W kilkunastu wyrokach dotyczących wycieku danych osobowych Naczelny Sąd Administracyjny uchylił zarówno decyzje Urzędu Ochrony Danych Osobowych, jak i wyroki Wojewódzkiego Sądu Administracyjnego w Warszawie. Nakazał urzędowi poprowadzić sprawę wycieku od nowa – łącząc wszystkie postępowania skargowe i „główną” sprawę dotyczącą naruszenia. To połączone postępowanie ma, zdaniem NSA, doprowadzić do „wymierzenia jednej skutecznej, proporcjonalnej i odstraszającej kary administracyjnej na podmiot odpowiedzialny” w związku z naruszeniem danych osobowych.

Do jakiego wycieku danych odnoszą się wyroki NSA?

Wyroki NSA z 18 czerwca br. dotyczące wszczętej z urzędu przez UODO sprawy „głównej” co do naruszenia danych osobowych (III OSK 669/22) oraz 13 spraw skargowych wiążą się z wyciekiem danych z internetowego serwisu pożyczkowego moneyman.pl prowadzonego przez znajdującą się dziś w likwidacji firmę ID Finanse (m.in. wyroki o sygn. akt: III OSK 2441/22, III OSK 2496/22, III OSK 1957/22).

Doszło do niego w marcu 2020 r. Nieuprawniony podmiot trzeci przejął wtedy bazę z danymi prawie 141 tys. osób i zażądał okupu za jej zwrot. Dane obejmowały m.in.: imię i nazwisko, adres i numer telefonu, numer PESEL, narodowość, numer NIP, hasło do serwisu oraz informacje o zarobkach. Biorąc pod uwagę m.in. dużą liczbę osób dotkniętych naruszeniem oraz szeroki zakres danych, prezes UODO w grudniu 2020 r. nałożył na administratora ponad 1 mln zł kary.

W październiku 2021 r. Wojewódzki Sąd Administracyjny w Warszawie uchylił decyzję UODO (sygn. akt II SA/Wa 528/21), stwierdzając, że odpowiedzialność ponosi białoruski podmiot przetwarzający dane. Z tą opinią nie zgodził się teraz NSA. Przede wszystkim jednak kwestionuje sposób procedowania UODO.

Dlaczego NSA zaleca UODO połączenie postępowań?

Zdaniem NSA „rozparcelowanie” wycieku na wiele postępowań może „prowadzić do wypaczenia oceny incydentu, jego skali, wagi, czy rozmiarów poniesionych szkód”. W ramach odrębnych postępowań sprawa „zasadniczo nie może być prawidłowo wyjaśniona”, bo wyłączenie pewnych fragmentów zdarzenia „powoduje ich wykluczenie z generalnego budowania obrazu każdej indywidualnej sprawy związanej z naruszeniem przepisów RODO”.

W nowej sprawie wszyscy skarżący, których dane osobowe zostały naruszone, powinni uzyskać status stron postępowania. „W jego ramach winno dojść do wyjaśnienia wszystkich istotnych okoliczności sprawy, jak i zapewnienia praw procesowych stronom postępowania, a następnie wydania decyzji orzekającej o konsekwencjach administracyjnoprawnych odnoszących się do całości incydentu” – podkreślił NSA (cytaty z uzasadnienia sprawy o sygn. III OSK 2181/22).

UODO będzie miał jedno postępowanie zamiast wielu

Jak stwierdza Piotr Liwszic, prawnik i autor serwisu Judykatura.pl, dotychczasowa sytuacja nie była korzystna dla żadnej strony. – Oddalenie skargi czy jej uwzględnienie zależało jedynie od składu konkretnego sądu rozpoznającego identyczny stan faktyczny – wskazuje. – Taka sytuacja nie była także korzystna dla organu nadzorczego, który prowadził kilkaset podobnych, a nawet identycznych postępowań administracyjnych, zbierając w każdym z nich identyczny materiał dowodowy – dodaje Piotr Liwszic. Wyjaśnia, że prezes UODO powinien teraz wprowadzić sprawy skargowe do postępowania toczącego się w przedmiocie naruszenia RODO i wydać jedną decyzję.

– To może potencjalnie usprawnić działanie UODO, bo zamiast wielu spraw będzie prowadził jedną – komentuje dr Iga Małobęcka-Szwast, radca prawny i prezes fundacji Blue Dragon Institute. – Widzę tu jednak również ryzyko osiągnięcia efektu odmiennego od zamierzonego. To rozwiązanie rodzi bowiem więcej problemów proceduralnych niż rozwiązuje – zastrzega.

Problem w tym, że skargę do UODO można złożyć nawet po latach

Iga Małobęcka-Szwast wskazuje, że problemy mogą wyniknąć z art. 77 RODO o prawie do złożenia skargi. – Skargę można wnieść nawet kilka lat po naruszeniu, bo prawo to nie jest ograniczone czasowo – mówi Iga Małobęcka-Szwast. – Jeśli postępowanie będzie wtedy jeszcze trwało, to UODO tę osobę dołączy. Ale co będzie miał zrobić, jeśli decyzja zostanie już wydana? Nie może dołączyć nikogo ex post do zakończonego postępowania. I nie może też ograniczać nikomu prawa do skargi z RODO – wskazuje.

Przepisy o ochronie danych osobowych nie przewidują zawiadamiania wszystkich zainteresowanych o możliwości dołączenia do wszczętego postępowania. – Abstrahując od tego, czy prezes UODO ma w ogóle podstawę prawną do dokonywania takich zawiadomień, zamiast usprawnienia doszłoby więc do utrudnienia i spowolnienia postępowań – uważa Iga Małobęcka-Szwast.

Przyznaje, że w tym konkretnym przypadku – dotyczącym wycieku danych z 2020 r. – ze względu na upływ czasu ryzyko kolejnych skarg jest znikome. – Gdyby jednak w ten sposób miałyby być rozpatrywane wszystkie naruszenia związane z wyciekami, byłby kłopot – stwierdza prawniczka.

Tysiące osób mogą być stroną postępowania w sprawie wycieku danych

Piotr Liwszic dostrzega inne ryzyko, związane z tym, że stroną w jednym postępowaniu może być kilkaset, a nawet kilka tysięcy osób. – W takim postępowaniu znajdować się może dokumentacja administratora danych dotycząca środków bezpieczeństwa fizycznego. Jeśli administrator nie zadba o tajemnicę przedsiębiorstwa, to każda strona postępowania może mieć do niej dostęp – wskazuje.

Jak dodaje, uprawnienie strony pozwoli też osobom, których dane wyciekły, składać skargę do WSA oraz skargę kasacyjną do NSA wobec decyzji prezesa UODO co do braku ukarania administratora karą pieniężną bądź co do wysokości takiej kary. – Dotychczas nie było to możliwe – stwierdza Piotr Liwszic.

NSA: za wyciek odpowiada administrator

Ponadto w przytoczonych wyrokach NSA nie zgodził się z sądem pierwszej instancji co do odpowiedzialności za naruszenie. Stwierdził, że gdy administrator „zawiera umowę o powierzenie przetwarzania danych osobowych, która nie podlega prawu UE lub państwa członkowskiego”, to ponosi „odpowiedzialność obiektywną za wszystkie czynności przetwarzania” dokonywane przez podmiot przetwarzający (III OSK 1978/22).

– W tej kwestii argumentacja NSA mnie przekonuje – mówi Iga Małobęcka-Szwast. – Skoro ktoś się decyduje na korzystanie z usług podmiotu przetwarzającego z państwa trzeciego, który nie podlega RODO (por. art. 3 ust. 1 i 2 RODO), to czyni to na własne ryzyko. Zgodne z art. 28 RODO należy dołożyć należytej staranności przy wyborze podmiotu przetwarzającego. W świetle ww. wyroków NSA wybór procesora spoza EOG, który nie podlega RODO, kreuje domniemanie, że to administrator ponosi odpowiedzialność za ewentualne naruszenia po stronie tego procesora – dodaje dr Małobęcka-Szwast.

Piotr Liwszic podkreśla, że wyprowadzenie procesu przetwarzania poza obszar obowiązywania RODO było świadomym działaniem administratora. Jego zdaniem po tych orzeczeniach warto zweryfikować umowy z podmiotami przetwarzającymi znajdującymi się poza zasięgiem RODO. – Administratorzy powinni zbadać, czy w celu zminimalizowania odpowiedzialności nie jest lepszym wyjściem znalezienie takiego podmiotu na terytorium UE – wskazuje.

UODO nie otrzymał jeszcze i nie przeanalizował wyroków NSA. Jak stwierdza Karol Witowski, rzecznik prasowy urzędu, dopiero po dokładnej analizie wskazań sądu "będzie możliwe podjęcie konkretnych czynności w sprawach, których dotyczą te wyroki, a w konsekwencji dokonanie oceny ich wpływu na inne prowadzone przez Prezesa Urzędu Ochrony Danych Osobowych sprawy dotyczące skarg i naruszeń". ©℗

ikona lupy />
Tysiące naruszeń i skarg / Dziennik Gazeta Prawna - wydanie cyfrowe