WSA uchyla prawie 2 mln kary w sprawie Virgin Mobile

Wojewódzki Sąd Administracyjny uchylając nałożoną na Virgin Mobile Polska sp. z o.o. administracyjną karę pieniężną prawie 2 mln zł wskazał Prezesowi UODO bardzo konkretne działania do realizacji z przy ponownym wydawaniu decyzji.

Sprawa, jak wszyscy dobrze pamiętam, dotyczyła:

niewdrożeniu przez Virgin Mobile Polska Sp. z o.o. z siedzibą w Warszawie odpowiednich środków technicznych i organizacyjnych zapewniających stopień bezpieczeństwa odpowiadający ryzyku przetwarzania danych za pomocą systemów informatycznych służących do rejestracji danych osobowych abonentów usług przedpłaconych, co doprowadziło do uzyskania przez osobę nieuprawnioną dostępu do tych danych.

a powyższe uzyskanie danych osobowych przez osobę nieuprawnioną doszło w następujących okolicznościach:

w dniach od […] do […] grudnia 2019 r. w Spółce doszło do  incydentu wycieku danych osobowych na skutek uzyskania nieuprawnionego dostępu do danych abonentów usług przedpłaconych poprzez wykorzystanie podatności systemu informatycznego, tj. usługi generującej potwierdzenia dokonania rejestracji kart prepaid. Stwierdzona podatność usługi generującej potwierdzenia rejestracji polegała na braku weryfikacji […]. Poprawna weryfikacja miała polegać na wygenerowaniu potwierdzenia rejestracji jedynie wtedy, gdy […]. System B nie weryfikował […]

Na tym etapie postępowania nie zostało wykazane kim był atakujący. Sposób wykorzystania podatności wskazywał, że atakujący miał wcześniej dostęp do systemu i wiedział […]. Obecnie Spółka nie wie czy i jakimi uprawnieniami mógł dysponować atakujący oraz jakiego okresu mogło owo uprawnienie dotyczyć. W ocenie Spółki wykazanie, czy doszło do udostępnienia danych osobie nieuprawnionej leży po stronie Prezesa Urzędu.

a co istotne, gdyż stanie się jednym z argumentów Sądu, naruszenie dotyczyło:

(…) polegającym na uzyskaniu przez osobę nieuprawnioną dostępu do tych danych i pozyskaniu przez nią 142 222 rekordów potwierdzeń rejestracji usług przedpłaconych, zawierających dane osobowe 114 963 klientów w zakresie imienia i nazwiska, numeru ewidencyjnego PESEL, serii i numeru dowodu osobistego, numeru telefonu, numeru NIP oraz nazwy podmiotu. Incydent stanowiący przedmiot zgłoszenia miał miejsce w okresie od […] do […] grudnia 2019 r. Z uwagi na zakres ujawnionych danych osobowych wskazane naruszenie spowodowało wysokie ryzyko naruszenia praw i wolności osób fizycznych.

Dużo dokładniejszy opis stanu faktycznego znajduje się w przedmiotowej decyzji Prezesa UODO:

DKN.5112.1.2020

Przechodząc do obszernego uzasadnienia wyroku WSA warto poruszyć kilka kwestii.

Uchylenie decyzji Prezesa UODO jest skutkiem nie wyjaśnienie przez Prezesa UODO:

dlaczego przy zastosowaniu kary pieniężnej na jej wysokość wskazaną w zaskarżonej decyzji nie miały wpływu okoliczności wskazane w art. 83 ust. 2 lit. c), lit. e) i lit. h) RODO.

Są to przepisy wskazujące warunki nakładania administracyjnej kary pieniężnej i odnoszą się odpowiednio do:

  • działania podjęte przez administratora lub podmiot przetwarzający w celu zminimalizowania szkody poniesionej przez osoby, których dane dotyczą;
  • wszelkie stosowne wcześniejsze naruszenia ze strony administratora lub podmiotu przetwarzającego;
  • sposób, w jaki organ nadzorczy dowiedział się o naruszeniu, w szczególności, czy i w jakim zakresie administrator lub podmiot przetwarzający zgłosili naruszenie.

Sąd wskazał, że tak wysoka kara – 1 968 524 zł – nie została odpowiednio uzasadniona:

Zdaniem Sądu organ w sposób dostateczny nie rozważył przy określaniu wysokości kary pieniężnej okoliczności w postaci podejmowanych przez administratora – Spółkę – działań w celu zminimalizowania szkody poniesionej przez osoby, których dane dotyczą, w tym przede wszystkim w zakresie ich wpływu na zastosowanie ww. sankcji i nie wskazał w uzasadnieniu zaskarżonej decyzji, jaki był tego powód, jak również nie powiązał tej okoliczności z rozmiarem szkody. W związku z tym zasadne były podniesione w skardze zarzuty Spółki w zakresie naruszenia zasady proporcjonalności (art. 83 ust. 1 RODO), jak również zarzuty naruszenia art. 83 ust. 2 lit. c) RODO.

Tak jak wskazywałem na początku wpisu – ważnym elementem jest zakres rekordów (zawierających dane osobowe) do, których osoba lub osoby nieuprawnione pozyskały dostęp:

Sąd stwierdza, że jakkolwiek organ w sposób prawidłowy ustalił, jakie działania podjęła Spółka i kiedy miało to miejsce w sposób dostateczny przy wymiarze kary pieniężnej nie wziął pod rozwagę, że osobie bądź osobom nieuprawnionym udało się pobrać jedynie ok. 13,62% wszystkich rekordów znajdujących się w bazie i było to spowodowane działaniami Spółki.

Dodatkowo Prezes UODO w zakresie ww. okoliczności faktycznej – na którą Skarżąca konsekwentnie zwracała uwagę w toku postępowania – uzasadniając w zaskarżonej decyzji zastosowanie kary pieniężnej wskazał, że jakkolwiek osoba lub osoby nieuprawnione miały dostęp do danych osobowych przetwarzanych przez Spółkę przez stosunkowo krótki okres, tym niemniej wystarczało to do skopiowania wszystkich dostępnych danych (s. 22 zaskarżonej decyzji). Zdaniem Sądu była to ocena, w świetle okoliczności faktycznych sprawy, nieuprawniona i naruszająca art. 77 § 1 i art. 80 k.p.a. w związku z art. 8 § 1 k.p.a.

Nieuprawnione było więc podnoszenie przez organ ww. okoliczność, przy wymiarze kary oraz przyjęcie w zaskarżonej decyzji, że w krótkim okresie dostępu do danych osobowych przetwarzanych przez Spółkę przez osobę lub osoby nieuprawnione doszło do skopiowania wszystkich dostępnych danych. Ten rodzaj oceny Prezesa UODO nie ma bowiem uzasadnienia w ustalonych przez organ faktach, a przede wszystkim w przyjętym przez organ administracyjny stanie faktycznym sprawy, że w wyniku działań Spółki ww. osoba lub osoby pobrały jedynie ok. 13,62% wszystkich rekordów znajdujących się w bazie.

i także:

Tym niemniej Sąd wskazuje, że organ naruszył ww. przepis w związku z tym, że w sposób należyty, zgodny z art. 77 § 1 k.p.a. w związku z art. 107 § 3 k.p.a. i art. 80 k.p.a., nie ustalił przy wymiarze administracyjnej kary pieniężnej czasu trwania naruszenia, w kontekście wejścia w życie przepisów RODO, jak również w sposób bliżej niewyjaśniony odwołał się do profesjonalnego przetwarzania danych osobowych przez Spółkę przy określaniu wagi naruszenia.

oraz w zakresie “trwania” naruszenia przed datą stosowania RODO:

Zdaniem Sądu powyższe prawidłowe oceny Prezesa UODO nie uchroniły organu od wadliwości przy ocenie, w jakim czasie Spółka miała obowiązek wdrażać obowiązki nałożone w przepisie art. 25 RODO. Zdaniem Sądu nie jest w pełni zasadna argumentacja organu, że skoro systemy […] i […] funkcjonują u Skarżącej od 2014r., to Spółka, dostosowując wykorzystywane systemy do wymogów nałożonych przepisami u.d.a., zmieniających ustawę z dnia 16 lipca 2014r. Prawo telekomunikacyjne (Dz.U. z 2019r. poz. 2460), już na tym etapie powinna uwzględnić obowiązki nałożone przez art. 25 RODO. W tym zakresie należało bowiem stwierdzić, że skoro, zgodnie z art. 99 ust. 1 RODO, ww. rozporządzenie wchodziło w życie dwudziestego dnia po publikacji w Dzienniku Urzędowym Unii Europejskiej i miało zastosowanie od 25 maja 2018r. (art. 99 ust. 2), Spółka nie mogła ponosić negatywnych konsekwencji niedostosowania systemów technicznych i organizacyjnych do wymogów z art. 25 RODO przed tą datą – czyli przed 25 maja 2018r. Wejście w życie RODO z dniem 24 maja 2016r. oddzielono bowiem od obowiązku bezpośredniego stosowania przepisów RODO od – 25 maja 2018r.

Dalszych argumentów jest bardzo dużo, a omawiane orzeczenie WSA w Warszawie jest jednym z najlepiej uzasadnionych, które ostatnio czytałem.