Czy głośny wyrok NSA zmienia reguły postępowania? Wbrew pozorom nie jest niczym nowym i nie będzie tak, że powołanie biegłego stanie się teraz standardem w sporach z UODO. Nie zawsze zresztą taka opinia da przewagę spółce. I w przypadku Morele też tak mogło być - piszą Tomasz Osiej, radca prawny, partner zarządzający Kancelaria Osiej i Partnerzy i Arkadiusz Rzycki, specjalista ds. bezpieczeństwa, Omni Modo sp. z o.o.
- Zarys sprawy
- Opinia biegłego jako kluczowy dowód
- Nie zawsze można powołać eksperta
- Wnioski dla przedsiębiorców
- Nieuprawniony dostęp naruszeniem bezpieczeństwa
Zanim zdążyliśmy dokładnie zapoznać się z wyrokiem Naczelnego Sądu Administracyjnego z 9 lutego 2023 r. (sygn. akt III OSK 3945/21), stał się on już w świadomości wielu swoistym punktem zwrotnym w standardach ochrony danych osobowych. Uchyla on bowiem poprzedni wyrok wojewódzkiego sądu administracyjnego i decyzje Urzędu Ochrony Danych Osobowych nakładającą ogromną (prawie 3 mln zł) karę na administratora danych, m.in. z tytułu nieodpowiedniego zabezpieczenia danych. Ale czy w istocie zmienia to zasady gry, skoro UODO ponownie wyda decyzję w niniejszej sprawie? Piłka nadal jest zatem w grze.
Postanowiliśmy przyjrzeć się tej sprawie z perspektywy przedsiębiorców (administratorów danych i podmiotów przetwarzających) i zastanowić, co w istocie wydarzyło się 9 lutego br. i jaki ma to lub powinno mieć wpływ na projektowanie systemu ochrony danych osobowych w Polsce, w tym na przebieg postępowań prowadzonych przed UODO. Zacznijmy od krótkiego przypomnienia samej sprawy.
Zarys sprawy
Spółka Morele.net zarządza wieloma popularnymi sklepami internetowymi (10 innych portali poza flagowym morele.net), a w czasie ataku hakerskiego, którego stała się celem pod koniec 2018 r., administrowała bazą danych 2,2 mln osób, przy czym 35 tys. rekordów zawierało dane dotyczące sytuacji osobistej, majątkowej (dochodów), w tym także PESEL. W wyniku ataku doszło do wycieku danych osobowych klientów. Po nieudanej próbie szantażu wykradziona baza została udostępniona w internecie, a część klientów otrzymała SMS-y z prośbą o dopłatę do zamówienia w wysokości 1 zł za pomocą fałszywej bramki DotPay (ok. 600 osób). Tym sposobem oszuści w drodze phishingu mogli pozyskać dostęp do loginów i haseł rachunków bankowych osób objętych wyciekiem.
Spółka dwukrotnie (30 listopada oraz 16 grudnia 2018 r.) zgłaszała prezesowi UODO naruszenia, które były weryfikowane podczas kontroli przeprowadzonej przez pracowników urzędu 21‒25 stycznia 2019 r. Następnie, opierając się na materiałach zebranych podczas kontroli, prezes UODO 21 czerwca 2019 r. wszczął z urzędu postępowanie administracyjne. Stwierdzono w nim wiele uchybień spółki, która miała jedynie częściowo wywiązać się z obowiązku zapewnienia odpowiednich środków technicznych przy przetwarzaniu danych osobowych. Wedle UODO naruszyła kilka przepisów, w tym art. 32 ust. 2 rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (Dz.Urz. UE z 2016 r. L 119, s. 1; dalej: RODO), poprzez dobór nieskutecznych środków technicznych i organizacyjnych. Ponadto nie podjęła właściwych działań, aby dobrać je adekwatnie do ryzyk, które występowały.
W odpowiedzi na zarzuty prezesa UODO spółka wniosła o przeprowadzenie dowodu z opinii biegłego, który miał m.in. ustalić standardy bezpieczeństwa (techniczne i organizacyjne) u przedsiębiorców z branży e-commerce, prowadzących działalności o skali podobnej do spółki, i ocenić, czy spółka je zastosowała. Tego wniosku UODO nie uwzględnił, wskazując, że nie ma to znaczenia dla sprawy, a pracownicy urzędu mają odpowiednie kompetencje, by ocenić powyższe kwestie. Ponadto, powołując się na zasadę szybkości postępowania, urząd uznał, że dopuszczenie dowodu doprowadziłoby do jego przewlekłości. Te same argumenty zostały podniesione podczas briefingu prasowego, podczas którego przedstawiciele urzędu po raz kolejny stwierdzili, że urząd jako taki z racji zadań ustawowych ma odpowiednią wiedzę i kompetencje. Na potwierdzenie przywołano, że urząd jest jedyną niezależną instytucją w Polsce, która ma kompetencje, by w sposób wiążący rozstrzygać o ochronie danych osobowych.
Nakładając pierwszą w Polsce tak wysoką karę na administratora, prezes UODO wskazał, że spółka naruszyła zasadę poufności danych poprzez zastosowanie nieskutecznego środka uwierzytelniania dostępu do panelu pracownika w postaci wyłącznie loginu i hasła (które zostało uzyskane w wyniku ataku phishingowego). Powołując się na normę ISO 27001:2017, UODO wskazał, że odpowiednie zabezpieczenie dostępu dla uprawnionych użytkowników stanowi podstawę bezpieczeństwa. Wedle UODO zastosowany powinien być środek w postaci uwierzytelnienia dwuetapowego (2FA), zgodnie z wytycznymi Europejskiej Agencji ds. Bezpieczeństwa Sieci i Informacji (ENISA) dotyczącymi bezpieczeństwa przetwarzania danych osobowych.
Ponadto wskazano, że spółka nie była odpowiednio przygotowana, „gdyż pomimo deklaracji stałego monitorowania sieci, spółka na podstawie analizy ruchu sieciowego nie była w stanie stwierdzić, czy faktycznie dane zostały wykradzione”. Co więcej, od października 2018 r. do stycznia 2019 r. nie miała wiedzy na temat przyczyn zwiększonego przesyłu danych.
Od decyzji UODO spółka odwołała się do wojewódzkiego sądu administracyjnego, który podzielił stanowisko urzędu. W następstwie takiego obrotu sprawy złożyła skargę kasacyjną do Naczelnego Sądu Administracyjnego, który 9 lutego br. uchylił zaskarżony wyrok i zaskarżoną decyzję prezesa UODO.
Opinia biegłego jako kluczowy dowód
Wśród wielu zarzutów kasacyjnych podniesionych przez spółkę jednym z najważniejszych, a przynajmniej tym, na którym swój wyrok oparł NSA, był brak uwzględnienia przez UODO wniosku o powołanie biegłego. Spółka wskazywała, że brak ten miał istotny wpływ na wynik sprawy, ponieważ WSA zaakceptował w całości ustalenia UODO, które nie były de facto poparte żadnym materiałem dowodowym, do którego mogłaby się odnieść. Podkreślała też ona, że w sprawie wymagane były specjalistyczne informacje, których UODO nie miał, dlatego konieczne było powołanie biegłego.
Warto wskazać, że powołanie biegłego w postępowaniu administracyjnym ma charakter fakultatywny i jest zasadne w momencie, gdy organ nie ma wiedzy specjalistycznej w danej dziedzinie. NSA stwierdził, że biorąc pod uwagę okoliczności sprawy, jej precedensowy charakter, związany chociażby ze skalą naruszenia poufności danych osobowych (przetwarzanie przez spółkę danych ponad 2 mln użytkowników), wniosek taki powinien zostać uwzględniony. Tym bardziej że zdaniem NSA jest wątpliwe, czy UODO pół roku po rozpoczęciu stosowania RODO zdążył posiąść odpowiednią wiedzę.
Tu można zadać sobie pytanie, czy w tym czasie ktokolwiek inny mógł zgromadzić taką wiedzę, skoro wszyscy uczyliśmy się stosowania RODO. Można się też zastanowić, czy UODO odpowiednio udokumentował kompetencje swoich pracowników.
Wracając jednak do sedna sprawy, zdaniem NSA urząd w prowadzonym postępowaniu powinien nie tylko dążyć do ustalenia rzeczywistego stanu faktycznego, lecz także zapewnić prawo czynnego udziału strony (prawo do obrony). NSA bardzo trafnie zaakcentował, że w postępowaniu w przedmiocie nałożenia sankcji dochodzi do kumulacji kilku ról: oskarżyciela, podmiotu orzekającego, a w niektórych przypadkach nawet biegłego. Z woli ustawodawcy postępowanie administracyjne prowadzone przez UODO jest jednoinstancyjne. Oznacza to, że strona nie może w nim wnieść odwołania lub wniosku o ponowne rozpatrzenie sprawy.
Jak wskazywał NSA, prezes UODO w toku prowadzonego postępowania nie przedstawił dokumentu zawierającego wnioski z analizy środków bezpieczeństwa stosowanych przez spółkę. Tym samym spółka nie mogła odnieść się do przeprowadzonej przez UODO analizy. Zatem opinia biegłego, nawet negatywna, byłaby podstawą do zapewnienia ochrony interesów strony i mogłaby stanowić podstawę do zajęcia przez spółkę stanowiska przed wydaniem decyzji administracyjnej.
Nie zawsze można powołać eksperta
Wielowątkowość postępowania przed organem, jego zawiłość, a przede wszystkim różne funkcje, jakie ma organ, powodują w ocenie NSA, że musi ono mieć szczególną jakość. I to wydaje się być pierwszym istotnym postulatem skierowanym do UODO, który będzie miał znaczenie w przyszłości. Wyrok nie oznacza jednak, że w każdym przypadku można powołać biegłego. Przypadek Morele, jak wskazał NSA, był precedensowy. Powołanie biegłego było w tym przypadku konieczne. Rozstrzygnięcie bez uwzględnienia opinii biegłego w tej konkretnej sprawie mogło doprowadzić do arbitralnej oceny okoliczności faktycznych danej sprawy przez UODO.
Analizując wyrok, należy zauważyć, że powołanie biegłego będzie możliwe głównie w tych przypadkach, gdy stan faktyczny będzie na tyle skomplikowany, że urząd nie będzie w stanie w sposób przekonujący udowodnić, że ma określone informacje pozwalające mu wydać rozstrzygnięcie uwzględniające wszystkie okoliczności sprawy bez pomocy biegłego, np. organizacja, w której doszło do naruszenia, stosowała niezwykle wyrafinowane technologie, takie jak sztuczna inteligencja. Zresztą nie jest powiedziane, że w przypadku Morele opinia biegłego pomogłaby spółce obronić się przed zarzutami UODO. Nie można wykluczyć, że w tamtym czasie biegły potwierdziłby ustalenia organu, co w praktyce prowadziłoby nawet do pogorszenia sytuacji prawnej przedsiębiorcy.
Strona postępowania przed prezesem UODO powinna zatem każdorazowo ocenić, czy w danym przypadku powołanie biegłego leży w jej interesie. Nie ma tu wcale mowy o nowej praktyce czy jakimkolwiek automatyzmie powoływania biegłego. ©℗
Warto też zwrócić uwagę, że powołując biegłego, spółka chciała również zbadać standardy bezpieczeństwa panujące w branży e-commerce i wykazać, że ich dochowała. Jest to jednak o tyle niebezpieczne rozumowanie, że RODO nie nakazuje posługiwać się standardami branżowymi. Owe standardy mogą być nieadekwatne w odniesieniu do specyfiki danego przedsiębiorstwa. Nie można więc automatycznie kopiować rozwiązań przyjętych przez innych przedsiębiorców i uważać, że na tym polega wdrożenie odpowiednich zabezpieczeń. Standardy w branży mogą być jedynie wskazówką, a nie jedynym punktem odniesienia. Kluczowe wydaje się tu zaś dostosowanie zabezpieczeń w organizacji do zidentyfikowanych ryzyk. I tutaj nic się nie zmieniło.
Wnioski dla przedsiębiorców
Zacznijmy od przywołanej w wyroku weryfikacji dwuetapowej. Jak wskazał NSA, nie można przyjąć, że jest ona środkiem odpowiednim w każdym przypadku, mimo że UODO wskazywał, że brak jej zastosowania był poważnym naruszeniem. Prawdą jest, że zgodnie z normą ISO 27001 zapobieganie nieuprawnionemu dostępowi do systemów jest podstawą bezpieczeństwa informacji. Ponadto weryfikacja dwuetapowa, choć jest rekomendowana przez ENISA, nie jest środkiem technicznym, który zawsze i w każdym przypadku należy stosować. NSA wyraźnie wskazuje, że choć weryfikacja dwuetapowa jest odpowiednim środkiem, to istnieją inne równie dobre zabezpieczenia. UODO nie przeprowadził przekonującej analizy wskazującej, że jedynym właściwym środkiem powinien być właśnie taki typ autoryzacji dostępu, tylko automatycznie przyjął brak jego stosowania jako naruszenie. Oznacza to, że można stosować inne środki bezpieczeństwa podobne do weryfikacji dwuskładnikowej, ale należy wykazać, że są odpowiednie w danym przypadku. Kluczowe dla przedsiębiorców wydaje się więc nie tyle stosowanie standardowych zabezpieczeń (w tym obowiązkowo weryfikacji dwuskładnikowej), ile wybór adekwatnych środków bezpieczeństwa dobranych do zidentyfikowanych ryzyk u danego przedsiębiorcy z uwzględnieniem wykorzystywanych przez niego zasobów oraz istniejących dla tych zasobów podatności ‒ specyfiki działania i prowadzonej działalności.
WAŻNEW opinii NSA za naruszenie obowiązków wynikających z art. 32 RODO sankcji nie podlega ten administrator albo podmiot przetwarzający, który dopuścił do nieuprawnionego przetwarzania danych osobowych, ale ten, który nie spełnił odpowiednich do okoliczności standardów bezpieczeństwa.
NSA przyznał jednak rację UODO, że spółka Morele nie podejmowała działań mających na celu ocenę doboru środków technicznych i organizacyjnych przez pryzmat adekwatności do ryzyk. Spółka oceniała i wdrażała rekomendacje z raportów w zakresie zidentyfikowanych już podatności w kodzie oprogramowania, które służyło do przetwarzania danych osobowych, ale nie dokonywała oceny „na przyszłość”, do której zobowiązuje m.in. art. 25 ust. 1 RODO. Analizy ryzyka nie mogą być przeprowadzane doraźnie, tylko dla poszczególnych procesów. Przedsiębiorca, przeprowadzając analizę ryzyka, musi brać pod uwagę nie tylko znane zagrożenia, lecz także takie, które mogą się pojawić. Sam wyrok potwierdza znaną zasadę, że przestrzeganie zasad wynikających z RODO jest procesem ciągłym i nie powinno być realizowane wyłącznie w przypadkach wykrycia nieprawidłowości.
Kolejny ciekawy wątek, jaki się pojawił w sprawie, to stwierdzenie, że spółka niewystarczająco szybko zareagowała na naruszenie. Mimo deklaracji, że stale monitoruje sieć, nie była w stanie stwierdzić, czy faktycznie dane zostały wykradzione. A ciągłe monitorowanie zabezpieczeń jest przecież nieodłącznym elementem systemów bezpieczeństwa informacji.
NSA poświęcił też uwagę przywołanym w sprawie normom i wytycznym. NSA wskazał, że nie mają one charakteru dowodów. Stanowią jedynie standard powszechnie znany i stosowany w bezpieczeństwie informacji, ale nie mają charakteru źródeł prawa. Są stosowane posiłkowo, analogicznie do orzecznictwa i podglądów doktryny.
Co ciekawe, przywołane w sprawie standardy międzynarodowe (PN-EN ISO/IEC 27001:2071-06) czy standardy amerykańskiego Narodowego Instytutu Standaryzacji i Technologii NIST (NIST 800:63B) oprócz tego, że są standardami powszechnie znanymi i stosowanymi w dziedzinie zabezpieczania informacji, to od 1 września 2021 r., kiedy to pełnomocnik rządu ds. cyberbezpieczeństwa w ramach realizacji celu Strategii Cyberbezpieczeństwa Rzeczypospolitej Polskiej na lata 2019–2024 wprowadził Narodowe Standardy Cyberbezpieczeństwa (NSC), mogą być punktem odniesienia do określenia, czy organizacje skutecznie zarządzają bezpieczeństwem i odpowiednio zabezpieczają informację (w tym dane osobowe) przed utratą integralności, dostępności czy też poufności.
Nie zmienia to tego, że choć te wszystkie wytyczne i normy są niezwykle pomocne, to nie stanowią jedynego i idealnego rozwiązania. Takiej roli upatrywać można raczej w kodeksach postępowania akceptowanych przez organy nadzoru, no i oczywiście certyfikacji na podstawie RODO, która nie jest jeszcze w Polsce dostępna.
Nieuprawniony dostęp naruszeniem bezpieczeństwa
NSA podkreślił, że naruszeniem bezpieczeństwa danych osobowych jest już sam nieuprawniony dostęp do nich, bez konieczności wykazywania faktycznej liczby rekordów, jakie zostały dotknięte (w tym wypadku) przestępstwem phishingu. Jest to kolejna istotna wskazówka dla administratorów. Incydenty należy oceniać nie tylko pod kątem rzeczywistych, zidentyfikowanych poszkodowanych (co samo w sobie często jest trudne do ustalenia przez administratora danych), lecz także z punktu widzenia tych, którzy potencjalnie mogli zostać objęci atakiem. W konsekwencji należy znacząco surowiej oceniać ryzyka związane z zarządzaniem bazami zawierającymi setki tysięcy czy miliony rekordów.
Na koniec NSA pokreślił, że w postępowaniach sankcyjnych, a z takim mamy do czynienia, obowiązuje zakaz rozstrzygania wątpliwości co do stanu faktycznego na niekorzyść strony. Organ nie może czynić ustaleń faktycznych bez gromadzenia dowodów, a strona postępowania nie może być nimi zaskakiwana. Prezes UODO winien zwrócić się o złożenie wyjaśnień przed stwierdzeniem naruszenia prawa. Oznacza to, że podczas postępowania przed UODO przedsiębiorca nie musi przedstawiać od razu wszystkich dowodów (szczególnie tych przesądzających o jego winie). Wyrok w tym zakresie pokazuje, że UODO nie może stwierdzać naruszenia przepisów RODO w sytuacji, gdy strona nie zdążyła wyjaśnić wszystkich ważnych wątpliwości. Nie oznacza to jednak, że dozwolona jest obstrukcja w trakcie postępowania.
W odniesieniu do wysokości kary pieniężnej NSA stwierdził, że prezes UODO w kontekście sprawy powinien wziąć pod uwagę sytuację finansową spółki i wskazać, czy wysokość kary pieniężnej będzie proporcjonalna i nie spowoduje upadłości lub kłopotów z płynnością. UODO musi wykazać w swojej analizie, jak kara została wyliczona i czy spełnione są wymagania dotyczące ustalania jej wysokości wynikające z RODO. Przedsiębiorca dzięki temu będzie mógł na podstawie analizy metodologii UODO ocenić, jakie kary mogą mu grozić za naruszenie przepisów RODO.
Odpowiednie środki, czyli jakie
Zarzucane w decyzji przez UODO naruszenie zasady poufności danych poprzez zaniechanie dobrania skutecznych środków technicznych i organizacyjnych oraz oceny ryzyka uzyskania dostępu przez osobę nieuprawnioną do panelu pracownika sprowadzało się w istocie do ustalenia, czy środki wdrożone przez Morele były odpowiednie. NSA przypomniał, że w RODO nie określono standardowych środków bezpieczeństwa, ale należy dynamiczne oceniać przyjęte środki w relacji do procesu przetwarzania. To na administratorze i podmiocie przetwarzającym spoczywa obowiązek doboru i określenia adekwatnych zabezpieczeń przy uwzględnieniu stanu wiedzy technicznej oraz ryzyka naruszenia praw i wolności osób fizycznych.
Co jest kluczowe, NSA podkreślił, że za naruszenie obowiązków z art. 32 RODO sankcji nie podlega ten administrator albo podmiot przetwarzający, który dopuścił do nieuprawnionego przetwarzania danych osobowych, ale ten, który nie spełnił odpowiednich do okoliczności standardów bezpieczeństwa. Oznacza to, że podmiot nie podlega karze za nielegalne działanie osoby trzeciej (np. włamanie do systemu), ale za dopuszczenie do niego na skutek niezastosowania odpowiednich środków bezpieczeństwa. Naruszenia nie stanowi więc sama okoliczność nieuprawnionego dostępu do danych, istnieje bowiem zawsze możliwość zajścia takiego zdarzenia, nawet przy najwyższym poziomie bezpieczeństwa.
NSA wskazuje, że „odpowiednie” środki bezpieczeństwa to nie środki skuteczne w każdym możliwym przypadku. Są to środki techniczne i organizacyjne, które w chwili dostępu do danych osobowych mogły być obiektywnie wymagane od administratora albo podmiotu przetwarzającego. Sankcja za naruszenie art. 32 RODO nie ma więc charakteru automatycznego. Naruszenie ochrony danych osobowych dla przedsiębiorcy nie zawsze musi wiązać się z nałożeniem na niego kary. Jeśli przedsiębiorca dochował staranności w zabezpieczeniu danych, a mimo to doszło do naruszenia, to nie oznacza, że kara jest nieuchronna.
Nihil novi
Wyrok NSA wbrew pozorom nie jest rewolucyjny. Dla przedsiębiorców oznacza, że czasami będą mogli (lub powinni) powołać biegłego w ramach postępowania przed UODO. NSA przypominał też UODO o obowiązku uwzględniania wniosków dowodowych strony, przy jednoczesnym odejściu od arbitralnych, nieuzasadnionych i niepopartych dowodami ustaleń.
UODO ma obowiązek uwzględniania wniosków dowodowych strony, przy jednoczesnym odejściu od arbitralnych, nieuzasadnionych i niepopartych dowodami ustaleń.
Podstawa prawna
NSA w wyroku z 9 lutego 2023 r. (sygn. akt III OSK 3945/21)
Uzasadnienie wyroku uzmysławia, jak istotne jest aktywne działanie administratora jeszcze na etapie postępowania przed UODO. W kontekście całej procedury tylko ten etap postępowania daje administratorowi pole do podnoszenia istotnych argumentów, przedstawiania dokumentów i innych dowodów, również z opinii biegłych i zeznań świadków, oraz prób merytorycznego przekonywania organu do swoich racji. Warto pamiętać, że działania naprawcze i zaradcze administratora już po incydencie oraz współpraca z organem mogą mieć wpływ na minimalizację ewentualnych skutków naruszenia, ale również na wysokość wymierzonej kary.
Warto też mieć na względzie przeprowadzenie udokumentowanej, rzetelnej analizy ryzyka dla wszystkich, lecz także potencjalne zagrożenia. Co równie ważne – solidna dokumentacja, uzasadniająca wybór takich, a nie innych środków bezpieczeństwa, daje realne argumenty w przypadku zaistnienia jakiegokolwiek incydentu. Z obu tych powodów analiza ryzyka to dla administratorów prawdziwa złota zasada systemu ochrony danych osobowych. ©℗