A skoro dziś PUODO planuje briefing prasowy poświęcony orzeczeniu NSA uchylającemu karę nałożoną na sklep Morele.net, czas przyjrzeć się co ten wyrok oznacza dla innych podmiotów. Począwszy od sakramentalnego pytania czy administrator odpowiada za to, że był wyciek, czy jednak za to, że dopuścił do wycieku? poprzez wątpliwości czy obowiązkiem jest stosowanie zabezpieczeń odpowiednich (adekwatnych do zagrożeń), czy jednak skutecznych (takich, których przełamać się nie da)? Na tym czy urzędnik, który ocenia jakieś naruszenie, zawsze będzie miał wystarczający poziom wiedzy, by sprawę prawidłowo ocenić — czy jednak istnieje ryzyko, że może skusić go pójście na skróty, a więc powinien powołać niezależnego biegłego?
wyrok Naczelnego Sądu Administracyjnego z 9 lutego 2023 r. (III OSK 3945/21)
1. Sankcji administracyjnej za naruszenie obowiązków wskazanych w art. 32 rozporządzenia 2016/679 w/s ochrony osób fizycznych podlega nie ten, kto jako administrator albo podmiot przetwarzający dopuścił do nieuprawnionego przetwarzania danych osobowych, a tylko podmiot, który nie dochował odpowiedniego, w danych okolicznościach, standardu środków bezpieczeństwa.
2. Jakkolwiek kodeks postępowania administracyjnego nie przewiduje wprost „prawa do obrony”, to szereg uprawnień składających się na to prawo można wywieść z art. 10 kpa oraz przepisów stanowiących konkretyzację zasady czynnego udziału, takich jak art. 78 kpa.
Orzeczenie dotyczyło decyzji PUODO, w której nałożono na sklep internetowy Morele.net karę w wysokości 2,8 mln zł za brak skutecznych środków służących zabezpieczeniu danych, wskutek czego doszło do phishingu i wykradzenia bazy danych klientów, a więc naruszenia zasady integralności i poufności.
Badając skargę na tę decyzję Wojewódzki Sąd Administracyjny przypomniał, że obowiązkiem administratora jest wdrożenie odpowiednich, adekwatnych do ryzyka, środków technicznych i administracyjnych oraz regularne testowanie, mierzenie i ocena skuteczności przyjętych rozwiązań. Skoro więc okazało się, że login i hasło do bazy to niewystarczający sposób uwierzytelnienia użytkownika, to — niezależnie od tego, że nie ma już normatywnego katalogu zabezpieczeń technicznych, zatem każdy sam musi podjąć odpowiednie decyzje — zarzut nieprawidłowego zastosowania się do obowiązków jest trafny, a wysokość kary prawidłowa (wyrok WSA w Warszawie z 3 września 2020 r., II SA/Wa 2559/19).
W skardze kasacyjnej spółka powołała się m.in. na to, że RODO nakazuje wdrożenie „odpowiednich” — a nie „skutecznych” — środków bezpieczeństwa, zaś w tamtym okresie branża e-commerce dojść jednolicie uznawała taki sposób zabezpieczenia dostępu jako prawidłowy i nie stosowała uwierzytelnienia dwuskładnikowego.
art. 5 ust. 1 lit. f) rozporządzenia 679/2016 o ochronie danych osobowych
Dane osobowe muszą być:
f) przetwarzane w sposób zapewniający odpowiednie bezpieczeństwo danych osobowych, w tym ochronę przed niedozwolonym lub niezgodnym z prawem przetwarzaniem oraz przypadkową utratą, zniszczeniem lub uszkodzeniem, za pomocą odpowiednich środków technicznych lub organizacyjnych („integralność i poufność”).
art. 24 ust. 1 RODO
Uwzględniając charakter, zakres, kontekst i cele przetwarzania oraz ryzyko naruszenia praw lub wolności osób fizycznych o różnym prawdopodobieństwie i wadze, administrator wdraża odpowiednie środki techniczne i organizacyjne, aby przetwarzanie odbywało się zgodnie z niniejszym rozporządzeniem i aby móc to wykazać. Środki te są w razie potrzeby poddawane przeglądom i uaktualniane.
art. 32 ust. 1 lit. b) RODO
Uwzględniając stan wiedzy technicznej, koszt wdrażania oraz charakter, zakres, kontekst i cele przetwarzania oraz ryzyko naruszenia praw lub wolności osób fizycznych o różnym prawdopodobieństwie wystąpienia i wadze, administrator i podmiot przetwarzający wdrażają odpowiednie środki techniczne i organizacyjne, aby zapewnić stopień bezpieczeństwa odpowiadający temu ryzyku, w tym między innymi w stosownym przypadku:
b) zdolność do ciągłego zapewnienia poufności, integralności, dostępności i odporności systemów i usług przetwarzania;
Naczelny Sąd Administracyjny podzielił argumenty Morele.net, albowiem:
- wprawdzie decyzja nakładająca administracyjną karę pieniężną nie musi wskazywać opisu czynu stanowiącego delikt administracyjny — jednak biorąc pod uwagę, że utarła się praktyka, że PUODO precyzyjnie opisywał na czym polegało naruszenie prawa, brak takiego opisu w wydanej decyzji stanowi naruszenie zasady nieodstępowania od utrwalonej praktyki jednolitego rozstrzygania spraw cechujących się takim samym stanem faktycznym i prawnym;
- błędem była także odmowa uwzględnienia wniosku o powołanie biegłego do przeanalizowana standardów technicznych oraz sprawdzenia, czy przyjęte przez administratora środki odpowiadały dostrzeganym przez branżę e-commerce zagrożeniom; obowiązkiem organu prowadzącego postępowanie jest wszakże przeprowadzenie dowodu na okoliczności mające znaczenie dla sprawy, dowodem takim może być opinia biegłego;
Wniosek dowodowy jest jedynym środkiem obrony strony dążącej do wykazania korzystnych dla niej okoliczności faktycznych. Nie można w postępowaniu administracyjnym ograniczać prawa strony do czynnego udziału, uwzględniając jedynie dowody świadczące na jej niekorzyść.
- sęk w tym nawet jeśli PUODO twierdzi, że ma rozeznanie i wyjaśnienie kwestii nie wymaga wyjaśnienia „wiadomości specjalnych”, to jednak przekonanie to jest subiektywne, a więc brak opinii biegłego oznaczał naruszenie zasady bezstronności (zwłaszcza, że we wrześniu 2019 r. RODO było jeszcze świeże, sprawa była jedną z pierwszych, a jej skala raczej poważna; mało tego: wcześniej GIODO w podobnych przypadkach „identyfikował zagrożenia i zobowiązywał administratorów w formie decyzji administracyjnych do wdrożenia środków adekwatnych do ryzyka” — ale nie tym razem…);
- kluczowa okazała się jednak ocena, iż o naruszeniu wymogów w zakresie zabezpieczenia danych osobowych nie świadczy fakt, że osoba trzecia uzyskała do nich dostęp — lecz okoliczność, że wdrożenie nieodpowiedniego poziomu zabezpieczeń pozwoliło na uzyskanie tego dostępu; stąd też sankcja może dotyczyć braku zapewnienia odpowiednich warunków bezpieczeństwa — ale nie faktu, że doszło do infiltracji przez hakera i „wycieku” (analizując decyzję napisałem, że administrator nie ponosi odpowiedzialności „za to, że został napadnięty i okradziony — jego odpowiedzialność dotyczyć może co najwyżej tego, że dał się napaść i okraść„);
„Odpowiednie” na gruncie art. 32 ust. 1 RODO środki techniczne i organizacyjne, to nie środki skuteczne w każdym przypadku, a takie, których dochowanie mogło być w dacie i okolicznościach dostępu do danych osobowych, obiektywnie wymagane od danego podmiotu.
- skoro więc administrator twierdzi, że miał wdrożone dokładnie takie środki, jakie wówczas stosowały podobne serwisy internetowe, to należało to zbadać w sposób przyjęty w przepisach procedury administracyjnej — a nie arbitralnie stwierdzać, że na pewno rację ma urząd;
- nieprawidłowe prowadzenie postępowania przez PUODO doprowadziło do naruszenia przysługującego Morele.net prawa do obrony — które wynika z zasady czynnego udziału strony w postępowaniu i przepisów dających stronie możliwość zgłaszania wniosków dowodowych; nie można nie zauważać, że w postępowaniu administracyjnym organ łączy rolę „oskarżyciela, podmiotu orzekającego, a w przypadku odmowy skorzystania z art. 84 kpa — także biegłego” — zatem jego działania nie mogą prowadzić do pozbawienia strony prawa do obrony.
Sumarycznie NSA uchylił wyrok i decyzję nakładającą na Morele.net karę, nakazując urzędowi ponowną ocenę — rozważając, czy aby jednak nie powinien powołać biegłego — czy zastosowane środki techniczne i organizacyjne były prawidłowe. (Z ciekawostek: ta przegrana kosztowała PUODO 65 tys. zł tytułem zwrotów kosztów postępowania…)