Przypomnijmy - w 2019 r. Prezes Urząd Ochrony Danych Osobowych nałożył na Morele.net rekordową wówczas karę 2,8 mln zł za wyciek danych ponad 2,2 mln klientów tego sklepu spowodowany nienależytą ochroną danych osobowych.

Sklep nie zgodził się z decyzją UODO i sprawa trafiła do Wojewódzkiego Sądu Administracyjnego. Ten jednak uznał, że nie ma podstaw do uchylenia decyzji Prezesa UODO i utrzymał karę.

Sklep złożył skargę kasacyjną do Naczelnego Sądu Administracyjnego, który uchylił decyzję PUODO. W wyroku z 9 lutego 2023 r. NSA uznał, że sam skutek, czyli włamanie, nie jest dowodem na to, że administrator danych nie dochował odpowiednich standardów. NSA wytknął też WSA, że nie zlecił sporządzenia opinii biegłego, choć domagał się tego ukarany sklep. WSA uznał, że wystarczający jest materiał dowodowy zebrany przez Prezesa UODO. To ograniczało prawo sklepu do obrony. NSA zauważył też, że uzasadnienie decyzji PUODO było zbyt lakoniczne.

Czytaj więcej

Morele nie zapłaci gigantycznej kary za wyciek danych. NSA obciążył UODO
Dane osobowe
Morele nie zapłaci gigantycznej kary za wyciek danych. NSA obciążył UODO

Zdaniem Prezesa UODO, NSA w sposób precedensowy zakwestionował jego niezależność jako organu nadzorczego. Podważył też jego kompetencje oraz kwalifikacje merytoryczne pracowników UODO.

"Z orzeczenia wynika wprost, iż przyczyną uchylenia decyzji w sprawie Morele.net było oddalenie przez organ wniosku o przeprowadzenie dowodu z opinii biegłego w kontekście standardów technicznych i organizacyjnych stosowanych przez spółkę" - czytamy w komunikacie  Prezesa UODO.

Podkreśla on wieloletnie doświadczenie i unikalną wiedzę pracowników UODO, które gwarantują "posiadanie wiedzy specjalistycznej pozwalającej na samodzielną ocenę stosowania środków technicznych i organizacyjnych w systemach informatycznych bez konieczności korzystania z pomocy biegłego." Zwraca uwagę, że wbrew twierdzeniom NSA, dokonywana przez UODO ocena stosowania środków technicznych i organizacyjnych na gruncie RODO nie jest żadnym novum.

"NSA przed wejściem w życie RODO nie kwestionował kompetencji pracowników Biura GIODO (dawne UODO) do kontroli i prowadzenia postępowania wobec podmiotów przetwarzających dane w systemach informatycznych, w tym w strategicznych z punktu widzenia interesów państwa systemach np. rejestru PESEL." - twierdzi Prezes UODO.

Zdaniem Urzędu zastosowane przez spółkę Morele.net środki organizacyjne i techniczne nie odpowiadały ryzyku związanym z przetwarzaniem danych klientów. Przez to dane około 2 mln 200 tys. osób dostały się w niepowołane ręce, a naruszenie to miało znaczną wagę i poważny charakter oraz dotyczyło dużej skali osób.

"NSA swoim orzeczeniem całkowicie pominął prawa ponad 2 mln 200 tys. użytkowników, których dane osobowe zostały naruszone wskutek działalności spółki, a którzy ponosić mogą również i dotkliwe konsekwencje związane z uzyskaniem nieuprawnionego dostępu do ich danych. Zdaniem UODO prawa osób, których dane dotyczą, winny być istotną wartością w rozpatrywanej sprawie, zwłaszcza, że organ podkreślił, iż w stanie faktycznym przedmiotowej sprawy ryzyko dotyczyło zagrożenia polegającego na zastosowaniu metody zwanej phishingiem, mającej na celu wyłudzenie danych, m.in. uwierzytelniających do konta bankowego poprzez podszycie się pod spółkę w wiadomościach SMS i wykorzystanie faktu dokonania zamówienia przez klienta." - wyjaśnia PUODO.

Jak zauważył Wojewódzki Sąd Administracyjny w Warszawie podzielił  stanowisko organu nadzorczego, że zastosowane przez spółkę środki techniczne i organizacyjne okazały się nieskuteczne w celu ochrony danych osobowych klientów.

"Przyjęcie stanowiska NSA wyrażonego w ww. wyroku, kwestionującego kompetencje UODO i podważającego jego niezależność, za słuszne, w praktyce oznaczałoby uniemożliwienie organowi samodzielnego funkcjonowania i rozstrzygania spraw z zakresu ochrony danych osobowych w systemach informatycznych służących do przetwarzania danych i prowadziłoby do pozbawienia skutecznej ochrony praw osób, których dane są przetwarzane, zagwarantowanej przepisami Traktatu o funkcjonowaniu Unii Europejskiej, Karty praw podstawowych Unii Europejskiej i RODO." - czytamy w komunikacie.