Dlaczego wyrok NSA w sprawie Morele.net jest ważny?
Nie, wcale nie dlatego, że teraz nie trzeba obawiać się kar, bo da się je obalić w sądzie. To tak nie działa. I pokazują to statystyki, zgodnie z którymi jednak w większości przypadków (ale nie zawsze) sądy administracyjne podtrzymują decyzje organu w z zakresie nałożenia kary. Ale dlaczego tym razem stało się inaczej? Czyżby firma została potratktowa za ostro? Może kara była za wysoka?
Na początku warto zwrócić uwagę, że postępowanie odwoławcze toczyło się przed sądem administracyjnym, najpierw wojewódzkim (tu podtrzymano decyzję Prezesa UODO), następie NSA. Sądy administracyjne zajmują szczególną pozycję w systemie sprawowania wymiaru sprawiedliwości, ponieważ ich zadaniem jest m.in. kontrola działalności administracji publicznej. Weryfikują, czy postępowanie administracyjne zostało przeprowadzone przez organ zgodnie z literą prawa, a strony postępowania zostały potratkowane sprawiedliwie. Zatem sądy administracyjne skupiają się nie tyle na tym „kto ma rację”, ale czy samo postępowanie zostało przeprowadzone w sposób prawidłowy. Uchybienia w tym procesie, mogą skutkować uchyleniem nałożonej decyzji administracyjnej.
I tu dochodzę do odpowiedzi na pytanie, dlaczego wyrok NSA, uchylający decyzję nakładającą karę w wysokości ponad 2 milinów złotych na Morele.net jest ważny. Sąd uznał, że na etapie postępowania spółka, nie otrzymała wystarczających środków obrony, ponieważ odmówiono jej skorzystania z prawa do uzyskania opinii biegłego w zakresie cyberbezpieczeństwa. Odmowa wynika z przekonania organu nadzorczego o posiadaniu wystarczających kompetencji do oceny stanu faktycznego, dotyczącego wyieku danych klientów Morele.net. NSA zgodził się ze spółką, że na etapie postępowania i kontroli przeprowadzanej przez Prezesa UODO, miała prawo do „skutecznej obrony”, poprzez wykazanie wszelkimi możliwymi środkami, że podjęła należyte środki ochrony danych osobowych. Zgodnie z art. 32 RODO, administrator stosuje takie rozwiązania techniczne oraz organizacyjne ochrony danych, które na podstawie obiektywnej analizy ryzyka, są adekwatne do możliwych zagrożeń dla bezpieczeństwa tych danych. Ponadto wprowadzone zabezpieczenia należy regularnie poddawać testom skuteczności.
Konstrukcja tego przepisu sprawia, że wybór środków ochrony danych jest bardzo subiektywny. W zasadzie dopóki działają, to są skuteczne. I bardzo ważne jest, aby mieć świadomość, że nie istnieją takie rozwiązania, które dawałyby całkowitą gwarancję bezpieczeństwa danych. Wszystkie rozwiązania służą jedynie do maksymalnego minimalizowania ryzyka. Ale nie mogą go wykluczyć. Zatem nawet przy najlepszych środkach ochrony, może dojść do naruszenia. I w momencie, w którym do niego dojdzie, należy ocenić, czy przed naruszeniem administrator podjął właściwe działania. Czyli czy zrobił wszystko co było możliwe i adekwatne do potencjalnych ryzyk, aby uniknąć ich materializacji. Jeżeli tak, nałożenie pieniężnej kary administracyjnej za fakt naruszenia, należy uznać za zbyt radykalne podejście. W końcu kary, w myśl przepisów RODO mają służyć określonym celom i są skierowane do tych administratorów, którzy nie wdrażają wystarczających środków ochrony.
Wracając do sprawy Morele.net. Spółka wskazała, że zrobiła wszystko co było adekwatne do ryzyk i zagrożeń. Miała po prostu pecha, bo ryzyka nie da się w pełni uniknąć. I domagała się opinii niezależnego biegłego z zakresu cyberbezpieczeństwa, który oceniłby, czy faktycznie tak było. A NSA w swoim wyroku przyznał rację, że przysługiwało jej prawo do należytej obrony, przez wykazanie, że podjęła przed materializacją naruszenia, najskuteczniejesze jakie dla niej dostępne, środki ochrony. Warto też wskazać, że opinia niezależnego biegłego, równie dobrze mogłaby być przychyla dla Prezesa UODO, wskazując istotne braki w systemie zabezpieczeń Morele.net. Zatem w sprawie uchylenia decyzji nie chodzi o to, że Morele.net „zostało uznane za niewinne”, ale ograniczono spółce prawo do wykazania, że zapewniła zgodność z art. 32 RODO.
Nie zgodzę się z opinią Prezesa UODO, że NSA swoim wyrokiem kwestionuje niezależność organu. Ta sprawa jest istotna, bo jak słusznie zauważył sąd, każdy ma prawo do skutecznej obrony. Przepisy RODO dotyczące zapewniania ochrony danych osobowych nie wskazują konkretnych standardów, a odwołują do miękkich kwestii, które wymagają analizy specjalisty. W tej sprawie specjalista powinien być obiektywny i niezależny. Mógł potwierdzić wnioski eksperów od cyberbezpieczeństwa z UODO lub stwierdzić, że jednak spółka wykazała należytą staranność. To jest ważne, bo w przyszłości podobna sytuacja może spotkać innego administratora. I może się okazać, że mimo ogromnego wkładu pracy i finansowego w ochronę danych, utraci ich poufność, dostępność lub integralność. Czy w takim wypadku słuszne jest nałożęnie wysokiej kary pieniężnej jedynie za sam fakt, że naruszenie dotyczy dużej liczby osób?
Autorką tekstu jest Sylwia Czub-Kiełczewska, specjalista ds. ochrony danych osobowych oraz certyfikowany audytor wewnętrzny ISO 27001 Spodobał Ci się ten wpis? Masz jeszcze jakieś pytania? A może potrzebujesz pomocy przy danych osobowych? Pomogłam już wielu, pomogę i Tobie! Napisz do mnie
Autorką tekstu jest Sylwia Czub-Kiełczewska, specjalista ds. ochrony danych osobowych oraz certyfikowany audytor wewnętrzny ISO 27001
