. Była to też rekordowa w tamtym czasie kara Prezesa UODO, która wyniosła niemal 3 miliony złotych. W lutym 2023 r. Naczelny Sąd Administracyjny karę jednak uchylił, a uzasadnienie orzeczenia podzieliło środowisko.
W tym wpisie prześledzimy wspólnie co tu się odmoreliło, że sprawa jest tak kontrowersyjna.
Akt I: Problemy
Morele.net to sklep internetowy, który posiada szeroką bazę użytkowników. W 2018 r. staje się ona celem ataku hakerskiego, w wyniku czego dochodzi do wycieku zawartych w niej danych. Co szczególnie istotne, ujawnione zostają także dane użytkowników, którzy swoje konta usunęli. Spółka nie powinna więc już tych danych posiadać.
W wyniku tych zdarzeń Prezes UODO nakłada na Morele.net karę finansową w wysokości niemal 3 milionów złotych. Decyzja w tym przedmiocie zapada 10 września 2019 r.
Akt II: Walka
Morele.net nie zgadza się z werdyktem i podejmuje walkę przed Wojewódzkim Sądem Administracyjnym. Ten pozostaje jednak nieprzychylny i Spółka przegrywa. Wnosi więc kolejne odwołanie, tym razem do Naczelnego Sądu Administracyjnego.
Na tym etapie Spółka odnosi zwycięstwo. Wprawdzie NSA nie podziela w pełni stanowiska Spółki, to jednak karę uchyla. Zasądza też na rzecz Spółki prawie 65 tysięcy złotych od Prezesa UODO, które ma uiścić z tytułu kosztów procesu. Dzieje się to w lutym 2023 r.
W uzasadnieniu wyroku NSA zwraca uwagę przede wszystkim na dwie kwestie. Pierwszą z nich jest sprawa zabezpieczeń i tego, że powinny one dobierane adekwatnie do aktualnego stanu wiedzy. Na tym polu Spółka dopuściła zdaniem Sądu do zaniedbań. Drugą kwestią jest natomiast brak wyznaczenia biegłego, który oceniłby okoliczności sprawy. To ten powód jest przyczyną uchylenia kary. Sąd uważa bowiem, że sprawa miała precedensowy charakter z uwagi na niespotykaną wcześniej skalę wycieku i “nowość” RODO w obrocie prawnym.
Można więc powiedzieć, że mimo iż Spółka do końca racji nie miała, to jednak sprawę wygrała – z uwagi na zasady prowadzenia postępowań sądowych.
Akt III: Kontrowersje
Uzasadnienie spowodowało liczne kontrowersje. Wśród praktyków pojawiły się głosy wskazujące na to, że to Spółka jest ofiarą – to ona przecież była celem ataku. Inni zwracają uwagę na ilość pokrzywdzonych użytkowników serwisu. Jeszcze inni zastanawiają się nad tym, czy rzeczywiście niezbędne w sprawie było powołanie biegłego.
Do tych ostatnich należy także Prezes UODO. Wystosował on nawet pismo do NSA, w którym wyraża zaniepokojenie z uwagi na kwestionowanie niezależności organu nadzorczego i podważanie kwalifikacji zatrudnionych w nim osób.
Bezsporne są dla mnie kwestie nieprawidłowego dopasowania środków zabezpieczeń, jak również to, kto jest w tym wszystkim ofiarą. Jest nią zarówno Spółka, jak i użytkownicy, których dane osobowe wyciekły. Trudno też zgodzić się ze stanowiskiem Sądu, jakoby RODO było czymś nowym. Pomijając, że tekst rozporządzenia był znany już od 2016 r., to przepisy w nim zawarte nie były tu – jakkolwiek to nie zabrzmi – najważniejsze.
Do najtrudniejszych – moim zdaniem – tematów należy właśnie sprawa biegłego. W końcu to od tego zależała ostateczna decyzja NSA.
Czy jednak rzeczywiście opinia biegłego wpłynęłaby na niezależność organu? Raczej nie. Myślę, że to właśnie na tym polega procedura odwoławcza. Można w niej przedstawić także inny punkt widzenia niż ten, który prezentuje Prezes UODO. Jeżeli wymaga wiedzy specjalistycznej, Sąd – zgodnie z zasadami postępowania – może wyznaczyć biegłego. Następnie na podstawie zgromadzonego materiału w sprawie Sąd może podjąć decyzję co do ostatecznego kształtu wyroku. Nie wpływa to więc na niezależność organu, który wcześniej bez nacisków ocenił sprawę we własnym zakresie. Opinia taka nie podważa również kwalifikacji zatrudnionych w UODO osób, a jedynie prezentuje inną – choć niekoniecznie odmienną – i niezależną ocenę zdarzeń.
Ciąg dalszy nastąpi?
Pożyjemy, zobaczymy. Na pewno temat pozostaje w pewien sposób otwarty, choć wyrok w sprawie jest prawomocny. Całość ukazuje zarówno blaski, jak i cienie prawa, w którego stosowaniu zdarza się, że wygrywa ten, kto świetnie zna procedurę postępowania.
Należy zgodzić się z wyrażaną przez Prezesa UODO troską o interesy osób, których danych dotyczył wyciek. Tu chyba nikt nie ma wątpliwości. W jakikolwiek sposób nie byłyby one naruszone, to – choć oczywiście istotne, jeżeli nie kluczowe w sprawie – nie zmienią jednak zasad postępowania. Prawdopodobnym jest natomiast, że w kolejnych sprawach o uchylenie decyzji Prezesa UODO biegli będą już powoływani, choćby tylko po to, aby nie można wykorzystać tej okoliczności, jak uczyniła to Morele.net.
Pingback: 72 godziny - zgłaszanie naruszeń ochrony danych osobowych - Zdrowe Dane