Prezes UODO w wydanej przez siebie decyzji zarzucił Morele.net m.in. naruszenie zasady poufności poprzez stosowanie sposobu uwierzytelniania użytkowników panelu pracownika sklepów internetowych, ograniczającego się do loginu i hasła. W ocenie Prezesa UODO taki sposób uwierzytelniania był niewystarczający i w związku z nieuprawnionym uzyskaniem dostępu do tego panelu przez osobę trzecią skutkował wyciekiem danych klientów sklepów internetowych, w tym danych transakcji poszczególnych klientów. WSA w Warszawie podzielił stanowisko Prezesa UODO i oddalił skargę Morele.net na decyzję Prezesa UODO. Morele.net nie zgodziło się z takim rozstrzygnięciem i złożyło skargę kasacyjną.
Wyrok wydany przez NSA zasługuje na uwagę i to nie dlatego, że uchyla decyzję nakładającą na administratora wielomilionową karę pieniężną. Uzasadnienie tego wyroku zawiera bowiem dość jednoznaczne stanowiska interpretacyjne w kilku kwestiach istotnych z punktu widzenia praktycznego stosowania przepisów RODO.
Czy każdy wyciek danych uzasadnia nałożenie na administratora sankcji administracyjnych?
Zadając sobie pytanie czy każdy wyciek danych uzasadnia nałożenie na administratora sankcji administracyjnych określonych w przepisach RODO, od razu nasuwa się odpowiedź, że nie, a przynajmniej, że nie powinno tak być.
Po pierwsze bowiem, nie istnieją środki zabezpieczenia, których przełamanie jest absolutnie niemożliwe. Po drugie, trudno byłoby zaakceptować sytuację, w której na administratora byłyby nakładane sankcje z tego tytułu w przypadku, w którym doszło do wycieku pomimo zapewnienia przez niego odpowiednich środków zabezpieczeń, a już w szczególności w przypadku, w którym wyciek jest konsekwencją umyślnych działań osoby trzeciej, np. ataku hakera.
O odpowiednim standardzie środków bezpieczeństwa i stanowisku NSA w tym zakresie wyrażonym w omawianej sprawie pisaliśmy TUTAJ.
W uzasadnieniu omawianego wyroku, NSA przedstawił jasne stanowisko w powyższym zakresie, udzielając jednoznacznej odpowiedzi na powyższe pytanie. Tutaj warty przytoczenia jest następujący fragment uzasadnienia tego wyroku:
„Reasumując, sankcji administracyjnej za naruszenie obowiązków wskazanych w art. 32 RODO podlega nie ten, kto jako administrator albo podmiot przetwarzający dopuścił do nieuprawnionego przetwarzania danych osobowych, a tylko podmiot, który nie dochował odpowiedniego, w danych okolicznościach, standardu środków bezpieczeństwa. Karze nie podlega jednostka za nielegalne działanie osoby trzeciej (np. hakera), polegające na nieuprawnionym dostępie do danych przezeń przetwarzanych, a za dopuszczenie do tego dostępu w związku z nieodpowiednim poziomem stosowanych zabezpieczeń. O naruszeniu powołanego przepisu nie przesądza sama okoliczność nieuprawnionego dostępu do danych, ponieważ taki stan rzeczy jest potencjalnie możliwy do zaistnienia również przy dochowaniu najwyższego poziomu zabezpieczeń. Wykładnię tę wzmacnia treść motywu 76 RODO, w którym wskazuje się, że „[r]yzyko należy oszacować na podstawie obiektywnej oceny, w ramach której stwierdza się, czy z operacjami przetwarzania danych wiąże się ryzyko lub wysokie ryzyko”.
„Mając powyższe na uwadze, bezspornie „odpowiednie” na gruncie art. 32 ust. 1 RODO środki techniczne i organizacyjne, to nie środki skuteczne w każdym przypadku, a takie, których dochowanie mogło być w dacie i okolicznościach dostępu do danych osobowych, obiektywnie wymagane od danego podmiotu (administratora albo podmiotu przetwarzającego). Kwestia ta ma kluczowe znaczenie w rozpatrywanej sprawie, ponieważ kara pieniężna z tytułu naruszenia art. 32 RODO nie ma charakteru automatycznego, tj. sankcji za nieuprawniony dostęp do danych osobowych na skutek czynu zabronionego popełnionego przez osobę trzecią.”
