UODO w niektórych sytuacjach ma obowiązek powoływania biegłych, gdyż wiedza jego pracowników może nie być wystarczająca – uznał NSA, co odebrano jako podważanie niezależności i kompetencji urzędu.

Jak informował DGP zaraz po ogłoszeniu wyroku w lutym, Naczelny Sąd Administracyjny uchylił pierwszą wielomilionową karę nałożoną przez Urząd Ochrony Danych Osobowych. Była ona konsekwencją wykradzenia w 2018 r. przez hakera bazy danych spółki Morele.net. Klienci sklepów internetowych należących do grupy zaczęli otrzymywać SMS-y wskazujące na konieczność dopłaty jednego złotego. Link z wiadomości prowadził do podstawionej bramki płatności elektronicznej, za pośrednictwem której oszust mógł zdobyć login i hasło do konta w banku i w ten sposób uzyskać dostęp do środków znajdujących się na rachunku bankowym. UODO uznał, że firma nie zastosowała wystarczających środków do zabezpieczenia danych ponad 2 mln swych klientów. Główny zarzut dotyczył tego, że pracownicy spółki logowali się do systemu z użyciem jednoetapowego uwierzytelniania. Zdaniem UODO względy bezpieczeństwa nakazywały zastosowanie dwuetapowej autoryzacji.

Decyzję tę wydano bez opinii biegłego, o którego powołanie wnosili pełnomocnicy Morele.net. Właśnie to stało się powodem jej uchylenia przez NSA.

– Z opublikowanego właśnie uzasadnienia wyroku wynika, że ocena odpowiedniości środków to zadanie skomplikowane, nawet dla UODO. Z tego powodu, w specyficznych uwarunkowaniach polskiej procedury administracyjnej i sądowoadministracyjnej oraz gdy na szali są wielomilionowe kary, UODO nie może odmawiać przeprowadzenia dowodu z opinii biegłego na okoliczność prawidłowości stosowanych środków. NSA słusznie wychwycił, że zignorowanie przez prezesa UODO inicjatywy dowodowej strony w tym zakresie pozbawia ją realnie jedynego narzędzia obrony jej praw – podkreśla Sławomir Kowalski, adwokat z kancelarii Maruta Wachta, który reprezentował spółkę przed sądami.

Prawo do obrony

Już w tezach wyróżnionych na początku uzasadnienia wyroku NSA podkreśla, że choć kodeks postępowania administracyjnego nie przewiduje wprost prawa do obrony, to można je wywieść z art. 10 k.p.a., który nakazuje zapewnienie stronom czynnego udziału na każdym etapie postępowania.

NSA podkreślił, że wniosek dowodowy firmy, wobec której prowadzone jest postępowanie administracyjne, jest jedynym środkiem na wykazanie korzystnych dla niej okoliczności.

„Nie można w postępowaniu administracyjnym ograniczać prawa strony do czynnego udziału, uwzględniając jedynie dowody świadczące na jej niekorzyść. Uwadze prezesa UODO i sądu pierwszej instancji umknęło, iż postępowanie w przedmiocie nałożenia administracyjnej kary pieniężnej jest postępowaniem sankcyjnym i to jednoinstancyjnym, w którym dochodzi do ingerencji w sferę wolności jednostki” – można przeczytać w uzasadnieniu wyroku. W praktyce oznacza to, że niekiedy organ zwyczajnie musi uwzględnić wniosek dowodowy, którego żąda uczestnik postępowania.

– To jest problem, który pełnomocnicy w postępowaniach przed prezesem UODO podnoszą od lat. Weźmy przykład numeru PESEL – dlaczego uznano, że powoduje on wysokie ryzyko dla praw i wolności? Bo organ tak zdecydował. Tutaj było podobnie – organ przyjął pewne wnioski co do sposobu zabezpieczenia danych, ale nie bardzo był w stanie przekonać do nich stronę, więc ta zawnioskowała o biegłego – a tego żądania organ nie uwzględnił – zwraca uwagę dr Paweł Litwiński, adwokat, partner w kancelarii Barta Litwiński.

Poruszenie w urzędzie

Spółka prosiła o powołanie biegłego do oceny, czy zastosowane przez nią środki bezpieczeństwa były wystarczające. Prezes UODO nie uwzględnił tego wniosku, uznając, że stopień skomplikowania sprawy „nie przekracza zakresu wiadomości będących w gestii organu”. Podkreślił przy tym, że k.p.a. nie nakłada obowiązku przeprowadzenia dowodu z opinii biegłego nawet wówczas, gdy wyjaśnienie sprawy wymaga wiadomości szerszych niż przeciętne w danej dziedzinie.

NSA przyznał mu rację, ale tylko co do tego, że przepisy rzeczywiście mówią o możliwości, a nie o obowiązku powołania biegłego.

„Jednakże nie w każdej sytuacji organ będzie uprawniony do zaniechania powołania biegłego i do dokonania oceny wymagającej wiedzy specjalistycznej we własnym zakresie. Ograniczenia w tym względzie wynikają przede wszystkim z zasady prawdy obiektywnej (art. 7 k.p.a.). W szczególności przesłankami obligującymi organ do przeprowadzenia dowodu z opinii biegłego może być brak wiedzy specjalistycznej pracowników organu czy wysoki stopień skomplikowania sprawy” – zaznaczył NSA w dalszej części uzasadnienia wyroku.

Zdaniem sądu w tej sprawie prezes UODO miał obowiązek powołać biegłego ze względu na precedensowy charakter sprawy, skalę naruszenia (dane 2,2 mln klientów), rozmiar działalności. Zwłaszcza że do wycieku danych doszło w czasie, kiedy RODO obowiązywało dopiero od kilku miesięcy. NSA podał w wątpliwość to, czy w dacie wydania decyzji UODO miał wiedzę specjalistyczną, pozwalającą na ocenę niezbędnych środków technicznych i organizacyjnych w działalności gospodarczej o tak dużej skali. Wywołało to duże wzburzenie w biurze UODO, gdzie uznano to za podważanie kompetencji pracowników urzędu i jego niezależności. Na piątek UODO zapowiedział specjalny briefing prasowy, w którym szerzej odniesie się do uzasadnienia.

– Nie przekonuje mnie argumentacja NSA, że pracownicy UODO tej wiedzy nie zdążyli jeszcze posiąść, bo dopiero co zaczęło być stosowane RODO. Po pierwsze, mówimy nie o wiedzy o prawie, a o kwestiach technicznych; po drugie, skoro dopiero rozpoczęliśmy stosowanie RODO, to równie dobrze można twierdzić, że tej wiedzy jeszcze nikt nie miał. Moim zdaniem pracownicy UODO jak najbardziej posiadają wiedzę specjalistyczną z zakresu zabezpieczenia danych osobowych – komentuje dr Paweł Litwiński.

Kontrowersji nie budzi natomiast inne stwierdzenie NSA, który uznał, że nie każda firma, z której wyciekły dane, musi zostać pociągnięta do odpowiedzialności.

„Sankcji administracyjnej (...) podlega nie ten, kto jako administrator dopuścił do nieuprawnionego przetwarzania danych osobowych, a tylko podmiot, który nie dochował odpowiedniego, w danych okolicznościach, standardu środków bezpieczeństwa” – podkreślono w uzasadnieniu.©℗

orzecznictwo