WSA: nowa, wyższa kara za naruszenie danych osobowych jest prawidłowa

Ta sprawa nie może zakończyć się od listopada 2018 r.

Właśnie wtedy jeden z administratorów danych, który prowadził sklep internetowy zgłosił naruszenie ochrony danych osobowych Prezesowi UODO.

Po przeprowadzeniu postępowania administracyjnego Prezes UODO decyzją z 10 września 2019 r. stwierdził:

stwierdzając naruszenie przez XYZ, przepisów art. 5 ust. 1 lit. a oraz lit. f, art. 5 ust 2, art. 6 ust. 1, art. 7 ust. 1, art. 24 ust. 1, art. 25 ust. 1, art. 32 ust. 1 lit. b, lit. d, art. 32 ust. 2 rozporządzenia Parlamentu Europejskiego i Rady UE 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) (Dz. Urz. UE L 119 z 04.05.2016, str. 1, oraz Dz. Urz. UE L 127 z 23.05.2018, str. 2), dalej: „rozporządzenie 2016/679” nakłada na XYZ, karę pieniężną w wysokości 2 830 410 PLN (co stanowi równowartość 660 000 EUR), według średniego kursu euro ogłoszonego przez Narodowy Bank Polski w tabeli kursów na dzień 28 stycznia 2019 r.

Wojewódzki Sąd Administracyjny w Warszawie orzeczeniem z 3 września 2020 r. oddalił skargę administratora podnosząc, że:

należy podzielić stanowisko organu, że najpoważniejszym naruszeniem, determinującym wymierzoną karę, było naruszenie zasady poufności wyrażonej w art. 5 ust. 1 lit. f w zw. z art. 32 ust. 1 lit. b i d w zw. z art. 32 ust. 2 RODO;

jak prawidłowo ustalił organ, naruszenie zasady poufności nastąpiło poprzez nieuprawniony dostęp do panelu pracownika oraz uzyskanie danych wszystkich klientów systemu bazodanego Spółki. Skutkowało to zmaterializowaniem się ryzyka naruszenia praw i wolności osób fizycznych, których dane osobowe M. przetwarzało. Ryzyko zaś polegało na zastosowaniu metody phishingu w celu wyłudzenia danych;

zdaniem Sądu, organ miał podstawy przyjąć, że przyczyną uzyskania nieuprawnionego dostępu do panelu pracownika był nieskuteczny środek uwierzytelniania, którym był wyłącznie login i hasło. M. niewystarczająco oceniło zdolność do ciągłego zapewnienia poufności i nie uwzględniło ryzyka związanego z uzyskaniem nieuprawnionego dostępu do panelu pracownika.
Organ miał podstawy przyjąć, że Spółka wywiązywała się z tego obowiązku jedynie częściowo, gdyż weryfikowała wyłącznie poziom skuteczności wdrożonych zabezpieczeń pod kątem znanych podatności we wdrożonym oprogramowaniu – na co wskazują audyty bezpieczeństwa funkcjonujących już systemów informatycznych służących do przetwarzania danych klientów Spółki. Nie podejmowała natomiast stosownych działań w kierunku oceny odpowiednich środków technicznych i organizacyjnych przez pryzmat adekwatności do ryzyk, do czego była zobowiązana przez art. 32 ust. 1 zd. 1 rozporządzenia 2016/679, a także art. 25 ust. 1 tego rozporządzenia. Brak skutecznych środków monitorujących umożliwił zaś zaistnienie stwierdzonych incydentów.

fakt, iż prawodawca w art. 4 pkt 2 RODO zaliczył do przetwarzania także usuwanie danych osobowych, skutkuje tym, że proces usuwania przez administratora posiadanych przez niego danych osobowych również musi odpowiadać wskazanym w art. 5 rozporządzenia 2016/679 zasadom dotyczącym przetwarzania danych osobowych.

Naczelny Sąd Administracyjny wyrokiem z 9 lutego 2023 r. uchylił nie tylko wyrok WSA w Warszawie, ale także przedmiotową decyzję Prezesa UODO:

sankcji administracyjnej za naruszenie obowiązków wskazanych w art. 32 rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) (Dz. U. UE. L. z 2016 r. Nr 119, str. 1 ze zm.) podlega nie ten, kto jako administrator albo podmiot przetwarzający dopuścił do nieuprawnionego przetwarzania danych osobowych, a tylko podmiot, który nie dochował odpowiedniego, w danych okolicznościach, standardu środków bezpieczeństwa.

jakkolwiek ustawa z 14 czerwca 1960 r. – Kodeks postępowania administracyjnego (Dz. U. z 2018 r., poz. 1000 ze zm.) nie przewiduje wprost „prawa do obrony”, to szereg uprawnień składających się na to prawo można wywieść z art. 10 k.p.a. oraz przepisów stanowiących konkretyzację zasady czynnego udziału, takich jak art. 78 k.p.a.

W związku z takim orzeczeniem Prezes UODO ponownie rozpoznał sprawę i 17 stycznia 2024 r. wydał decyzję, w której stwierdził, że:

zdaniem Spółki, wnioski płynące z Analizy uprawdopodobniają tezę o braku bezstronności pracowników UODO, którzy ją opracowali. Pomimo, że autorzy prawidłowo wskazali, iż punktem wyjścia do dokonania oceny zdarzenia powinno być ustalenie poziomu ryzyka związanego z przetwarzaniem konkretnych danych osobowych (w konkretnym procesie), nie doprecyzowali jednak, jaki stopień ryzyka został przez nich przyjęty. Brak ten pociąga za sobą następne istotne konsekwencje, gdyż ocena wdrożonych środków technicznych i organizacyjnych, nie może zostać przeprowadzona w oderwaniu od poziomu ryzyka związanego z przetwarzaniem (zagrożenia);

zdaniem Spółki błąd ten rzutuje na całość Analizy, de facto ją dyskwalifikując. Nie można przy tym wykluczyć, że źródłem opisanego zaniechania był brak bezstronności autorów Analizy – pracowników UODO. Mając na uwadze powyższe, w ocenie Spółki zostało wykazane, określone w art. 24 § 3 KPA, uprawdopodobnienie zaistnienia okoliczności, które mogą wywoływać wątpliwości co do bezstronności wskazanych we wniosku pracowników Organu;

wobec powyższego podkreślić należy, że wcześniejsze wprowadzenie przez XYZ dodatkowych środków zabezpieczenia dostępu do panelu pracownika, regularne monitorowanie ruchu sieciowego oraz stosowanie się do własnych polityk i instrukcji bezpieczeństwa istotnie obniżyłoby ryzyko uzyskania nieuprawnionego dostępu do systemu informatycznego Spółki, a co za tym idzie do danych osobowych klientów XYZ. Podkreślić również należy, za wyrokiem Naczelnego Sądu Administracyjnego z dnia 9 lutego 2023 r., sygn. III OSK 3945/21, że „sankcji administracyjnej podlega administrator nie za to, że doszło w jego organizacji do naruszenia ochrony danych osobowych, ale za to, że nie zapewnił adekwatnego standardu bezpieczeństwa przetwarzanym danym osobowym (…)”;

z kolei Wojewódzki Sąd Administracyjny w Warszawie w uzasadnieniu wyroku z dnia 15 listopada 2023 r., sygn. II SA/Wa 552/23, wskazał, że „(…) organ trafnie odkodował pojęcie „poufności danych”, jako pewnego rodzaju właściwość sprawiającą, że dane nie zostaną udostępnione nieuprawnionym podmiotom. Może być ona osiągana między innymi dzięki zastosowaniu środków technicznych i organizacyjnych, adekwatnych do zakresu danych, kontekstu przetwarzania oraz zidentyfikowanych ryzyk”;

w niniejszej sprawie administracyjna kara pieniężna wobec Spółki nałożona została za naruszenie art. 25 ust. 1, art. 32 ust. 1 lit. b) i d) oraz art. 32 ust. 2 rozporządzenia 2016/679 na podstawie przytoczonego wyżej art. 83 ust. 4 lit. a) rozporządzenia 2016/679, natomiast za naruszenie art. 5 ust. 1 lit. f) i art. 5 ust. 2 rozporządzenia 2016/679 – na podstawie art. 83 ust. 5 lit. a) tego rozporządzenia. Jednocześnie administracyjna kara pieniężna w wysokości 3 819 960 PLN (słownie: trzy miliony osiemset dziewiętnaście tysięcy dziewięćset sześćdziesiąt PLN), nałożona na XYZ łącznie za naruszenie wszystkich powyższych przepisów – stosownie do przepisu art. 83 ust. 3 rozporządzenia 2016/679 – nie przekracza wysokości kary za najpoważniejsze stwierdzone w niniejszej sprawie naruszenie, tj. naruszenie art. 5 ust. 1 lit. f) i art. 5 ust. 2 rozporządzenia 2016/679, które stosownie do art. 83 ust. 5 lit. a) rozporządzenia 2016/679 podlega administracyjnej karze pieniężnej w wysokości do 20 000 000 EUR, a w przypadku przedsiębiorstwa – w wysokości do 4 % jego całkowitego rocznego światowego obrotu z poprzedniego roku obrotowego;

zdaniem Prezesa UODO Spółka powinna – i jest w stanie – ponieść konsekwencje swoich zaniedbań w sferze ochrony danych, w związku z czym uznaje on nałożenie kary w wysokości w wysokości 3 819 960 PLN (słownie: trzy miliony osiemset dziewiętnaście tysięcy dziewięćset sześćdziesiąt PLN) za w pełni uzasadnione;

na koniec koniecznym jest wskazanie, że ustalając w niniejszej sprawie wysokość administracyjnej kary pieniężnej Prezes UODO zastosował metodykę przyjętą przez Europejską Radę Ochrony Danych w Wytycznych 04/2022 w sprawie obliczania administracyjnych kar pieniężnych na podstawie RODO przyjętych 24 maja 2023 r (zwanych dalej „Wytycznymi 04/2022”).
Mając więc na uwadze wzgląd na proporcjonalność kary Prezes UODO dokonał dalszego obniżenia wysokości kary – do 40 % kwoty uzyskanej po uwzględnieniu okoliczności obciążających i łagodzących (vide pkt 4 powyżej), to jest do kwoty 810 000 EUR (równowartość 3 819 960 zł).

w jego ocenie takie określenie ostatecznej wysokości orzeczonej kary nie wpłynie na obniżenie jej skuteczności i odstraszającego charakteru. Kwota ta bowiem stanowi próg, powyżej którego dalsze zwiększanie wysokości kary nie będzie wiązało się ze wzrostem jej skuteczności i odstraszającego charakteru. Z drugiej natomiast strony obniżenie w większym stopniu wysokości kary mogłoby się odbyć kosztem jej skuteczności i odstraszającego charakteru, a także spójnego stosowania i egzekwowania rozporządzenia 2016/679 i zasady równego traktowania podmiotów na rynku wewnętrznym UE i EOG.

W związku z treścią decyzji oraz nałożeniem na administratora danych wyższej kary o ponad 35% niż w uchylonej decyzji sprawa ponownie trafiła do WSA w Warszawie.

Sąd – w orzeczeniu z 16 września 2024 r. – oddalił skargę administratora, w tym jego wnioski o zadanie pytań prejudycjalnych Trybunałowi Sprawiedliwości Unii Europejskiej.

W tym orzeczeniu WSA wskazał, że:

istota postępowania w niniejszej sprawie sprowadza się do dokonania przez Sąd oceny zaskarżonej decyzji, ze szczególnym uwzględnieniem możliwości nałożenia na skarżącą kary pieniężnej w wyższej wysokości niż w decyzji pierwotnej oraz oceny, czy organ prawidłowo oddalił wniosek dowodowy skarżącej w zakresie powołania biegłego posiadającego wiadomości specjalne z zakresu bezpieczeństwa systemów informatycznych, dysponującego wiedzą pozwalającą ocenić, czy środki techniczne i organizacyjne stosowane przez spółkę odpowiadały standardom środków bezpieczeństwa w działalności gospodarczej przedsiębiorców w obszarze e-commerce o skali i charakterze podobnymi do skali i charakteru działalności spółki, oraz system zabezpieczeń stosowanych przez nią w celu ochrony danych osobowych klientów spółki;

zdaniem Sądu specjalistyczna wiedza urzędników poparta doświadczeniem w podobnych sprawach, uprawdopodabnia posiadanie wiadomości specjalnych w odniesieniu do podobnego charakteru spraw oraz obiektywny charakter analizy;

sąd jako własne uznaje stanowisko Prezesa UODO, zgodnie z którym, skoro skarżąca nie przeprowadziła analizy ryzyka wiążącego się z przetwarzaniem danych osobowych w sposób sformalizowany, a więc udokumentowany lub w inny sposób utrwalony oraz ujęty w postaci ściśle określonych, precyzyjnych formuł wyjaśniających i porządkujących przebieg tego procesu, to nie była zdolna wykazać, że wdrażając środki techniczne i organizacyjne mające zapewnić zgodność przetwarzania z RODO, a także oceniając, czy stopień bezpieczeństwa danych osobowych jest odpowiedni, rzeczywiście uwzględniła kryteria opisane w art. 32 ust. 1 RODO, w tym ryzyko naruszenia praw lub wolności osób fizycznych, oraz ryzyko wiążące się z przetwarzaniem, w szczególności wynikające z przypadkowego lub niezgodnego z prawem zniszczenia, utraty, modyfikacji, nieuprawnionego ujawnienia lub nieuprawnionego dostępu do danych osobowych, zgodnie z obowiązkiem wynikającym z art. 32 ust. 2 RODO;

za błędne uznać należy przeświadczenie skarżącej, że skoro zakres przyjętych przez Prezesa UODO naruszeń dokonanych przez skarżącą przepisów RODO jest węższy niż w uprzednio wydanej wobec niej decyzji, to administracyjna kara pieniężna powinna być kwotowo i procentowo niższa niż ta wcześniej nałożona;

w ocenie Sądu zastosowana przez Prezesa UODO administracyjna kara pieniężna spełnia, w ustalonych okolicznościach niniejszej sprawy, funkcje, o których mowa w art. 83 ust. 1 RODO, tzn. jest w tym indywidualnym przypadku skuteczna, proporcjonalna i odstraszająca. Organ uzasadnił nałożenie administracyjnej kary finansowej, wskazując przesłanki, na jakich się oparł, biorąc pod uwagę charakter, wagę i czas trwania naruszenia i okoliczności zarówno obciążające, jak i łagodzące wymiar tej kary;

zdaniem Sądu Prezes UODO wywiązał się z obowiązku uzasadnienia nałożenia administracyjnej kary finansowej, co w zaskarżonej decyzji uczynił, wskazując przesłanki, na jakich się oparł oraz biorąc pod uwagę charakter, wagę i czas trwania naruszenia, a także okoliczności łagodzące wymiar tej kary. Wyjaśnił, że charakter, waga i czas naruszenia stanowią uzasadnienie dla nałożenia kary finansowej w wysokości podanej w zaskarżonej decyzji. Spełnia ona w ustalonych okolicznościach przesłanki, o których mowa w art. 83 RODO, ze względu na wagę stwierdzonych naruszeń w kontekście podstawowych wymogów i zasad RODO, w tym w szczególności zasady poufności i integralności wyrażonej w art. 5 ust. 1 lit. f RODO oraz zasady rozliczalności, o której mowa w art. 5 ust. 2 RODO. Jej celem zaś jest doprowadzenie do przestrzegania w przyszłości przez spółkę przepisów RODO;

wobec powyższego jako niezasadne uznać należy stanowisko skarżącej, zgodnie z którym, skoro zakres naruszeń objętych zaskarżoną decyzją był węższy niż w przypadku decyzji z […] września 2019 r., powinno to skutkować nałożeniem administracyjnej kary pieniężnej kwotowo i procentowo niższej niż tej ustalonej we wcześniej wydanej wobec skarżącej decyzji;

ani przepisy RODO, w szczególności art. 83 danego aktu, ani przepisy ustawy procesowej mającej zastosowanie w postępowaniu prowadzonym przez Prezesa UODO, nie wyłączają możliwości wymierzenia kary pieniężnej w wyższej niż wcześniej orzeczonej wobec danego podmiotu wysokości, skoro przy ponownej ocenie wymiaru administracyjnej kary pieniężnej, odnosi się okoliczności stanowiące o jej wysokość, do kondycji finansowej danego podmiotu ocenianej z punktu widzenia rocznego światowego obrotu z poprzedniego roku obrotowego – w analizowanej sprawie – skarżącej spółki. Wspomnianą zasadą kierował się Prezes UODO orzekając w danym zakresie, czemu dał wyraz w uzasadnieniu zaskarżonej decyzji;

w kontekście decyzji administracyjnych Sąd nie bada bowiem legalności działania organu w zakresie, gdzie może on podejmować kompetencje władcze wyłącznie z urzędu.

rolą sądu administracyjnych nie jest bowiem generalnie kontrola racjonalności i celowości działania administracji publicznej, lecz legalność rozstrzygnięcia w sprawie indywidualnej, gdy ingeruje ono w sferę praw i obowiązków jednostki – służy to ochronie jej praw.

Zapisz się do newslettera
X

Podając swój adres e-mail oraz zatwierdzając zapis do newslettera wyrażasz zgodę na otrzymywanie od Piotra Liwszica informacji marketingowych. Zgodę możesz wycofać w każdym czasie wysyłając e-mail na adres kontakt@judykatura.pl. Administratorem danych jest Piotr Liwszic prowadzący działalność gospodarczą jawneprzezpoufne Piotr Liwszic z siedzibą przy ul. Grzybowskiej 43, 00-855 Warszawa, NIP- 521-332-36-17. Dane osobowe przetwarzane są w celu przesyłania informacji marketingowych. Więcej informacji o przetwarzaniu danych osobowych, w tym o przysługujących Państwu prawach, znajduje się w Polityce prywatności