Spółka wygrała sprawę przed Naczelnym Sądem Administracyjnym. Uchylił on decyzję UODO nakładającą jedną z najwyższych dotychczas kar.
To pierwsza ze spraw dotyczących najwyższych kar finansowych nałożonych przez prezesa Urzędu Ochrony Danych Osobowych, która doczekała się rozstrzygnięcia przed Naczelnym Sądem Administracyjnym. W miniony czwartek uchylił on zarówno wyrok Wojewódzkiego Sądu Administracyjnego w Warszawie, który w 2020 r. utrzymał karę nałożoną na spółkę, jak i samą decyzję prezesa UODO. Sprawa wraca więc do tego ostatniego organu, który zdecyduje, co dalej.
- Będziemy ją rozpoznawać po otrzymaniu uzasadnienia na piśmie, gdyż na tę chwilę nie wiemy, czym się kierował
NSA. Wyrok wydano bowiem na posiedzeniu niejawnym. Może to nieco dziwić, gdyż obydwie strony wnosiły o możliwość uczestnictwa, a sama sprawa jest nadzwyczaj ważna i dotyka bezpośrednio wielu Polek i Polaków - zaznacza Adam Sanocki, rzecznik prasowy UODO.
Przegrana w I instancji
Sprawa sięga jesieni 2018 r., kiedy to klienci sklepów internetowych należących do grupy Morele zaczęli otrzymywać SMS-y wskazujące na konieczność
dopłaty jednego złotego do zamówienia. Link z wiadomości prowadził do podstawionej bramki płatności elektronicznej, za pośrednictwem której oszust mógł zdobyć login i hasło do konta w banku i w ten sposób uzyskać dostęp do środków znajdujących się na rachunku. Nie wiadomo, ile osób padło jego ofiarą. Prezes UODO uznał jednak, że haker zdobył dane wszystkich klientów, czyli ok. 2,2 mln osób.
Jeden z głównych zarzutów dotyczył niewłaściwego zabezpieczenia danych. Zdaniem UODO wykradziono je poprzez nieuprawniony dostęp do panelu pracownika. Był on możliwy z powodu niewystarczających zabezpieczeń. Zastosowano bowiem jednoetapowe uwierzytelnianie - poprzez login i hasło pracownika. W opinii UODO spółka powinna była wdrożyć dwuetapową weryfikację. Taką choćby, jaka jest stosowana w bankowości elektronicznej (np. SMS z dodatkowym kodem).
Spółka broniła się, że jej zabezpieczenia były adekwatne do zagrożeń. Jej zdaniem zastosowanie ekstraordynaryjnych środków pokroju dwuetapowej weryfikacji musiałoby wynikać z analizy ryzyka. Ta zaś, według niej, nie została przez UODO przeprowadzona. Skoro zaś nie wiadomo, jakie było ryzyko, to trudno przesądzać, jakie środki byłyby do niego adekwatne. Zwłaszcza że urząd nie uwzględnił wniosku o przeprowadzenie opinii biegłego.
Argumenty te nie znalazły jednak zrozumienia w pierwszej instancji. Wojewódzki Sąd Administracyjny w Warszawie utrzymał w mocy decyzję (wyrok z 3 września 2020 r., sygn. akt II SA/Wa 2559/19).
„Zdaniem sądu organ miał podstawy przyjąć, że przyczyną uzyskania nieuprawnionego dostępu do panelu pracownika był nieskuteczny środek uwierzytelniania, którym był wyłącznie login i hasło. M. niewystarczająco oceniło zdolność do ciągłego zapewnienia poufności i nie uwzględniło ryzyka związanego z uzyskaniem nieuprawnionego dostępu do panelu pracownika” - napisano w uzasadnieniu wyroku.
Wygrana przed NSA
NSA uchylił w ubiegłym tygodniu to orzeczenie.
- Rozstrzygnięcie zapadło na posiedzeniu niejawnym, dlatego znamy tylko jego sentencję i nie wiemy, które z naszych zarzutów sąd uznał za trafne. NSA miał z czego wybierać, bo konsekwentnie twierdziliśmy, że ta decyzja była wadliwa na wielu poziomach. Zarzuty skargi kasacyjnej były bardzo zbliżone do tych ze skargi do WSA i koncentrowały się wokół ograniczenia
prawa do aktywnego udziału w postępowaniu, pobieżnego przeprowadzenia postępowania i dowolności ocen dokonanych przez urząd w zakresie środków technicznych i organizacyjnych - mówi Sławomir Kowalski, adwokat z kancelarii Maruta Wachta, pełnomocnik Morele.net.
Spółka podnosiła przed NSA m.in. pozbawienie jej
prawa do obrony. Twierdziła, że podczas postępowania prowadzonego przez UODO nie mogła odpowiadać na zarzuty, bo ich nie znała.
- Pragniemy zaznaczyć, że od samego początku zdarzenia podjęliśmy transparentną współpracę ze wszystkimi organami i urzędami w celu zminimalizowania ewentualnych skutków zdarzenia. Powzięliśmy wszelkie możliwe środki, aby podobna sytuacja nie wydarzyła się ponownie. Wdrożone dodatkowe zabezpieczenia techniczne i procedury zapewniają najwyższy poziom bezpieczeństwa danych naszych klientów - podkreśla Wojciech Pawlik z Morele.net.
- Na pewno incydent spowodował powszechny wzrost świadomości dotyczącej zagrożeń i potrzeby skutecznych środków w celu zapewnienia bezpieczeństwa w przestrzeni cyfrowej w Polsce - dodaje.
Większość rekordowych kar uchylonych
/
Dziennik Gazeta Prawna - wydanie cyfrowe
orzecznictwo
Wyrok Naczelnego Sądu Administracyjnego z 9 lutego 2023 r., sygn. akt III OSK 3945/21 www.serwisy.gazetaprawna.pl/orzeczenia