fbpx
ochrona informacji danych , spory sądowe i mediacja , wsparcie biznesu

Czy dwuetapowe uwierzytelnianie to niezbędne zabezpieczenie każdego sklepu internetowego?

09 lutego 2023 r. Naczelny Sąd Administracyjny wydał wyrok w sprawie Morele.net (sygn. akt: III OSK 3945/21), w którym uchylił decyzję Prezesa Urzędu Ochrony Danych Osobowych nakładającą administracyjną karę pieniężną na Morele.net oraz wyrok Wojewódzkiego Sądu Administracyjnego w Warszawie oddalający skargę na powyższą decyzję.

Prezes UODO w wydanej przez siebie decyzji zarzucił Morele.net m.in. naruszenie zasady poufności poprzez stosowanie sposobu uwierzytelniania użytkowników panelu pracownika sklepów internetowych, ograniczonego do loginu i hasła, który w ocenie Prezesa UODO był niewystarczający, i w związku z nieuprawnionym uzyskaniem dostępu do tego panelu przez osobę trzecią skutkował wyciekiem danych klientów sklepów internetowych, w tym danych transakcji poszczególnych klientów. WSA w Warszawie podzielił stanowisko Prezesa UODO i oddalił skargę Morele.net na decyzję Prezesa UODO. Morele.net nie zgodziło się z takim rozstrzygnięciem i złożyło skargę kasacyjną.

Dlaczego ten wyrok jest tak ważny?

Wyrok wydany przez NSA zasługuje na uwagę i to nie dlatego, że uchyla decyzję nakładającą na administratora wielomilionową karę pieniężną, ale dlatego, że uzasadnienie tego wyroku zawiera dość jednoznaczne stanowiska interpretacyjne w kilku kwestiach istotnych z punktu widzenia praktycznego stosowania przepisów RODO.
Prezes UODO w uzasadnieniu uchylonej decyzji, w części odnoszącej się do wspomnianego zarzutu naruszenia zasady poufności, m.in. odwołał się do wytycznych Europejskiej Agencji ds. Bezpieczeństwa Sieci i Informacji (ENISA) dotyczących bezpieczeństwa przetwarzania danych osobowych wydanych w 2016 r., oraz rekomendacji stosowania wieloetapowego uwierzytelniania zawartych w dokumencie „OWASP Top 10 – 2017” udostępnionym przez fundację OWASP, której celem jest opracowywanie i szerzenie dobrych praktyk wśród twórców oprogramowania. Ponadto Prezes UODO powołał się na dokumenty określające:

  • możliwe konsekwencje i skutki niepowodzenia uwierzytelnienia (norma PN-ISO/IEC 29115:2017-07 („Technika informatyczna – Techniki bezpieczeństwa — Ramy uzasadnionej pewności poziomów uwierzytelnienia”),
  • ryzyko ataków phishingowych (raporty roczne z działalności CERT Polska za 2016, 2017 i 2018 rok),
  • konieczność doboru właściwego środka uwierzytelniającego (dokument NIST 800-63B oraz opracowania organizacji OWASP).
Jakie jest stanowisko NSA w tej sprawie?

Jak wynika z uzasadnienia wydanego przez NSA wyroku, w ocenie NSA, decyzja Prezesa UODO w powyższym zakresie została uzasadniona w sposób zbyt lakoniczny, co nie pozwala uznać za udowodnioną okoliczności naruszenia przez Morele.net zasady poufności poprzez niezastosowanie odpowiednich środków technicznych, w tym tego, że takim odpowiednim środkiem byłoby w tym przypadku uwierzytelnianie dwuetapowe. NSA nie rozstrzygnął czy uwierzytelnianie dwuetapowe było w tym wypadku wymaganym środkiem zabezpieczenia, ponieważ kompetencje do dokonywania takich rozstrzygnięć należą do organów administracyjnych (w tym wypadku Prezesa UODO).

Niemniej jednak treść uzasadnienia wyroku NSA potwierdza, że określony środek zabezpieczenia, tak jak w tym wypadku dwuetapowe uwierzytelnianie, nie powinien być uznawany za środek zabezpieczenia, do wdrożenia którego zobowiązany jest każdy administrator przetwarzający dane osobowe w określony sposób, w tym przypadku w ramach bazy danych sklepu internetowego. NSA wielokrotnie powołuje się w tym uzasadnieniu na „odpowiedni standard środków bezpieczeństwa”, który administrator powinien zapewnić przy przetwarzaniu danych osobowych, wskazując dodatkowo, że „odpowiedni” oznacza w tym wypadku dostosowany do stanu wiedzy technicznej, kosztu wdrażania oraz charakteru, zakresu i kontekstu przetwarzania.

Jakie wnioski płyną z wyroku NSA ws. Morele.net?

Ten aspekt omawianego wyroku NSA trudno może uznać za rewolucyjny, bo powyższe stanowisko NSA stanowi wykładnię obowiązujących przepisów RODO, w tym w szczególności przepisu art. 32 ust. 1 RODO, którego treść nie budzi raczej wątpliwości. Jednakże stanowisko to podkreśla, być może oczywiste, ale w naszej ocenie bardzo istotne z praktycznego punktu widzenia, założenie przepisów RODO, zgodnie z którym standard środków bezpieczeństwa, który zobowiązany jest zapewnić konkretny administrator danych osobowych, ustalany jest indywidualnie dla każdego przypadku przetwarzania z uwzględnieniem jego charakteru, zakresu i kontekstu.

Zatem to każdy administrator samodzielnie zobowiązany jest ustalić jakie środki zabezpieczeń powinien wdrożyć w celu zapewnienia odpowiedniego stopnia bezpieczeństwa przetwarzania danych, a tym samym ustalić właściwy dla siebie standard środków bezpieczeństwa. Z uwagi na to, że takie ustalenia siłą rzeczy wymagają dokonania oceny czy stopień bezpieczeństwa jest w danym przypadku odpowiedni, nie jest możliwe stworzenie jakiegokolwiek uniwersalnego katalogu środków zabezpieczeń, nawet dla konkretnych form przetwarzania danych osobowych (np. w formie bazy danych sklepu internetowego), których wdrożenie eliminowałoby po stronie administratora ryzyko uznania, że wdrożone przez niego środki zabezpieczeń nie zapewniają jednak odpowiedniego stopnia bezpieczeństwa.

Wszystkie wpisy