Zdaniem prezesa UODO Naczelny Sąd Administracyjny kwestionuje niezależność organu nadzorczego, jak i podważa jego kompetencje oraz kwalifikacje zatrudnionych w nim osób.

Jak czytamy w oświadczeniu zamieszczonym na stronie uodo.gov.pl, prezes UODO w piśmie skierowanym do Prezesa Naczelnego Sądu Administracyjnego jest zaniepokojony kierunkiem, w jakim zmierza dokonana przez NSA interpretacja kompetencji i pozycji ustrojowej organu nadzorczego w świetle praw osób, których dane osobowe zostały naruszone.

Chodzi o orzeczenie NSA w sprawie kary nałożonej przez UODO na spółkę Morele.net. Wynika z niego, że przyczyną uchylenia decyzji Prezesa UODO w sprawie Morele.net było oddalenie przez organ wniosku o przeprowadzenie dowodu z opinii biegłego w kontekście standardów technicznych i organizacyjnych stosowanych przez spółkę.

Oświadczenie podaje informacje o wieloletnim doświadczeniu pracowników UODO w kontroli i prowadzeniu postępowań wobec podmiotów przetwarzających dane osobowe. Daje to gwarancję specjalistycznej wiedzy i brak konieczności korzystania z pomocy biegłego. Wbrew twierdzeniom NSA dokonywana przez UODO ocena stosowania środków technicznych i organizacyjnych na gruncie RODO nie jest żadnym novum.

Jak przypomina strona uodo.gov.pl, w 2019 roku UODO nałożył na spółkę Morele.net karę w wysokości ponad 2,8 mln zł. Powodem były nieodpowiednie do istniejącego ryzyka związanego z ich przetwarzaniem środki organizacyjne i techniczne, przez co dane około 2 mln 200 tys. osób dostały się w niepowołane ręce. UODO stwierdził, że wspomniane naruszenie miało znaczną wagę i poważny charakter oraz dotyczyło dużej skali osób.

- NSA swoim orzeczeniem całkowicie pominął prawa ponad 2 mln 200 tys. użytkowników, których dane osobowe zostały naruszone wskutek działalności spółki, a którzy ponosić mogą również dotkliwe konsekwencje związane z uzyskaniem nieuprawnionego dostępu do ich danych - czytamy w oświadczeniu. Organ podkreślił również, że ryzyko dotyczyło phishingu, czyli metody mającej na celu wyłudzenie danych, m.in. uwierzytelniających do konta bankowego poprzez podszycie się pod spółkę w wiadomościach SMS i wykorzystanie faktu dokonania zamówienia przez klienta.

W swoim oświadczeniu UODO przypomina, że Wojewódzki Sąd Administracyjny w Warszawie w 2020 r. oddalił skargę Morele.net i uznał, że decyzja o karze nałożonej na spółkę była zasadna. WSA podzielił wtedy stanowisko organu nadzorczego, że zastosowane przez spółkę środki techniczne i organizacyjne okazały się nieskuteczne w celu ochrony danych osobowych klientów.

Jak podaje uodo.gov.pl, przyjęcie stanowiska NSA wyrażonego w ww. wyroku, kwestionującego kompetencje UODO i podważającego jego niezależność, za słuszne, w praktyce oznaczałoby uniemożliwienie organowi samodzielnego funkcjonowania i rozstrzygania spraw z zakresu ochrony danych osobowych w systemach informatycznych służących do przetwarzania danych i prowadziłoby do pozbawienia skutecznej ochrony praw osób, których dane są przetwarzane, zagwarantowanej przepisami Traktatu o funkcjonowaniu Unii Europejskiej, Karty praw podstawowych Unii Europejskiej i RODO.