Morele.net nie zapłaci 3 mln kary
Nasza Kancelaria zajmuje się nie tylko przekształceniami spółek czy kredytami frankowymi, ale także wdrożeniami RODO i stałym doradztwem w tym zakresie dla naszych klientów. Z tego względu bardzo interesujemy się karami nakładanymi przez Prezesa Urzędu Ochrony Danych Osobowych.
Jedną z pierwszych i spektakularnych kar była kara nałożona na sklep internetowy Morele.net w wysokości 3 mln złotych. Przyczyną jej nałożenia był ogromny wyciek danych klientów.
Morele.net walczyło przed Wojewódzkim Sądem Administracyjnym, ale Sąd ten przyznał rację Prezesowi UODO.
Przełom i światełko w tunelu!
W dniu 9 lutego 2023 r. Morele.net wygrało przed Naczelnym Sądem Administracyjnym i nie zapłaci drakońskiej kary 3 mln złotych za wyciek danych w 2018 r.
NSA stwierdził (i to jest KLUCZOWE dla wszystkich administratorów danych osobowych), że:
„Sankcji administracyjnej za naruszenie obowiązków wskazanych w art. 32 RODO podlega nie ten, kto jako administrator albo podmiot przetwarzający dopuścił do nieuprawnionego przetwarzania danych osobowych, a tylko podmiot, który nie dochował odpowiedniego, w danych okolicznościach, standardu środków bezpieczeństwa.”
Co to znaczy?
Karze nie podlega administrator za sam fakt wycieku, ale za brak środków bezpieczeństwa w danym momencie adekwatnych i „obiektywnie wymaganych” (analiza ryzyka się kłania). NSA przytomnie zauważył, że nie ma środków ochrony, które dałyby całkowitą pewność bezpieczeństwa danych.
Administrator zostanie ukarany, jeśli nie dochował odpowiedniego, w danych okolicznościach, standardu środków bezpieczeństwa. Okoliczność tą powinien wykazać organ, bo to on prowadzi postępowanie administracyjne.
NSA podkreślił także, że choć co do zasady UODO może samodzielnie dokonywać oceny środków bezpieczeństwa, jednakże nie w każdej sytuacji organ będzie uprawniony do zaniechania powołania biegłego i do dokonania oceny wymagającej wiedzy specjalistycznej we własnym zakresie.
NSA uznał, że w momencie wydawania decyzji odnośnie wycieku z Morele.net UODO nie miał odpowiednich kompetencji do działania bez biegłego. Sprawa ta miała bowiem charakter precedensowy związany ze skalą naruszenia poufności danych osobowych i rozmiarem działalności skarżącej, przetwarzającej dane osobowe ponad 2.200.000 użytkowników. Mimo wniosku Morele.net organ biegłego nie powołał.
To bardzo ważny wyrok dla administratorów danych osobowych. NSA przypomniał,że odpowiedzialność administratora nie ma charakteru odpowiedzialności na zasadzie ryzyka (za sam fakt wycieku), ale na zasadzie winy (za brak wdrożenia odpowiednich środków ochrony danych).