ZSPR.421.2.2019 ZSPR.405.67.2019
Warszawa, 17 stycznia 2024 r.
ZSPR.421.2.2019
ZSPR.405.67.2019
DECYZJA
Na podstawie art. 104 § 1 i 105 § 1 ustawy z dnia 14 czerwca 1960 r. Kodeks postępowania administracyjnego (Dz. U. z 2023 r. poz. 775 ze zm.) oraz art. 7 ust 1 i ust. 2, art. 60, art. 90, art. 101 i art. 103 ustawy o ochronie danych osobowych z dnia 10 maja 2018 r. (Dz. U. z 2019 r. poz. 1781) oraz art. 57 ust. 1 lit. a) i lit. h), art. 58 ust. 2 lit. i), art. 83 ust. 1 – 3, art. 83 ust. 4 lit. a) w związku z art. 24 ust. 1, art. 25 ust. 1 oraz art. 32 ust. 1 lit. b) i d) oraz ust. 2, a także art. 83 ust. 5 lit. a) w związku z art. 5 ust. 1 lit. a) i lit. f), art. 5 ust. 2, art. 6 ust. 1, art. 7 ust. 1 rozporządzenia Parlamentu Europejskiego i Rady UE 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) (Dz. Urz. UE L 119 z 04.05.2016, str. 1 ze zm.), po przeprowadzeniu wszczętego z urzędu postępowania administracyjnego w sprawie naruszenia przepisów o ochronie danych osobowych przez Morele.net sp. z o. o. z siedzibą w Krakowie przy al. Jana Pawła II 43b, Prezes Urzędu Ochrony Danych Osobowych,
I. stwierdzając naruszenie przez Morele.net sp. z o. o. z siedzibą w Krakowie, przepisów art. 24 ust. 1, art. 25 ust. 1, art. 32 ust. 1 lit. b) i lit. d) oraz art. 32 ust. 2 rozporządzenia Parlamentu Europejskiego i Rady UE 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) (Dz. Urz. UE L 119 z 04.05.2016, str. 1, ze zm.), dalej: „rozporządzenie 2016/679”, polegające na:
a) niewdrożeniu odpowiednich środków technicznych i organizacyjnych zapewniających bezpieczeństwo przetwarzania danych w systemach informatycznych oraz ochronę praw osób, których dane dotyczą, na podstawie przeprowadzonej analizy ryzyka uwzględniającej stan wiedzy technicznej, koszt wdrożenia, charakter, zakres, kontekst i cele przetwarzania oraz ryzyko naruszenia praw lub wolności osób fizycznych,
b) niewdrożeniu odpowiednich środków technicznych i organizacyjnych w celu zapewnienia regularnego testowania, mierzenia i oceniania skuteczności środków technicznych i organizacyjnych mających zapewnić bezpieczeństwo danych osobowych przetwarzanych w systemach informatycznych, w szczególności w zakresie podatności, błędów oraz ich możliwych skutków dla tych systemów oraz podjętych działań minimalizujących ryzyko ich wystąpienia,
skutkujące naruszeniem zasady integralności i poufności (art. 5 ust. 1 lit. f) rozporządzenia 2016/679) oraz zasady rozliczalności (art. 5 ust. 2 rozporządzenia 2016/679),
nakłada na Morele.net sp. z o. o. z siedzibą w Krakowie za naruszenie art. 5 ust. 1 lit. f), art. 5 ust. 2, art. 25 ust. 1 oraz art. 32 ust. 1 lit. b) i lit. d) i ust. 2 rozporządzenia 2016/679 administracyjną karę pieniężną w wysokości 3 819 960 PLN (słownie: trzy miliony osiemset dziewiętnaście tysięcy dziewięćset sześćdziesiąt PLN).
II. w pozostałym zakresie umarza postępowanie.
UZASADNIENIE
W dniu 30 listopada 2018 r. Morele.net Sp. z o. o. z siedzibą w Krakowie przy ul. Fabrycznej 20A, obecnie przy al. Jana Pawła II 43b (zwana dalej „Spółką” lub „Morele.net”), zgłosiła Prezesowi Urzędu Ochrony Danych Osobowych (zwanemu dalej także „Prezesem UODO” lub „Organem nadzorczym”) dwa naruszenia ochrony danych osobowych, które dotyczyły uzyskania przez osobę nieuprawnioną dostępu do bazy danych klientów sklepów internetowych morele.net, (...), (...), (...), (...), (...), (...), (...), (...), (...), (...) oraz uzyskania przez osobę nieupoważnioną dostępu do konta pracownika Spółki, a w konsekwencji uzyskania danych osobowych klientów realizujących zakupy w ww. sklepach internetowych. Następnie, dnia 16 grudnia 2018 r., Spółka zgłosiła Prezesowi Urzędu Ochrony Danych Osobowych kolejne naruszenie ochrony danych osobowych polegające na uzyskaniu nieuprawionego dostępu do konta pracownika Spółki.
W dniach od 21 do 25 stycznia 2019 r. w celu kontroli zgodności przetwarzania danych z przepisami o ochronie danych osobowych dokonano czynności kontrolnych w Morele.net. Zakresem kontroli objęto przetwarzanie danych osobowych klientów sklepów internetowych: morele.net, (...), (...), (...), (...), (...), (...), (...), (...), (...), (...), których administratorem jest Spółka.
Na podstawie zgromadzonego materiału dowodowego ustalono, że w procesie przetwarzania danych osobowych Spółka, jako administrator, naruszyła przepisy o ochronie danych osobowych. Uchybienia te polegały na:
- Naruszeniu przez Spółkę zasady integralności i poufności danych wyrażonej w art. 5 ust. 1 lit. f) rozporządzenia 2016/679, odzwierciedlonej w postaci obowiązków określonych w art. 24 ust 1, art. 25 ust. 1, art. 32 ust. 1 lit. b) i lit. d) oraz art. 32 ust. 2 rozporządzenia 2016/679, polegającym na niezapewnieniu bezpieczeństwa i poufności przetwarzanych danych osobowych, co spowodowało, że dostęp do danych osobowych klientów Spółki uzyskały osoby nieuprawnione.
- Naruszeniu zasady zgodności z prawem, rzetelności i przejrzystości oraz zasady rozliczalności, wyrażonych w art. 5 ust. 1 lit. a) oraz art. 5 ust. 2 rozporządzenia 2016/679, uszczegółowionych w art. 7 ust. 1 oraz art. 6 ust. 1 rozporządzenia 2016/679, poprzez niewykazanie, że dane osobowe z wniosków ratalnych, zbierane przed 25 maja 2018 r., były przetwarzane przez Morele.net na podstawie zgody osoby, której dane dotyczyły.
Prezes UODO, na podstawie zebranego materiału dowodowego, ustalił następujący stan faktyczny sprawy:
- Przedmiotem działalności Spółki jest sprzedaż detaliczna prowadzona przez domy sprzedaży wysyłkowej lub Internet. Spółka prowadzi sklepy internetowe: morele.net, (...), (...), (...), (...), (...), (...), (...), (...), (...), (...).
- Spółka w związku z prowadzoną działalnością przetwarza dane osobowe klientów, którzy dokonali rejestracji na stronie internetowej morele.net (oraz stronach internetowych innych sklepów, wymienionych wyżej, których administratorem jest Spółka). Liczba osób, których dane są przetwarzane przez Spółkę wynosi ok. 2 200 000 (ok. dwa miliony dwieście tysięcy). Zakres tych danych obejmuje: imię, nazwisko, adres poczty elektronicznej (e-mail), numer telefonu i adres do doręczeń, a dostęp do tych danych mają (…). Do grudnia 2018 r. Spółka przetwarzała również dane z wniosków ratalnych. Zakres tych danych obejmował: imię, nazwisko, adres poczty elektronicznej (e-mail), numer telefonu, numer PESEL, seria i numer dokumentu tożsamości, data wydania dokumentu tożsamości, data ważności dokumentu tożsamości, wykształcenie, adres zameldowania, adres do korespondencji, źródło dochodu, miesięczny dochód netto, koszty utrzymania gospodarstwa domowego, liczba osób na utrzymaniu, stan cywilny, wysokość miesięcznych innych zobowiązań w instytucjach finansowych, informacja o wysokości zobowiązań alimentacyjnych i innych wynikających z wyroków sądowych (gromadzone od 2016 r.). Ich łączna liczba wynosiła ok. 35 000.(…)
- (…)
- W dniu (...) listopada 2018 r. Spółka została poinformowana przez klientów o otrzymywaniu przez nich krótkich widomości tekstowych (sms), informujących o konieczności dokonania dodatkowej opłaty, w wysokości 1 PLN, w celu dokończenia realizacji zamówienia. Wiadomość zawierała link do fałszywej bramki płatności elektronicznej DotPay. Spółka niezwłocznie powiadomiła o zdarzeniu Policję oraz przystąpiła do próby wyjaśnienia tej sprawy.
- (…)
- Naruszenie ochrony danych osobowych zostało stwierdzone przez Spółkę w dniu (...) listopada 2018 roku.
- Po przeprowadzeniu działań monitorujących w dniu 30 listopada 2018 r. Spółka zgłosiła naruszenie do Prezesa Urzędu Ochrony Danych Osobowych. Ponadto, Spółka zamieściła na swojej stronie internetowej informację ostrzegającą o fałszywych smsach. Taka sama informacja była przez Spółkę wysyłana do klientów w wiadomościach e-mail oraz sms. Dnia (...) grudnia 2018 r. Spółka ponownie poinformowała osoby, których dane dotyczą, o naruszeniu, informując m.in. o potencjalnym uzyskaniu dostępu do danych z wniosków ratalnych.
- Jak wskazano w przesyłanych do Prezesa Urzędu Ochrony Danych Osobowych zgłoszeniach oraz zgłoszeniach uzupełniających, Spółka podjęła prace nad wprowadzeniem dodatkowych środków zabezpieczenia technicznego, m.in. w postaci dwuetapowego uwierzytelniania dostępu do panelu pracownika (…)
- W dniu (...) listopada 2018 r. Spółka otrzymała wiadomość e-mail od nieznanej osoby, informującej o dokonanej przez nią kradzieży bazy danych klientów Spółki.
- W dniu 30 listopada 2018 roku Spółka zgłosiła do Prezesa UODO naruszenie ochrony danych osobowych dotyczące potencjalnego uzyskania nieuprawnionego dostępu do bazy danych klientów Spółki. Naruszenie dotyczyło około 2 200 000 (ok. dwóch milionów dwustu tysięcy) użytkowników.
- W dniu (...) grudnia 2018 roku Spółka wysłała do klientów około 2 200 000 (ok. dwa miliony dwieście tysięcy) wiadomości mailowych zawierających zawiadomienie o nieuprawnionym dostępie do bazy danych klientów (treść zawiadomienia osób, których dane dotyczą została przesłana w uzupełnieniu zgłoszenia naruszenia ochrony danych osobowych). W powyższej informacji kierowanej do klientów Spółka poinformowała, że nie przetwarza danych pochodzących z wniosków kredytowych.
- W dniu (...) grudnia 2018 r. Spółka zidentyfikowała kolejny nieuprawniony dostęp (…), wykorzystany do ponownej wysyłki fałszywych smsów, o czym zostało poinformowanych 600 osób, do danych których osoba nieuprawniona miała dostęp. Po tym incydencie, w tym samym dniu, Spółka wprowadziła podwójne uwierzytelnienie, nad którym pracowała od 30 listopada 2018 r. W dniu 16 grudnia 2018 r. naruszenie to zostało zgłoszone do Prezesa Urzędu Ochrony Danych Osobowych.
- W celu ustalenia okoliczności naruszeń ochrony danych zgłoszonych przez Spółkę oraz ustalenia stosowanych przez Spółkę środków zabezpieczenia technicznego, środków zastosowanych w celu zminimalizowania skutków naruszenia oraz zapobieżenia podobnym zdarzeniom, dnia 7 stycznia 2019 r., Prezes UODO skierował do Spółki wezwanie do złożenia wyjaśnień.
- W odpowiedzi na wezwanie z dnia 7 stycznia 2019 r., Spółka pismem z dnia 17 stycznia 2019 r. przedstawiła obszerne wyjaśnienia, zawierające m.in: opis prowadzonych przez Spółkę działań po zaistniałym incydencie, opis stosowanych przez Spółkę środków zabezpieczenia technicznego i organizacyjnego, opis procedury obsługi żądań osób, których dane dotyczą.
- Do wyjaśnień z dnia 17 stycznia 2019 r. Spółka dołączyła sprawozdanie finansowe za rok obrotowy od (...).01.2017 r. do (...).12.2017 r., z którego wynika, że wysokość przychodów netto ze sprzedaży i zrównanych z nimi wynosi: 718 610 021,32 PLN oraz oświadczenie Zarządu o przychodzie całkowitym Spółki za rok 2018, obliczonym na dzień (...) stycznia 2019 r., który wynosi 795 860 906,08 PLN.
- Jak ustalono w toku kontroli, dokonanie zakupów w sklepach internetowych, których administratorem jest Spółka, wymaga uprzedniej rejestracji. Niezbędne informacje do założenia konta obejmują adres poczty elektronicznej (e-mail) oraz hasło do konta użytkownika, które wprowadza klient sklepu. Po zalogowaniu użytkownik ma możliwość wpisania imienia, nazwiska, adresu oraz numeru telefonu (na potrzeby ustalenia podstawowych danych niezbędnych do doręczenia zakupionych towarów). Konto użytkownika istnieje w systemie Spółki do czasu wypowiedzenia umowy, tj. usunięcia konta przez użytkownika.
- Jak ustalono w toku kontroli, w 2016 r. zaktualizowana została obowiązująca w Spółce dokumentacja dotycząca przetwarzania danych osobowych. W 2017 r. Spółka rozpoczęła prace związane ze zbliżającą się datą rozpoczęcia stosowania przepisów rozporządzenia 2016/679, w zakresie dostosowania strony internetowej, profilu użytkownika, newslettera, dostosowania dokumentów wewnątrz Spółki, obiegu dokumentów w Spółce, środków zabezpieczenia fizycznego i technicznego. Jak wskazano w przyjętych podczas kontroli wyjaśnianiach, analiza ryzyka była robiona przez Spółę doraźnie dla poszczególnych procesów, w sposób niesformalizowany.
- W toku kontroli pozyskano kopię dokumentacji wewnętrznej Spółki pt. „Raport po wykradzeniu bazy danych” (…)
- (…)
- Jak ustalono w toku kontroli, moduł obsługujący formularz kredytowy nie zapisuje w bazie danych Spółki informacji wprowadzanych przez Klienta.(…)
- Zgodnie z przyjętymi w toku kontroli wyjaśnieniami, Spółka nie zbierała danych w zakresie skanów dowodów tożsamości należących do klientów składających wnioski kredytowe. Formularz zakupów ratalnych od około (...) października 2018 r. zawierał miejsce na wpisanie wyłącznie kwoty zobowiązań alimentacyjnych lub kwoty zobowiązań wynikających z innych orzeczeń sądowych. Spółka nie potwierdza, że takie dane były zapisane w bazie usuniętej w grudniu 2018 r.
- Pismem z dnia 19 lutego 2019 r. Spółka zwróciła się do Prezesa Urzędu Ochrony Danych Osobowych z wnioskiem o pilne rozpoznanie sprawy wskazując, że ze względu na medialny charakter sprawy oraz niepewność wobec sposobu zakończenia sprawy przez Prezesa Urzędu Ochrony Danych Osobowych ewentualne długie rozpatrywanie sprawy może stanowić zagrożenie dla funkcjonowania Spółki.
- Prezes UODO postanowieniem z 6 sierpnia 2019 r. odmówił uwzględnienia złożonego przez Spółkę wniosku o przeprowadzenie opinii przez biegłego, wskazując m.in. że ocena, czy środki techniczne i organizacyjne stosowane przez Spółkę odpowiadały standardom, nie ma istotnego znaczenia dla wydania rozstrzygnięcia w sprawie, a okoliczność, czy środki techniczne i organizacyjne stosowane przez Spółkę były odpowiednie uwzględniając stan wiedzy technicznej, koszt wdrażania oraz charakter, zakres, kontekst i cele przetwarzania oraz ryzyko naruszenia praw lub wolności osób fizycznych o różnym prawdopodobieństwie wystąpienia i wadze zagrożenia, została już w sposób dostateczny ustalona na podstawie pozyskanych dowodów.
Po przeanalizowaniu materiału dowodowego zgromadzonego w postępowaniu administracyjnym, Prezes UODO w decyzji z dnia 10 września 2019 r., stwierdził naruszenie przez Spółkę przepisów art. 5 ust. 1 lit. a) oraz lit. f), art. 5 ust 2, art. 6 ust. 1, art. 7 ust. 1, art. 24 ust. 1, art. 25 ust. 1, art. 32 ust. 1 lit. b) i lit. d) oraz art. 32 ust. 2 rozporządzenia 2016/679.
Mając na uwadze stwierdzone naruszenie, Prezes UODO uznał, że w okolicznościach rozstrzyganej sprawy ocena przesłanek, o których mowa w art. 83 ust. 2 rozporządzenia 2016/679, przesądziła o konieczności nałożenia na Spółkę administracyjnej kary pieniężnej. Prezes UODO działając na podstawie art. 58 ust. 2 lit. i) rozporządzenia 2016/679 oraz art. 83 ust. 3 i art. 83 ust. 5 lit. a) rozporządzenia 2016/679 w związku z art. 103 ustawy z dnia 10 maja 2018 r. o ochronie danych osobowych (Dz. U. z 2019 r. poz. 1781), nałożył na Spółkę administracyjną karę pieniężną w wysokości 2 830 410 PLN (co stanowiło równowartość 660 000 EUR). Decyzja została doręczona Spółce w dniu 16 września 2019 r. (zwrotne potwierdzenie odbioru w aktach sprawy).
Pismem z dnia 16 października 2019 r. (data wpływu do Urzędu Ochrony Danych Osobowych: 18 października 2019 roku) Spółka, złożyła skargę do Wojewódzkiego Sądu Administracyjnego w Warszawie na decyzję Prezesa UODO z dnia 10 września 2019 r., zaskarżając wydaną decyzję w całości, domagając się uchylenia zaskarżonej decyzji oraz zasądzenia kosztów postępowania. W skardze zawarto zarówno zarzuty naruszenia przepisów postępowania, jak i prawa materialnego. Zawarto w niej także wniosek o zwrócenie się przez Sąd z wnioskiem do Trybunału Sprawiedliwości Unii Europejskiej o wydanie orzeczenia w trybie prejudycjalnym, czy sądy administracyjne w Polsce zapewniają skuteczną ochronę prawną przeciwko prawnie wiążącej decyzji organu nadzorczego, tj. wykonują pełną jurysdykcję w zakresie ustalenia okoliczności faktycznych i prawnych mających znaczenie dla rozstrzygnięcia sprawy, o której mowa w art. 78 ust. 1 rozporządzenia 2016/679 oraz w motywie (143) preambuły rozporządzenia 2016/679, w sytuacji, w której postępowanie przed Prezesem Urzędu jest jednoinstancyjne i brak jest organu lub sądu, który oceni rozstrzygnięcie Prezesa Urzędu merytorycznie lub ma kompetencje do dokonywania ustaleń faktycznych, podczas gdy art. 6 Europejskiej Konwencji o Ochronie Praw Człowieka i Podstawowych Wolności oraz art. 47 Karty Praw Podstawowych gwarantuje podmiotowi ukaranemu prawo do rozstrzygnięcia sprawy przez sąd posiadający pełną jurysdykcję w sprawie.
Wyrokiem z 3 września 2020 r., sygn. SA/Wa 2559/19, Wojewódzki Sąd Administracyjny w Warszawie oddalił skargę Morele.net na decyzję Prezesa UODO z dnia 10 września 2019 r. W uzasadnieniu wyroku Sąd pierwszej instancji wskazał, po pierwsze, że nie znalazł podstaw do skierowania pytania prejudycjalnego do TSUE. Skoro decyzje o nałożeniu sankcji podlegają zaskarżeniu do sądu administracyjnego, to nie sposób uznać, iż przyjęte reguły naruszają prawo do sądu. Na poparcie tego stanowiska WSA powołał orzecznictwo Trybunału Konstytucyjnego i wskazał, że kary pieniężne nakładane przez organy administracji nie mogą być utożsamiane z grzywną lub innymi instytucjami prawa karnego, zaś umocowanie organów w tym przedmiocie nie może być postrzegane jako wymierzanie sprawiedliwości. Przechodząc do oceny legalności zaskarżonej decyzji WSA przyjął, że zawiera ona poprawnie sformułowane rozstrzygnięcie. W ocenie Sądu sentencja decyzji jest zrozumiała, zaś z uzasadnienia wynikają podstawy prawne rozstrzygnięcia. Sąd zwrócił uwagę, że w zawiadomieniu o wszczęciu postępowania organ wskazał, jakie naruszenia stwierdzone w trakcie kontroli są przedmiotem postępowania. Dalej WSA wskazał, iż podziela stanowisko Prezesa UODO, że najpoważniejszym naruszeniem, determinującym wymierzoną karę, było naruszenie zasady poufności wyrażonej w art. 5 ust. 1 lit. f) w zw. z art. 32 ust. 1 lit. b) i d) w zw. z art. 32 ust. 2 rozporządzenia 2016/679. Organ miał podstawy przyjąć, że przyczyną uzyskania nieuprawnionego dostępu do panelu pracownika był nieskuteczny środek uwierzytelniania, którym był wyłącznie login i hasło. Zdaniem Sądu skarżąca niewystarczająco oceniła zdolność do ciągłego zapewnienia poufności i nie uwzględniła ryzyka związanego z uzyskaniem nieuprawnionego dostępu do panelu pracownika. Nieskuteczne monitorowanie potencjalnych zagrożeń dla praw i wolności osób, których dane były przetwarzane przez spółkę, przyczyniło się do nieuprawnionego dostępu do danych klientów z jej systemu bazodanowego. Sąd podkreślił, iż skarżąca - mając na uwadze, że przetwarza dane osobowe ponad 2.200.000 użytkowników - winna była skuteczniej na bieżąco oceniać i monitorować potencjalne zagrożenia dla praw i wolności osób, których dane dotyczą. Spółka jedynie częściowo wywiązała się z obowiązku weryfikacji doboru i poziomu skuteczności stosowanych środków technicznych i organizacyjnych. Skarżąca nie podejmowała bowiem stosownych działań w kierunku oceny odpowiednich środków technicznych i organizacyjnych przez pryzmat adekwatności do ryzyk, do czego była zobowiązana przez art. 32 ust. 1 zd. 1 i art. 25 ust. 1 rozporządzenia 2016/679. WSA w Warszawie wskazał, iż rozporządzenie 2016/679 wprowadziło podejście, w którym zarządzanie ryzykiem jest fundamentem działań związanych z ochroną danych osobowych i ma charakter ciągłego procesu. Podmioty przetwarzające dane osobowe zobligowane są nie tylko do zapewnienia zgodności z wytycznymi ww. rozporządzenia przez jednorazowe wdrożenie organizacyjnych i technicznych środków bezpieczeństwa, ale również do zapewnienia ciągłości monitorowania poziomu zagrożeń oraz zapewnienia rozliczalności w zakresie poziomu oraz adekwatności wprowadzonych zabezpieczeń. Ponadto, zdaniem WSA, organ prawidłowo przyjął, iż skarżąca naruszyła art. 5 ust. 1 lit. a) oraz art. 5 ust. 2 rozporządzenia 2016/679, czyli zasady zgodności z prawem, rzetelności i przejrzystości oraz zasady rozliczalności przy przetwarzaniu danych osobowych pochodzących z wniosków ratalnych. Za niewystarczające Sąd uznał wyjaśnienia Spółki, dotyczące zakończonego procesu przetwarzania danych z wniosków ratalnych, aby uznać, że samo przetwarzanie odbywało się zgodnie z przepisami prawa. Skoro do przetwarzania danych osobowych prawodawca zaliczył także ich usuwanie, to proces usuwania danych przez administratora musi odpowiadać wymogom wskazanym w art. 5 rozporządzenia 2016/679. Tymczasem dokonany przez Spółkę proces usuwania bazy danych z wniosków ratalnych nie był poprzedzony żadną udokumentowaną analizą oraz nie został dokonany na podstawie obowiązujących w Spółce procedur określających zasady i okresy usuwania danych osobowych wynikające z przepisów prawa lub celów administratora. WSA w Warszawie uznał, iż zastosowana przez organ administracyjna kara pieniężna w wysokości 2.830.410 PLN spełnia funkcje określone w art. 83 ust. 1 rozporządzenia 2016/679, będąc skuteczną, proporcjonalną i odstraszającą. Sąd uznał za prawidłowe uzasadnienie wysokości kary, podkreślając że organ wskazał przesłanki, na jakich się oparł, biorąc pod uwagę charakter, wagę i czas trwania naruszenia i okoliczności zarówno obciążające, jak i łagodzące wymiar tej kary. W odniesieniu do kwestii oddalenia przez organ wniosku skarżącej o przeprowadzenie dowodu z opinii biegłego Sąd wskazał, że skoro organ dysponował dostatecznym materiałem dowodowym w sprawie, to prowadzenie wszelkich innych dowodów, w świetle poczynionych ustaleń, było zbędne. Mając powyższe na uwadze. Wojewódzki Sąd Administracyjny w Warszawie przyjął, że wszystkie podniesione zarzuty, zarówno dotyczące naruszenia prawa materialnego, jak i procesowego, okazały się chybione i brak było podstaw do uznania, że organ dopuścił się innych naruszeń prawa. Wobec tego Sąd oddalił skargę uznając, że nie zasługuje ona na uwzględnienie.
Skargę kasacyjną od powyższego wyroku wniosła Morele.net, zaskarżając go w całości. W treści skargi kasacyjnej pełnomocnicy Spółki zaskarżyli wyrok Wojewódzkiego Sądu Administracyjnego w Warszawie z 3 września 2020 r. w sprawie o sygn. akt II SA/Wa 2559/19 oddalający skargę na decyzję Prezesa Urzędu Ochrony Danych Osobowych z 10 września 2019 r., ZSPR.421.2.2019, ZSPR.405.67.2019 w całości oraz wnieśli o zwrócenie się przez Naczelny Sąd Administracyjny do Trybunału Sprawiedliwości Unii Europejskiej z pytaniem prejudycjalnym analogicznym do pytania sformułowanego w skardze do Wojewódzkiego Sądu Administracyjnego w Warszawie z 16 października 2019 r.
Zaskarżonemu wyrokowi Spółka zarzuciła naruszenie przepisów prawa materialnego oraz naruszenie przepisów postępowania, które mogły mieć istotny wpływ na wynik sprawy.
Wyrokiem z 9 lutego 2023 r., sygn. akt III OSK 3945/21, Naczelny Sąd Administracyjny uchylił zaskarżony wyrok i zaskarżoną decyzję, wskazując, że Sąd pierwszej instancji pominął wynikające z art. 78 k.p.a. uprawnienia strony przyjmując, że skoro Prezes UODO dysponował dostatecznym materiałem dowodowym w sprawie, to przeprowadzenie wnioskowanego przez stronę dowodu z opinii biegłego było zbędne. Sąd Wojewódzki powinien wziąć pod uwagę precedensowy charakter sprawy, związany ze skalą naruszenia poufności danych osobowych i rozmiarem działalności Skarżącej, przetwarzającej dane osobowe ponad 2.200.000 użytkowników. W takim stanie rzeczy, jak stwierdził NSA, należy podać w wątpliwość, czy organ - w dacie wydania zaskarżonej decyzji - posiadał własną wiedzę specjalistyczną, pozwalającą na ocenę odpowiedniości środków technicznych i organizacyjnych w działalności gospodarczej o tak dużej skali. W ocenie Sądu kasacyjnego o posiadaniu takiej wiedzy specjalistycznej, niezbędnej do zastąpienia opinii biegłego własnymi ustaleniami, nie przesądza samo twierdzenie organu administracji. Organ ten powinien być w stanie uprawdopodobnić, iż w rzeczywistości posiada wiedzę, która nie tylko subiektywnie, ale i obiektywnie, a więc z zachowaniem wymaganej przez art. 8 § 1 k.p.a. bezstronności, pozwoli na dokonanie wymagającej wiedzy specjalistycznej oceny okoliczności sprawy. W tym przypadku jest to ocena, czy środki techniczne i organizacyjne stosowane przez Morele.net sp. z o.o. były odpowiednie, uwzględniając stan wiedzy technicznej, koszt wdrażania oraz charakter, zakres, kontekst i cele przetwarzania oraz ryzyko naruszenia praw lub wolności osób fizycznych o różnym prawdopodobieństwie wystąpienia i wadze zagrożenia. NSA wyraził wątpliwości, czy organ w swojej dotychczasowej praktyce (tj. w 2019 r.) prowadził postępowania w zbliżonej kategorii spraw, co pozwalałoby na ustalenie odpowiedniego do charakteru, zakresu i kontekstu przetwarzania standardu środków bezpieczeństwa. Organ nie mógł skutecznie powołać się na wiedzę specjalistyczną pracowników Urzędu, skoro odnosiła się ona do poprzedniego stanu prawnego, w ramach którego nie stosowano rozwiązania takiego jak w art. 32 rozporządzenia 2016/679 (niedookreślenie odpowiedniego standardu wymaganych środków technicznych). Za nieprzekonujące Naczelny Sąd Administracyjny uznał wyjaśnienia organu, iż model ochrony danych osobowych oparty na założeniu, że przyjmowane przez administratorów środki powinny być dostosowane do zagrożeń i charakteru przetwarzanych danych nie jest nowością, a Generalny Inspektor Ochrony Danych Osobowych niejednokrotnie identyfikował zagrożenia i zobowiązywał administratorów w formie decyzji administracyjnych do wdrożenia środków adekwatnych do ryzyka. Okoliczności te pozostają bez znaczenia dla sprawy, zważywszy na skalę działalności Morele.net sp. z o.o. i związaną z nią specyfikę stosowanych środków zabezpieczenia danych osobowych ponad dwóch milionów klientów. Biorąc powyższe okoliczności pod uwagę NSA uznał że, organ naruszył art. 78 § 1 k.p.a., stanowiący iż „[żądanie strony dotyczące przeprowadzenia dowodu należy uwzględnić, jeżeli przedmiotem dowodu jest okoliczność mająca znaczenie dla sprawy”. Wskazane we wniosku dowodowym Morele.net sp. z o.o. okoliczności miały istotne znaczenie dla sprawy, a zatem wniosek o przeprowadzenie dowodu z opinii biegłego winien zostać przez Prezesa UODO uwzględniony. Jednocześnie NSA wskazał, że w toku postępowania kontrolnego ani też postępowania administracyjnego Prezes UODO nie wytworzył żadnego dokumentu stanowiącego wnioski z analizy standardu środków bezpieczeństwa stosowanych przez Morele.net sp. z o.o., do którego strona - w braku zgromadzenia w aktach opinii biegłego - mogłaby się odnieść w toku postępowania. Tymczasem takie rozwiązanie zmniejszyłoby znacząco rygoryzm postępowania, w ramach którego dopiero z ostatecznej decyzji administracyjnej strona dowiaduje się, w jaki sposób oceniono przyjęty przez nią standard zabezpieczeń.
Ponadto, organ naruszył art. 7, art. 77 § 1 i art. 80 k.p.a. przez niepełne ustalenie stanu faktycznego sprawy oraz dowolną, a nie swobodną analizę zgromadzonego materiału dowodowego. Ocena ta skutkowała przedwczesnym przyjęciem, iż Morele.net nie zastosowała odpowiednich środków bezpieczeństwa ochrony danych osobowych.
Ponadto, Naczelny Sąd Administracyjny nie uwzględnił wniosku Morele.net Sp. z o.o. z siedzibą w Krakowie o zwrócenie się przez Sąd z wnioskiem do Trybunału Sprawiedliwości Unii Europejskiej o wydanie orzeczenia w trybie prejudycjalnym.
Odnosząc się do poszczególnych zarzutów Sąd kasacyjny uznał, że Prezes UODO nie naruszył art. 107 § 1 pkt 5) k.p.a. W zaskarżonej decyzji dokonał konkretyzacji sankcji administracyjnej, o której mowa w art. 83 ust. 3, ust. 4 lit. a) i ust. 5 lit. a) rozporządzenia 2016/679. Konkretyzacja abstrakcyjnej i generalnej normy sankcjonującej polega na nałożeniu na adresata decyzji danej sankcji prawnej. Prezes UODO jednoznacznie wskazał, jakiej normy prawnej dokonał konkretyzacji, zaś samo sformułowanie rozstrzygnięcia nie budzi wątpliwości Naczelnego Sądu Administracyjnego.
Sąd kasacyjny przyjął również, że nie miała charakteru dowolnego dokonana ocena materiału dowodowego polegająca na stwierdzeniu przez organ w treści decyzji, że Spółka nie podejmowała działań mających na celu ocenę doboru środków technicznych i organizacyjnych przez pryzmat adekwatności do ryzyk. W konsekwencji skarżąca kasacyjnie nietrafnie zarzuca dowolność ustaleń Prezesa UODO, iż zgromadzony materiał dowodowy wskazuje, że Spółka w sposób niewystarczający oceniła zdolność do ciągłego zapewnienia poufności. Podobnie nie sposób jest podważyć ustaleń organu, iż zasadny był postawiony w decyzji Prezesa UODO zarzut niewystarczająco szybkiej reakcji Spółki, gdyż pomimo deklaracji stałego monitorowania sieci, Spółka na podstawie analizy ruchu sieciowego nie była w stanie stwierdzić, czy faktycznie dane zostały wykradzione.
Za nietrafny Naczelny Sąd Administracyjny uznał zarzut, dotyczący naruszenia art. 151 p.p.s.a. w zw. z art. 7 k.p.a., art. 77 § 1 k.p.a. w zw. z art. 77 § 4 k.p.a., art. 80 k.p.a., art. 81 k.p.a., art. 84 § 1 k.p.a. w zw. z art. 8 § 1 k.p.a. i art. 10 § 1 k.p.a., przez oddalenie skargi w sytuacji, gdy organ poczynił ustalenia faktyczne oraz oceny w oparciu o materiał dowodowy nieznajdujący się w aktach sprawy. Zarzutem tym skarżąca kasacyjnie kwestionuje zaniechanie zgromadzenia w aktach postępowania administracyjnego powołanych w decyzji norm, wytycznych oraz innych specjalistycznych dokumentów, co miało doprowadzić do poczynienia przez organ ustaleń z materiału dowodowego zebranego poza postępowaniem administracyjnym. Organ nie ma obowiązku gromadzić w aktach sprawy dokumentów, które, nie stanowiąc materiału dowodowego, wspierają argumentację przedstawioną w ramach uzasadnienia prawnego decyzji. W konsekwencji rozpatrywany zarzut nie zasługuje na uwzględnienie.
Skarżąca kasacyjnie, zdaniem NSA, nietrafnie podnosi naruszenie art. 151 p.p.s.a. w zw. z art. 7 k.p.a., 77 § 1 k.p.a., 80 k.p.a. przez oddalenie skargi, w sytuacji, gdy organ nie dokonał wszechstronnej oceny materiału dowodowego oraz nie wywiódł logicznych i spójnych wniosków ze zgromadzonego przez organ materiału dowodowego. Zarzut ten oparto na stwierdzeniu, iż organ błędnie uznał, że wyciek danych dotyczył około 2.200.000 użytkowników.
Za zasadny Naczelny Sąd Administracyjny uznaje zarzut dotyczący naruszenia art. 151 p.p.s.a. w zw. z art. 7 k.p.a., art. 77 § 1 k.p.a., art. 80 k.p.a. i art. 81a k.p.a. przez oddalenie skargi w sytuacji, gdy organ przyjął, że Spółka nie zbierała prawidłowo zgód na przetwarzanie danych przed 25 maja 2018 r., podczas gdy prawidłowa ocena materiału dowodowego powinna doprowadzić do tego, że okoliczność ta nie została udowodniona w toku postępowania administracyjnego. Zdaniem Sądu, organ nietrafnie i przedwcześnie wywiódł, iż Spółka nie udokumentowała usunięcia danych z wniosków ratalnych. W toku postępowania Spółka przekonująco wyjaśniła, że usunięcie baz danych zostało udokumentowane w logach systemu IT. W konsekwencji Naczelny Sąd Administracyjny za częściowo uzasadniony uznaje zarzut dotyczący naruszenia art. 151 p.p.s.a. w zw. z art. 107 § 1 pkt 6) k.p.a. oraz art. 107 § 3 k.p.a. przez oddalenie skargi w sytuacji, gdy organ sporządził uzasadnienie w sposób niezrozumiały, niezgodny z obowiązkami nałożonymi na organ w zakresie sporządzenia uzasadnienia. Zarzut ten jest zasadny w zakresie powiązanym z zarzutem poprzednim, tj. w zakresie przyjęcia „nieumotywowanego argumentacją i dowodami założenia przez organ, że skoro „zgody były pozyskiwane po rozpoczęciu obowiązywania rozporządzenia 2016/679, a sam proces trwał od 2016 r. (wyjaśnienia spółki), należy założyć, że w usuniętej bazie danych znajdowały się dane zebrane bez podstawy prawnej” - pkt 1 lit. f) zarzutu.
Za częściowo trafną Sąd kasacyjny uznał argumentację Spółki w zakresie odnoszącym się do uzasadnienia wysokości nałożonej kary pieniężnej. Jakkolwiek sytuacja finansowa strony nie jest, na gruncie art. 83 ust. 2 rozporządzenie 2016/679, dyrektywą wymiaru kary, to z art. 83 ust. 1 rozporządzenie 2016/679 wynika, że administracyjna kara pieniężna powinna być skuteczna, proporcjonalna i odstraszająca. W ocenie Naczelnego Sądu Administracyjnego proporcjonalność kary należy odnieść nie tylko do rozmiaru naruszenia, lecz także do sytuacji majątkowej podmiotu ponoszącego prawną odpowiedzialność. W tym kontekście, zdaniem NSA, Prezes UODO powinien był odnieść się do sytuacji finansowej strony i poddać analizie, czy wysokość kary pieniężnej będzie świadczyć o jej proporcjonalności w odniesieniu do złożonych przez Spółkę dokumentów finansowych. Niedostrzeżenie tej kwestii świadczy o naruszeniu przez Sąd pierwszej instancji art. 151 p.p.s.a. w zw. z art. 107 § 3 k.p.a. W pozostałym zakresie zarzut nie zasługuje na uwzględnienie. Prezes UODO w sposób wyczerpujący odniósł się do dyrektyw z art. 83 ust. 2 rozporządzenia 2016/679 i w tym kontekście przekonująco uzasadnił wysokość nałożonej kary pieniężnej.
Za nietrafione NSA uznał zarzut naruszenia art. 151 p.p.s.a. w zw. z art. 32 ust. 1 i 2 rozporządzenia 2016/679 polegającego na przyjęciu, że z art. 32 ust 1 i 2 rozporządzenia 2016/679 wynika obowiązek zastosowania skutecznych środków technicznych i organizacyjnych podczas gdy obowiązek wynikający z art. 32 ust. 1 i 2 rozporządzenia 2016/679 dotyczy zastosowania (wdrożenia) środków odpowiednich, aby zapewnić stopień bezpieczeństwa odpowiadający temu ryzyku. Organ przeprowadził prawidłową wykładnię art. 32 ust. 1 i 2 rozporządzenia 2016/679 i nie przyjął, iż przepis ten wymaga, aby zastosowany środek bezpieczeństwa był skuteczny w każdym przypadku.
Nietrafny według NSA jest zarzut dotyczący naruszenia art. 151 p.p.s.a. w zw. z art. 24 ust. 1 rozporządzenia 2016/679 oraz 32 ust. 1 i 2 rozporządzenia 2016/679 przez ich niewłaściwe zastosowanie, tj. formułowanie ocen dotyczących odpowiedniości / nieodpowiedniości technicznych i organizacyjnych środków bezpieczeństwa bez uprzedniej oceny ryzyka, w szczególności przez przyjęcie, że stosowane przez skarżącego techniczne i organizacyjne środki bezpieczeństwa były nieodpowiednie (tj. zdaniem organu niewystarczające). Organ nie dokonał niewłaściwego zastosowania ww. przepisów rozporządzenia 2016/679.
Za bezzasadny Sąd uznał też zarzut naruszenia przez WSA art.151 p.p.s.a. w zw. z art. 5 ust. 2 rozporządzenia 2016/679 w zw. z art. 7 ust. 1 oraz w zw. z art. 11 ust. 1 rozporządzenia 2016/679 przez ich błędną wykładnię i przyjęcie, że Spółka ma obowiązek wykazać legalność przetwarzania danych osobowych, pomimo że proces przetwarzania danych osobowych został zakończony, podczas gdy przepisy rozporządzenia 2016/679 nakazują wykazać rozliczalność, w tym wykazanie podstawy prawnej oraz prawidłowość zebranych zgód, wyłącznie względem danych aktualnie przetwarzanych przez administratora procesów przetwarzania.
Z ww. uzasadnienia jednoznacznie wynika, że w ocenie NSA Prezes UODO w zakresie standardów zastosowanych zabezpieczeń przez Morele.net zobowiązany był przeprowadzić dowód z opinii biegłego albo wytworzyć wewnętrzny dokument stanowiący wnioski z analizy standardu środków bezpieczeństwa stosowanych przez Spółkę, do którego strona mogłaby się odnieść w toku postępowania. W związku z powyższym, w wykonaniu wyroku NSA, Prezes UODO wytworzył wewnętrzny dokument stanowiący wnioski z analizy standardu środków bezpieczeństwa stosowanych przez Spółkę, tj. dokument „Analiza zastosowanych przez Morele.net Sp. z o.o. z siedzibą w Krakowie (zwaną dalej „Spółką” lub „Morele.net”) środków technicznych i organizacyjnych mających wpływ na wystąpienie naruszenia ochrony danych osobowych, sporządzona w oparciu o materiał dowodowy zgromadzony w toku kontroli przeprowadzonej w Spółce w dniach 21-25 stycznia 2019 r., sygn. ZSPR.421.2.2019, ZWAD.405.1687.2018, ZWAD.405.1689/2018, ZWAD.405.1979.2018” (dalej: „Analiza”).
28 listopada 2023 r. Prezes UODO wydał postanowienie o odmowie uwzględnienia wniosku „o dopuszczenie i przeprowadzenie dowodu z opinii biegłego posiadającego wiadomości specjalne z zakresu bezpieczeństwa systemów informatycznych, na okoliczność ustalenia standardów technicznych i organizacyjnych środków bezpieczeństwa w działalności gospodarczej przedsiębiorców w obszarze e-commerce o skali i charakterze podobnym do skali i charakteru działalności Spółki w 2018 r.; oceny, czy środki techniczne i organizacyjne stosowane przez Spółkę odpowiadały standardom środków bezpieczeństwa w działalności gospodarczej przedsiębiorców w obszarze e-commerce o skali i charakterze podobnym do skali i charakteru działalności Spółki w 2018 r.; oceny, czy środki techniczne i organizacyjne stosowane przez Spółkę były odpowiednie uwzględniając stan wiedzy technicznej, koszt wdrażania oraz charakter, zakres, kontekst i cele przetwarzania oraz ryzyko naruszenia praw lub wolności osób fizycznych o różnym prawdopodobieństwie wystąpienia i wadze zagrożenia”.
Pismem z 21 grudnia 2023 r. Spółka przedstawiła swoje stanowisko oraz wniosła o wyłączenie pracowników Organu nadzorczego od udziału w postępowaniu w sprawie.
Jak wynika z ww. pisma, Spółka nie zgadza się ze stanowiskiem Prezesa UODO wyrażonym w postanowieniu z dnia 28 listopada 2023 r. w sprawie odmowy uwzględnienia wniosku w przedmiocie dopuszczenia dowodu z opinii biegłego na okoliczność wskazaną w tym rozstrzygnięciu. Sporządzona przez pracowników UODO w dniu 17 października 2023 r. „Analiza zastosowanych przez Morele.net Sp. z o.o. z siedzibą w Krakowie środków technicznych i organizacyjnych mających wpływ na wystąpienie naruszenie ochrony danych osobowych...” w ocenie Spółki, nie stanowi wystarczającego środka dowodowego. Istnieją bowiem uzasadnione obawy co do bezstronności autorów Analizy jako pracowników UODO. Prezes UODO w żaden sposób nie wykazał, że w dniu wydania Analizy posiadał własną wiedzę specjalistyczną, pozwalającą samodzielnie ocenić stosowane przez Spółkę w czasie wystąpienia zewnętrznych ataków, środki techniczne i organizacyjne.
Zdaniem Spółki, wnioski płynące z Analizy uprawdopodobniają tezę o braku bezstronności pracowników UODO, którzy ją opracowali. Pomimo, że autorzy prawidłowo wskazali, iż punktem wyjścia do dokonania oceny zdarzenia powinno być ustalenie poziomu ryzyka związanego z przetwarzaniem konkretnych danych osobowych (w konkretnym procesie), nie doprecyzowali jednak, jaki stopień ryzyka został przez nich przyjęty. Brak ten pociąga za sobą następne istotne konsekwencje, gdyż ocena wdrożonych środków technicznych i organizacyjnych, nie może zostać przeprowadzona w oderwaniu od poziomu ryzyka związanego z przetwarzaniem (zagrożenia). Zdaniem Spółki błąd ten rzutuje na całość Analizy, de facto ją dyskwalifikując. Nie można przy tym wykluczyć, że źródłem opisanego zaniechania był brak bezstronności autorów Analizy - pracowników UODO. Mając na uwadze powyższe, w ocenie Spółki zostało wykazane, określone w art. 24 § 3 KPA, uprawdopodobnienie zaistnienia okoliczności, które mogą wywoływać wątpliwości co do bezstronności wskazanych we wniosku pracowników Organu.
Po zapoznaniu się z całością materiału dowodowego zebranego w sprawie Prezes Urzędu Ochrony Danych Osobowych zważył, co następuje:
I. Art. 5 rozporządzenia 2016/679, formułuje zasady dotyczące przetwarzania danych osobowych, które muszą być respektowane przez wszystkich administratorów, tj. podmioty, które samodzielnie lub wspólnie z innymi ustalają cele i sposoby przetwarzania danych osobowych. Zgodnie z art. 5 ust. 1 lit. f) rozporządzenia 2016/679, dane osobowe muszą być przetwarzane w sposób zapewniający odpowiednie bezpieczeństwo danych osobowych, w tym ochronę przed niedozwolonym lub niezgodnym z prawem przetwarzaniem oraz przypadkową utratą, zniszczeniem lub uszkodzeniem, za pomocą odpowiednich środków technicznych lub organizacyjnych („poufność i integralność”).
Zgodnie z treścią art. 24 ust. 1 rozporządzenia 2016/679 uwzględniając charakter, zakres, kontekst i cele przetwarzania oraz ryzyko naruszenia praw lub wolności osób fizycznych o różnym prawdopodobieństwie i wadze, administrator wdraża odpowiednie środki techniczne i organizacyjne, aby przetwarzanie odbywało się zgodnie z niniejszym rozporządzeniem i aby móc to wykazać. Środki te są w razie potrzeby poddawane przeglądom i uaktualniane.
Zgodnie z art. 25 ust. 1 zarówno przy określaniu sposobów przetwarzania, jak i w czasie samego przetwarzania administrator wdraża odpowiednie środki techniczne i organizacyjne, zaprojektowane w celu skutecznej realizacji zasad ochrony danych (uwzględnianie ochrony danych w fazie projektowania).
Stosownie do art. 32 ust. 1 lit. b) rozporządzenia 2016/679, uwzględniając stan wiedzy technicznej, koszt wdrażania oraz charakter, zakres, kontekst i cele przetwarzania oraz ryzyko naruszenia praw lub wolności osób fizycznych o różnym prawdopodobieństwie wystąpienia i wadze, administrator i podmiot przetwarzający wdrażają odpowiednie środki techniczne i organizacyjne, aby zapewnić stopień bezpieczeństwa odpowiadający temu ryzyku, w tym między innymi w stosownym przypadku zdolność do ciągłego zapewnienia poufności, integralności, dostępności i odporności systemów i usług przetwarzania oraz stosownie do art. 32 ust. 1 lit. d) rozporządzenia 2016/679 regularne testowanie, mierzenie i ocenianie skuteczności środków technicznych i organizacyjnych mających zapewnić bezpieczeństwo przetwarzania.
W myśl art. 32 ust. 2 rozporządzenia 2016/679, administrator oceniając, czy stopień bezpieczeństwa jest odpowiedni, uwzględnia w szczególności ryzyko wiążące się z przetwarzaniem, w szczególności wynikające z przypadkowego lub niezgodnego z prawem zniszczenia, utraty, modyfikacji, nieuprawnionego ujawnienia lub nieuprawnionego dostępu do danych osobowych przesyłanych, przechowywanych lub w inny sposób przetwarzanych.
Przepisy art. 24 ust. 1, art. 25 ust. 1, art. 32 ust. 1 lit. b) i d) oraz art. 32 ust. 2 rozporządzenia 2016/679 stanowią więc konkretyzację wskazanej w art. 5 ust. 1 lit. f) rozporządzenia 2016/679, zasady poufności i integralności. W związku z tym przedmiotową sprawę należy analizować pod kątem spełnienia przesłanek współwyznaczających poziom właściwych do zastosowania środków technicznych i organizacyjnych.
Zasada poufności, której prawidłowa realizacja zapewnia, że dane nie są udostępniane osobom nieupoważnionym, w stanie faktycznym przedmiotowej sprawy została naruszona w wyniku dwukrotnego uzyskania dostępu do panelu pracownika Spółki oraz uzyskania dostępu do bazy danych wszystkich klientów Spółki przez osoby nieuprawnione. Uzyskanie dostępu do panelu pracowników Spółki oraz do danych wszystkich klientów z systemu bazodanowego Spółki skutkowało zmaterializowaniem się ryzyka naruszenia praw i wolności osób fizycznych, których dane przetwarzane są przez Spółkę, w postaci zastosowania metody zwanej phishingiem, mającej na celu wyłudzenie danych, m.in. uwierzytelniających do konta bankowego poprzez podszycie się pod Spółkę w wiadomościach SMS i wykorzystanie faktu dokonania zamówienia przez klienta.
Zgodnie z motywem (83) rozporządzenia 2016/679 administrator lub podmiot przetwarzający powinni oszacować ryzyko właściwe dla przetwarzania oraz wdrożyć środki – takie jak szyfrowanie – minimalizujące to ryzyko. Należy mieć zatem na względzie, że ustalenie odpowiednich środków technicznych i organizacyjnych jest procesem wieloetapowym. W pierwszej kolejności istotnym jest określenie poziomu ryzyka, jakie wiąże się z przetwarzaniem danych osobowych, uwzględniając przy tym kryteria wskazane w art. 32 ust. 1 rozporządzenia 2016/679, a następnie należy ustalić, jakie środki techniczne i organizacyjne będą odpowiednie, aby zapewnić stopień bezpieczeństwa odpowiadający temu ryzyku. Charakter i rodzaj podjętych działań powinien wynikać wprost z przeprowadzonej uprzednio, tj. jeszcze w fazie projektowania systemu ochrony danych osobowych przetwarzanych w organizacji danego administratora lub podmiotu przetwarzającego, analizy ryzyka. W przypadku Morele.net ustalono, że analiza ryzyka była robiona doraźnie dla poszczególnych procesów, w sposób niesformalizowany, co oznacza, że Spółka nie wykazała, że taką analizę przed wystąpieniem naruszenia ochrony danych osobowych dla zasobu objętego tym naruszeniem przeprowadziła.
W ocenie Organu nadzorczego taki sposób działania Morele.net nie zapewniał należytej kontroli nad ww. procesem w kontekście zagwarantowania bezpieczeństwa uczestniczących w nim danych osobowych, jak również możliwości wykazania jego zgodności z przepisami rozporządzenia 2016/679, stosownie do zasady rozliczalności wynikającej z art. 5 ust. 2 rozporządzenia 2016/679.
Jak podnoszono już w literaturze (P. Barta, P. Litwiński, M. Kawecki, Komentarz do art. 5, w: Ogólne rozporządzenie o ochronie danych osobowych. Ustawa o ochronie danych osobowych. Wybrane przepisy sektorowe. Komentarz, red. P. Litwiński, Legalis 2021), „[r]ozliczalność, czyli w szczególności obowiązek wykazania zgodności z przepisami prawa, składa się w opinii Grupy Roboczej Art. 29 [Opinia z 13.7.2010 r. 3/2010 w sprawie zasady rozliczalności (WP 173), (…)] z następujących obowiązków cząstkowych:
1) obowiązek wdrożenia środków (w tym wewnętrznych procedur) gwarantujących przestrzeganie przepisów o ochronie danych w związku z operacjami ich przetwarzania;
2) obowiązek sporządzenia dokumentacji, która wskazuje osobom, których dane dotyczą, oraz organom nadzorczym, jakie środki podjęto, aby zapewnić przestrzeganie przepisów o ochronie danych osobowych.
(…) W tym sensie rozliczalność powinna być więc rozumiana jako pewna właściwość czynności przetwarzania, pozwalająca na dowodzenie zgodności z przepisami prawa operacji na danych osobowych, w szczególności za pomocą dokumentacji ochrony danych osobowych. Konsekwencją zasady rozliczalności jest to, że w razie sporu z osobą, której dane dotyczą, albo z organem nadzorczym administrator powinien być w stanie przedstawić dowody na to, że przestrzega przepisów o ochronie danych osobowych. Dowodami takimi mogą być przede wszystkim dokumenty opisujące zasady przetwarzania i ochrony danych osobowych”.
Wobec nieprzeprowadzenia analizy ryzyka wiążącego się z przetwarzaniem w sposób sformalizowany, a więc udokumentowany lub w inny sposób utrwalony oraz ujęty w postaci ściśle określonych, precyzyjnych formuł wyjaśniających i porządkujących przebieg tego procesu, Spółka nie była zdolna wykazać, że wdrażając środki techniczne i organizacyjne mające zapewnić zgodność przetwarzania z rozporządzeniem 2016/679, a także oceniając, czy stopień bezpieczeństwa danych osobowych jest odpowiedni, rzeczywiście uwzględniła kryteria opisane w art. 32 ust. 1 rozporządzenia 2016/679, w tym ryzyko naruszenia praw lub wolności osób fizycznych, oraz ryzyko wiążące się z przetwarzaniem, w szczególności wynikające z przypadkowego lub niezgodnego z prawem zniszczenia, utraty, modyfikacji, nieuprawnionego ujawnienia lub nieuprawnionego dostępu do danych osobowych, zgodnie z obowiązkiem wynikającym z art. 32 ust. 2 rozporządzenia 2016/679. Jak podkreślił Wojewódzki Sąd Administracyjny w Warszawie w wyrokach z dnia 13 maja 2021 r., sygn. II SA/Wa 2129/20, oraz z dnia 5 października 2023 r., sygn. akt II SA/Wa 502/23, „Administrator danych powinien zatem przeprowadzić analizę ryzyka i ocenić, z jakimi zagrożeniami ma do czynienia”.
W tym kontekście wskazać należy, iż rozporządzenie 2016/679 wprowadziło podejście, w którym zarządzanie ryzykiem stanowi fundament działań związanych z ochroną danych osobowych. Zarządzanie ryzykiem ma charakter ciągłego procesu wymuszającego na administratorze danych nie tylko zapewnienie zgodności z przepisami rozporządzenia 2016/679 poprzez jednorazowe wdrożenie organizacyjnych i technicznych środków bezpieczeństwa, ale także zapewnienie ciągłości monitorowania poziomu zagrożeń oraz zapewnienie rozliczalności w zakresie poziomu oraz adekwatności wprowadzonych zabezpieczeń. Obowiązek zapewnienia bezpieczeństwa przetwarzanych danych, określony między innymi w art. 32 ust. 1 rozporządzenia 2016/679, jest jedną z podstaw prawnej ochrony danych osobowych wprowadzoną rozporządzeniem 2016/679. Obowiązujące przepisy prawa nie określają katalogu odpowiednich środków bezpieczeństwa, a na administratorze spoczywa obowiązek dokonania oceny w tym zakresie. Przepis ten wprowadza podejście oparte na ryzyku, wskazując jednocześnie kryteria, w oparciu o które administrator powinien dokonać wyboru odpowiednich środków technicznych i organizacyjnych, aby zapewnić stopień bezpieczeństwa odpowiadający temu ryzyku. Obok ryzyka naruszenia praw lub wolności osób fizycznych należy zatem uwzględnić stan wiedzy technicznej, koszt wdrażania oraz charakter, zakres, kontekst i cele przetwarzania. Jak wskazał Wojewódzki Sąd Administracyjny w wyroku z dnia 5 października 2023 r., sygn. akt II SA/Wa 502/23, „organ nadzorczy nie jest zobowiązany do wskazywania Administratorowi rozwiązań technicznych i organizacyjnych, które powinien on wdrożyć, aby przetwarzanie danych osobowych odbywało się zgodnie z prawem. To zadaniem Administratora jest wprowadzenie tych środków, a następnie - jeżeli pojawi się taka konieczność - wykazanie, że przestrzega on zasad przetwarzania danych osobowych określonych w rozporządzeniu 2016/679, zgodnie z zasadą rozliczalności (art. 5 ust. 2 ww. rozporządzenia)”.
Administrator dla prawidłowej realizacji obowiązków wynikających z wyżej przywołanych przepisów rozporządzenia 2016/679 powinien zatem w pierwszej kolejności przeprowadzić analizę ryzyka i na jej podstawie określić i wdrożyć adekwatne środki zapewniające bezpieczeństwo w procesie przetwarzania danych osobowych. W przypadku, gdy Administrator przewidział możliwość przetwarzania danych osobowych w systemach teleinformatycznych, przedmiotowa analiza powinna wskazywać na ryzyko wynikające z wykorzystania konkretnych elementów środowiska teleinformatycznego. Konsekwentnie, przedmiotowa analiza powinna przewidywać właściwe środki bezpieczeństwa gwarantujące przede wszystkim zdolność do ciągłego zapewnienia poufności, integralności, dostępności i odporności systemów i usług przetwarzania (art. 32 ust. 1 lit. b) rozporządzenia 2016/679), w celu minimalizacji ryzyka wystąpienia naruszenia ochrony danych osobowych.
Przeprowadzona w toku postępowania w wykonaniu wyroku Naczelnego Sądu Administracyjnego z dnia 9 lutego 2023 r., sygn. III OSK 3945/21, Analiza wykazała, że w aktach sprawy znajdują się dowody potwierdzające, że sama Spółka przyznała się do niedostatecznego zabezpieczenia danych polegającego na braku szyfrowania części wrażliwych danych zapisywanych w bazie danych (…). Spółka przyznała również, że hasła dostępowe techniczne były przechowywane w niezaszyfrowanej bazie danych, a szyfrowanie zostało wdrożone dopiero po wykryciu wycieku danych (…). Spółka nie wykazała, że zastosowane przez nią przed naruszeniem ochrony danych osobowych środki techniczne były odpowiednie, ale wręcz potwierdziła, że stosowane przez nią przed naruszeniem ochrony danych osobowych środki techniczne nie zapewniały odpowiedniego poziomu ochrony dla przetwarzanych danych osobowych. Ponadto, Spółka przyznała się do niedostatecznego zabezpieczenia danych polegającego na braku dwuskładnikowego uwierzytelniania przy logowaniu się do wewnętrznego systemu do obsługi zamówień (…)
Zgodzić się więc należy ze Spółką, że stosowane przez nią przed naruszeniem ochrony danych osobowych środki techniczne (m.in. brak dwuskładnikowego uwierzytelniania) nie zapewniały odpowiedniego poziomu ochrony dla przetwarzanych danych osobowych.
Należy wziąć również pod uwagę, że Spółka nie przeprowadziła analizy ryzyk wynikających chociażby z możliwości logowania się do Panelu z sieci publicznej (szczególnie, że jednym z mediów transmisyjnych w Spółce było wifi), przy użyciu loginów pracowników o składni (…) (co ułatwiało poznanie ich przez atakującego) w powiązaniu z zakresem uprawnień części użytkowników Panelu (związanych z zakresem ich obowiązków) oraz polityką haseł użytkowników. W obowiązującej w Spółce w czasie kontroli „Instrukcji Zarzadzania Systemem Informatycznym” znajduje się zapis dotyczący parametrów haseł. (…) Podczas kontroli przedstawiono również kontrolującym nową wersję dokumentacji, tj. Politykę Ochrony Danych Osobowych w Morele.net. Sp. z o.o. oraz Instrukcję Zarządzania Systemem Informatycznym w Morele.net sp. z o.o. W nowej wersji dokumentów powielono istniejące wymagania dotyczące parametrów haseł i częstotliwości ich zmiany.
Jak wykazano w Analizie, istotne jest także, że dopiero po wykradzeniu danych osobowych w Morele.net wprowadzono m.in. następujące działania: (…)
Zestawienie środków organizacyjnych i technicznych stosowanych przez Morele.net przed i po wystąpieniu naruszenia ochrony danych osobowych potwierdza stanowisko Spółki, że przed wystąpieniem naruszenia ochrony danych osobowych nie wdrożyła ona odpowiednich środków technicznych i organizacyjnych, aby zapewnić odpowiedni stopień bezpieczeństwa przetwarzania (…).
Wdrożenie przez Morele.net – już po wystąpieniu incydentu – silniejszego uwierzytelnia i weryfikacji tożsamości było zgodne m.in. z zaleceniami znajdującymi się w Polskiej Normie PN-ISO/IEC 27002:2017-06 „Technika informatyczna - Techniki bezpieczeństwa – Praktyczne zasady zabezpieczania informacji”. Zgodnie z punktem 9.4.2 ww. normy, w ramach procedury bezpiecznego logowania: „W przypadku, gdy wymagane jest silne uwierzytelnianie i weryfikacja tożsamości, zaleca się stosowanie alternatywnych do haseł metod uwierzytelniania, takich jak: środki kryptograficzne, karty elektroniczne, tokeny lub środki biometryczne.” Również dokumenty takie jak norma PN-EN ISO/IEC 27001:2017-06, OWASP Top10-2017[1] oraz wydane w lipcu 2017 r. wytyczne NIST 800:63B[2] w brzmieniu obowiązującym w 2018 r. wskazywały na ogólne rekomendacje w zakresie środków technicznych, jakie mogą być stosowane, przy czym wybór odpowiednich środków uzależniony powinien być od oceny ryzyka. Także ENISA w wydanych w dniu 24 października 2014 r. wytycznych dotyczących środków bezpieczeństwa przetwarzania danych osobowych[3] rekomendowała stosowanie mechanizmu uwierzytelniania dwuetapowego dla systemów obejmujących dostęp do danych osobowych w przypadku wysokiego ryzyka, co ma miejsce w kontekście przetwarzania danych osobowych przez Spółkę, np. w kontekście phishingu lub innej metody służącej do przejęcia haseł. Podobnie ISACA[4] w 2018 r. wskazywała na aspekty wdrożenia uwierzytelnienia wieloskładnikowego, a Microsoft już w 2016 r. opublikował wskazówki dotyczące haseł, w tym logowania wieloskładnikowego[5]. Co więcej, Microsoft w 2019 r. potwierdził, że wdrożenie wieloskładnikowego logowania (MFA) umożliwia powstrzymanie 99,9% ataków polegających na nieautoryzowanym dostępie do konta[6].
Jak podkreślono w Analizie, jednym z podstawowych i głównych elementów cyberbezpieczeństwa jest umożliwienie dostępu do zasobów i danych jedynie osobom do tego uprawnionym. Może to być realizowane np. poprzez proces logowania polegający na podaniu identyfikatora użytkownika oraz elementu służącego do uwierzytelnienia (np. hasła), czyli identyfikację użytkownika oraz potwierdzenie jego tożsamości. Identyfikację należy w tym przypadku rozumieć jako nadanie (przypisanie) identyfikatora do osoby oraz deklarację (stwierdzenie) tożsamości osoby poprzez przedstawienie ww. identyfikatora. Taki identyfikator jednoznacznie tę osobę identyfikuje i jest elektroniczną tożsamością użytkownika. Sama identyfikacja pozwala zatem na stwierdzenie „o kogo chodzi”, ale nie potwierdza, że użytkownik jest faktycznie tą osobą, która została zadeklarowana i zidentyfikowana. Do tego potwierdzenia służy uwierzytelnienie, polegające na dostarczeniu dowodów, że użytkownik jest właśnie tą zidentyfikowaną osobą (nikt się pod nią nie podszywa). W szczególnych przypadkach identyfikacja i uwierzytelnienie może przebiegać jednocześnie (np. gdy identyfikator jest tajny, stanowiąc jednocześnie „hasło”), ale zasadniczo są to dwa różne procesy. Z kolei pod pojęciem autoryzacji rozumie się proces nadania określonych uprawnień, z których następnie poprawnie zidentyfikowana i uwierzytelniona osoba będzie mogła korzystać. Techniki uwierzytelnienia można generalnie podzielić na trzy grupy, oparte na weryfikacji: „co znasz” (hasło/PIN); „co posiadasz” (sprzętowy token, np. karta elektroniczna, telefon); „co masz” lub „czym jesteś” (cecha biometryczna). Zdarzają się także techniki „mieszane” - użycie sprzętowego tokena do identyfikacji wymaga jego odblokowania poprzez podanie kodu PIN lub danych biometrycznych, które są weryfikowane przez procesor tokena. Powszechnie uznaje się, że uwierzytelnienie jednoczynnikowe oparte jest na jednym elemencie: „co znasz” albo „co posiadasz”, natomiast kombinacja tych obu elementów to „uwierzytelnienie wieloczynnikowe” (ang. multifactor authentication, MFA). Uwierzytelnienie wieloczynnikowe, obok opartego na podaniu cechy biometrycznej („co masz” lub „czym jesteś”), należą do kategorii „silnego uwierzytelnienia” (ang. strong authentication)[7]. W przypadku naruszenia, do którego doszło w Morele.net, należy stwierdzić, że użycie loginu i hasła do logowania do panelu administracyjnego stanowiło podstawowe zabezpieczenie, ale samo w sobie nie było wystarczające do zapewnienia pełnego bezpieczeństwa. Zauważyć należy, że istniało i nadal istnieje wiele zaawansowanych zagrożeń, takich jak ataki brute force, phishing, keylogging czy wykorzystywanie słabych haseł, które mogą umożliwić nieuprawnionym osobom dostęp do panelu administracyjnego. Aby zwiększyć poziom bezpieczeństwa, zalecane jest wdrożenie dodatkowych mechanizmów zabezpieczeń, takich jak: kontrola dostępu na podstawie ról (przypisanie odpowiednich uprawnień i ról dla pracowników może ograniczyć dostęp do konkretnych funkcji i danych zgodnie z ich obowiązkami, w ten sposób można zapobiec nieuprawnionemu dostępowi do poufnych informacji); monitorowanie aktywności (system powinien rejestrować i monitorować aktywność pracowników w panelu administracyjnym co pozwala na wykrywanie niezwykłych lub podejrzanych aktywności, takich jak logowanie się w nietypowych godzinach czy próby dostępu do niedozwolonych obszarów); ograniczenia IP (można ustawić ograniczenia na poziomie adresów IP, które mają dostęp do panelu administracyjnego, tylko określone adresy IP lub zakresy adresów IP będą miały możliwość logowania się, co może zwiększyć bezpieczeństwo, ograniczając potencjalne zagrożenia z zewnątrz); audyt bezpieczeństwa (regularne przeprowadzanie audytów bezpieczeństwa może pomóc w identyfikacji potencjalnych luk w zabezpieczeniach i zapewnieniu zgodności z najlepszymi praktykami); szkolenie pracowników; wielopoziomowe uwierzytelnianie. Niezwykle ważne jest również regularne przeglądanie i aktualizowanie tych zabezpieczeń w odpowiedzi na zmieniające się zagrożenia. Wskazana powyżej podstawowa wiedza powinna być znana osobom zajmującym się ogólnie pojętymi kwestiami bezpieczeństwa IT i powinna być brana pod uwagę przy tworzeniu i zabezpieczeniu infrastruktury informatycznej służącej do przetwarzania informacji (w tym danych osobowych).
Biorąc pod uwagę powyższe, dokonując oceny zastosowanych przez Morele.net środków technicznych i organizacyjnych mających wpływ na wystąpienie naruszenia ochrony danych osobowych nie można nie zauważyć, że do naruszenia ochrony danych osobowych doszło w wyniku dostępu do konta pracownika przez nieuprawnioną osobę, która dysponowała loginem i hasłem do ww. konta. Istotne jest przy tym, że Spółka nie potrafiła wyjaśnić, w jaki sposób doszło do przejęcia danych do logowania. Ponadto w wyjaśnieniach z dnia 25 stycznia 2019 r. Morele.net przedstawiła stanowisko, że „Spółka nie łączy incydentu z dnia (...) listopada 2018 r. z wiadomością otrzymaną od szantażysty” (…). Jednocześnie Spółka nie przedstawiła żadnych dowodów na potwierdzenie powyższego stwierdzenia, ani też nie wskazała, w jaki sposób mogło dojść do pozyskania danych osobowych z bazy klientów.
Powyższe pozwala na stwierdzenie, że stosowane przez Morele.net zabezpieczenia sieciowe oraz analiza ruchu sieciowego były niewystarczające. Monitorowanie ruchu sieciowego jest istotnym elementem mającym na celu wykrycie nieuprawnionego dostępu do danych, w tym ich pobranie przez osobę nieuprawnioną. Kontrola ruchu sieciowego może pomóc zauważyć m.in. niepoprawną konfigurację urządzeń, problemy w transferze danych, próby zainstalowania „obcego” oprogramowania (tzw. shadow IT). Wspomniana kontrola zwiększa szanse na wykrycie ingerencji osób trzecich w systemy informatyczne i przyczynia się do zapobiegania naruszeniom ochrony danych osobowych.
Jak wskazywała Spółka, pierwsze sygnały o kradzieży danych pochodziły od klientów serwisu oraz osoby, która stwierdziła, że pobrała bazę klientów. W konsekwencji należy uznać, że Spółka – wbrew składanym w toku postępowania oświadczeniom – nie monitorowała sieci i swojego środowiska produkcyjnego, a także nie reagowała na incydenty w systemie 24/7. Co więcej, zebrany materiał dowodowy potwierdza, że Spółka nie miała pewności, czy i co faktycznie zostało wykradzione z jej serwerów, mimo że odczyt danych z kart zamówień odbywał się z poziomu konta jednego z pracowników również po godzinach pracy. W komunikacie przekazywanym klientom po naruszeniu ochrony danych osobowych Morele.net informuje m.in. „Drogi Kliencie, doszło do nieuprawnionego dostępu do danych osobowych naszych Klientów: adresu e-mail, numeru telefonu, imienia i nazwiska (jeśli zostało podane) oraz hasła w postaci zaszyfrowanego ciągu znaków (hash). Istnieje ryzyko, że dotyczy to również Twoich danych […]” (…). Stwierdzenie, że „istnieje ryzyko, że dotyczy to również Twoich danych” wskazuje, że Spółka nie była w stanie stwierdzić, których klientów dotyczyło naruszenie ochrony danych osobowych. Dopiero po włączeniu w dniu (...) listopada 2018 r. szczegółowego monitorowania systemu udało się wykryć nieuprawnione pobieranie danych klientów. W wyniku przeprowadzonego postępowania wyjaśniającego powstał m.in. „Raport po wykradzeniu bazy danych”, z którego wynika, że zwiększony przesył danych nastąpił w dniach (...) - (...) października 2018 r. (do protokołu kontroli załączono przekazane przez Spółkę dwie wersje raportu). W jednej wersji dokumentu jako przyczynę zwiększonego transferu danych Spółka podaje możliwy atak hakerski (…), w drugiej integrację Morele.net z (…). Weryfikacja powyższych raportów – w tym stwierdzony zwiększony transfer danych – poddaje również w wątpliwość datę rozpoczęcia naruszenia ochrony danych osobowych podawaną przez Spółkę i potwierdza nieskuteczność monitorowania ruchu sieciowego oraz występujących anomalii. Stwierdzić należy, iż regularne monitorowanie aktywności kont użytkowników umożliwiłoby wykrycie prób nieautoryzowanego dostępu. Pomóc w tym mogłoby skonfigurowanie alertów informujących o wszelkich nietypowych działaniach, takich jak np. próby logowania z innej lokalizacji lub o nietypowej porze. W związku z powyższym zasadny jest zarzut dotyczący niewystarczająco szybkiej reakcji, gdyż pomimo deklaracji stałego monitorowania sieci, Spółka na podstawie analizy ruchu sieciowego nie była w stanie stwierdzić, czy faktycznie dane zostały wykradzione, jakie to były dane i jeśli zostały pobrane, to kiedy.
Niewystarczające monitorowanie aktywności użytkowników przed incydentem potwierdzają również działania podjęte przez Morele.net już po jego wystąpieniu – Spółka przyznała, że dopiero po wykradzeniu danych osobowych wdrożono narzędzie śledzące ruch w systemie (…)
Podjęcie tych działań po naruszeniu ochrony danych osobowych jednoznacznie potwierdza, że w ocenie samej Spółki były one niezbędne do zapewnienia odpowiedniego poziomu bezpieczeństwa przetwarzanych przez nią danych osobowych. W tym kontekście należy również wskazać, że Wojewódzki Sąd Administracyjny w Warszawie w wyroku z dnia 26 sierpnia 2020 r., sygn. II SA/Wa 2826/19, podniósł, że „(…) czynności o charakterze techniczno – organizacyjnym leżą w gestii administratora danych osobowych, ale nie mogą być dobierane w sposób całkowicie swobodny i dobrowolny, bez uwzględnienia stopnia ryzyka oraz charakteru chronionych danych osobowych.”
Zgodnie z art. 32 ust. 1 lit. d) rozporządzenia 2016/679 administrator i podmiot przetwarzający zobowiązani są do regularnego testowania, mierzenia i oceniania skuteczności środków technicznych i organizacyjnych mających zapewnić bezpieczeństwo przetwarzania. Obejmuje to również weryfikację zarówno doboru, jak i poziomu skuteczności stosowanych środków technicznych, a kompleksowość tej weryfikacji powinna być oceniana przez pryzmat adekwatności do ryzyk oraz proporcjonalności w stosunku do stanu wiedzy technicznej, kosztów wdrażania oraz charakteru, zakresu, kontekstu i celów przetwarzania.
Spółka wywiązywała się z tego obowiązku częściowo weryfikując wyłącznie poziom skuteczności wdrożonych zabezpieczeń pod kątem znanych podatności we wdrożonym oprogramowaniu – na co wskazują audyty bezpieczeństwa funkcjonujących już systemów informatycznych służących do przetwarzania danych klientów Spółki przeprowadzone w dniach od (...) sierpnia do (...) września 2016 r. oraz od (...) maja do (...) czerwca 2017 r. (…). Brak jest jednak dowodów, aby Spółka od momentu rozpoczęcia stosowania rozporządzenia 2016/679, tj. w okresie od 25 maja 2018 r. do czasu wystąpienia naruszenia ochrony danych osobowych przeprowadzała audyty bezpieczeństwa lub w inny sposób wykonywała w tym zakresie swoje obowiązki jako administrator. Jak wskazał Wojewódzki Sąd Administracyjny w Warszawie w wyroku z dnia 6 czerwca 2023 roku, sygn. akt II SA/Wa 1939/22, „(…) powinność regularnego testowania środków technicznych i organizacyjnych, zabezpieczenia przetwarzania danych osobowych, aby zapewnić stopień bezpieczeństwa odpowiadający temu ryzyku, w rozumieniu art. 32 ust. 1 zd. wstępne RODO, wynika wprost z brzmienia lit. d wskazanego art. 32 ust. 1, zaś powinność dokumentowania czynności w danym zakresie statuuje zasada rozliczalności (art. 5 ust. 2 RODO)”. Podobnie wypowiedział się Wojewódzki Sąd Administracyjny w Warszawie w wyroku z dnia 21 czerwca 2023 roku, sygn. akt II SA/Wa 150/23, stwierdzając, że „Podkreślenia wymaga, że regularne testowanie, mierzenie i ocenianie skuteczności środków technicznych i organizacyjnych mających zapewnić bezpieczeństwo przetwarzania jest podstawowym obowiązkiem każdego administratora oraz podmiotu przetwarzającego wynikającym z art. 32 ust 1 lit. d) RODO. Administrator zobowiązany jest więc do weryfikacji zarówno doboru, jak i poziomu skuteczności stosowanych środków technicznych na każdym etapie przetwarzania. Kompleksowość tej weryfikacji powinna być oceniana przez pryzmat adekwatności do ryzyk oraz proporcjonalności w stosunku do stanu wiedzy technicznej, kosztów wdrażania oraz charakteru, zakresu, kontekstu i celów przetwarzania”.
Powyższe ustalenia wskazują, że Spółka w sposób niewystarczający oceniła zdolność do ciągłego zapewnienia poufności oraz nie uwzględniła ryzyka związanego z uzyskaniem nieuprawnionego dostępu do panelu, a co za tym idzie nie zastosowała odpowiednich środków technicznych i organizacyjnych, aby temu zapobiec. Uzyskanie dostępu do panelu oraz danych klientów Spółki skutkowało zmaterializowaniem się ryzyka naruszenia praw lub wolności osób fizycznych, których dane przetwarzane są przez Spółkę, poprzez próbę wyłudzenia danych, m.in. uwierzytelniających do konta bankowego (phishing), poprzez podszycie się pod Spółkę, wykorzystując fakt dokonania zamówienia przez klienta. Szczególnie, że nieskuteczna okazała się również metoda szyfrowania haseł użytkowników sklepu, gdyż weryfikowane przez klientów Spółki w ogólnodostępnych narzędziach służących do sprawdzenia, czy dane zostały ujawnione, wskazywały na wyciek z Morele.net danych dotyczących m.in. adresu e-mail oraz hasła. Działania podjęte przez Spółkę, polegające na wprowadzeniu podwójnego uwierzytelnienia, były odpowiedzią na kolejny nieuprawniony dostęp do danych poprzez konto pracownika Spółki i świadczą o dokonaniu przez Administratora (ale dopiero po wystąpieniu naruszenia ochrony danych osobowych) analizy zastosowanych środków technicznych (w tym dotyczących zabezpieczenia kont użytkowników), zlokalizowaniu słabych punktów w zastosowanych środkach bezpieczeństwa oraz konieczności ich usunięcia. Podkreślić jednak należy, że przeprowadzenie analizy ryzyka przed wystąpieniem naruszenia ochrony danych osobowych w odniesieniu do sposobu logowania do panelu i w jej wyniku zwiększenie poziomu zabezpieczeń mogło zapobiec wystąpieniu tego naruszenia lub przynajmniej zminimalizować jego skutki. Dzięki prawidłowo przeprowadzanej analizie ryzyka Spółka mogła uzyskać lub zaktualizować informację jakimi zasobami dysponuje. Pozwoliłoby to na określenie potencjalnych negatywnych wpływających na dany zasób czy proces czynników (może to być np. czynnik ludzki, zmiany w organizacji, zmiany techniczne i organizacyjne), a następne na wychwycenie luk i podatności (m.in. poprzez wykonanie testów penetracyjnych). Zalecenia dotyczące zarządzania ryzykiem w bezpieczeństwie informacji można znaleźć m.in. w normach PN-ISO/IEC 27005 oraz PN-ISO-31000, gdzie powyższe kwestie zostały określone.
Zgodnie z art. 33 ust. 5 rozporządzenia 2016/679, administrator zobowiązany jest dokumentować wszelkie naruszenia ochrony danych osobowych, w tym okoliczności naruszenia ochrony danych osobowych, jego skutki oraz podjęte działania zaradcze. Dokumentacja ta musi pozwolić organowi nadzorczemu weryfikowanie przestrzegania niniejszego artykułu. Również z przyjętych 28 marca 2023 r. przez EROD „Wytycznych 9/2022 dotyczących zgłaszania naruszeń ochrony danych osobowych zgodnie z RODO,” wynika, że to administrator określa sposób i strukturę dokumentowania naruszeń, niemniej jednak istnieją pewne kluczowe elementy odnośnie rejestrowanych informacji, które muszą zostać zawarte w każdym przypadku. Powinny one jednak zawierać skutki i konsekwencje naruszenia oraz działania naprawcze podjęte przez administratora[8].
Zważyć należy, że w Spółce od (...).05.2018 r. obowiązywała „Polityka Bezpieczeństwa Ochrony Danych Osobowych Morele.net ul. Fabryczna 20A, 31-553 Kraków” oraz „Instrukcja Zarządzania Systemem Informatycznym Morele.net ul. Fabryczna 20A, 31-553 Kraków” (…)
Zgodnie z rozdziałem 6 pkt 1 lit. D „Polityki Bezpieczeństwa Ochrony Danych Osobowych Morele.net ul. Fabryczna 20A, 31-553 Kraków” (…) Administrator Systemów Informatycznych, IOD, ADO dokumentuje każdy przypadek naruszenia bezpieczeństwa danych oraz sporządza raport według wzoru stanowiącego załącznik 6 do Polityki (…). Tymczasem ani w toku postępowania kontrolnego, ani w toku postępowania administracyjnego Spółka nie przedstawiła Prezesowi Urzędu Ochrony Danych Osobowych uzupełnionego raportu, co w zestawieniu z pozostałymi dowodami jednoznacznie wskazuje, że w Morele.net nie była przestrzegana Polityka Bezpieczeństwa Ochrony Danych Osobowych.
Zgodnie z rozdziałem 9 ust. 2 „Instrukcji Zarządzania Systemem Informatycznym Morele.net ul. Fabryczna 20A, 31-553 Kraków” po otrzymaniu zawiadomienia o naruszeniu zabezpieczenia systemu informatycznego ADO powinien niezwłocznie m.in. podjąć działania zabezpieczające system przed ponownym naruszeniem, jak również ocenić stopień przyczynienia się pracownika do powstania naruszenia obowiązku ochrony danych (…). Uwzględniając, że dwukrotnie w ten sam sposób doszło do nieuprawnionego dostępu do kont pracowników istnieją podstawy do uznania, że od chwili pierwszego naruszenia ([...] listopad 2018 r.) do czasu drugiego naruszenia ([...].12.2018 r.) Spółka nie podjęła skutecznych działań zabezpieczających system przed ponownym naruszeniem, a zatem postępowała wbrew własnej „Instrukcji Zarządzania Systemem Informatycznym Morele.net ul. Fabryczna 20A, 31-553 Kraków”. Co istotne, Spółka – mimo stwierdzenia, że do naruszenia doszło w wyniku nieuprawnionego dostępu do kont systemowych pracowników – nie przedstawiła żadnego dowodu potwierdzającego dokonanie oceny stopnia przyczynienia się pracownika do powstania naruszenia obowiązku ochrony danych. Nie może przy tym ujść uwagi, że wobec zakazu udostępniania przez pracowników haseł dostępu, nawet po utracie przez nie ważności (…) dokonanie przez Morele.net ustaleń, w jaki sposób osoba trzecia uzyskała po raz pierwszy dostęp do konta systemowego pracownika umożliwiłoby Spółce wdrożenie odpowiednich działań zabezpieczających system, a tym samym wykluczyłoby możliwość powstania kolejnego naruszenia ochrony danych osobowych.
Należy również stwierdzić niezgodność obowiązującej w Spółce od (...).05.2018 r. „Instrukcji Zarządzania Systemem Informatycznym Morele.net ul. Fabryczna 20A, 31-553 Kraków” (instrukcja zarządzania systemem – k. 427-458) z obowiązującym do 06.02.2019 r. rozporządzeniem Ministra Spraw Wewnętrznych i Administracji z dnia 29 kwietnia 2004 r. w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych (Dz.U.2004.100.1024). Zgodnie z Załącznikiem A pkt II ust. 1 i 2 lit a) i b) do ww. rozporządzenia, w systemie informatycznym służącym do przetwarzania danych osobowych należało stosować mechanizmy kontroli dostępu do tych danych, przy czym jeżeli dostęp do danych przetwarzanych w systemie informatycznym posiadały co najmniej dwie osoby, wówczas konieczne było zapewnienie, aby w systemie tym rejestrowany był dla każdego użytkownika odrębny identyfikator, a dostęp do danych był możliwy wyłącznie po wprowadzeniu identyfikatora i dokonaniu uwierzytelnienia. Tymczasem w rozdziale 4.2 ust. 1 lit. b) „Instrukcji Zarządzania Systemem Informatycznym Morele.net ul. Fabryczna 20A, 31-553 Kraków” (…) Spółka określiła, że login i hasło jest metodą uwierzytelniania do systemu przetwarzania danych osobowych, tylko jeżeli system posiada wbudowany mechanizm uwierzytelniania. Takie rozwiązanie zostało powielone również w pkt 4.7 projektu nowej „Polityki Ochrony Danych Osobowych w Morele.net Sp. z o.o.” (…). Dopuszczając przetwarzanie danych osobowych w systemach nie wymagających uwierzytelnienia (bądź stosując niewystarczające uwierzytelnienie) Spółka nie stosowała niezbędnych zabezpieczeń, co naruszało art. 25 ust. 1 rozporządzenia 2016/679.
Uwzględniając powyższe należy stwierdzić, że stosowane przez Morele.net środki techniczne i organizacyjne nie były odpowiednie przy uwzględnieniu stanu wiedzy technicznej, kosztu wdrożenia oraz charakteru, zakresu, kontekstu i celów przetwarzania oraz ryzyka naruszenia praw lub wolności osób fizycznych o różnym prawdopodobieństwie wystąpienia i wadze zagrożenia. Spółka nie wywiązała się z obowiązku zapewnienia odpowiednich środków zabezpieczenia technicznego i organizacyjnego przetwarzanych danych, gwarantujących zdolność do ciągłego zapewnienia poufności, integralności, dostępności i odporności systemów i usług przetwarzania oraz obowiązku regularnego testowania, mierzenia i oceniania skuteczności tych środków, czym doprowadziła do naruszenia zasady poufności i integralności wyrażonej w art. 5 ust. 1 lit. f) rozporządzenia 2016/679, odzwierciedlonej w postaci obowiązków określonych w art. 24 ust. 1, art. 25 ust. 1, art. 32 ust. 1 lit. b) i d) oraz art. 32 ust. 2 rozporządzenia 2016/679, a w konsekwencji do naruszenia zasady rozliczalności, o której mowa w art. 5 ust. 2 rozporządzenia 2016/679. Jak wynika z orzeczenia Wojewódzkiego Sądu Administracyjnego w Warszawie z dnia 10 lutego 2021 roku, sygn. II SA/Wa 2378/20, „Zasada rozliczalności bazuje więc na prawnej odpowiedzialności administratora za właściwe wypełnianie obowiązków i nakłada na niego obowiązek wykazania zarówno przed organem nadzorczym, jak i przed podmiotem danych, dowodów na przestrzeganie wszystkich zasad przetwarzania danych”. Podobnie kwestię zasady rozliczalności interpretuje Wojewódzki Sąd Administracyjny w Warszawie w wyroku z dnia 26 sierpnia 2020 roku, sygn. II SA/Wa 2826/19, „Biorąc pod uwagę całość norm rozporządzenia 2016/679, podkreślić należy, że administrator ma znaczną swobodę w zakresie stosowanych zabezpieczeń, jednocześnie jednak ponosi odpowiedzialność za naruszenie przepisów o ochronie danych osobowych. Z zasady rozliczalności wprost wynika, że to administrator danych powinien wykazać, a zatem udowodnić, że przestrzega przepisów określonych w art. 5 ust. 1 rozporządzenia 2016/679”.
Wskazać należy, że „odpowiednie” środki techniczne i organizacyjne na gruncie art. 32 ust. 1 rozporządzenia 2016/679, to środki nie tyle skuteczne w każdym przypadku, co takie, których dochowanie mogło być w dacie i okolicznościach dostępu do danych osobowych, obiektywnie wymagane od danego podmiotu (administratora albo podmiotu przetwarzającego). Zebrane w toku postępowania dowody potwierdzają, że w szczególności szyfrowanie danych zapisywanych w bazie danych oraz dwuskładnikowe uwierzytelnianie przy logowaniu się do wewnętrznego systemu do obsługi zamówień mogło być obiektywnie wymagane od Morele.net w dacie i okolicznościach dostępu do danych osobowych, zwłaszcza, że Spółka niezwłocznie po ujawnieniu incydentów bezpieczeństwa wdrożyła te środki techniczne, tym samym przyznając, że błędem było ich wcześniejsze niezastosowanie. Jak wskazał Wojewódzki Sąd Administracyjny w wyroku z 26 sierpnia 2020 r., sygn. II SA/Wa 2826/19, „Przepis ten [art. 32 ust. 1] nie wymaga od administratora danych wdrożenia jakichkolwiek środków technicznych i organizacyjnych, które mają stanowić środki ochrony danych osobowych, ale wymaga wdrożenia środków adekwatnych. Taką adekwatność oceniać należy pod kątem sposobu i celu, w jakim dane osobowe są przetwarzane, ale też należy brać pod uwagę ryzyko związane z przetwarzaniem tych danych osobowych, które to ryzyko charakteryzować się może różną wysokością.” Sąd ten w ww. wyroku także podkreślił, że „Przyjęte środki mają mieć charakter skuteczny, w konkretnych przypadkach niektóre środki będą musiały być środkami o charakterze niwelującym niskie ryzyko, inne – muszą niwelować ryzyko wysokie, ważne jednak jest, aby wszystkie środki (a także każdy z osobna) były adekwatne i proporcjonalne do stopnia ryzyka.”
Wobec powyższego podkreślić należy, że wcześniejsze wprowadzenie przez Morele.net dodatkowych środków zabezpieczenia dostępu do panelu pracownika, regularne monitorowanie ruchu sieciowego oraz stosowanie się do własnych polityk i instrukcji bezpieczeństwa istotnie obniżyłoby ryzyko uzyskania nieuprawnionego dostępu do systemu informatycznego Spółki, a co za tym idzie do danych osobowych klientów Morele.net. Podkreślić również należy, za wyrokiem Naczelnego Sądu Administracyjnego z dnia 9 lutego 2023 r., sygn. III OSK 3945/21, że „sankcji administracyjnej podlega administrator nie za to, że doszło w jego organizacji do naruszenia ochrony danych osobowych, ale za to, że nie zapewnił adekwatnego standardu bezpieczeństwa przetwarzanym danym osobowym (…)”. Z kolei Wojewódzki Sąd Administracyjny w Warszawie w uzasadnieniu wyroku z dnia 15 listopada 2023 r., sygn. II SA/Wa 552/23, wskazał, że „(…) organ trafnie odkodował pojęcie „poufności danych”, jako pewnego rodzaju właściwość sprawiającą, że dane nie zostaną udostępnione nieuprawnionym podmiotom. Może być ona osiągana między innymi dzięki zastosowaniu środków technicznych i organizacyjnych, adekwatnych do zakresu danych, kontekstu przetwarzania oraz zidentyfikowanych ryzyk”.
Oceniając okoliczności przedmiotowego naruszenia przepisów rozporządzenia 2016/679, należy podkreślić, że stosując przepisy rozporządzenia 2016/679 należy mieć na uwadze, iż celem tego rozporządzenia (wyrażonym w art. 1 ust. 2) jest ochrona podstawowych praw i wolności osób fizycznych, w szczególności ich prawa do ochrony danych osobowych oraz że ochrona osób fizycznych w związku z przetwarzaniem danych osobowych jest jednym z praw podstawowych (zdanie pierwsze motywu 1 preambuły). W przypadku jakichkolwiek wątpliwości np. co do wykonania obowiązków przez administratorów - nie tylko w sytuacji, gdy doszło do naruszenia ochrony danych osobowych, ale też przy opracowywaniu technicznych i organizacyjnych środków bezpieczeństwa mających im zapobiegać - należy w pierwszej kolejności brać pod uwagę te wartości.
Biorąc pod uwagę powyższe ustalenia oraz stwierdzone naruszenia przepisów rozporządzenia 2016/679, Prezes UODO, korzystając z przysługującego mu uprawnienia określonego w art. 58 ust. 2 lit. i) rozporządzenia 2016/679, zgodnie z którym każdemu organowi nadzorczemu przysługuje uprawnienie do zastosowania, oprócz lub zamiast innych środków naprawczych przewidzianych w art. 58 ust. 2 lit. a)-h) oraz lit. j) tego rozporządzenia, administracyjnej kary pieniężnej na mocy art. 83 ust. 4 lit. a) i ust. 5 lit. a) rozporządzenia 2016/679, mając na względzie okoliczności ustalone w przedmiotowym postępowaniu stwierdził, iż w rozpatrywanej sprawie zaistniały przesłanki uzasadniające nałożenie na Administratora administracyjnej kary pieniężnej.
Zgodnie z art. 83 ust. 4 lit. a) rozporządzenia 2016/679, naruszenia przepisów dotyczących obowiązków administratora i podmiotu przetwarzającego, o których mowa w art. 8, 11, 25-39 oraz 42 i 43 podlegają zgodnie z ust. 2 administracyjnej karze pieniężnej w wysokości do 10 000 000 EUR, a w przypadku przedsiębiorstwa - w wysokości do 2 % jego całkowitego rocznego światowego obrotu z poprzedniego roku obrotowego, przy czym zastosowanie ma kwota wyższa.
Zgodnie z art. 83 ust. 5 lit. a) rozporządzenia 2016/679, naruszenia przepisów dotyczących podstawowych zasad przetwarzania, w tym warunków zgody, o których to zasadach i warunkach mowa w art. 5, 6, 7 oraz 9, podlegają zgodnie z ust. 2 administracyjnej karze pieniężnej w wysokości do 20 000 000 EUR, a w przypadku przedsiębiorstwa - w wysokości do 4 % jego całkowitego rocznego światowego obrotu z poprzedniego roku obrotowego, przy czym zastosowanie ma kwota wyższa.
Art. 83 ust. 3 rozporządzenia 2016/679 natomiast stanowi, że jeżeli administrator lub podmiot przetwarzający narusza umyślnie lub nieumyślnie w ramach tych samych lub powiązanych operacji przetwarzania kilka przepisów niniejszego rozporządzenia, całkowita wysokość administracyjnej kary pieniężnej nie przekracza wysokości kary za najpoważniejsze naruszenie.
W niniejszej sprawie administracyjna kara pieniężna wobec Spółki nałożona została za naruszenie art. 25 ust. 1, art. 32 ust. 1 lit. b) i d) oraz art. 32 ust. 2 rozporządzenia 2016/679 na podstawie przytoczonego wyżej art. 83 ust. 4 lit. a) rozporządzenia 2016/679, natomiast za naruszenie art. 5 ust. 1 lit. f) i art. 5 ust. 2 rozporządzenia 2016/679 - na podstawie art. 83 ust. 5 lit. a) tego rozporządzenia. Jednocześnie administracyjna kara pieniężna w wysokości 3 819 960 PLN (słownie: trzy miliony osiemset dziewiętnaście tysięcy dziewięćset sześćdziesiąt PLN), nałożona na Morele.net łącznie za naruszenie wszystkich powyższych przepisów - stosownie do przepisu art. 83 ust. 3 rozporządzenia 2016/679 - nie przekracza wysokości kary za najpoważniejsze stwierdzone w niniejszej sprawie naruszenie, tj. naruszenie art. 5 ust. 1 lit. f) i art. 5 ust. 2 rozporządzenia 2016/679, które stosownie do art. 83 ust. 5 lit. a) rozporządzenia 2016/679 podlega administracyjnej karze pieniężnej w wysokości do 20 000 000 EUR, a w przypadku przedsiębiorstwa - w wysokości do 4 % jego całkowitego rocznego światowego obrotu z poprzedniego roku obrotowego.
Decydując o nałożeniu administracyjnej kary pieniężnej Prezes UODO - stosownie do treści art. 83 ust. 2 lit. a) - k) rozporządzenia 2016/679 - wziął pod uwagę następujące okoliczności sprawy, stanowiące o konieczności zastosowania w niniejszej sprawie tego rodzaju sankcji oraz wpływające obciążająco na wymiar nałożonej administracyjnej kary pieniężnej:
1. Charakter, waga i czas trwania naruszenia przy uwzględnieniu charakteru, zakresu lub celu danego przetwarzania, liczby poszkodowanych osób, których dane dotyczą, oraz rozmiaru poniesionej przez nie szkody, (art. 83 ust. 2 lit. a rozporządzenia 2016/679)
Spółka nie dopełniła obowiązku zastosowania odpowiednich środków technicznych i organizacyjnych, by zapewnić stopień bezpieczeństwa odpowiadający ryzyku nieuprawnionego dostępu do danych osobowych jej klientów, co skutkowało dwukrotnym uzyskaniem dostępu do panelu pracownika Spółki przez osobę bądź osoby nieuprawnione, a w konsekwencji również i dostępu do bazy danych wszystkich klientów Spółki w łącznej liczbie około 2.200.000 (ok. dwóch milionów dwustu tysięcy) osób; tym samym, poprzedzające wystąpienie naruszenia ochrony danych osobowych działania Spółki zmierzające do zapewnienia bezpieczeństwa przetwarzania danych należy uznać za nieskuteczne, albowiem nie przyczyniły się one do wyeliminowania bądź ograniczenia ryzyka zaistnienia naruszenia praw lub wolności osób fizycznych.
Stwierdzone w niniejszej sprawie naruszenie art. 5 ust. 1 lit. f) w zw. z art. 32 ust. 1 lit. b) i d) w zw. z art. 32 ust. 2 rozporządzenia 2016/679, a w następstwie naruszenie art. 5 ust. 2 rozporządzenia 2016/679, związane z uzyskaniem nieuprawnionego dostępu do panelu pracownika Spółki przez osobę bądź osoby nieuprawnione, a w konsekwencji również i dostępu do bazy danych klientów Spółki, ma znaczną wagę i poważny charakter, stwarza bowiem wysokie ryzyko negatywnych skutków faktycznych i prawnych dla około 2.200.000 (ok. dwóch milionów dwustu tysięcy) osób, do których danych dostęp miała osoba bądź osoby nieuprawnione, przy czym, co istotne, wobec dwukrotnego naruszenia bezpieczeństwa systemu informatycznego Spółki, w przypadku 600 (sześciuset) osób ryzyko to jest proporcjonalnie większe. Podkreślić należy, że naruszenie przez Spółkę obowiązków zastosowania odpowiednich środków zapewniających bezpieczeństwo przetwarzanych danych, przed ich udostępnieniem osobom nieupoważnionym, pociąga za sobą nie tylko potencjalną, ale realną możliwość wykorzystania tych danych przez podmioty trzecie bez wiedzy i wbrew woli osób, których dane dotyczą, niezgodnie z przepisami rozporządzenia 2016/679.
Znaczący wpływ na wagę naruszenia ma również okoliczność, że na Spółce, przetwarzającej dane osobowe w sposób profesjonalny, w ramach jej działalności, ciąży większa odpowiedzialność i większe wymagania niż na podmiocie, który przetwarza dane osobowe w ramach działalności ubocznej, incydentalnie lub na niewielką skalę. Prowadząc działalność komercyjną, a przy tym gromadząc dane za pośrednictwem sieci Internet, Spółka jako administrator tych danych powinna podjąć wszelkie niezbędne działania i dochować należytej staranności w doborze środków technicznych i organizacyjnych, zapewniających bezpieczeństwo i poufność danych. Tymczasem poczynione przez Prezesa UODO ustalenia dowodzą, iż Spółka w chwili wystąpienia stwierdzonych naruszeń zadaniu temu nie sprostała.
Naruszenie ww. przepisów rozporządzenia 2016/679 trwało co najmniej od dnia (...) maja 2018 r. do dnia (...) grudnia 2018 r. (tj. wprowadzenia przez Spółkę dodatkowych zabezpieczeń technicznych). Nieuprawniony dostęp do danych ok. 2.200.000 (ok. dwóch milinów dwustu tysięcy) osób – winien być oceniany surowo, ze względu na charakter i duża wagę oraz zakres, a także z uwagi na jego możliwe długofalowe następstwa dla podmiotów danych.
Brak jest dowodów, aby osoby, których dane dotyczą, doznały szkody majątkowej, niemniej już samo naruszenie poufności danych stanowi szkodę niemajątkową (krzywdę); osoby fizyczne, do których danych dostęp uzyskano w sposób nieuprawniony mogą bowiem co najmniej odczuwać strach przed utratą kontroli nad swoimi danymi osobowymi, kradzieżą tożsamości lub oszustwem dotyczącym tożsamości, czy wreszcie przed stratą finansową. Jak wskazał Sąd Okręgowy w Warszawie w wyroku z dnia 6 sierpnia 2020 r. sygn. akt XXV C 2596/19, obawa, a więc utrata bezpieczeństwa stanowi realną szkodę niemajątkową wiążącą się z obowiązkiem jej naprawienia. Z kolei Trybunał Sprawiedliwości UE w orzeczeniu z 14 grudnia 2023 r. w/s Natsionalna agentsia za prihodite (C-340/21) podkreślił, że „Art. 82 ust. 1 RODO należy interpretować w ten sposób, że obawa przed ewentualnym wykorzystaniem przez osoby trzecie w sposób stanowiący nadużycie danych osobowych, jaką żywi osoba, której dane dotyczą, w następstwie naruszenia tego rozporządzenia może sama w sobie stanowić „szkodę niemajątkową” w rozumieniu tego przepisu”.
2. Nieumyślny charakter naruszenia (art. 83 ust. 2 lit. b rozporządzenia 2016/679)
Naruszenie art. 5 ust. 1 lit. f) i ust. 2, art. 32 ust. 1 lit. b) i d) oraz art. 32 ust. 2 rozporządzenia 2016/679, powstało na skutek niedochowania należytej staranności przez Spółkę i niewątpliwie miało charakter nieumyślny, niemniej jednak Spółka jako administrator ponosi odpowiedzialność za stwierdzone nieprawidłowości w procesie przetwarzania danych. Przede wszystkim wobec nieprzeprowadzenia analizy ryzyka wiążącego się z przetwarzaniem w sposób sformalizowany, a więc udokumentowany lub w inny sposób utrwalony oraz ujęty w postaci ściśle określonych, precyzyjnych formuł wyjaśniających i porządkujących przebieg tego procesu, Spółka nie była zdolna wykazać, że wdrażając środki techniczne i organizacyjne mające zapewnić zgodność przetwarzania z rozporządzeniem 2016/679, a także oceniając, czy stopień bezpieczeństwa danych osobowych jest odpowiedni. Na szczególnie naganną ocenę zasługuje okoliczność, iż Spółka, pomimo deklaracji monitorowania systemu sieciowego i reagowania w systemie 24/7 (dwadzieścia cztery godziny, siedem dni w tygodniu), nie stwierdziła zwiększonego ruchu na bramie sieciowej serwera i nie podjęła żadnych działań zaradczych, celem uniemożliwienia dostępu do danych około 2.200.000 (ok. dwóch milionów dwustu tysięcy) osób fizycznych, będących klientami Spółki. W tym stanie rzeczy, zaniedbanie Spółki należy uznać za rażące.
Decydując o nałożeniu administracyjnej kary pieniężnej Prezes UODO wziął pod uwagę następujące okoliczności sprawy wpływające łagodząco na wymiar nałożonej administracyjnej kary pieniężnej:
Działania podjęte przez administratora w celu zminimalizowania szkody poniesionej przez osoby, których dane dotyczą (art. 83 ust. 2 lit. c) rozporządzenia 2016/679).
Spółka podjęła działania mające na celu zminimalizowanie szkody poniesionej przez osoby, których dane obejmowało naruszenie ochrony danych osobowych, informując te osoby o naruszeniu ochrony danych osobowych poprzez skierowanie do nich wiadomość e-mail zawierającą zawiadomienie o nieuprawnionym dostępie do bazy danych klientów. Biorąc pod uwagę, że z uwagi na zakres danych osobowych objętych naruszeniem ochrony danych osobowych nie wystąpiło wysokie ryzyko naruszenia praw lub wolności tych osób skutkujące koniecznością skierowania takiego zawiadomienia, powyższe działanie Spółki zasługuje na aprobatę jako działanie wykraczające poza zwykłą realizację obowiązku prawnego ciążącego na administratorze.
Inne, niżej wskazane okoliczności, o których mowa w art. 83 ust. 2 rozporządzenia 2016/679, po dokonaniu oceny ich wpływu na stwierdzone w niniejszej sprawie naruszenie, zostały przez Prezesa UODO uznane za neutralne w jego ocenie, to znaczy nie mające ani obciążającego ani łagodzącego wpływu na wymiar orzeczonej administracyjnej kary pieniężnej.
1. Stopień odpowiedzialności administratora z uwzględnieniem środków technicznych i organizacyjnych wdrożonych przez niego na mocy art. 25 i 32 (art. 83 ust. 2 lit. d) rozporządzenia 2016/679).
Jak wskazała Grupa Robocza Art. 29 (Wytyczne w sprawie stosowania i ustalania administracyjnych kar pieniężnych do celów rozporządzenia nr 2016/679 przyjęte w dniu 3 października 2017 r., 17/PL, WP 253, zwane dalej „Wytycznymi WP 253”), rozpatrując ww. przesłankę „organ nadzorczy musi odpowiedzieć na pytanie, w jakim stopniu administrator »zrobił wszystko, czego można by było oczekiwać«, zważywszy na charakter, cele lub zakres przetwarzania oraz w świetle obowiązków nałożonych na niego przez rozporządzenie”.
Organ nadzorczy stwierdził w niniejszej sprawie naruszenie przez Spółkę przepisów art. 25 oraz art. 32 rozporządzenia 2016/679. W jego ocenie na Spółce ciąży w wysokim stopniu odpowiedzialność za niewdrożenie odpowiednich środków technicznych i organizacyjnych, które mogłyby zapobiec naruszeniu ochrony danych osobowych. Oczywistym jest, że w rozważanym kontekście charakteru, celu i zakresu przetwarzania danych osobowych Spółka nie zrobiła wszystkiego, czego można by było oczekiwać, nie wywiązując się tym samym z obowiązków nałożonych na nią mocy art. 25 i 32 rozporządzenia 2016/679.
W niniejszej sprawie okoliczność ta stanowi jednak o istocie samego naruszenia – nie jest zaś jedynie czynnikiem wpływającym – obciążająco lub łagodząco – na jego ocenę. Z tego też powodu brak odpowiednich środków technicznych i organizacyjnych, o których mowa w art. 25 i 32 rozporządzenia 2016/679, nie może zostać uznany w niniejszej sprawie za okoliczność mogącą dodatkowo wpłynąć na ocenę naruszenia i wymiar nałożonej na Spółkę administracyjnej kary pieniężnej.
2. Wszelkie stosowne wcześniejsze naruszenia ze strony administratora (art. 83 ust. 2 lit. e) rozporządzenia 2016/679).
Prezes UODO nie stwierdził po stronie Spółki jakichkolwiek wcześniejszych naruszeń przepisów o ochronie danych osobowych, w związku z czym brak jest podstaw do traktowania tej okoliczności jako obciążającej. Obowiązkiem każdego administratora jest przestrzeganie przepisów prawa, a zatem brak wcześniejszych naruszeń nie może być również okolicznością łagodzącą przy wymierzaniu sankcji.
3. Stopień współpracy z organem nadzorczym w celu usunięcia naruszenia oraz złagodzenia jego ewentualnych negatywnych skutków (art. 83 ust. 2 lit. f) rozporządzenia 2016/679).
Spółka prawidłowo wywiązywała się z ciążących na niej obowiązków procesowych w trakcie postępowania administracyjnego, zakończonego wydaniem niniejszej decyzji. Takie działanie Spółki, jako stanowiące przejaw właściwej reakcji na kierowane do niej pisma przez Prezesa UODO, nie może być jednak poczytywane jako okoliczność łagodząca.
4. Kategorie danych osobowych, których dotyczyło naruszenie (art. 83 ust. 2 lit. g rozporządzenia 2016/679).
Dane osobowe, obejmujące adres e-mail, numer telefonu, imię i nazwisko (jeśli zostało podane) oraz hasło, a także dane dotyczące konta i zamówień, do których dostęp uzyskała nieznana i nieuprawniona osoba trzecia, nie należą do szczególnych kategorii danych osobowych, o których mowa w art. 9 ust. 1 i art. 10 rozporządzenia 2016/679, jednakże w niniejszej sprawie organ uznał, że okoliczność ta nie może stanowić przesłanki łagodzącej wymiar orzeczonej administracyjnej kary pieniężnej. Naruszenie ochrony danych jakichkolwiek kategorii musi być automatycznie oceniane negatywnie, jako że jest to naruszenie przepisów rozporządzenia 2016/679. Nie istnieją zatem w tym przypadku podstawy do złagodzenia wymiaru administracyjnej kary pieniężnej ze względu na fakt, że dane, których dotyczy zaistniałe naruszenie ochrony danych osobowych, nie są danymi wyżej wskazanych szczególnych kategorii.
5. Sposób, w jaki organ nadzorczy dowiedział się o naruszeniu, w szczególności, czy i w jakim zakresie administrator zgłosił naruszenie (art. 83 ust. 2 lit. h) rozporządzenia 2016/679).
Prezes UODO stwierdził naruszenie przez Spółkę przepisów o ochronie danych osobowych w wyniku dokonanego przez nią zgłoszenia naruszenia ochrony danych osobowych. Spółka, dokonując zgłoszenia, realizowała ciążący na niej obowiązek prawny, brak jest zatem podstaw do uznania, że fakt ten stanowi okoliczność łagodzącą. Grupa Robocza Art. 29 wskazuje w Wytycznych WP 253, że „[o]rgan nadzorczy może dowiedzieć się o naruszeniu w wyniku postępowania, skarg, artykułów w prasie, anonimowych wskazówek lub powiadomienia przez administratora danych. Zgodnie z rozporządzeniem administrator ma obowiązek zawiadomić organ nadzorczy o naruszeniu ochrony danych. Zwykłe dopełnienie tego obowiązku przez administratora nie może być interpretowane jako czynnik osłabiający/łagodzący”.
6. Jeżeli wobec administratora, którego sprawa dotyczy, zostały wcześniej zastosowane w tej samej sprawie środki, o których mowa w art. 58 ust. 2 – przestrzeganie tych środków (art. 83 ust. 2 lit. i) rozporządzenia 2016/679).
Przed wydaniem niniejszej decyzji Prezes UODO nie stosował wobec Spółki w rozpatrywanej sprawie żadnych środków wymienionych w art. 58 ust. 2 rozporządzenia 2016/679, w związku z czym Spółka nie miała obowiązku podejmowania żadnych działań związanych z ich stosowaniem, a które to działania, poddane ocenie organu nadzorczego, mogłyby mieć obciążający lub łagodzący wpływ na ocenę stwierdzonego naruszenia.
7. Stosowanie zatwierdzonych kodeksów postępowania na mocy art. 40 lub zatwierdzonych mechanizmów certyfikacji na moc art. 42 (art. 83 ust. 2 lit. j) rozporządzenia 2016/679).
Spółka nie stosuje zatwierdzonych kodeksów postępowania ani zatwierdzonych mechanizmów certyfikacji, o których mowa w przepisach rozporządzenia 2016/679. Ich przyjęcie, wdrożenie i stosowanie nie jest jednak – jak stanowią przepisy rozporządzenia 2016/679 – obowiązkowe dla administratorów, w związku z czym okoliczność ich niestosowania nie może być w niniejszej sprawie poczytana na niekorzyść. Na jej korzyść mogłaby być natomiast uwzględniona okoliczność przyjęcia i stosowania tego rodzaju instrumentów, jako środków gwarantujących wyższy niż standardowy poziom ochrony przetwarzania danych osobowych.
8. Wszelkie inne obciążające lub łagodzące czynniki mające zastosowanie do okoliczności sprawy, takie jak osiągnięte bezpośrednio lub pośrednio w związku z naruszeniem korzyści finansowe lub uniknięcie straty (art. 83 ust. 2 lit. k) rozporządzenia 2016/679).
Prezes UODO nie stwierdził, aby w związku z naruszeniem Spółka odniosła jakiekolwiek korzyści finansowe lub uniknęła tego rodzaju strat. Brak jest więc podstaw do traktowania tej okoliczności jako obciążającej. Stwierdzenie zaistnienia wymiernych korzyści finansowych wynikających z naruszenia przepisów rozporządzenia 2016/679 należałoby ocenić zdecydowanie negatywnie. Nieosiągnięcie zaś takich korzyści, jako stan naturalny, niezależny od naruszenia i jego skutków, jest okolicznością, która z istoty rzeczy nie może być łagodząca. Interpretację tę potwierdza już samo sformułowanie przepisu art. 83 ust. 2 lit. k) rozporządzenia 2016/679, który nakazuje organowi nadzorczemu zwrócić należytą uwagę na korzyści „osiągnięte” – zaistniałe po stronie podmiotu dokonującego naruszenia.
Prezes UODO, wszechstronnie rozpatrując przedmiotową sprawę, nie odnotował okoliczności innych, niż powyżej opisane, mogących wpłynąć na ocenę naruszenia i wysokość orzeczonej administracyjnej kary pieniężnej.
Uwzględniając wszystkie omówione wyżej okoliczności, Prezes UODO uznał, iż nałożenie na Spółkę administracyjnej kary pieniężnej jest konieczne i uzasadnione wagą, charakterem oraz zakresem zarzucanych Spółce naruszeń. Stwierdzić należy, że zastosowanie jakiegokolwiek innego środka naprawczego przewidzianego w art. 58 ust 2 rozporządzenia 2016/679, w szczególności zaś poprzestanie na upomnieniu (art. 58 ust. 2 lit. b) rozporządzenia 2016/679), nie byłoby proporcjonalne do stwierdzonych nieprawidłowości w procesie przetwarzania danych osobowych oraz nie gwarantowałoby tego, że Spółka w przyszłości nie dopuści się kolejnych zaniedbań.
Odnosząc się do wysokości wymierzonej Spółce administracyjnej kary pieniężnej wskazać należy, iż w ustalonych okolicznościach niniejszej sprawy, wobec stwierdzenia naruszenia kilku przepisów rozporządzenia 2016/679, tj. zasady poufności i integralności, wyrażonej w art. 5 ust. 1 lit. f) rozporządzenia 2016/679, a odzwierciedlonej w postaci obowiązków określonych w art. 24 ust. 1, art. 25 ust. 1, art. 32 ust. 1 lit. b) i d) oraz art. 32 ust. 2 rozporządzenia 2016/679, a w konsekwencji art. 5 ust. 2 rozporządzenia 2016/679, zastosowanie znajdzie zarówno art. 83 ust. 4 lit. a) rozporządzenia 2016/679, przewidujący m.in. za naruszenie obowiązków administratora, o których mowa w art. 25 i 32 rozporządzenia 2016/679, możliwość nałożenia administracyjnej kary pieniężnej w wysokości do 10 000 000 EUR (w przypadku przedsiębiorstwa - w wysokości do 2 % jego całkowitego rocznego światowego obrotu z poprzedniego roku obrotowego), jak również art. 83 ust. 5 lit. a) rozporządzenia 2016/679, zgodnie z którym naruszenia m.in. podstawowych zasad przetwarzania, o których mowa w art. 5 tego rozporządzenia, podlegają administracyjnej karze pieniężnej w wysokości do 20 000 000 EUR (w przypadku przedsiębiorstwa - w wysokości do 4 % jego całkowitego rocznego światowego obrotu z poprzedniego roku obrotowego, przy czym zastosowanie ma kwota wyższa).
W ocenie organu nadzorczego zastosowana administracyjna kara pieniężna spełnia w ustalonych okolicznościach niniejszej sprawy funkcje, o których mowa w art. 83 ust. 1 rozporządzenia 2016/679, tzn. będzie w tym indywidualnym przypadku skuteczna, proporcjonalna i odstraszająca.
Zdaniem Prezesa UODO nałożona na Spółkę administracyjna kara pieniężna będzie skuteczna, ponieważ doprowadzi do stanu, w którym stosowała będzie takie środki techniczne i organizacyjne, które zapewnią przetwarzanym danym stopień bezpieczeństwa odpowiadający ryzyku naruszenia praw lub wolności osób, których dane dotyczą, oraz wadze zagrożeń towarzyszących procesom przetwarzania tych danych osobowych, w szczególności przy użyciu systemów informatycznych. Skuteczność kary równoważna jest zatem gwarancji tego, że Spółka od momentu zakończenia niniejszego postępowania będzie z najwyższą starannością podchodzić do wymogów stawianych przez przepisy o ochronie danych osobowych.
Zastosowana administracyjna kara pieniężna jest również proporcjonalna do stwierdzonego naruszenia, w tym w szczególności jego wagi, skutku, kręgu dotkniętych nim osób fizycznych oraz ryzyka negatywnych konsekwencji, jakie w związku z naruszeniem mogą one ponieść. W ocenie Prezesa UODO nałożona administracyjna kara pieniężna została określona na takim poziomie, aby z jednej strony stanowiła adekwatną reakcję organu nadzorczego na stopień naruszenia obowiązków przez Spółkę, nie powodując z drugiej strony sytuacji, w której konieczność jej uiszczenia pociągnie za sobą negatywne następstwa w postaci istotnego pogorszenia sytuacji finansowej Spółki. Zdaniem Prezesa UODO Spółka powinna – i jest w stanie – ponieść konsekwencje swoich zaniedbań w sferze ochrony danych, w związku z czym uznaje on nałożenie kary w wysokości w wysokości 3 819 960 PLN (słownie: trzy miliony osiemset dziewiętnaście tysięcy dziewięćset sześćdziesiąt PLN) za w pełni uzasadnione.
W ocenie organu nadzorczego administracyjna kara pieniężna spełni także w tych konkretnych okolicznościach funkcję represyjną, jako że stanowić będzie odpowiedź na naruszenie przez Spółkę przepisów rozporządzenia 2016/679, ale i prewencyjną, przyczyniając się do zapobiegania w przyszłości naruszeniom obowiązków Uczelni wynikających z przepisów o ochronie danych osobowych.
Jednocześnie kara będzie skuteczna (osiągnie cel jakim jest ukaranie administratora za najpoważniejsze naruszenie o poważnych skutkach) i odstraszająca na przyszłość (albowiem doprowadzi do stanu, w którym Spółka stosowała będzie takie środki techniczne i organizacyjne, które zapewnią przetwarzanym danym stopień bezpieczeństwa odpowiadający ryzyku naruszenia praw i wolności osób, których dane dotyczą oraz wadze zagrożeń towarzyszącym procesom przetwarzania tych danych osobowych). Skuteczność kary równoważna jest zatem gwarancji tego, iż Spółka będzie z najwyższą starannością podchodzić do wymogów stawianych przez przepisy o ochronie danych osobowych.
Zdaniem Prezesa UODO zastosowana administracyjna kara pieniężna spełnia w ustalonych okolicznościach niniejszej sprawy przesłanki, o których mowa w art. 83 rozporządzenia 2016/679, ze względu na wagę stwierdzonych naruszeń w kontekście podstawowych wymogów i zasad rozporządzenia 2016/679, w tym w szczególności zasady poufności i integralności wyrażonej w art. 5 ust. 1 lit. f) rozporządzenia 2016/679 oraz zasady rozliczalności, o której mowa w art. 5 ust. 2 rozporządzenia 2016/679.
Celem nałożonej kary jest doprowadzenie do przestrzegania w przyszłości przez Spółkę przepisów rozporządzenia 2016/679.
Na koniec koniecznym jest wskazanie, że ustalając w niniejszej sprawie wysokość administracyjnej kary pieniężnej Prezes UODO zastosował metodykę przyjętą przez Europejską Radę Ochrony Danych w Wytycznych 04/2022 w sprawie obliczania administracyjnych kar pieniężnych na podstawie RODO przyjętych 24 maja 2023 r (zwanych dalej „Wytycznymi 04/2022”).[9] Zgodnie z przedstawionymi w tym dokumencie wskazówkami:
- Prezes UODO dokonał kategoryzacji stwierdzonych w niniejszej sprawie naruszeń przepisów rozporządzenia 2016/679 (vide Rozdział 4.1 Wytycznych 04/2022). Wśród naruszonych przez Spółkę przepisów rozporządzenia 2016/679 znajdują się przepisy art. 5 ust. 1 lit. f) oraz art. 5 ust. 2 rozporządzenia 2016/679 określające podstawowe zasady przetwarzania. Naruszenia tych przepisów należą – zgodnie z art. 83 ust. 5 lit. a) rozporządzenia 2016/679 – do kategorii naruszeń zagrożonych karą wyższą z dwóch przewidzianych w rozporządzeniu 2016/679 wymiarów kar (z maksymalną wysokością do 20 000 000 EUR lub do 4 % całkowitego rocznego obrotu przedsiębiorstwa z poprzedniego roku obrotowego). Są one więc in abstracto poważniejsze od innych (wskazanych w art. 83 ust. 4 rozporządzenia 2016/679) naruszeń.
- Prezes UODO ocenił stwierdzone w niniejszej sprawie naruszenia (w szczególności naruszenia podstawowych zasad przetwarzania) jako naruszenia o wysokim poziomie powagi (vide Rozdział 4.2 Wytycznych 04/2022). W ramach tej oceny wzięte zostały pod uwagę te przesłanki spośród wymienionych w art. 83 ust. 2 rozporządzenia 2016/679, które tyczą się strony przedmiotowej naruszeń (składają się na „powagę” naruszenia), to jest: charakter, waga i czas trwania naruszeń (art. 83 ust. 2 lit. a) rozporządzenia 2016/679), umyślny lub nieumyślny charakter naruszeń (art. 83 ust. 2 lit. b) rozporządzenia 2016/679) oraz kategorie danych osobowych, których dotyczyły naruszenia (art. 83 ust. 2 lit. g) rozporządzenia 2016/679). Szczegółowa ocena tych okoliczności przedstawiona została powyżej. W tym miejscu wskazać należy, że rozważenie ich łącznego wpływu na ocenę stwierdzonego w niniejszej sprawie naruszenia traktowanego w całości prowadzi do wniosku, że poziom jego powagi (rozumianej zgodnie z Wytycznymi 04/2022) jest wysoki. Konsekwencją tego jest zaś przyjęcie – jako kwoty wyjściowej do obliczenia kary – wartości mieszczącej się w przedziale od 20 % do 100 % maksymalnej wysokości kary możliwej do orzeczenia wobec Spółki, to jest – zważywszy na limit określony w art. 83 ust. 5 rozporządzenia 2016/679 – od kwoty 4 000 000 EUR do kwoty 20 000 000 EUR (vide Podrozdział 4.2.4 Wytycznych 04/2022). Za adekwatną, uzasadnioną okolicznościami niniejszej sprawy, kwotę wyjściową Prezes UODO uznał kwotę 5 000 000 EUR (równowartość 23 580 000 zł).
- Prezes UODO dostosował kwotę wyjściową odpowiadającą wysokiej powadze stwierdzonego naruszenia do obrotu Spółki jako miernika jej wielkości i siły gospodarczej (vide Rozdział 4.3 Wytycznych 04/2022). Zgodnie z Wytycznymi 04/2022, w przypadku przedsiębiorstw, których roczny obrót wynosi 100-250 mln EUR, organ nadzorczy może rozważyć dokonanie dalszych obliczeń wysokości kary na podstawie wartości mieszczącej się w przedziale od 15 % do 50 % kwoty wyjściowej. Zważywszy, że obrót Spółki w ostatnim roku sprawozdawczym (kończącym się (...) marca 2023 r.) wyniósł 1 041 454 000 zł, to jest ok. 221 mln EUR (wg średniego kursu EUR z dnia 30 stycznia 2023 r.), Prezes UODO za stosowne uznał skorygowanie podlegającej obliczeniom kwoty kary do wartości odpowiadającej 45 % kwoty wyjściowej, to jest do kwoty 2 250 000 EUR (równowartość 10 611 000 zł).
- Prezes UODO dokonał oceny wpływu na stwierdzone naruszenie pozostałych (poza tymi uwzględnionymi wyżej w ocenie powagi naruszenia) okoliczności wskazanych w art. 83 ust. 2 rozporządzenia 2016/679 (vide Rozdział 5 Wytycznych 04/2022). Okoliczności te, mogące mieć obciążający lub łagodzący wpływ na ocenę naruszenia, odnoszą się – jak zakładają Wytyczne 04/2022 – do strony podmiotowej naruszenia, to jest do samego podmiotu będącego sprawcą naruszenia oraz do jego zachowania przed naruszeniem, w jego trakcie, i po jego zaistnieniu. Szczegółowa ocena i uzasadnienie wpływu każdej z tych przesłanek na ocenę naruszenia przedstawione zostały powyżej. Prezes UODO uznał, że okolicznością łagodzącą w niniejszej sprawie są działania podjęte przez Spółkę w celu zminimalizowania szkody poniesionej przez osoby, których dane dotyczą (art. 83 ust. 2 lit. c) rozporządzenia 2016/679). Pozostałe przesłanki (z art. 83 ust. 2 lit. d), e), f), h), i), j), k) rozporządzenia 2016/679) – jak wskazano wyżej – nie miały wpływu, ani łagodzącego ani obciążającego, na ocenę naruszenia i w konsekwencji na wymiar kary. Ze względu na zaistnienie w sprawie jednej okoliczności łagodzącej zasadnym jest więc dalsze obniżenie kwoty kary ustalonej z uwzględnieniem obrotu Spółki (pkt 3 powyżej); adekwatnym do wpływu tej przesłanki na ocenę naruszenia jest w ocenie Prezesa UODO jej obniżenie o 10 % – do kwoty 2 025 000 EUR (równowartość 9 549 900 zł).
- Prezes UODO stwierdził, że ustalona w przedstawiony wyżej sposób kwota administracyjnej kary pieniężnej nie przekracza – stosownie do art. 83 ust. 3 rozporządzenia 2016/679 – prawnie określonej maksymalnej wysokości kary przewidzianej dla najpoważniejszego naruszenia (vide Rozdział 6 Wytycznych 04/2022). Jak wskazano powyżej najpoważniejszym naruszeniem jest w niniejszej sprawie naruszenie art. 5 ust. 1 lit. f) i art. 5 ust. 2 rozporządzenia 2016/679, zagrożone administracyjną karą pieniężną w wysokości do 20 000 000 EUR, a w przypadku przedsiębiorstwa - w wysokości do 4 % jego całkowitego rocznego światowego obrotu z poprzedniego roku obrotowego, przy czym zastosowanie ma kwota wyższa. Prezes UODO ustalił, że „dynamiczna kwota maksymalna” dla tego naruszenia i dla tego sprawcy naruszenia wyrażona w procencie (4 %) jego obrotu wyniosłaby 8 833 367 EUR, w związku z czym zastosować należy w niniejszej sprawie – jako wyższą – „statyczną kwotę maksymalną” wynoszącą dla rozpatrywanego naruszenia 20 000 000 EUR. Wskazana powyżej kwota 2 025 000 EUR w sposób oczywisty nie przekracza kwoty 20 000 000 EUR.
- Pomimo tego, że ustalona zgodnie z powyższymi zasadami kwota kary nie przekracza prawnie określonego maksimum kary Prezes UODO uznał, że wymaga ona dodatkowej korekty ze względu na zasadę proporcjonalności wymienioną w art. 83 ust. 1 rozporządzenia 2016/679 jako jedną z trzech dyrektyw wymiaru kary (vide Rozdział 7 Wytycznych 04/2022). Niewątpliwie kara pieniężna w wysokości 2 025 000 EUR byłaby karą skuteczną (przez swoją dolegliwość pozwoliłaby osiągnąć swój cel represyjny, którym jest ukaranie za bezprawne zachowanie) i odstraszającą (pozwalającą skutecznie zniechęcić zarówno Spółkę, jak i innych administratorów do popełniania w przyszłości naruszeń przepisów rozporządzenia 2016/679). Kara taka byłaby jednak – w ocenie Prezesa UODO – karą nieproporcjonalną ze względu na swoją nadmierną dolegliwość. Zasada proporcjonalności wymaga bowiem m.in., by przyjęte przez organ nadzorczy środki nie wykraczały poza to, co odpowiednie i konieczne do realizacji uzasadnionych celów (vide pkt 137 i pkt 139 Wytycznych 04/2022). Innymi słowy: „Sankcja jest proporcjonalna, jeśli nie przekracza progu dolegliwości określonego przez uwzględnienie okoliczności konkretnego przypadku” (P. Litwiński (red.), Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. […]; Komentarz do art. 83 [w:] P. Litwiński (red.) Ogólne rozporządzenie o ochronie danych osobowych. Ustawa o ochronie danych osobowych. Wybrane przepisy sektorowe. Komentarz). Mając więc na uwadze wzgląd na proporcjonalność kary Prezes UODO dokonał dalszego obniżenia wysokości kary – do 40 % kwoty uzyskanej po uwzględnieniu okoliczności obciążających i łagodzących (vide pkt 4 powyżej), to jest do kwoty 810 000 EUR (równowartość 3 819 960 zł). W jego ocenie takie określenie ostatecznej wysokości orzeczonej kary nie wpłynie na obniżenie jej skuteczności i odstraszającego charakteru. Kwota ta bowiem stanowi próg, powyżej którego dalsze zwiększanie wysokości kary nie będzie wiązało się ze wzrostem jej skuteczności i odstraszającego charakteru. Z drugiej natomiast strony obniżenie w większym stopniu wysokości kary mogłoby się odbyć kosztem jej skuteczności i odstraszającego charakteru, a także spójnego stosowania i egzekwowania rozporządzenia 2016/679 i zasady równego traktowania podmiotów na rynku wewnętrznym UE i EOG.
Stosownie do treści art. 103 ustawy z dnia 10 maja 2018 r. o ochronie danych osobowych (Dz. U. z 2019 r. poz. 1781), równowartość wyrażonych w euro kwot, o których mowa w art. 83 rozporządzenia 2016/679, oblicza się w złotych według średniego kursu euro ogłaszanego przez Narodowy Bank Polski w tabeli kursów na dzień 28 stycznia każdego roku, a w przypadku gdy w danym roku Narodowy Bank Polski nie ogłasza średniego kursu euro w dniu 28 stycznia - według średniego kursu euro ogłoszonego w najbliższej po tej dacie tabeli kursów Narodowego Banku Polskiego.
Mając powyższe na uwadze, Prezes Urzędu Ochrony Danych Osobowych, na podstawie art. 83 ust. 4 lit. a) i art. 83 ust. 5 lit. a) w związku z art. 83 ust. 3 rozporządzenia 2016/679 oraz w związku z art. 103 ustawy z dnia 10 maja 20218 r. o ochronie danych osobowych, za naruszenie opisane w sentencji niniejszej decyzji, nałożył na Morele.net - stosując średni kurs euro z dnia 30 stycznia 2023 r. (1 EUR = 4,7160 PLN) - administracyjną karę pieniężną w kwocie 3 819 960 PLN (słownie: trzy miliony osiemset dziewiętnaście tysięcy dziewięćset sześćdziesiąt PLN), co stanowi równowartość 810 000 EUR).
II. Jednocześnie wobec stwierdzenia Naczelnego Sądu Administracyjnego dokonania przez organ nietrafnej i przedwczesnej oceny, że Spółka nie udokumentowała usunięcia danych z wniosków ratalnych, podczas gdy zdaniem NSA w toku postępowania Spółka przekonująco wyjaśniła, że usunięcie baz danych zostało udokumentowane w logach systemu IT, stwierdzić należy, że na obecnym etapie postępowania należy uznać w tym zakresie wyjaśnienia Spółki. Tym bardziej, że samo zbieranie danych osobowych dotyczyło okresu sprzed rozpoczęcia stosowania rozporządzenia 2016/679. Aktualnie orzecznictwo sądowe zawęża możliwość oceny stanów faktycznych sprzed rozpoczęcia stosowania tego aktu prawnego przez pryzmat jego przepisów[10].
Biorąc pod uwagę powyższe, w ocenie Prezesa Urzędu Ochrony Danych Osobowych, w tym zakresie przedmiotowej sprawy, nie można przypisać Spółce naruszenia przepisów rozporządzenia 2016/679, a zatem nie jest uzasadnione skorzystanie przez Prezesa Urzędu Ochrony Danych Osobowych z jakiegokolwiek uprawnienia naprawczego, o którym mowa w art. 58 ust. 2 rozporządzenia 2016/679.
W tej sytuacji niniejsze postępowanie podlega umorzeniu na podstawie art. 105 § 1 k.p.a., wobec jego bezprzedmiotowości. Zgodnie z ww. przepisem, gdy postępowanie z jakiejkolwiek przyczyny stało się bezprzedmiotowe w całości lub w części, organ administracji publicznej wydaje decyzję o umorzeniu postępowania odpowiednio w całości lub w części. Brzmienie powołanej regulacji nie pozostawia wątpliwości, iż w razie stwierdzenia bezprzedmiotowości postępowania organ prowadzący to postępowanie obligatoryjnie je umarza. Jednocześnie w literaturze przedmiotu wskazuje się, że bezprzedmiotowość postępowania administracyjnego, o której stanowi art. 105 § 1 k.p.a. oznacza, że brak jest któregoś z elementów materialnego stosunku prawnego, a wobec tego nie można wydać decyzji załatwiającej sprawę przez rozstrzygnięcie jej co do istoty (B. Adamiak, J. Borkowski „Kodeks postępowania administracyjnego. Komentarz” 7 wydanie Wydawnictwo C.H. Beck, Warszawa 2005 r., str. 485). Takie samo stanowisko zajął Wojewódzki Sąd Administracyjny w Krakowie w wyroku z dnia 27 lutego 2008 r. (III SA/Kr 762/2007): „Postępowanie staje się bezprzedmiotowe, gdy brak któregoś z elementów stosunku materialnoprawnego, co powoduje, że nie można załatwić sprawy przez rozstrzygnięcie co do istoty”.
Ustalenie przez organ publiczny istnienia przesłanki, o której mowa w art. 105 § 1 k.p.a. zobowiązuje go do umorzenia postępowania, nie ma bowiem wówczas podstaw do rozstrzygnięcia sprawy co do istoty, a dalsze prowadzenie postępowania w takim przypadku stanowiłoby o jego wadliwości, mającej istotny wpływ na wynik sprawy.
III. Odnosząc się do zawartego w piśmie Spółki z 21 grudnia 2023 r. wniosku o wyłączenie od udziału w postępowaniu w sprawie pracowników, którzy sporządzili dokument „Analiza zastosowanych przez Morele.net Sp. z o.o. z siedzibą w Krakowie środków technicznych i organizacyjnych mających wpływ na wystąpienie naruszenie ochrony danych osobowych...”, z uwagi na uzasadnione obawy co do bezstronności autorów Analizy jako pracowników Urzędu Ochrony Danych Osobowych, należy wskazać, że wniosek ten jest bezprzedmiotowy.
Jako podstawę ww. wniosku Spółka wskazała art. 24 ust. 3 k.p.a., zgodnie z którym bezpośredni przełożony pracownika jest obowiązany na jego żądanie lub na żądanie strony albo z urzędu wyłączyć go od udziału w postępowaniu, jeżeli zostanie uprawdopodobnione istnienie okoliczności niewymienionych w § 1, które mogą wywołać wątpliwość co do bezstronności pracownika.
Na wstępie należy wskazać, że pracownicy Urzędu Ochrony Danych Osobowych, którzy sporządzili Analizę w wykonaniu wyroku Naczelnego Sądu Administracyjnego z dnia 9 lutego 2023 r., sygn. III OSK 3945/21, zostali wybrani ze względu na posiadane kwalifikacje i doświadczenie w obszarze zagadnień bezpieczeństwa teleinformatycznego, co w połączeniu z brakiem ich udziału we wcześniejszych czynnościach prowadzonych wobec Spółki zapewnia także ich bezstronność.
Z przedstawionej przez Spółkę argumentacji należy wnioskować, że żaden z pracowników UODO nie byłby wystarczająco bezstronny i choćby z tego powodu wniosek Spółki jest niezasadny. Zarzut braku bezstronności odnoszony w zasadzie do wszystkich pracowników UODO, wyklucza możliwość skorzystania z instytucji wyłączenia pracownika określonej w art. 24 ust. 3 k.p.a.
W tym stanie faktycznym i prawnym Prezes Urzędu Ochrony Danych Osobowych rozstrzygnął, jak w sentencji.
Decyzja jest ostateczna. Na podstawie art. 7 ust. 2 ustawy z dnia 10 maja 2018 r. o ochronie danych osobowych (Dz. U. z 2019 r. poz. 1781) w zw. z art. 13 § 2, art. 53 § 1 oraz art. 54 ustawy z dnia 30 sierpnia 2002 r. Prawo o postępowaniu przed sądami administracyjnymi (Dz. U. z 2023 r. poz. 1634, ze zm.), stronie niezadowolonej z niniejszej decyzji przysługuje prawo wniesienia skargi do Wojewódzkiego Sądu Administracyjnego w Warszawie w terminie 30 dni od dnia doręczenia jej stronie. Skargę wnosi się za pośrednictwem Prezesa Urzędu Ochrony Danych Osobowych (adres: Urząd Ochrony Danych Osobowych, ul. Stawki 2, 00-193 Warszawa). Od skargi należy wnieść wpis stosunkowy, zgodnie z art. 231 w związku z art. 233 ustawy z dnia 30 sierpnia 2002 r. Prawo o postępowaniu przed sądami administracyjnymi (Dz. U. z 2023 r. poz. 1634, ze zm.). Strona ma prawo ubiegania się o zwolnienie od kosztów sądowych lub prawo pomocy.
Zgodnie z art. 105 ust. 1 ustawy z dnia 10 maja 2018 r. o ochronie danych osobowych (Dz. U. z 2019 r. poz. 1781), administracyjną karę pieniężną należy uiścić w terminie 14 dni od dnia upływu terminu na wniesienie skargi do Wojewódzkiego Sądu Administracyjnego, albo od dnia uprawomocnienia się orzeczenia sądu administracyjnego, na rachunek bankowy Urzędu Ochrony Danych Osobowych w NBP O/O Warszawa nr 28 1010 1010 0028 8622 3100 0000. Ponadto, zgodnie z art. 105 ust. 2 ww. ustawy Prezes Urzędu Ochrony Danych Osobowych może, na uzasadniony wniosek podmiotu ukaranego odroczyć termin uiszczenia administracyjnej kary pieniężnej albo rozłożyć ją na raty. W przypadku odroczenia terminu uiszczenia administracyjnej kary pieniężnej albo rozłożenia jej na raty, Prezes Urzędu Ochrony Danych Osobowych nalicza od nieuiszczonej kwoty odsetki w stosunku rocznym, przy zastosowaniu obniżonej stawki odsetek za zwłokę, ogłaszanej na podstawie art. 56d ustawy z dnia 29 sierpnia 1997 r. - Ordynacja podatkowa (Dz. U. z 2023 r., poz. 2383), od dnia następującego po dniu złożenia wniosku.
Zgodnie z art. 74 ustawy o ochronie danych osobowych wniesienie przez stronę skargi do sądu administracyjnego wstrzymuje wykonanie decyzji w zakresie administracyjnej kary pieniężnej.
[1] https://owasp.org/www-pdf-archive/OWASP_Top_10-2017_%28en%29.pdf.pdf [dostęp 26.09.2023]
[2] https://pages.nist.gov/800-63-3/sp800-63b.html [dostęp 26.09.2023]
[3] https://www.enisa.europa.eu/publications/guidelines-for-smes-on-the-security-of-personal-data-processing [dostęp 26.09.2023]
[4] https://www.isaca.org/resources/news-and-trends/isaca-now-blog/2018/the-multiple-options-for-multi-factor-authentication [dostęp 26.09.2023]
[5] https://www.microsoft.com/en-us/research/publication/password-guidance/ [dostęp 26.09.2023]
[6] https://www.microsoft.com/en-us/security/blog/2019/08/20/one-simple-action-you-can-take-to-prevent-99-9-percent-of-account-attacks/ [dostęp 26.09.2023]
[7] Patrz Przewodnik Forum Technologii Bankowych przy Związku Banków Polskich „Identyfikacja i uwierzytelnienie w usługach elektronicznych”, Warszawa 2013
[8] https://uodo.gov.pl/pl/537/2902
[9] Wytyczne w języku angielskim pod adresem: https://edpb.europa.eu/our-work-tools/our-documents/guidelines/guidelines-042022-calculation-administrative-fines-under_pl
[10] Wyrok WSA z dnia 21 października 2021sygn. akt II SA/Wa 272/21.