Sprawa Morele.net – NSA uchyla karę UODO!

Przypomnijmy, że spółka Morele.net została ukarana za niewystarczające zastosowanie środków technicznych i organizacyjnych do zabezpieczenia danych swych klientów, w efekcie dane osobowe jej klientów uzyskały trafiły do osób nieuprawnionych. Incydent objął dane osobowe znajdujące się we wnioskach o kredyt ratalny m.in. dane identyfikacyjne, PESEL, ale też informacje o źródłach dochodu.

Wyciek był konsekwencją ataku hakerskiego. W ocenie Prezesa UODO zabezpieczenia stosowane przez spółkę nie były adekwatne do poziomu ryzyka wiążącego się z przetwarzaniem danych osobowych. W szczególności organ nadzorczy wskazał, że zabrakło rozwiązania w postaci podwójnego uwierzytelniania. Zarzucono też, że proces monitorowania nietypowych zachowań w sieci był nieskuteczny. Kara była bardzo wysoka – wyniosła aż 2,8 mln zł.

Od tego decyzji została oczywiście złożona skarga. Tę jednak oddalił Wojewódzki Sąd Administracyjny w Warszawie. Sąd podzielił stanowisko Prezesa UODO, wskazując przede wszystkim, że stosowane przez spółkę środki bezpieczeństwa były niewystarczające.

Jak można się było spodziewać, sprawa trafiła do Naczelnego Sądu Administracyjnego. Ten uchylił wcześniejszą decyzję Prezesa UODO i zasądził na rzecz Morele.net koszty postępowania w kwocie 65 075 zł. Jak uzasadniono rozstrzygnięcie? Uwzględniony został zarzut spółki o charakterze procesowym.

Skuteczność środków bezpieczeństwa powinien zbadać biegły

Prezes UODO w toku postępowania oddalił wniosek spółki o przeprowadzenie dowodu z opinii biegłego, na okoliczność oceny czy:

• środki techniczne i organizacyjne stosowane przez spółkę odpowiadały standardom środków bezpieczeństwa w działalności gospodarczej przedsiębiorców w obszarze e-commerce o skali i charakterze podobnym do skali i charakteru działalności Morele.net w 2018 r.,

• środki te były adekwatne uwzględniając stan wiedzy technicznej, koszt wdrażania oraz charakter, zakres, kontekst i cele przetwarzania oraz ryzyko naruszenia praw lub wolności osób fizycznych o różnym prawdopodobieństwie wystąpienia i wadze zagrożenia.

W ocenie NSA wniosek ten powinien być uwzględniony. Kara UODO jest bowiem wymierzana nie tyle za nielegalne działanie osoby trzeciej (np. cyberatak), ale za dopuszczenie do tego dostępu w związku z zabezpieczeniami nieadekwatnymi do poziomu ryzyka.

W uzasadnieniu wyroku wyrażono wątpliwość, czy organ nadzorczy miał własną specjalistyczną wiedzę, która pozwalałaby na ocenę czy zastosowane przez Morele.net środki bezpieczeństwa w działalności o tak dużej skali były odpowiednie. W każdym razie Prezes UODO nie uprawdopodobnił, że dysponował taką wiedzą w momencie wydania decyzji. Uzasadnienie decyzji w tym zakresie uznano za zbyt lakoniczne. Właśnie dlatego zasadne było uwzględnienie wniosku o dopuszczenie opinii biegłego, który oceniłby adekwatność środków bezpieczeństwa.

• wyrok Naczelnego Sądu Administracyjnego z 9 lutego 2033 r. III OSK 3945/21