fbpx
ochrona informacji danych , wsparcie biznesu

Czy administratorowi przysługuje „prawo do obrony”?

09 lutego 2023 r. Naczelny Sąd Administracyjny wydał wyrok w sprawie Morele.net (sygn. akt: III OSK 3945/21), w którym uchylił decyzję Prezesa Urzędu Ochrony Danych Osobowych nakładającą administracyjną karę pieniężną na Morele.net oraz wyrok Wojewódzkiego Sądu Administracyjnego w Warszawie oddalający skargę na powyższą decyzję.

Prezes UODO w wydanej przez siebie decyzji zarzucił Morele.net m.in. naruszenie zasady poufności poprzez stosowanie sposobu uwierzytelniania użytkowników panelu pracownika sklepów internetowych, ograniczającego się do loginu i hasła. W ocenie Prezesa UODO taki sposób uwierzytelniania był niewystarczający i w związku z nieuprawnionym uzyskaniem dostępu do tego panelu przez osobę trzecią skutkował wyciekiem danych klientów sklepów internetowych, w tym danych transakcji poszczególnych klientów. WSA w Warszawie podzielił stanowisko Prezesa UODO i oddalił skargę Morele.net na decyzję Prezesa UODO. Morele.net nie zgodziło się z takim rozstrzygnięciem i złożyło skargę kasacyjną. 

Czy administrator ma prawo do obrony ?

Wyrok wydany przez NSA zasługuje na uwagę i to nie dlatego, że uchyla decyzję nakładającą na administratora wielomilionową karę pieniężną.  Uzasadnienie tego wyroku zawiera bowiem dość jednoznaczne stanowiska interpretacyjne w kilku kwestiach istotnych z punktu widzenia praktycznego stosowania przepisów RODO. 

Ciekawym zagadnieniem omawianej sprawy są rozważania NSA co do tego czy stronie postępowania administracyjnego (w tym przypadku administratorowi danych osobowych) przysługuje „prawo do obrony”. Konieczność rozstrzygnięcia powyższej kwestii powstała z uwagi na to, że Prezes UODO jako organ administracyjny, nie uwzględnił wniosku Morele.net o przeprowadzenie dowodu z opinii biegłego na okoliczność: 

  • ustalenia standardów technicznych i organizacyjnych środków bezpieczeństwa w działalności gospodarczej przedsiębiorców w obszarze e-commerce o podobnej skali i charakterze,  
  • oceny czy środki techniczne i organizacyjne stosowane przez Morele.net odpowiadały takim standardom,   
  • czy były odpowiednie uwzględniając stan wiedzy technicznej, koszt wdrażania oraz charakter, zakres, kontekst i cele przetwarzania oraz ryzyko naruszenia praw lub wolności osób fizycznych o różnym prawdopodobieństwie wystąpienia i wadze zagrożenia.  

O odpowiednim standardzie środków bezpieczeństwa i stanowisku NSA w tym zakresie wyrażonym w omawianej sprawie pisaliśmy TUTAJ.

Prawo do obrony

Analizując zagadnienie “prawa do obrony” NSA stwierdził m.in., że: 

  • przepisy kodeksu postępowania administracyjnego (KPA) wprawdzie nie przewidują jako takiego „prawa do obrony” strony postępowania, jednakże szereg uprawnień strony składających się na takie prawo można wywieść z przepisów KPA wyrażających szeroko rozumianą zasadę czynnego udziału strony w postępowaniu 
  • w orzecznictwie przyjmuje się, że w sprawach o nałożenie sankcji administracyjnych strona (jako podmiot, któremu tak naprawdę zarzuca się w takich sprawach popełnienie deliktu administracyjnego) powinna mieć możliwość obrony, a jednocześnie wniosek dowodowy jest tak naprawdę jedynym środkiem obrony strony dążącej do wykazania korzystnych dla niej okoliczności faktycznych 
  • postępowanie administracyjne przed Prezesem UODO jest postępowaniem jednoinstancyjnym i tym samym strona nie ma prawa do wniesienia odwołania czy wniosku o ponowne rozpatrzenie sprawy, w których mogłaby zawrzeć wnioski dowodowe zmierzające do podważenia stanowiska przyjętego w decyzji administracyjnej. 

W konsekwencji NSA uznał, że powołanie biegłego ma wprawdzie charakter fakultatywny i zależy od uznania organu prowadzącego postępowanie (przepisy KPA stanowią bowiem, że gdy w sprawie wymagane są wiadomości specjalne, organ administracji publicznej „może zwrócić się do biegłego”), jednakże nie w każdym przypadku organ będzie uprawniony do odstąpienia od powołania biegłego i rozstrzygnięcia sprawy w oparciu o wiedzę specjalistyczną własnego personelu. 

Zatem pomimo tego, że przepisy KPA nie przewidują „prawa do obrony” w takiej postaci jak np. przepisy prawa karnego, to uwzględniając powyższe stanowisko NSA należałoby przyjąć, że w sprawach o nałożenie sankcji administracyjnych część uprawnień przysługujących stronie takiego postępowania stanowi dla niej formę “obrony.” 

O tym czy każdy wyciek danych uzasadnia nałożenie sankcji administracyjnych określonych w przepisach RODO i stanowisku NSA w tym zakresie wyrażonym w omawianej sprawie pisaliśmy TUTAJ.

autorzy: radca prawny Paweł Giersz, radca prawny Paweł Skuza

Wszystkie wpisy