16 września 2024 r. Wojewódzki Sąd Administracyjny (WSA) wydał wyrok oddalający skargę złożoną przez Morele.net przeciwko decyzji Prezesa Urzędu Ochrony Danych Osobowych (UODO) z dnia 17 stycznia 2024 r. Decyzja ta nałożyła na spółkę karę w wysokości ponad 3,8 mln złotych za naruszenia przepisów Rozporządzenia o Ochronie Danych Osobowych (RODO). Wydarzenie to stanowi kulminację wieloletnich postępowań prawnych i nadzorczych związanych z jednym z największych wycieków danych osobowych w Polsce, który miał miejsce pod koniec 2018 r., i dotyczył danych prawie 2,2 mln osób.
Historia postępowania
Sprawa związana z wyciekiem danych z Morele.net miała swoje początki w 2018 roku, kiedy to doszło do nieautoryzowanego dostępu do danych osobowych klientów sklepu internetowego. W wyniku tego naruszenia, UODO w 2019 roku wszczął postępowanie administracyjne, które zakończyło się nałożeniem na spółkę kary w wysokości 2,8 mln złotych. Decyzja ta została zakwestionowana przez Morele.net, które złożyło skargę do WSA.
W 2023 roku Naczelny Sąd Administracyjny (NSA) uchylił wyrok WSA oddalający skargę spółki, uznając, że w postępowaniu przed Prezesem UODO nie rozpatrzono dostatecznie wniosku Morele.net o dopuszczenie dowodu z opinii biegłego, który miałby ocenić standardy zabezpieczeń stosowane przez firmę. W związku z tym NSA zobowiązał UODO do ponownej analizy sprawy, co doprowadziło do kolejnej decyzji Prezesa UODO w styczniu 2024 roku. Tym razem urząd, przeprowadzając dodatkowe czynności kontrolne, nałożył na spółkę karę w wysokości 3,8 mln złotych, co było zwiększeniem pierwotnej sankcji.
Ustalenia UODO
UODO w swojej decyzji wskazał na liczne uchybienia w zakresie ochrony danych osobowych po stronie Morele.net. W wyniku ponownej analizy wykazano, że spółka nie wdrożyła odpowiednich środków technicznych i organizacyjnych, które mogłyby zapobiec naruszeniu danych. Wśród stwierdzonych braków znalazły się m.in.:
- niedostateczne szyfrowanie danych,
- brak wielopoziomowego uwierzytelniania,
- brak kompleksowej analizy ryzyka, która uwzględniałaby potencjalne zagrożenia związane z logowaniem się do systemu z publicznych sieci,
- niewdrożenie rozwiązań umożliwiających monitorowanie ruchu w sieci oraz odpowiednie reagowanie na podejrzane działania.
Jednym z kluczowych argumentów Prezesa UODO było również to, że naruszenia te umożliwiły dwukrotny, nieautoryzowany dostęp do danych z zewnątrz, co pozwoliło osobie niepowołanej na uzyskanie dostępu do danych klientów. Ostatecznie urząd uznał, że brak odpowiednich zabezpieczeń technicznych oraz niedociągnięcia w procedurach organizacyjnych stanowiły poważne naruszenie przepisów RODO.
Rozstrzygnięcie WSA
16 września 2024 r. WSA, po rozpatrzeniu skargi Morele.net na decyzję Prezesa UODO z dnia 17 stycznia 2024 r., oddalił skargę spółki, potwierdzając tym samym zasadność nałożenia kary. W uzasadnieniu wyroku sąd podkreślił, że Prezes UODO przy ponownym rozpatrzeniu sprawy uwzględnił wytyczne NSA, dotyczące przeprowadzenia dowodu z opinii biegłego. Urząd podjął działania mające na celu sporządzenie wewnętrznej analizy dotyczącej standardu środków bezpieczeństwa stosowanych przez Morele.net, co stanowiło podstawę do odmowy dopuszczenia dowodu z opinii biegłego. Zdaniem sądu, pracownicy UODO posiadali wystarczające kompetencje, by ocenić, czy zastosowane przez spółkę zabezpieczenia były zgodne z obowiązującymi przepisami.
Co więcej, WSA zaznaczył, że decyzja UODO była wszechstronnie uzasadniona, zarówno w kontekście naruszeń, jak i wysokości nałożonej kary. Sąd podkreślił, że wysokość sankcji była proporcjonalna do skali naruszenia oraz liczby osób, których dane zostały objęte wyciekiem. Warto zaznaczyć, że kara została podniesiona z pierwotnych 2,8 mln zł do 3,8 mln zł, co podkreśla wagę popełnionych przez Morele.net uchybień.
Znaczenie wyroku
Decyzja WSA jest istotnym precedensem w zakresie ochrony danych osobowych w Polsce. Pokazuje ona, że organy nadzorcze, takie jak UODO, mają szerokie uprawnienia do nakładania kar pieniężnych na podmioty naruszające przepisy RODO, zwłaszcza w przypadkach poważnych uchybień w zabezpieczeniach danych osobowych. Działania te są zgodne z europejskim duchem ochrony prywatności, który kładzie nacisk na prewencję oraz odpowiedzialność administratorów danych za zapewnienie wysokich standardów bezpieczeństwa.
Dla Morele.net wyrok ten stanowi również sygnał, że nawet ponowna analiza i skargi do sądu nie zawsze mogą przynieść oczekiwany rezultat, zwłaszcza jeśli nie zostaną spełnione wymagania dotyczące bezpieczeństwa danych. W kontekście dalszych postępowań, decyzja ta może mieć wpływ na inne firmy, które doświadczają podobnych naruszeń lub są pod kontrolą UODO.
Reasumując
Oddalenie skargi Morele.net przez WSA na decyzję Prezesa UODO o nałożeniu kary w wysokości 3,8 mln złotych jest finalnym etapem wieloletniego postępowania dotyczącego jednego z największych wycieków danych osobowych w Polsce. Sprawa ta podkreśla kluczowe znaczenie przestrzegania standardów RODO przez przedsiębiorstwa oraz ukazuje stanowczość polskich organów nadzorczych w zakresie ochrony danych osobowych. Wyrok WSA potwierdza, że nawet największe podmioty na rynku muszą liczyć się z surowymi konsekwencjami w przypadku zaniedbań w zabezpieczeniu danych klientów.
Twoje bezpieczeństwo to nasza pasja! 🌐 Jeśli interesuje Cię ochrona danych osobowych, bezpieczeństwo informacji czy cyberbezpieczeństwa, zajrzyj na stronę CAB oraz Platformę Cyberbezpieczeństwa. Szukasz informacji o ochronie sygnalistów? 📢 Sprawdź stronę Kanału Zgłoszeniowego. Czekają tam praktyczne porady i ekspercka wiedza!