Wraca głośna sprawa Morele.net. Naczelny Sąd Administracyjny uchylił decyzję Prezesa UODO nakładającą karę na tę firmę. Co więcej zasądził od organu nadzorczego na rzecz administratora kwotę ponad 65 tys. zł tytułem zwrotu kosztów postępowania. Znamy już motywy rozstrzygnięcia.
Przypomnijmy, że spółka Morele.net została ukarana za niewystarczające zastosowanie środków technicznych i organizacyjnych do zabezpieczenia danych swych klientów, w efekcie dane osobowe jej klientów uzyskały trafiły do osób nieuprawnionych. Incydent objął dane osobowe znajdujące się we wnioskach o kredyt ratalny m.in. dane identyfikacyjne, PESEL, ale też informacje o źródłach dochodu.
Wyciek był konsekwencją ataku hakerskiego. W ocenie Prezesa UODO zabezpieczenia stosowane przez spółkę nie były adekwatne do poziomu ryzyka wiążącego się z przetwarzaniem danych osobowych. W szczególności organ nadzorczy wskazał, że zabrakło rozwiązania w postaci podwójnego uwierzytelniania. Zarzucono też, że proces monitorowania nietypowych zachowań w sieci był nieskuteczny. Kara była bardzo wysoka – wyniosła aż 2,8 mln zł.
Od tego decyzji została oczywiście złożona skarga. Tę jednak oddalił Wojewódzki Sąd Administracyjny w Warszawie. Sąd podzielił stanowisko Prezesa UODO, wskazując przede wszystkim, że stosowane przez spółkę środki bezpieczeństwa były niewystarczające.
Jak można się było spodziewać, sprawa trafiła do Naczelnego Sądu Administracyjnego. Ten uchylił wcześniejszą decyzję Prezesa UODO i zasądził na rzecz Morele.net koszty postępowania w kwocie 65 075 zł. Jak uzasadniono rozstrzygnięcie? Uwzględniony został zarzut spółki o charakterze procesowym.
Skuteczność środków bezpieczeństwa powinien zbadać biegły
Prezes UODO w toku postępowania oddalił wniosek spółki o przeprowadzenie dowodu z opinii biegłego, na okoliczność oceny czy:
środki techniczne i organizacyjne stosowane przez spółkę odpowiadały standardom środków bezpieczeństwa w działalności gospodarczej przedsiębiorców w obszarze e-commerce o skali i charakterze podobnym do skali i charakteru działalności Morele.net w 2018 r.,
środki te były adekwatne uwzględniając stan wiedzy technicznej, koszt wdrażania oraz charakter, zakres, kontekst i cele przetwarzania oraz ryzyko naruszenia praw lub wolności osób fizycznych o różnym prawdopodobieństwie wystąpienia i wadze zagrożenia.
W ocenie NSA wniosek ten powinien być uwzględniony. Kara UODO jest bowiem wymierzana nie tyle za nielegalne działanie osoby trzeciej (np. cyberatak), ale za dopuszczenie do tego dostępu w związku z zabezpieczeniami nieadekwatnymi do poziomu ryzyka.
Jak wskazał sąd, skuteczny środek bezpieczeństwa to taki, środek, który powinien być w momencie i okolicznościach incydentu obiektywnie wymagany od danego administratora lub procesora.
W uzasadnieniu wyroku wyrażono wątpliwość, czy organ nadzorczy miał własną specjalistyczną wiedzę, która pozwalałaby na ocenę czy zastosowane przez Morele.net środki bezpieczeństwa w działalności o tak dużej skali były odpowiednie. W każdym razie Prezes UODO nie uprawdopodobnił, że dysponował taką wiedzą w momencie wydania decyzji. Uzasadnienie decyzji w tym zakresie uznano za zbyt lakoniczne. Właśnie dlatego zasadne było uwzględnienie wniosku o dopuszczenie opinii biegłego, który oceniłby adekwatność środków bezpieczeństwa.
wyrok Naczelnego Sądu Administracyjnego z 9 lutego 2033 r. III OSK 3945/21
Przechowywanie danych w chmurze polega na zapisywaniu i zarządzaniu danymi na zdalnych serwerach, które są dostępne przez internet. Zamiast przechowywać pliki na lokalnych dyskach twardych lub serwerach, użytkownicy mogą korzystać z infrastruktury dostarczanej przez dostawców usług chmurowych. Jest to wygodne i efektywne rozwiązanie, które zapewnia dostęp do danych z dowolnego miejsca, elastyczność, skalowalność oraz wysoki poziom bezpieczeństwa i niezawodności.
© Portal Poradyodo.pl