Ochrona danych osobowych na tle sprawy Morele.net
14.10.2024
Implikacje prawne dla administratorów danych
Sprawa spółki Morele.net, związana z wyciekiem danych osobowych klientów, która zakończyła się nałożeniem na administratora kary w wysokości ponad 3,8 mln zł, stanowi istotny precedens w zakresie stosowania przepisów Rozporządzenia o Ochronie Danych Osobowych. Orzeczenia sądów administracyjnych w tej sprawie oraz kolejne postępowania prowadzone przez Prezesa Urzędu Ochrony Danych Osobowych są przykładem dynamicznie rozwijającej się praktyki stosowania prawa w obszarze ochrony danych osobowych.
Decyzja Prezesa UODO i pierwsze rozstrzygnięcia sądów
W wyniku incydentu związanego z wyciekiem danych osobowych 2,2 mln klientów, który miał miejsce w 2018 roku, Prezes UODO nałożył na Morele.net karę administracyjną w wysokości ok. 2,8 mln zł. Organ nadzorczy uznał, że spółka nie zastosowała odpowiednich zabezpieczeń technicznych i organizacyjnych adekwatnych do poziomu ryzyka, co doprowadziło do nieuprawnionego dostępu do danych osobowych.
Należy podkreślić, że Morele.net nie wdrożyło szeregu kluczowych środków ochronnych, takich jak szyfrowanie danych, dwuskładnikowe uwierzytelnianie czy przeprowadzenie rzetelnej analizy ryzyka uwzględniającej dostęp z sieci publicznych. Co więcej, brak monitorowania ruchu sieciowego oraz procedur pozwalających na szybkie wykrycie nietypowych zachowań znacząco przyczyniło się do eskalacji incydentu.
Decyzja Prezesa UODO została zaskarżona przez Morele.net do Wojewódzkiego Sądu Administracyjnego (WSA), który w 2020 roku podtrzymał stanowisko organu nadzorczego. Spółka wniosła skargę kasacyjną do Naczelnego Sądu Administracyjnego (NSA), który uchylił wyrok WSA.
NSA nie zakwestionował wszystkich związanych z naruszeniem ustaleń Prezesa UODO. Zdaniem Sądu Prezes UODO powinien uprawdopodobnić posiadanie wiedzy potrzebnej do przeprowadzenia analizy zabezpieczeń, powinien powołać biegłego albo wytworzyć wewnętrzny dokument stanowiący wnioski z analizy standardu środków bezpieczeństwa stosowanych przez spółkę, do którego administrator mógłby się odnieść w toku postępowania.
Powtórne postępowanie administracyjne i ostateczna decyzja
W odpowiedzi na wyrok NSA, Prezes UODO przeprowadził powtórne postępowanie administracyjne, w ramach którego organ opracował wewnętrzną analizę standardów zabezpieczeń stosowanych przez Morele.net. Dokument ten stał się podstawą do ponownego nałożenia kary, tym razem w wysokości ponad 3,8 mln zł.
Prezes UODO uznał, że chociaż nie powołano biegłego, opracowana analiza była wystarczająca do oceny, czy zastosowane przez administratora środki techniczne i organizacyjne były adekwatne do poziomu ryzyka. Spółka Morele.net kwestionowała wiarygodność tej analizy, podnosząc zarzuty dotyczące stronniczości jej autorów, jednak zarzuty te nie zostały uwzględnione przez organ.
W toku postępowania ustalono, że administrator danych osobowych, mimo upływu znacznego czasu od wycieku, nie był w stanie jednoznacznie określić, jakie dokładnie dane zostały ujawnione osobom nieuprawnionym. Dopiero po incydencie spółka wdrożyła szereg środków, które mogłyby zapobiec nieuprawnionemu dostępowi do danych, co dodatkowo wpłynęło na ocenę organu nadzorczego.
Orzeczenie Wojewódzkiego Sądu Administracyjnego z 2024 r.
16 września 2024 r. WSA ponownie oddalił skargę Morele.net, uznając, że decyzja Prezesa UODO została wydana zgodnie z prawem i na podstawie dostatecznie zgromadzonego materiału dowodowego. Sąd potwierdził, że pracownicy UODO posiadali odpowiednie kwalifikacje i kompetencje do oceny środków ochrony danych osobowych zastosowanych przez spółkę, a organ nie był zobowiązany do powołania biegłego.
Orzeczenie to dodatkowo podkreśla, że nałożenie kary pieniężnej przez Prezesa UODO było w pełni uzasadnione charakterem i wagą naruszenia, a jej wysokość, ustalona na podstawie wytycznych Europejskiej Rady Ochrony Danych (EROD) z maja 2023 roku, była odpowiednia do okoliczności sprawy. Morele.net zapowiedziało złożenie skargi kasacyjnej do NSA, twierdząc, że Prezes UODO nie był uprawniony do podwyższenia kary na etapie powtórnego postępowania.
Znaczenie sprawy Morele.net dla branży
Sprawa Morele.net ma kluczowe znaczenie dla praktyki ochrony danych osobowych w Polsce, zarówno z perspektywy organu nadzorczego, jak i przedsiębiorców. Wyciek danych na tak dużą skalę i kolejne orzeczenia sądowe stanowią wyraźny sygnał, że administratorzy danych są zobowiązani do stosowania zaawansowanych i adekwatnych do ryzyka środków technicznych oraz organizacyjnych.
Warto podkreślić, że niedostosowanie zabezpieczeń do poziomu zagrożeń może skutkować nie tylko utratą zaufania klientów, ale również nałożeniem dotkliwych kar finansowych. Przedsiębiorcy powinni zatem regularnie przeprowadzać analizy ryzyka i aktualizować środki ochrony danych w odpowiedzi na zmieniające się zagrożenia.
Sprawa ta pokazuje, jak istotne jest posiadanie dokumentacji potwierdzającej wdrożenie odpowiednich środków ochrony danych osobowych. Organy nadzorcze oraz sądy będą w swoich decyzjach brały pod uwagę zarówno środki ochrony, jak i dokumentację potwierdzającą przeprowadzanie regularnych audytów bezpieczeństwa.
Sprawa Morele.net jest przestrogą dla administratorów danych, którzy muszą dostosować swoje działania do wymogów RODO. Niedopełnienie obowiązków w zakresie zabezpieczeń technicznych i organizacyjnych może prowadzić do długotrwałych sporów prawnych oraz znaczących sankcji finansowych. Przedsiębiorcy powinni zatem inwestować w odpowiednie środki ochrony danych oraz regularnie monitorować swoje systemy, aby zapobiegać podobnym incydentom w przyszłości.
Z tej samej kategorii
Kategorie
