Prezes UODO zwiększył karę i nie powołał biegłego

Decyzja Prezesa UODO w sprawie Morele.net była nieunikniona. Organ nadzorczy wydał ją w niecały rok od wyroku Naczelnego Sądu Administracyjnego z lutego 2023 r.

NSA uchylił wyrok WSA w Warszawie z września 2020 r. oddalający skargę administratora danych na decyzję Prezesa UODO z września 2019 r.

We wskazanym orzeczeniu NSA ustalono, że: 

sankcji administracyjnej za naruszenie obowiązków wskazanych w art. 32 rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) (Dz. U. UE. L. z 2016 r. Nr 119, str. 1 ze zm.) podlega nie ten, kto jako administrator albo podmiot przetwarzający dopuścił do nieuprawnionego przetwarzania danych osobowych, a tylko podmiot, który nie dochował odpowiedniego, w danych okolicznościach, standardu środków bezpieczeństwa.

jakkolwiek ustawa z 14 czerwca 1960 r. – Kodeks postępowania administracyjnego (Dz. U. z 2018 r., poz. 1000 ze zm.) nie przewiduje wprost „prawa do obrony”, to szereg uprawnień składających się na to prawo można wywieść z art. 10 k.p.a. oraz przepisów stanowiących konkretyzację zasady czynnego udziału, takich jak art. 78 k.p.a.

W związku z powyższym Prezes UODO w decyzji z 17 stycznia 2024 r. stwierdził:

naruszenie przez Morele.net sp. z o. o. z siedzibą w Krakowie, przepisów art. 24 ust. 1, art. 25 ust. 1, art. 32 ust. 1 lit. b) i lit. d) oraz art. 32 ust. 2 rozporządzenia Parlamentu Europejskiego i Rady UE 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) (Dz. Urz. UE L 119 z 04.05.2016, str. 1, ze zm.), dalej: „rozporządzenie 2016/679”, polegające na:

a)  niewdrożeniu odpowiednich środków technicznych i organizacyjnych zapewniających bezpieczeństwo przetwarzania danych w systemach informatycznych oraz ochronę praw osób, których dane dotyczą, na podstawie  przeprowadzonej analizy ryzyka uwzględniającej stan wiedzy technicznej, koszt wdrożenia, charakter, zakres, kontekst i cele przetwarzania oraz ryzyko naruszenia praw lub wolności osób fizycznych,

b)  niewdrożeniu odpowiednich środków technicznych i organizacyjnych w celu zapewnienia regularnego testowania, mierzenia i oceniania skuteczności środków technicznych i organizacyjnych mających zapewnić bezpieczeństwo danych osobowych przetwarzanych w systemach informatycznych, w szczególności w zakresie podatności, błędów oraz ich możliwych skutków dla tych systemów oraz podjętych działań minimalizujących ryzyko ich wystąpienia,

Zdaniem Prezesa UODO powyższe uchybienie skutkuje naruszeniem zasady integralności i poufności (art. 5 ust. 1 lit. f) rozporządzenia 2016/679) oraz zasady rozliczalności (art. 5 ust. 2 rozporządzenia 2016/679).

W związku z powyższym organ nałożył na administratora danych administracyjną karę pieniężną w wysokości 3 819 960 PLN. 

Kara ta jest wyższa od poprzednio nałożonej o prawie 1 mln zł tj. 35 % (poprzenia kara wynosiła 2 830 410 PLN).

W nowej decyzji Prezes UODO umorzył “wątek” braku dowodu na to, że administrator danych usunął dane osobowe z wniosków ratalnych ze względu na pogląd NSA:

w toku postępowania Spółka przekonująco wyjaśniła, że usunięcie baz danych zostało udokumentowane w logach systemu IT, stwierdzić należy, że na obecnym etapie postępowania należy uznać w tym zakresie wyjaśnienia Spółki. Tym bardziej, że samo zbieranie danych osobowych dotyczyło okresu sprzed rozpoczęcia stosowania rozporządzenia 2016/679.

Ważnym wątkiem jest odesłanie Prezesa UODO do orzeczenia WSA w Warszawie z października 2021 r., w którym Sąd “zawęża możliwość oceny stanów faktycznych sprzed rozpoczęcia stosowania tego aktu prawnego przez pryzmat jego przepisów”.

We wskazanym orzeczeniu Sąd przyjął pogląd, że:

o naruszeniu przepisów RODO można mówić dopiero wówczas, gdy w życie weszły przepisy, które mogły być naruszone przez Spółkę. Za wcześniejszy okres, czyli za okres przed wejściem w życie przepisów RODO, co do zasady, nie można stosować sankcji w postaci administracyjnej kary pieniężnej, o której mowa w art. 83 RODO. W opisie stanu faktycznego sprawy organ administracyjny, może jednak przedstawić okoliczności faktyczne, które wskazywały, że działania Spółki (polegające na niewdrożeniu odpowiednich środków technicznych i organizacyjnych, zapewniające stopień bezpieczeństwa odpowiadający ryzyku przetwarzania danych osobowych za pomocą systemów informatycznych, służących do rejestracji przetwarzania danych za pomocą systemów informatycznych) miały również miejsce przed wejściem w życie przepisów RODO (25 maja 2018r.).

przepis art. 83 ust. 2 lit. e) RODO stanowi bowiem, że decydując, czy nałożyć administracyjną karę pieniężną, oraz ustalając jej wysokość, zwraca się w każdym indywidualnym przypadku należytą uwagę na wszelkie stosowne wcześniejsze naruszenia ze strony administratora lub podmiotu przetwarzającego. Warto ponadto zwrócić uwagę, że Prezes UODO na s. 24 zaskarżonej decyzji uznał, że przepis ten nie ma wpływu na zastosowanie przez Prezesa UODO sankcji w postaci administracyjnej kary pieniężnej, a mimo to uznał na s. 22 zaskarżonej decyzji, że stan naruszenia był długotrwały i powstał przed dniem rozpoczęcia stosowania RODO. W tym kontekście stanowisko Prezesa UODO jest niekonsekwentne i wskazuje na naruszenie przede wszystkim zasady zaufania do organu administracyjnego, o której mowa w art. 8 § 1 k.p.a., w kontekście braku należytego rozważenia okoliczności faktycznych sprawy (art. 77 § 1 k.p.a.) i należytego zastosowania art. 83 ust. 2 lit. a) i e) RODO.

Wracając do decyzji Prezesa UODO ze stycznia 2024 r. warto podkreślić, że organ zastosował metodykę obliczania wysokości administracyjnej kary przyjętą przez Europejską Radę Ochrony Danych w Wytycznych 04/2022 w sprawie obliczania administracyjnych kar pieniężnych na podstawie RODO przyjętych 24 maja 2023 r (zwanych dalej „Wytycznymi 04/2022″).

Prezes UODO wskazał, że:

w jego ocenie takie określenie ostatecznej wysokości orzeczonej kary nie wpłynie na obniżenie jej skuteczności i odstraszającego charakteru. Kwota ta bowiem stanowi próg, powyżej którego dalsze zwiększanie wysokości kary nie będzie wiązało się ze wzrostem jej skuteczności i odstraszającego charakteru. Z drugiej natomiast strony obniżenie w większym stopniu wysokości kary mogłoby się odbyć kosztem jej skuteczności i odstraszającego charakteru, a także spójnego stosowania i egzekwowania rozporządzenia 2016/679 i zasady równego traktowania podmiotów na rynku wewnętrznym UE i EOG.