Czy doświadczenie i wysokie kwalifikacje pracowników PUODO „gwarantują bezstronność”, a więc nie ma potrzeby powoływania biegłych? (drugi wyrok WSA w/s Morele.net)

Czy w sprawie wymagającej specjalnych wiadomości sąd może — czy musi — powołać biegłych? Czy jednak oczywistość materii (choćby i nieznanej sądowi) pozwala oprzeć się na ocenie pracowników urzędu? Czy zatem PUODO powinien był, skoro tak orzekł NSA, zwrócić się o wydanie przez biegłego opinii w/s zabezpieczeń stosowanych w sklepie Morele.net — czy jednak można przyjąć, że profesjonalizm „gwarantuje bezstronność” urzędników, a więc fatygowanie biegłego jest zbyteczne? Oto mamy drugi wyrok WSA w/s wycieku danych z e-sklepu Morele.net — i w ciemno mogę powiedzieć, że na pewno nie ostatni (nieprawomocny wyrok WSA w Warszawie z 16 września 2024 r., II SA/Wa 430/24).


Camping Oliva Rabac
Nie mam na zdjęciu drzewa morelowego — więc jako ilustracja tekstu musi wystarczyć ujęcie kempingu położonego w gaju oliwnym (fot. Olgierd Rudak, CC BY-SA 4.0)

Orzeczenie jest kolejną odsłoną sagi starej jak RODO, której pierwociny pamiętają tylko najstarsi górale oraz ci spośród P.T. Czytelników tutejszego czasopisma, których nie dotknęła jeszcze starcza niepamięć… Przeto pozwolę sobie hasłowo przypomnieć…

krótki opis dotychczasowej sytuacji:

skarga Morele.net na drugą decyzję PUODO:

  • we wniesionej do WSA skardze na tę decyzję Morele.net wniosła o zwrócenie się do TSUE z pytaniem o dopuszczalność podwyższenia wynikającej z RODO administracyjnej kary pieniężnej w przypadku, kiedy stan faktyczny się nie zmienił, acz zakres naruszenia jest już węższy;
  • a także m.in. zarzuciła, że PUODO znów nie powołał biegłych na okoliczność stosowanych standardów technicznych zabezpieczeń, nie uwzględniając przez to oceny prawnej i wskazań NSA co do dalszego postępowania;

art. 153 prawa o postępowaniu przed sądami administracyjnymi
Ocena prawna i wskazania co do dalszego postępowania wyrażone w orzeczeniu sądu wiążą w sprawie organy, których działanie, bezczynność lub przewlekłe prowadzenie postępowania było przedmiotem zaskarżenia, a także sądy, chyba że przepisy prawa uległy zmianie.

  • konsekwencją uchybień organu miało być nałożenie na spółkę kary nieadekwatnej (nieproporcjonalnej, rażąco zawyżonej) do uchybień;

drugi wyrok WSA w/s Morele.net:

  • w drugim podejściu WSA uznał, iż „specjalistyczna wiedza urzędników poparta doświadczeniem w podobnych sprawach, uprawdopodabnia posiadanie wiadomości specjalnych w odniesieniu do podobnego charakteru spraw oraz obiektywny charakter analizy”;
  • zarazem doświadczenie i wysokie kwalifikacje pracowników PUODO „gwarantowało bezstronność” oceny środków stosowanych przez Morele.net;

art. 84 par. 1 kodeksu postępowania administracyjnego
Gdy w sprawie wymagane są wiadomości specjalne, organ administracji publicznej może zwrócić się do biegłego lub biegłych o wydanie opinii.

  • nie ma bowiem wątpliwości, iż w systemie e-sklepu doszło do incydentu bezpieczeństwa, którego skutkiem był wyciek danych osobowych — a skoro administrator nie przeprowadził sformalizowanej oceny ryzyka, to nie był w stanie wykazać, iż wdrożone środki odpowiadały wymogom wynikającym z art. 32 ust. 1 RODO;
  • dowodzi tego nie tylko fakt, że Morele.net nie monitorowała sieci i środowiska, nie reagowała na incydenty, ale nawet nie miała pewności czy i co zostało wykradzione — zaś wprowadzenie niezbędnych rozwiązań po wycieku nie zmienia negatywnej oceny wcześniejszej postawy;
  • audyty, i owszem, przeprowadzano — ale tylko i wyłącznie pod kątem znanych podatności oprogramowania, a nie pod kątem ryzyk;
  • jako bezzasadne uznano także zarzuty odnoszące się do wysokości kary, w tym argument, iż przyjęcie węższego zakresu naruszeń powinien skutkować niższą karą; sęk w tym, że wysokość kary za naruszenie RODO leży w sferze uznania organu, zatem kontrola sądu może dotyczyć wyłącznie legalności jej zastosowania — a skoro sankcja w kwocie 3,8 mln złotych mieści się w art. 83 RODO (w przesłankach, kwotach, etc.), zaś uzasadnienie decyzji w tym zakresie jest prawidłowe, to nie ma podstaw do jej zakwestionowania;
  • na marginesie warto zwrócić uwagę, że WSA odmówił także zwrócenia się do TSUE w trybie prejudycjalnym (i w tym zakresie uzasadnienie jest równie niejasne, bo najwyraźniej sprowadza się do konkluzji, że skoro ukarany podmiot może odwołać się do sądu, to prawo do sądu nie jest pogwałcone).

Zamiast komentarza: coś mi mówi, że tym razem pełnomocnik Morele.net nie będzie miał większych problemów ze sformułowaniem skutecznej skargi kasacyjnej. NSA uchylił pierwotną decyzję ze względu na brak zasięgnięcia opinii bezstronnego biegłego, a jednak PUODO nie zastosował się do tych wskazówek — zaś sposób, w jaki WSA przyklepał tę decyzję jest co najmniej kuriozalny. I dopiero wówczas będzie można będzie oceniać ewentualne naruszenie obowiązków administratora — oraz ważyć przesłanki nałożenia kary za naruszenie RODO.

subskrybuj
Powiadom o
guest

Witryna wykorzystuje Akismet, aby ograniczyć spam. Dowiedz się więcej jak przetwarzane są dane komentarzy.

44 komentarzy
Oldest
Newest
Inline Feedbacks
zerknij na wszystkie komentarze
44
0
komentarze są tam :-)x