Kara administracyjna dla Morele.net była jedną z najwyższych nałożonych za naruszenie RODO przez Prezesa Urzędu Ochrony Danych Osobowych. Tym bardziej interesujący jest finał tej sprawy. 11 lutego 2023 roku Naczelny Sąd Administracyjny w całości uchylił karę w wysokości 2,8 miliona złotych nałożoną na Morele.net. Dodatkowo NSA zasądził kwotę 65 tys. zł na rzecz Morele.net, tytułem zwrotu kosztów postępowania. Biorąc pod uwagę tak gwałtowną zmianę sytuacji warto opisać przebieg postępowania w tej sprawie.

Kto nakłada kary za naruszenie RODO?

W Polsce organem nadzorczym odpowiedzialnym za egzekwowanie przepisów RODO jest Urząd Ochrony Danych Osobowych (UODO). To właśnie UODO ma prawo nakładania kar za naruszenie przepisów RODO, w tym za nieprzestrzeganie zasad dotyczących przetwarzania danych osobowych, niedopełnienie obowiązków informacyjnych lub niewykonanie praw osób fizycznych, których dane dotyczą. Kary te mogą wynosić nawet do 4% światowego obrotu rocznego przedsiębiorstwa lub do 20 milionów euro, w zależności od tego, co jest wyższe.

Wiele firm decyduje się na wyznaczenie w zespole Inspektora Ochrony Danych Osobowych lub nawiązują współpracę z zewnętrznym Inspektorem Ochrony Danych Osobowych, aby uniknąć w przyszłości konsekwencji związanych z naruszeniem przepisów RODO.

IODO odpowiada za zapewnienie zgodności z przepisami RODO i innymi przepisami dotyczącymi ochrony danych osobowych w organizacji. Podstawowym zadaniem IODO jest monitorowanie systemu przetwarzania danych osobowych, szkolenie zespołu z zakresu ochrony danych osobowych oraz wsparcie przy podejmowaniu decyzji dotyczących RODO.

UODO ukarał Morele.net w związku z wyciekiem danych klientów sieci

W 2019 r. Urząd Ochrony Danych Osobowych nałożył na sieć Morele.net karę w wysokości 2,83 mln zł. Kara pierwotnie nałożona została w związku z włamaniem do bazy danych klientów spółki. Klienci sklepów internetowych należących do grupy zaczęli otrzymywać SMS-y, wskazujące na konieczność dopłaty drobnej kwoty w celu finalizacji zamówienia. Link z wiadomości prowadził do podstawionej bramki płatności elektronicznej, za pośrednictwem której oszust mógł zdobyć login i hasło do konta w banku i w ten sposób uzyskać dostęp do środków znajdujących się na rachunku.

W trakcie trwania postępowania jedna z osób, które dokonały włamania oświadczyła, że wykradzione zostały także skany dowodów i numery PESEL klientów. Co więcej wyciek dotyczył także danych osób, które konta już usunęły.

Warto wspomnieć, że do sieci Morele.net należy kilkanaście platform zakupowych z różnych kategorii tematycznych.

Między innymi są to:

  • morele.net
  • presto.pl
  • hulahop.pl
  • amfora.pl
  • pupilo.pl
  • budujesz.pl
  • meblujesz.pl
  • ubieramy.pl
  • digitalo.pl
  • motoria.pl

Na skutek ataku osoby nieuprawnione pozyskały dostęp do danych ponad 2.2 mln klientów tej sieci.

 W rezultacie Prezes UODO nałożył karę administracyjną. Spółka ukarana była za brak wdrożenia odpowiednich zabezpieczeń, co w ocenie Prezesa Urzędu Ochrony Danych Osobowych doprowadziło do kradzieży danych i było złamaniem zasady poufności. Dodatkowo Prezes Urzędu Ochrony Danych Osobowych wskazał, że obowiązek uwzględnienia środków ochrony danych obejmował logowanie dwuskładnikowe, co wynikało z zestawu przywołanych dokumentów branżowych, takich jak norma PN-ISO/IEC 29115:2017-07, czy wskazówki i wytyczne Fundacji OWASP – międzynarodowej organizacji non-profit, której celem jest opracowywanie i szerzenie dobrych praktyk kierowanych do twórców oprogramowania.

W uzasadnieniu wydanej decyzji Prezes UODO podkreślał, że uchybienia Morele.net jako administratora danych klientów ww. sklepów internetowych polegały na naruszeniu zasady poufności danych wyrażonej na podstawie art. 5 ust 1 lit. f RODO, polegającym na niezapewnieniu bezpieczeństwa i poufności przetwarzanych danych osobowych oraz na naruszeniu zasady legalności, rzetelności i rozliczalności wyrażonych w art. 5 ust 1 lit. a oraz art. 5 ust. 2 RODO.

Morele.net złożyło odwołanie do WSA

Decyzja nakładająca karę została zaskarżona przez ukaraną spółkę do Wojewódzkiego Sądu Administracyjnego w Warszawie, który podtrzymał decyzję PUODO. Morele.net wniosła skargę kasacyjną od tego wyroku, zaskarżając go w całości. W skardze tej Morele.net przedstawiło szeroką grupę aż dwunastu zarzutów dotyczących zarówno kwestii proceduralnych, jak i sposobu oceny materiału dowodowego przez PUODO. Morele.net podniosło m.in. zarzuty wobec postępowania dowodowego (zakres obowiązków Morele.net ustalono jedynie w oparciu o standardy, nie przeprowadzono natomiast pomimo wniosku dowodu z opinii biegłego) oraz wobec sposobu prowadzenia postępowania, w którym spółka nie miała możliwości odniesienia się do stwierdzenia o braku adekwatności przetwarzanych danych.

Badając sprawę Naczelny Sąd Administracyjny przychylił się do zarzutów dotyczących braku określenia przez spółkę odpowiedniego standardu w sprawie ochrony danych osobowych. Szczególną uwagę należy zwrócić na tezę sądu, zgodnie z którą „odpowiednie” na gruncie art. 32 ust. 1 RODO środki techniczne i organizacyjne, to nie środki skuteczne w każdym przypadku, ale takie, których dochowanie mogło być w dacie i okolicznościach dostępu do danych osobowych obiektywnie wymagane od danego podmiotu. Kara pieniężna z tytułu naruszenia art. 32 RODO nie ma charakteru automatycznego, tj. sankcji za nieuprawniony dostęp do danych osobowych na skutek czynu zabronionego popełnionego przez osobę trzecią. Jest natomiast zależna od tego, jakie środki były wdrożone i czy dochowano należytej staranności.

W ocenie NSA, PUODO badając sprawę nie udowodnił braku zachowania takiej staranności. O ile brak jest obowiązku powołania biegłego, to NSA uznał, że organ nadzorczy w momencie wydania decyzji raczej nie posiadał własnej wiedzy specjalistycznej, pozwalającej na ocenę odpowiedniości środków technicznych i organizacyjnych, a musiał przedstawić dowody oparte na takiej wiedzy specjalistycznej.

Znaczenie decyzji Naczelnego Sądu Administracyjnego

Powyższa decyzja ma stosunkowo duże znaczenie praktyczne dla przedsiębiorców. Nie każde naruszenie RODO będzie automatycznie świadczyło o tym, że środki na rzecz ochrony danych osobowych były nieodpowiednie – PUODO badając taką sytuację, będzie musiał dopiero udowodnić taki brak należytej staranności w zabezpieczeniu danych. Może tego dokonać korzystając z doświadczenia i umiejętności własnych pracowników, o ile takie doświadczenie oni posiadają, może także posługiwać się innymi środkami dowodowymi.

NSA nie wypowiedział się w kwestii oceny środków stosowanych przez Morele.net, a jedynie odniósł się do kwestii udowodnienia braku ich adekwatności przez PUODO. Środki stosowane przez Morele.net mogły być rzeczywiście nieodpowiednie, ale kwestia ta nie została należycie przez UODO udowodniona. Nie mogła być więc podstawą do nałożenia administracyjnej kary finansowej. NSA wskazał w tym zakresie, że w każdej sytuacji zakres odpowiednich środków musi być oszacowany indywidualnie, oceniając okoliczności konkretnej sprawy.

Warto dodatkowo zwrócić uwagę na fakt, że NSA odnosił się do kwestii udziału strony w postępowaniu. W ocenie sądu na etapie badania zastosowanych środków ochrony spółka powinna mieć możliwość odniesienia się do oceny stosowanych środków bezpieczeństwa i standardów bezpieczeństwa. 

W dłuższej perspektywie wyrok NSA może posiadać bardzo duże znaczenie dla dalszych postępowań. Zwrócić należy uwagę na trzy wnioski płynące z orzeczenia:

  • nie każde naruszenie ochrony danych osobowych automatycznie będzie wiązało się z odpowiedzialnością administratora – może się on obronić przed karą, o ile zastosowane środki były odpowiednie, a naruszenie powstało pomimo ich wdrożenia,
  • w każdym wypadku PUODO musi udowodnić, że środki ochrony danych osobowych nie były wystarczające, korzystając również z wiedzy fachowej oraz strona może jednocześnie wejść z organem w polemikę w tym zakresie,
  • brak jest obiektywnego standardu środków ochrony, a w każdej sytuacji trzeba takie środki oszacować indywidualnie. Sam fakt wskazania standardów postępowania w określonym obszarze nie jest samodzielnie wystarczający dla określenia obowiązków administratora co do zastosowania odpowiednich zabezpieczeń.

Warto przy tym zauważyć, że wyrok NSA niekoniecznie oznacza koniec sprawy naruszenia danych w Morele net. PUODO może nałożyć karę ponownie, jak długo dokona oceny stosowanych przez Morele.net środków zabezpieczenia danych i udowodni ich niewłaściwość. NSA nie uznał także za uzasadnione wszystkie zarzuty podnoszone przez Morele.net i negatywnie ocenił niektóre z jej praktyk. Decyzja NSA nie wpływa także na możliwość ewentualnego domagania się przez osoby, których dane były ujawnione, ewentualnego zadośćuczynienia

podsumowuje adw. dr Jan Prasałek.

Kara za naruszenie RODO – kiedy zostanie nałożona?

Przy ustalaniu kary za naruszenia przepisów RODO, ważna jest również kategoria danych osobowych, które zostały naruszone, takie jak rodzaj przetwarzanych informacji i możliwość uzyskania wiedzy o osobie, której dane uległy wyciekowi.

Ponadto, podczas oceny naruszenia UODO bierze pod uwagę stopień współpracy podmiotu w celu rozwiązania sytuacji naruszenia i złagodzenia skutków. Uwzględniana jest także historia podmiotu, w tym wcześniejsze naruszenia oraz sposób, w jaki podmiot dowiedział się o naruszeniu.

Ważne jest, że nałożenie kary pieniężnej zgodnie z przepisami RODO nie wpływa na wydanie orzeczeń przez inne organy nadzorcze. Oprócz kar pieniężnych, organ może stosować także tzw. uprawnienia naprawcze wymienione w art. 58 RODO, które obejmują:

  • wydawanie ostrzeżeń,
  • udzielanie upomnień,
  • nakazanie wykonania żądania osoby, której dane dotyczą,
  • dostosowanie operacji przetwarzania do przepisów RODO,
  • zawiadomienie osoby, której dane dotyczą, o naruszeniu ochrony danych,
  • wprowadzenie czasowego lub całkowitego ograniczenia przetwarzania lub zakazu przetwarzania,
  • sprostowanie lub usunięcie danych osobowych lub ograniczenie ich przetwarzania,
  • cofnięcie certyfikacji lub nakazanie podmiotowi certyfikującemu cofnięcia certyfikacji lub nakazanie podmiotowi certyfikującemu nieudzielania certyfikacji oraz nakazanie zawieszenia przepływu danych do odbiorcy w państwie trzecim lub do organizacji międzynarodowej.

Złożenie skargi do Prezesa Urzędu Ochrony Danych Osobowych nie wyklucza podjęcia działań na drodze sądowej. Przepisy RODO umożliwiają osobie, której dane zostały naruszone, dochodzenie odszkodowania przed sądem, jeśli poniosła szkodę majątkową lub niemajątkową. W związku z tym, kara za naruszenie RODO dla administratora danych to nie tylko kara pieniężna nałożona przez właściwe organy nadzorczy.

Wysokość kary za naruszenie przepisów ochrony danych osobowych – od czego zależy?

Jak już wspominaliśmy na początku artykułu zgodnie z Rozporządzeniem, najwyższą karą za naruszenie RODO jest kara w wysokości do 20 mln euro lub do 4% całkowitego rocznego światowego obrotu przedsiębiorstwa z poprzedniego roku obrotowego.

Kara ta może zostać nałożona w przypadku naruszenia RODO poprzez brak przestrzegania podstawowych zasad przetwarzania danych osobowych, brak realizacji praw osób, których dane dotyczą, naruszenie obowiązków dotyczących przekazywania danych osobowych, nieprzestrzeganie wyjątków od ochrony danych osobowych wprowadzonych przez państwa członkowskie, nieprzestrzeganie nakazu ograniczenia przetwarzania lub zawieszenia przepływu danych orzeczonego przez organ nadzorczy, a także niezapewnienie dostępu do danych i informacji organowi nadzorczemu.

RODO (Rozporządzenie O Ochronie Danych Osobowych) – jakie dane chroni?

RODO chroni wszystkie dane osobowe przetwarzane w celach komercyjnych lub publicznych, włączając w to informacje, które pozwalają zidentyfikować osobę fizyczną, takie jak:

  • imię i nazwisko,
  • adres zamieszkania,
  • numer identyfikacyjny,
  • dane kontaktowe,
  • informacje o pracy czy dochodach,
  • dane medyczne,
  • dane biometryczne,
  • informacje o preferencjach i zachowaniach użytkowników w Internecie,
  • a także wszelkie inne informacje, które umożliwiają identyfikację konkretnej osoby.

RODO wymaga, aby dane osobowe były przetwarzane w sposób zgodny z prawem, rzetelny i przejrzysty, a także gwarantuje prawo do ochrony prywatności i kontroli nad danymi osobowymi, a także nakłada obowiązki na podmioty przetwarzające dane.

Rola Inspektora Ochrony Danych Osobowych

Inspektor Ochrony Danych Osobowych zastąpił na mocy rozporządzenia o ochronie danych osobowych ABI, czyli Administratora Bezpieczeństwa Informacji. ABI funkcjonował na podstawie nieobowiązującej już ustawy o ochronie danych osobowych. Funkcje dwóch powyższych stanowisk są do siebie zbliżone.

Zgodnie z art. 37 RODO, administrator lub podmiot przetwarzający dane osobowe, z wyjątkiem organów publicznych, którego podstawowa działalność polega na przetwarzaniu danych wymagających regularnego i systematycznego monitorowania osób w dużych skalach lub danych z kategorii szczególnych, ma obowiązek powołać inspektora ochrony danych osobowych (IOD).

Inspektor ochrony danych osobowych jest odpowiedzialny za monitorowanie przestrzegania przepisów RODO, doradzanie administratorowi lub podmiotowi przetwarzającemu w kwestiach związanych z ochroną danych osobowych, szkolenie pracowników oraz współpracę z organem nadzorczym ds. ochrony danych osobowych.

Dodatkowo, inspektor do spraw ochrony danych osobowych powinien być powoływany także w przypadku przetwarzania danych osobowych przez organy publiczne, jeżeli ich działalność ta wymaga przetwarzania danych osobowych w sposób systematyczny i na dużą skalę lub przetwarzania danych z kategorii szczególnych, w tym danych dotyczących przestępstw i wyroków skazujących.

Sprawdź jak możemy wesprzeć Twój biznes!

adw. dr Jan Prasałek

Legal Director RK RODO, Legal Expert RK Legal Zobacz w czym mogę pomóc

Poznajmy się

Już ponad 600 firm zaufało naszym kompetencjom!
Napisz do nas: [email protected]
lub zadzwoń na: +48 22 380 33 44