Czy nałożona na Morele.net kara — po wygranej przed NSA — mogła być wyższa niż wcześniej?

Od dywagacji z cyklu „co mi się dziś wydaje” na temat RODO wolę twarde informacje, dziś jednak przyszedł czas na kilka akapitów o tym dlaczego kara nałożona przez PUODO po korzystnym dla Morele.net wyroku NSA jest wyższa, niż w pierwszej decyzji. Czyli: dlaczego z kwoty 2,8 mln złotych po niespełna pięciu latach zrobiło się 3,8 mln złotych? (decyzja PUODO ZSPR.421.2.2019 ZSPR.405.67.2019 z 17 stycznia 2024 r.).


Wrocław
Jeszcze raz Wrotizla, Wretslaw, Presslaw, Bresslau, Breslau… z lotu ptaka (fot. Olgierd Rudak, CC BY-SA 4.0)

Dalej będzie w punktach, bo tak łatwiej uniknąć pustosłowia i frazesów:

  • historia zaczyna się w 2018 r. od wycieku danych osobowych z bazy Morele.net i decyzji Prezesa Urzędu Ochrony Danych Osobowych, w której stwierdzono, że doszło doń wskutek braku skutecznych zabezpieczeń (por. „Za co właściwie sklep Morele.net dostał 2,8 mln złotych kary?”);
  • naruszenie RODO „wyceniono” na 2.830.410 mln złotych, a dokładnie 660 tys. euro; uzasadnienie decyzji PUODO jest przy tym dość lakoniczne jeśli chodzi o wskazanie przesłanek wysokości kary — organ ograniczył się do stwierdzenia, iż kwota mieści się w normatywnych widełkach, jest adekwatna do rozmiarów naruszenia, spełnia funkcję represyjną, ale nie stanowi nadmiernego obciążenia dla spółki, a także przytacza reguły przeliczenia kursu EUR na PLN;
  • ta decyzja została uchylona przez NSA, który stwierdził, iż organ prowadzący postępowanie nie powinien sam badać rozwiązań technicznych, lecz powinien, jak przystało w postępowaniu administracyjnym, powołać niezależnego biegłego (wyrok NSA z 9 lutego 2023 r., III OSK 3945/21, por. „O niezależności PUODO rzekomo zagrożonej koniecznością powołania biegłego w postępowaniu”);
  • w drugim podejściu PUODO… znów odmówił uwzględnienia wniosku o przeprowadzenie dowodu z opinii biegłego z zakresu bezpieczeństwa systemów informatycznych, który miałby ocenić, czy zastosowane przez Morele.net środki bezpieczeństwa danych były prawidłowe;
  • odmowa przeprowadzenie dowodu miała miejsce pomimo wyraźnych wskazań NSA i pomimo argumentów spółki, iż istnieje ryzyko, że pracownicy PUODO nie są bezstronni w swych analizach; mało tego: PUODO nie tylko odmówił powołania biegłego, ale też uzasadnił tej odmowy ani słowem (mnie się wydaje, że już z tego powodu decyzja znów poleci, i to w pierwszej instancji);
  • tak czy inaczej PUODO podtrzymał wcześniejszy pogląd, ale tym razem na Morele.net została nałożona kara w wyższej kwocie, tj. 3.819.960 złotych (tj. 810 tys. euro po przeliczeniu na złotówki, o czym więcej za chwilę);
  • tym razem w uzasadnieniu PUODO poświęcił sporo uwagi dojściu do tej kwoty, począwszy od rozważań dot. liczby osób dotkniętych wyciekiem, poprzez wyrażenie poglądu, iż „już samo naruszenie poufności danych stanowi szkodę niemajątkową (krzywdę)” polegającą choćby na strachu przed kradzieżą tożsamości, aż do uwag dot. stopnia odpowiedzialności Morele.net jako administratora i oceny wywiązywania się z obowiązku współpracy z organem nadzorczym, etc.,etc.;
  • co do przeliczenia walut: zgodnie z ustawą o ochronie danych osobowych wskazane w RODO kwoty kar (te wszystkie miliony euro) zasadniczo przelicza się na złotówki w/g średniego kursu euro NBP z 28 stycznia każdego roku, stąd też w decyzji 2019 r. przyjęto kurs z 28 stycznia 2019 r. (1 EUR = 4.2885 PLN), natomiast w decyzji z 2024 r. zastosowano kurs z 30 stycznia 2023 r., tj. 1 EUR = 4,7160 PLN;

art. 83 ust. 2 rozporządzenia 679/2016 o ochronie danych osobowych
Administracyjne kary pieniężne nakłada się, zależnie od okoliczności każdego indywidualnego przypadku (…). Decydując, czy nałożyć administracyjną karę pieniężną, oraz ustalając jej wysokość, zwraca się w każdym indywidualnym przypadku należytą uwagę na:
a) charakter, wagę i czas trwania naruszenia przy uwzględnieniu charakteru, zakresu lub celu danego przetwarzania, liczby poszkodowanych osób, których dane dotyczą, oraz rozmiaru poniesionej przez nie szkody;
b) umyślny lub nieumyślny charakter naruszenia;
c) działania podjęte przez administratora lub podmiot przetwarzający w celu zminimalizowania szkody poniesionej przez osoby, których dane dotyczą;
d) stopień odpowiedzialności administratora lub podmiotu przetwarzającego z uwzględnieniem środków technicznych i organizacyjnych wdrożonych przez nich na mocy art. 25 i 32;

e) wszelkie stosowne wcześniejsze naruszenia ze strony administratora lub podmiotu przetwarzającego;
f) stopień współpracy z organem nadzorczym w celu usunięcia naruszenia oraz złagodzenia jego ewentualnych negatywnych skutków;
g) kategorie danych osobowych, których dotyczyło naruszenie;
h) sposób, w jaki organ nadzorczy dowiedział się o naruszeniu, w szczególności, czy i w jakim zakresie administrator lub podmiot przetwarzający zgłosili naruszenie;

i) jeżeli wobec administratora lub podmiotu przetwarzającego, których sprawa dotyczy, zostały wcześniej zastosowane w tej samej sprawie środki, o których mowa w art. 58 ust. 2 – przestrzeganie tych środków;
j) stosowanie zatwierdzonych kodeksów postępowania na mocy art. 40 lub zatwierdzonych mechanizmów certyfikacji na mocy art. 42; oraz

k) wszelkie inne obciążające lub łagodzące czynniki mające zastosowanie do okoliczności sprawy, takie jak osiągnięte bezpośrednio lub pośrednio w związku z naruszeniem korzyści finansowe lub uniknięte straty.

art. 103 ustawy o ochronie danych osobowych
Równowartość wyrażonych w euro kwot, o których mowa w art. 83 rozporządzenia 2016/679, oblicza się w złotych według średniego kursu euro ogłaszanego przez Narodowy Bank Polski w tabeli kursów na dzień 28 stycznia każdego roku, a w przypadku gdy w danym roku Narodowy Bank Polski nie ogłasza średniego kursu euro w dniu 28 stycznia – według średniego kursu euro ogłoszonego w najbliższej po tej dacie tabeli kursów Narodowego Banku Polskiego.

  • gorzej, że chociaż opis uzasadnienia wysokości kary obejmuje (na oko) 1/3 treści decyzji, PUODO nie pokusił się o wskazanie przyczyn, dla których w określonym (niezmiennym) stanie faktycznym zdecydował się zaostrzyć sankcję;
  • rzecz jasna zakaz reformationis in peius w postępowaniu administracyjnym (art. 139 kpa) dotyczy tylko organu odwoławczego i „nie ma zastosowania przy rozpatrywaniu sprawy przez organ pierwszej instancji w postępowaniu toczącym się w następstwie kasacyjnej decyzji organu odwoławczego” (uchwała 7 sędziów NSA z 4 maja 1998 r., FPS 2/98), a więc nie dotyczy także przypadku uchylenia decyzji przez NSA;
  • ale też pamiętam, że „organy administracji publicznej bez uzasadnionej przyczyny nie odstępują od utrwalonej praktyki rozstrzygania spraw w takim samym stanie faktycznym i prawnym” (art. 8 par. 2 kpa), chociaż więc decyzja pierwszopodejściowa utrwaloną praktyką nie jest, wypadałoby spróbować wyjaśnić dlaczego identyczny stan faktyczny — w decyzji nie odnalazłem choćby pół zdania o odkryciu trupa w szafie, ustaleniu nowych okoliczności naruszenia lub stwierdzenia, iżby w tzw. międzyczasie powiększyły się skutki naruszenia w przypadku osób, których dane wyciekły — został wyceniony o 20% wyżej i tak też wzrosła nałożona na Morele.net kara;
  • moim zdaniem obowiązek uargumentowania surowszej sankcji wynika także z zasady przekonywania, wszakże wszystkie urzędy powinny wyjaśniać „zasadność przesłanek, którymi kierują się przy załatwianiu sprawy”, choćby dlatego, że strona dobrze przekonana nie odwołuje się i nie skarży, a zamiast tego po prostu wykonuje decyzję;
  • w decyzji PUODO ze stycznia 2024 r. takiego wyjaśnienia zabrakło; ba, w uzasadnieniu wprost mówi się, iż „brak jest dowodów, aby osoby, których dane dotyczą, doznały szkody majątkowej”, wprawdzie w tym samym zdaniu dorzuca się słuszny pogląd, iż „już samo naruszenie poufności danych stanowi szkodę niemajątkową (krzywdę); osoby fizyczne, do których danych dostęp uzyskano w sposób nieuprawniony mogą bowiem co najmniej odczuwać strach przed utratą kontroli nad swoimi danymi osobowymi, kradzieżą tożsamości lub oszustwem dotyczącym tożsamości, czy wreszcie przed stratą finansową”, jednak to było oczywiste już w 2019 r., więc organ musiał wziąć to pod uwagę w ówcześnie prowadzonym postępowaniu…
  • …a jednak z wcześniejszych 660 tys. euro automagicznie zrobiło się 810 tys. euro.

Słowem: może źle czytam, mogłem coś przeoczyć, niewykluczone, że czegoś nie zrozumiałem — ale uważam, że kara nałożona na Morele.net w drugiej decyzji w żaden sposób się nie broni i raczej się nie obroni w przypadku skargi do sądu administracyjnego. (Zresztą ta decyzja poleci już ze względu na brak powołania biegłych — nawet niezależny organ jest związany wyrażonymi w prawomocnym orzeczeniu wskazaniami sądu co do dalszego postępowania, więc skoro NSA powiedział, że opinia biegłego musiała być, to nie ma bata.)

subskrybuj
Powiadom o
guest

Witryna wykorzystuje Akismet, aby ograniczyć spam. Dowiedz się więcej jak przetwarzane są dane komentarzy.

13 komentarzy
Oldest
Newest
Inline Feedbacks
zerknij na wszystkie komentarze
13
0
komentarze są tam :-)x