UODO nie powinien wszczynać postępowań w sprawach indywidualnych skarg dotyczących nielegalnego przejęcia danych – uznał sąd administracyjny w precedensowych wyrokach.
W marcu 2020 r. ktoś pobrał bazę danych 140 tys. klientów spółki ID Finance Poland, która oferowała szybkie pożyczki internetowe przez stronę Moneyman.pl. Dane usunięto z serwera, pozostawiając żądanie zapłacenia określonej kwoty za ich przywrócenie. Firma zgłosiła wyciek prezesowi Urzędu Ochrony Danych Osobowych, a ten po przeprowadzeniu postępowania nałożył na nią karę ponad 1 mln zł za brak wystarczających środków technicznych i organizacyjnych, które zapobiegłyby nieuprawnionemu dostępowi do danych. Wojewódzki Sąd Administracyjny w Warszawie uchylił jednak tę decyzję (sygn. akt II SA/Wa 528/21). Uznał bowiem, że winę za wyciek ponosiła białoruska firma, której powierzono przetwarzanie danych (procesor).
Kara dotycząca braku właściwych zabezpieczeń została nałożona w postępowaniu prowadzonym przez prezesa UODO z urzędu. Oprócz tego wszczął on szereg postępowań w sprawach indywidualnych skarg dotyczących wycieków (wpłynęło ich 47). We wszystkich wydał podobne decyzje, udzielając ID Finance upomnienia za bezprawne udostępnienie danych osobowych. Większość z nich została utrzymana przez sąd (m.in. sygn. akt: II SA/Wa 1850/21, II SA/Wa 2216/21, II SA/Wa 2230/21). W dwóch wyrokach Wojewódzki Sąd Administracyjny w Warszawie uchylił decyzje, uznając, że postępowania w tych sprawach w ogóle nie powinny zostać wszczęte.
Nie doszło do udostępnienia danych
Sąd podkreślił, że w postępowaniach prowadzonych na skutek indywidualnych skarg prezes UODO w ogóle nie badał kwestii zabezpieczeń danych. Uznał natomiast, że skoro zostały one przejęte przez osobę nieuprawnioną, to udostępniono je jej w sposób bezprawny. Tyle że zdaniem sądu trudno tu w ogóle mówić o udostępnianiu czy też nawet szerzej - o przetwarzaniu danych przez administratora.
„Kluczowe znaczenie ma ustalenie, czy zdarzenie polegające na wejściu w posiadanie bez podstawy prawnej przez osobę trzecią danych osobowych, których administratorem jest generalnie określony podmiot, może być rozumiane jako przetworzenie przezeń danych, w czym mieści się także udostępnienie (wedle definicji zawartej w art. 4 pkt 2 RODO). Odpowiedź na tak postawione pytanie musi być - na gruncie obowiązujących regulacji RODO - negatywna, mając na względzie zarówno proste reguły wykładni językowo-logicznej, jak i celowościowej czy systemowej” - uznał sąd.
Przejęcia danych przez hakera nie można uznać za ich udostępnienie przez administratora.
- Moim zdaniem ważniejsze jest jednak coś innego: administrator to podmiot, który ustala cele i sposoby przetwarzania, a więc ma coś, co nazywam władztwem nad danymi osobowymi. Przetwarzanie - jak słusznie wskazał sąd - obejmuje różne czynności. W tym przypadku spółka ewidentnie nie dysponowała owym władztwem w momencie „udostępnienia” danych osobowych, trudno ją zatem uznać za administratora w tym zakresie. Był nim natomiast podmiot przejmujący dane - wyjaśnia dr hab. Arwid Mednis, radca prawny w kancelarii Kobylańska Lewoszewski Mednis oraz wykładowca WPiA UW.
- Spółka była administratorem w zakresie innych czynności, w tym przechowywania danych, i w związku z tym była zobowiązana m.in. do ich zabezpieczenia. Aspekt zabezpieczenia był jednak przedmiotem odrębnego postępowania - dodaje.
Zdaniem sądu incydent, jakim było przejęcie danych, nie powinien być badany w następstwie skarg indywidualnych, tylko z urzędu.
Uszczuplenie publicznych środków
Sąd wzmocnił swą argumentację, odwołując się do ekonomiki postępowań prowadzonych przez UODO.
„Prowadzenie nawet setek postępowań - wobec kolejnych wniosków osób poszkodowanych incydentami, gdzie może dochodzić do jednorazowej utraty tysięcy danych - stanowi bezzasadne obciążenie nie tylko dla podmiotu, od którego dane bezprawnie pozyskano (w niektórych przypadkach pomimo stosowania najwyższej klasy zabezpieczeń), ale jest także poważnym uszczupleniem środków publicznych, z których wszak utrzymywany jest wyspecjalizowany urząd. Jak wskazano, prowadzenie takich postępowań administracyjnych nie służy jednocześnie eliminacji żadnych nieprawidłowości po stronie administratora” - zaznaczył w uzasadnieniu obydwu wyroków.
Piotr Liwszic, prawnik i autor serwisu Judykatura.pl, na którego wniosek niedawno udostępniono uzasadnienia obydwu wyroków, zgadza się z tym podejściem sądu.
- Mówimy o niewyobrażalnej ilości pracy po stronie organu administracji publicznej, która to praca nie zmieni zachowania administratora danych ani nie uratuje danych osobowych, które już się znalazły w internecie - przekonuje, dodając, że w przypadku głośnego wycieku ze sklepu Morele.net chodziło o dane 2,2 mln osób.
- Nie wyobrażam sobie takiej liczby postępowań administracyjnych przeprowadzanych przez jakikolwiek organ administracji publicznej - zaznacza.
UODO nie zgadza się z opisanymi rozstrzygnięciami i w obydwu złożył skargi kasacyjne do Naczelnego Sądu Administracyjnego.
Sądy związane ustaleniami
Zdaniem sądu wydawanie decyzji dotyczących wycieków w indywidualnych sprawach może się wiązać z dodatkowym zagrożeniem. Często skargi kierowane do UODO są jedynie pierwszym krokiem przed wniesieniem do sądu cywilnego pozwu, w którym poszkodowani wyciekiem zażądają odszkodowania.
- Motorem napędzającym składanie skarg do organu nadzorczego jest chęć uzyskania przez te osoby zadośćuczynienia w postępowaniu sądowym. W takim postępowaniu ustalenie prawomocnej decyzji prezesa UODO o stwierdzeniu naruszenia przepisów RODO wiąże ten sąd cywilny - zwraca uwagę Piotr Liwszic.
Mówiąc wprost - jeśli prezes UODO wyda decyzję i udzieli upomnienia, to sąd cywilny jest później związany jego ustaleniami wynikającymi z jego prawomocnej decyzji. Wynika to wprost z art. 97 polskiej ustawy o ochronie danych osobowych (t.j. Dz.U. z 2019 r., poz. 1781 ze zm.). Tym samym, zdaniem sądu, mogłoby dojść do sytuacji, gdy organ tak naprawdę nie bada tego, czy firma przyczyniła się do wycieku, a jednocześnie wydane przez niego upomnienie przesądza o odpowiedzialności materialnej za utratę danych osobowych.
Dodatkową kwestią, którą wziął pod uwagę sąd, jest pewność, a w zasadzie brak tej pewności wobec prawa. Choć decyzje wydane w indywidualnych sprawach były takie same, to sąd dwie z nich uchylił, a resztę utrzymał.
- Choć jest to oczywiste i dzieje się od zawsze, to tutaj mamy jaskrawy przykład, że w dokładanie takim samym stanie faktycznym sąd podejmuje różne decyzje. Takie działanie powoduje brak pewności obywatela (zarówno podmiotu danych, jak i przedsiębiorcy) co do wykładni obowiązującego prawa - komentuje Piotr Liwszic.
- Jeden skład sędziowski w dziewięciu orzeczeniach stwierdza, że decyzja organu jest w porządku i jak się uprawomocni, to skarżący mogą pójść do sądu cywilnego. W przypadku dwóch innych osób sąd już takiej decyzji nie utrzymał i, co ciekawsze, umorzył postępowanie, uznając, że w ogóle nie powinno zostać wszczęte. Dopiero za dwa-trzy lata dowiemy się z orzeczenia NSA, jeśli wypowie się on merytorycznie, które z tych rozstrzygnięć były prawidłowe - dodaje. ©℗
/>
orzecznictwo
Wyroki Wojewódzkiego Sądu Administracyjnego w Warszawie z 23 czerwca 2022 r., sygn. akt: II SA/Wa 3533/21 oraz II SA/Wa 3752/21 www.serwisy.gazetaprawna.pl/orzeczenia