Urząd Ochrony Danych Osobowych nie zbadał wystarczająco okoliczności potencjalnego wycieku danych ze spółki Fortum Marketing and Sales. Nie ustalił nawet stanu faktycznego – uznał WSA w Warszawie.
To kolejna kara finansowa nałożona przez prezesa UODO, która nie ostała się w sądzie. W lutym 2023 r. Naczelny Sąd Administracyjny ostatecznie uchylił decyzję w sprawie 2,8 mln zł wymierzonych spółce Morele.net. Okazuje się, że wcześniej Wojewódzki Sąd Administracyjny w Warszawie podważył najwyższą z dotychczasowych kar nałożonych na podstawie RODO. Choć wyrok zapadł w październiku 2022 r., to dotychczas nie był znany opinii publicznej. DGP uzyskał jego uzasadnienie, występując o udostępnienie informacji publicznej.
W kwietniu 2020 r. dostawca prądu i gazu spółka Fortum Marketing and Sales poinformowała prezesa UODO o możliwości skopiowania bazy danych jej klientów przez nieuprawnione do tego osoby. Spółka zlecała przetwarzanie tych danych zewnętrznej firmie (procesorowi). Ponieważ usługa nie była wystarczająco wydajna, podmiot przetwarzający miał ją udoskonalić. To właśnie wtedy utworzył dodatkową kopię danych klientów, która, co gorsza, znalazła się na niezabezpieczonym serwerze. Dwóch internautów powiadomiło Fortum o tym, że ma dostęp do tej bazy.
Wina leżała po stronie procesora. Nie tylko nie zastosował powszechnych standardów bezpieczeństwa, lecz także nie przeprowadził pseudonimizacji, do czego zobowiązywała go umowa z Fortum. To dlatego zaistniała możliwość pozyskania danych klientów, takich jak: nazwiska, adresy, numery PESEL, numery dokumentów tożsamości czy informacji kontaktowych. UODO uznał, że główna odpowiedzialność spoczywa na samym administratorze.
„Co w tej sprawie jest równie ważne, to fakt, że administrator pomimo wdrożonych procedur oraz posiadanej wiedzy, jak zgodnie z powszechnie stosowanymi praktykami powinno przebiegać wprowadzanie zmian w systemach informatycznych, na żadnym etapie wdrożenia nie prowadził nadzoru nad tym, czy wdrożenie faktycznie przebiega zgodnie z powszechnie obowiązującymi standardami” – napisano w komunikacie o nałożeniu kary ponad 4,9 mln zł na spółkę Fortum i 250 tys. zł na podmiot przetwarzający dane.
Prawda obiektywna
Spółka zaskarżyła decyzję do sądu, a ten uznał jej zarzuty za uzasadnione.
– Jako pełnomocnik w tej sprawie cieszę się, że WSA podzielił nasz zarzut braku ustalenia przez prezesa UODO stanu faktycznego. Brak tych ustaleń dotyczył wielu aspektów, w tym także okoliczności i przyczyn incydentu oraz roli procesora i możliwości sprawowania nad nim efektywnej kontroli przez administratora, mając na względzie rozwiązania techniczne stosowane przez podmiot przetwarzający – mówi dr Gabriela Bar z kancelarii Szostek Bar i Partnerzy, która reprezentowała Fortum.
– Podnosiliśmy także zarzuty naruszenia przepisów prawa materialnego, które miały wpływ na wynik sprawy, jednak na tym etapie sprawy okazały się one zbędne, gdyż WSA uwzględnił zarzuty naruszenia procedury administracyjnej – dodaje.
Sąd w uzasadnieniu wyroku przywołał zasadę prawdy obiektywnej (patrz: grafika), zgodnie z którą organ jest zobowiązany do dokładnego wyjaśnienia stanu faktycznego. Zdaniem WSA prezes UODO zadaniu temu nie sprostał. Uzasadnienie decyzji, mimo swej obszerności, nie zawiera bowiem elementów, które pozwoliłyby na ocenę jego poprawności.
„Przede wszystkim nie wynika z niego to, aby organ ustalił w ogóle stan faktyczny sprawy. Prezes UODO, konstruując uzasadnienie decyzji, ograniczył się wyłącznie do przywołania oświadczeń stron, złożonych w trakcie trwania postępowania administracyjnego (i to oświadczeń nie zawsze zbieżnych ze sobą). Nie dokonał jednakże żadnej oceny wiarygodności owych oświadczeń” – podkreślono w pisemnym uzasadnieniu rozstrzygnięcia.
Choć karę nałożono za brak wdrożenia odpowiednich środków technicznych i organizacyjnych zapewniających bezpieczeństwo danych osobowych, to – zdaniem sądu – z decyzji nie wynika, czy administrator istotnie nie prowadził nadzoru nad modernizacją systemu informatycznego. Nie wiadomo nawet, czy rzeczywiście doszło do wycieku danych, czy też jedynie pojawiła się „krótkotrwała możliwość uzyskania dostępu do danych osobowych przez osoby nieuprawnione”.
– Z mojego punktu widzenia najważniejszym elementem uzasadnienia wyroku WSA jest wskazanie, że prezes UODO nie przeprowadził żadnych własnych badań skutków naruszenia, skupiając się jedynie na ocenie oświadczeń i dokumentacji przedstawionych przez strony. Oznacza to w pierwszej kolejności, że organ nie miał podstaw do orzekania o karze, mając na względzie art. 83 RODO, ale także, że prezes UODO postawił znak równości pomiędzy naruszeniem poufności danych a wysokim ryzykiem dla podmiotów dotkniętych naruszeniem – zauważa dr Gabriela Bar.
Na to samo zwraca uwagę dr Paweł Litwiński, adwokat w kancelarii Barta Litwiński.
– Dla mnie, jako prawnika zajmującego się od wielu lat ochroną danych osobowych, najważniejsze znaczenie ma ten fragment uzasadnienia, w którym sąd stwierdza, że „organ nie przeprowadził żadnych własnych badań skutków naruszenia”. Moim zdaniem nie może być tak, że w sprawach dotyczących naruszeń, zwłaszcza takich, w których nakładane są wielomilionowe kary, prezes UODO nie bada skutków naruszenia – uważa dr Paweł Litwiński.
Rozstrzygnie NSA
UODO nie zgadza się z tym rozstrzygnięciem i wniósł na nie skargę kasacyjną do Naczelnego Sądu Administracyjnego.
– Stan faktyczny decyzji prezesa UODO został ustalony na podstawie wyjaśnień stron, które pokrywały się z materiałem dowodowym załączonym do wyjaśnień, a zatem był on spójny i wyczerpujący. Prezes UODO w treści uzasadnienia swojej decyzji wskazał, z którymi wyjaśnieniami stron się nie zgadza. Szczegółowo uzasadnił swoje stanowisko, które było odmienne od stanowisk stron. Organ nadzorczy nie poprzestał więc jedynie na przywołaniu oświadczeń stron, ale dokonał ich weryfikacji i oceny pod kątem prawidłowej realizacji obowiązków wynikających z ogólnego rozporządzenia o ochronie danych osobowych – przekonuje Adam Sanocki, rzecznik prasowy UODO.
Zwraca uwagę, że kara finansowa została nałożona za stwierdzone naruszenia przepisów RODO, a nie za samo zdarzenie.
– Naruszenie ochrony danych osobowych było jedynie przyczyną do zbadania, w jakim stopniu podmioty te realizują obowiązki wynikające z przepisów RODO, w szczególności w zakresie zabezpieczania danych, dokonywania zmian w systemach informatycznych służących do przetwarzania danych osobowych i nadzoru nad takimi zmianami – podkreśla rzecznik.©℗
orzecznictwo
Podstawa prawna
Wyrok Wojewódzkiego Sądu Administracyjnego w Warszawie z 10 października 2022 r., sygn. akt II SA/Wa 567/22 www.serwisy.gazetaprawna.pl/orzeczenia