Wojewódzki sąd administracyjny oddalił skargę Morele.net na decyzję prezesa Urzędu Ochrony Danych Osobowych, która nakładała na spółkę 3,82 mln zł kary za naruszenie przepisów RODO.
Sprawa dotyczy ataku hakerskiego z 2018 r. na sklepy internetowe spółki Morele.net, w wyniku którego doszło do wycieku danych osobowych klientów. Spółka administrowała bazą danych 2,2 mln osób, z czego 35 tys. pozycji zawierało numery PESEL oraz informacje o sytuacji osobistej i majątkowej. Wykradziona baza stała się potem podstawą do ataków phishingowych.
UODO przeprowadził kontrolę, w wyniku której wszczął wobec Morele.net postępowanie administracyjne. W jego trakcie stwierdzono dobór nieskutecznych środków technicznych i organizacyjnych do ochrony przetwarzanych danych osobowych. Zdaniem UODO administrator nie podjął właściwych działań, aby dobrać środki dostosowane do występującego ryzyka.
W rezultacie 10 września 2019 r. prezes UODO nałożył na spółkę 2,83 mln zł kary za naruszenie przepisów RODO. Firma zaskarżyła tę decyzję, a po tym, jak WSA oddalił skargę, zwróciła się do Naczelnego Sądu Administracyjnego.
NSA 9 lutego 2023 r. uchylił decyzję prezesa UODO. Nie zakwestionował wszystkich jego ustaleń, ale podważył kompetencje organu do oceniania zastosowanych przez administratora środków technicznych i organizacyjnych mających zabezpieczyć dane. Zdaniem sądu organ powinien uprawdopodobnić posiadanie wiedzy potrzebnej do przeprowadzenia takiej analizy.
W związku z tym organ nadzorczy ponownie przeprowadził postępowanie administracyjne w sprawie Morele.net. Wykazało ono, że do naruszenia ochrony danych osobowych doszło przez brak zastosowania przez spółkę odpowiednich zabezpieczeń, co doprowadziło do wycieku danych osobowych. Decyzją z 17 stycznia br. PUODO ponownie stwierdził naruszenie przepisów RODO i nałożył na spółkę karę – podnosząc ją do 3,82 mln zł.
Właściciel sklepów ponownie złożył skargę do WSA. Sąd oddalił ją 16 września br. Wskazał, że organ nadzorczy uwzględnił ocenę prawną i wskazania co do dalszego postępowania wyrażone w wyroku NSA – ponieważ dokonał ponownej oceny wniosku Morele.net o dopuszczenie i przeprowadzenie dowodu z opinii biegłego dotyczącej prawidłowości zabezpieczeń, które spółka stosowała w 2018 r.
Odmowę uwzględnienia tego wniosku WSA uznał za dostatecznie uzasadnioną. Sąd zgodził się z prezesem UODO, że ten nie był zobligowany, aby powołać biegłego. Zdaniem WSA organ nadzorczy ma wystarczającą specjalistyczną wiedzę, aby ocenić postępowanie administratora i móc oprzeć swoją decyzję na analizie opracowanej przez pracowników urzędu.
WSA nie uwzględnił także zarzutu spółki, że w drugiej decyzji PUODO nie był uprawniony do podniesienia kary, mimo że nie zmieniły się okoliczności związane ze sprawą. Spółka zamierza zaskarżyć wyrok do NSA. ©℗
orzecznictwo
Podstawa prawna
Wyrok Wojewódzkiego Sądu Administracyjnego w Warszawie z 16 września 2024 r., sygn. akt II SA/Wa 430/24