PUODO wie najlepiej
We wrześniu 2019 Prezes Urzędu Ochrony Danych osobowych nałożył na spółkę Morele.net karę w wysokości prawie 3mln złotych. Po prawie czterech latach NSA uchylił decyzję Prezesa nakładającą tę karę. Wyrok NSA spotkał się z dość stanowczą reakcją Prezesa Urzędu.
Czy zatem decyzje wydawane przez Prezesa Urzędu Ochrony Danych Osobowych mogę podlegać kontroli sądowej?
Sprawa dotyczy jednej z głośniejszych decyzji Prezesa UODO z września 2019 roku. Wtedy to Prezes nałożył na spółkę Morele.net karę w wysokości 2 830 410. Na rynek padł blady strach, bo wielu zaczęło się zastanawiać, czy właśnie nie zaczyna realizować się czarny scenariusz w postaci drakońskich kar nakładanych przez Prezesa UODO na naruszenie zasad ochrony danych osobowych.
Wszystko zaczęło się w listopadzie 2018 roku, kiedy to spółka, zgłosiła Prezesowi Urzędu Ochrony Danych Osobowych dwa naruszenia ochrony danych osobowych, które dotyczyły uzyskania przez osobę nieuprawnioną dostępu do bazy danych klientów pewnej grupy sklepów internetowych oraz uzyskania przez osobę nieupoważnioną dostępu do konta pracownika Spółki, a w konsekwencji uzyskania danych osobowych klientów realizujących zakupy w ww. sklepach internetowych. Naruszenie dotyczyło potencjalnie około 2.200.000 klientów. Podobne zgłoszenie zostało skierowane do Urzędu 18 grudnia 2018 r.
Jak można się domyślać Prezes niezwłocznie wszczął kontrolę, która zakończyła się m.in. nałożeniem na spółkę kary administracyjnej.
Prezes Urzędu Ochrony Danych Osobowych wskazał, że Spółka nie wypełniła obowiązku wynikającego z art. 32 ust. 1 i 2 RODO polegającego na doborze skutecznych środków technicznych i organizacyjnych na poziomie kontroli dostępu i uwierzytelniania. W ocenie organu nadzorczego, w sposób niewystarczający oceniono zdolność do ciągłego zapewnienia poufności oraz nie uwzględniono ryzyka związanego z uzyskaniem nieuprawnionego dostępu.
Urząd wskazał też, że kontrola dostępu i uwierzytelnianie to podstawowe środki bezpieczeństwa mające na celu ochronę przed nieautoryzowanym dostępem do systemu informatycznego wykorzystywanego do przetwarzania danych osobowych. Zapewnienie dostępu uprawnionym użytkownikom i zapobieganie nieuprawnionemu dostępowi do systemów i usług to jeden z wzorcowych elementów bezpieczeństwa, na którą wskazuje m.in. jedna z norm ISO.
Spółka w toki kontroli podnosiła wiele bardzo zasadnych augmentów, m.in. taki, że nikt nie jest w stanie zapewnić 100% bezpieczeństwa systemów informatycznych i też z RODO nie wynika taki obowiązek, a działania podejmowane w tym zakresie przez Spółkę były adekwatne do potencjalnych zagrożeń.
Prezes nie podzielił argumentacji spółki i wydał taką a nie inną decyzje.
Decyzja została zaskarżona przez Spółkę do Wojewódzkiego Sądu Administracyjnego, który jednak tę decyzję podtrzymał. W efekcie sprawa trafiła do NSA.
9 lutego 2023 r. Naczelny Sąd Administracyjny wydał wyrok (sygn. akt III OSK 3945/21), w którym uchylił wyrok Wojewódzkiego Sądu Administracyjnego i decyzję Prezesa UODO w przedmiocie nałożenia kary pieniężnej w związku z wyciekiem danych osobowych ponad. Wyrok jest prawomocny.
Przyczyną uchylenia decyzji Prezesa UODO było oddalenie przez organ wniosku o przeprowadzenie dowodu z opinii biegłego na okoliczność ustalenia standardów technicznych i organizacyjnych środków bezpieczeństwa oraz oceny czy środki techniczne i organizacyjne
stosowane przez spółkę. Spółka wnosiła o przeprowadzenie takiego dowodu, jednak Prezes Urzędu tego wniosku nie uwzględnił, opierając się jedynie na własnych ustaleniach. I to stało się przyczyną uwzględnienia skargi kasacyjnej przez NSA.
Wyrok NSA spotkał się z dość stanowczą odpowiedzią ze strony Prezesa Urzędu. Cytując fragment komentarza Prezesa UODO „Z uwagi na to, że powołane orzeczenie NSA w sposób niezaprzeczalny i precedensowy kwestionuje niezależność Prezesa UODO jako organu nadzorczego, jak i podważa jego kompetencje oraz kwalifikacje merytoryczne zatrudnionych w nim osób, niezbędne do wykonywania zadań, do których organ ten został powołany, Prezes UODO skierował w tej sprawie pismo do NSA.”
I dalej cytując fragmenty tegoż pisma: „Z orzeczenia wynika wprost, iż przyczyną uchylenia decyzji Prezesa UODO było oddalenie przez organ wniosku o przeprowadzenie dowodu z opinii biegłego na okoliczność ustalenia standardów technicznych i organizacyjnych środków bezpieczeństwa oraz oceny czy środki techniczne i organizacyjne stosowane przez spółkę odpowiadały standardom środków bezpieczeństwa w działalności gospodarczej przedsiębiorców w obszarze e-commerce o skali i charakterze podobnym do skali i charakteru działalności tejże spółki.”
Idąc dalej: „W powołanym orzeczeniu NSA wyraża wątpliwość czy z uwagi na precedensowy charakter sprawy, związany ze skalą naruszenia poufności danych osobowych i rozmiarem działalności skarżącej kasacyjnie spółki, przetwarzającej dane osobowe ponad 2.200.000 użytkowników, Prezes UODO posiada „wiadomości specjalne” do samodzielnej oceny, czy stosowane przez nią środki techniczne i organizacyjne były odpowiednie.”
Zdaniem Urzędu „Twierdzeniami tymi NSA bezsprzecznie kwestionuje kompetencje i niezależność Prezesa UODO jako organu nadzorczego” (…) a „Niezależność ta jest zagwarantowana art. 52 ust. 1 RODO zgodnie z którym każdy organ nadzorczy podczas wypełniania swoich zadań i wykonywania swoich uprawnień zgodnie z niniejszym rozporządzeniem działa w sposób w pełni niezależny, która to całkowita niezależność do wypełniania zadań i wykonywania uprawnień jest zasadniczym elementem ochrony osób fizycznych w związku z przetwarzaniem danych osobowych (por. motyw 117 RODO).”
Jeżeli zatem dobrze intepretuję intencje Prezesa UODO, to Prezes chciałby wydawać decyzje jedynie w oparciu o własne ustalenia, bez jakiejkolwiek kontroli sądowej i potem te decyzje egzekwować, bo w innym przypadku będzie to stanowiło zamach na niezależność urzędu.
W mojej ocenie argumentacja przedstawiona przez Prezesa Urzędu jest nieprawidłowa. Ani przepisy europejskie, ani orzecznictwo TSUE, włącznie z tym, na które powołuje się Pan Prezes nie wskazują, że w takiej sytuacji możemy mieć do czynienia z zamachem na niezależność Urzędu. Prawo do kontroli sądowej decyzji administracyjnych jest gwarantowane Konstytucją i w tym zakresie sądy są niezależne i mają prawo do własnej oceny każdej sprawy. Kontrola sądowa to nie zamach na niezależność urzędu, ale podstawa państwa prawa.
Art. 78 Konstytucji
Każda ze stron ma prawo do zaskarżenia orzeczeń i decyzji wydanych w pierwszej instancji. Wyjątki od tej zasady oraz tryb zaskarżania określa ustawa.
Art. 45 1. Konstytucji
Każdy ma prawo do sprawiedliwego i jawnego rozpatrzenia sprawy bez nieuzasadnionej zwłoki przez właściwy, niezależny, bezstronny i niezawisły sąd.
Art. 7 Konstytucji
Organy władzy publicznej działają na podstawie i w granicach prawa.
