drukuj    zapisz    Powrót do listy

647 Sprawy związane z ochroną danych osobowych, Ochrona danych osobowych, Generalny Inspektor Ochrony Danych Osobowych, Oddalono skargę, II SA/Wa 2559/19 - Wyrok WSA w Warszawie z 2020-09-03, Centralna Baza Orzeczeń Naczelnego (NSA) i Wojewódzkich (WSA) Sądów Administracyjnych, Orzecznictwo NSA i WSA

II SA/Wa 2559/19 - Wyrok WSA w Warszawie

Data orzeczenia
2020-09-03 orzeczenie nieprawomocne
Data wpływu
2019-11-19
Sąd
Wojewódzki Sąd Administracyjny w Warszawie
Sędziowie
Joanna Kube /przewodniczący sprawozdawca/
Symbol z opisem
647 Sprawy związane z ochroną danych osobowych
Hasła tematyczne
Ochrona danych osobowych
Sygn. powiązane
III OSK 3945/21 - Wyrok NSA z 2023-02-09
Skarżony organ
Generalny Inspektor Ochrony Danych Osobowych
Treść wyniku
Oddalono skargę
Powołane przepisy
Dz.U. 2019 poz 2325 art. 151
Ustawa z dnia 30 sierpnia 2002 r. Prawo o postępowaniu przed sądami administracyjnymi - t.j.
Sentencja

Wojewódzki Sąd Administracyjny w Warszawie w składzie następującym: Przewodniczący Sędzia WSA Agnieszka Góra-Błaszczykowska, Sędzia WSA Joanna Kube (spr.), Sędzia WSA Sławomir Antoniuk, , Protokolant st. sekr. sąd. Agnieszka Wiechowicz, po rozpoznaniu na rozprawie w dniu 20 sierpnia 2020 r. sprawy ze skargi [...] Sp. z o.o. z siedzibą w [...] na decyzję Prezesa Urzędu Ochrony Danych Osobowych z dnia [...] września 2019 r. nr [...] w przedmiocie nałożenia kary pieniężnej w związku z przetwarzaniem danych osobowych oddala skargę

Uzasadnienie

Prezes Urzędu Ochrony Danych Osobowych, dalej: "Prezes Urzędu", "organ nadzoru", "organ" decyzją z dnia [...] września 2019 r. nr [...], na podstawie art. 104 § 1 ustawy z dnia 14 czerwca 1960 r. – Kodeks postępowania administracyjnego (Dz. U. z 2018 r. poz. 2096, z późn. zm.), dalej: "k.p.a." oraz art. 7 ust. 1 i 2, art. 60, art. 101, art. 103 ustawy z dnia 10 maja 2018 r. o ochronie danych osobowych (Dz. U. z 2018 r. poz. 1000, z późn. zm.), dalej: "u.o.d.o.", w związku z art. 5 ust. 1 lit. f, art. 5 ust. 2, art. 6 ust. 1, art. 7 ust. 1, art. 24 ust. 1, art. 25 ust. 1, art. 32 ust. 1 lit. b i art. 32 ust. 2, art. 58 ust. 2 lit. i oraz art. 83 ust. 3, art. 83 ust. 4 lit. a, art. 83 ust. 5 lit. a rozporządzenia Parlamentu Europejskiego i Rady UE 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) (Dz. Urz. UE L 119 z 04.05.2016, str. 1 oraz Dz. Urz. UE L 127 z 23.05.2018, str. 2), dalej: "RODO", "rozporządzenie 2016/679", po przeprowadzeniu postępowania administracyjnego w sprawie przetwarzania danych osobowych przez M. Sp. z o. o. z siedzibą w K. przy ul. F. [...], dalej: "Spółka", "M." stwierdził naruszenie przez M. przepisów art. 5 ust. 1 lit. a oraz lit. f, art. 5 ust. 2, art. 6 ust. 1, art. 7 ust. 1, art. 24 ust. 1, art. 25 ust. 1, art. 32 ust. 1 lit. b i lit. d, art. 32 ust. 2 RODO i nałożył na M. karę pieniężną w wysokości 2.830.410 PLN (równowartość 660 000 EUR), według średniego kursu euro ogłoszonego przez Narodowy Bank Polski w tabeli kursów na dzień 28 stycznia 2019 r.

W dniu [...] listopada 2018 r. M. zgłosiła Prezesowi Urzędu dwa naruszenia ochrony danych osobowych, które dotyczyły uzyskania przez osobę nieuprawnioną dostępu do bazy danych klientów sklepów internetowych [...], [...], [...], [...], [...], [...],[...], [...], [...], [...], [...]oraz uzyskania przez osobę nieupoważnioną dostępu do konta pracownika Spółki, a w konsekwencji uzyskania danych osobowych klientów realizujących zakupy w ww. sklepach internetowych.

Następnie, w dniu [...] grudnia 2018 r. Spółka zgłosiła do Prezesa Urzędu kolejne naruszenie polegające na uzyskaniu nieuprawionego dostępu do konta pracownika Spółki.

W dniach od [..] do [...] stycznia 2019 r. upoważnieni pracownicy Urzędu przeprowadzili kontrolę w M., w celu zbadania zgodności przetwarzania przez Spółkę danych osobowych z przepisami RODO i u.o.d.o. Zakresem kontroli objęto przetwarzanie danych osobowych klientów sklepów internetowych: [...], [...], [...], [...], [...], [...], [...], [...], [...], [...], [...], których administratorem jest Spółka.

Prezes Urzędu pismem z dnia [...] czerwca 2019 r. wszczął z urzędu postępowanie administracyjne w sprawie stwierdzonych w trakcie przeprowadzonej kontroli uchybień.

W zawiadowaniu o wszczęciu wskazano, że Spółka dopuściła się:

1. naruszenia zasady poufności danych wyrażonej w art. 5 ust 1 lit. f RODO odzwierciedlonej w postaci obowiązków określonych w art. 24 ust 1, art. 25 ust. 1 oraz art. 32 ust. 1 lit. b i d, art. 32 ust. 2 RODO, bowiem wywiązała się jedynie częściowo z obowiązku zapewnienia odpowiednich środków zabezpieczenia technicznego przetwarzanych danych. Niewypełnienie obowiązku wynikającego z art. 32 ust. 2 rozporządzenia 2016/679 polegało na doborze nieskutecznych środków technicznych i organizacyjnych na poziomie kontroli dostępu i uwierzytelniania, monitorowania ruchu sieciowego w środowisku produkcyjnym, braku oceny zdolności do ciągłego zapewnienia poufności, braku oceny ryzyka uzyskania dostępu do panelu pracownika Spółki oraz ryzyka naruszenia praw lub wolności osób, których dane przetwarza Spółka. Spółka nie podejmowała wystarczających działań mających na celu ocenę doboru środków technicznych i organizacyjnych przez pryzmat adekwatności do ryzyk. Nieprawidłowości te mogły doprowadzić do naruszeń ochrony danych osobowych, a w konsekwencji narażenia klientów Spółki na szkodę majątkową;

2. naruszenia zasady legalności wyrażonej w art. 5 ust 1 lit. a RODO, zasady rozliczalności z art. 5 ust. 2 RODO, uszczegółowionych w art. 7 ust. 1 oraz art. 6 ust. 1 pkt a tego rozporządzenia. Spółka nie jest w stanie dokładnie wskazać daty uruchomienia funkcjonalności zapisywania danych z wniosków ratalnych (prawdopodobnie w roku 2016) oraz nie posiada w tym zakresie udokumentowanej analizy procesu przetwarzania danych. Około [...] grudnia 2018 r., na ustne polecenie Wiceprezesa Spółki R. S., Spółka usunęła bazę danych zawierającą dane klientów z "wniosków ratalnych". Nie przeprowadzono w tym zakresie szczególnej analizy oraz nie udokumentowano usunięcia danych. Ponieważ w trakcie kontroli nie przedstawiono treści zbieranych przez Spółkę zgód przyjęto, że administrator nie wykazał, iż pozyskał zgody od osób, których dane dotyczą, na przetwarzanie danych z wniosków ratalnych, a tym samym Spółka przetwarzała dane osobowe w tym zakresie bez podstawy prawnej.

Prezes Urzędu uzasadniając decyzję z dnia [...] września 2019 r. wskazał, że:

1. W stanie faktycznym przedmiotowej sprawy została naruszona zasada poufności, wyrażona w art. 5 ust. 1 lit. f a, skonkretyzowana w przepisie art. 24 ust. 1, art. 25 ust. 1, art. 32 ust. 1 lit b i d oraz art. 32 ust. 2 RODO w wyniku dwukrotnego uzyskania dostępu do panelu pracownika Spółki oraz uzyskania dostępu do bazy danych wszystkich klientów Spółki przez osoby nieuprawnione. Uzyskanie dostępu do panelu pracowników Spółki oraz do danych wszystkich klientów z systemu bazodanowego Spółki skutkowało zmaterializowaniem się ryzyka naruszenia praw

i wolności osób fizycznych, których dane przetwarzane są przez Spółkę, w postaci zastosowania metody zwanej phishingiem, mającej na celu wyłudzenie danych, m.in. uwierzytelniających do konta bankowego poprzez podszycie się pod Spółkę

w wiadomościach SMS i wykorzystanie faktu dokonania zamówienia przez klienta.

W ocenie Prezesa Urzędu, to nieskuteczny środek uwierzytelniania przyczynił się do zdarzenia polegającego na uzyskaniu nieuprawnionego dostępu do panelu pracownika. Z uwagi na dostęp wielu osób do panelu, w którym znajdują się dane aktualnie prowadzonych transakcji zakupowych poszczególnych klientów, w tym pracowników n. (załączniki [...] i [...] do protokołu kontroli), biorąc również pod uwagę zagrożenia związane z uzyskaniem nieuprawnionego dostępu do danych, zastosowanie środka uwierzytelniającego wyłącznie w postaci loginu i hasła było niewystarczające.

W sposób niewystarczający oceniono zdolność do ciągłego zapewnienia poufności oraz nie uwzględniono ryzyka związanego z uzyskaniem nieuprawnionego dostępu do panelu pracownika.

Organ nadzoru zwrócił uwagę, że prace nad wprowadzeniem dodatkowych środków zabezpieczenia technicznego, m.in. w postaci dwuetapowego uwierzytelniania dostępu do panelu pracownika, Spółka podjęła bezpośrednio po stwierdzeniu naruszenia polegającego na uzyskaniu dostępu do panelu pracownika przez osobę nieuprawnioną.

Podniósł, że kontrola dostępu i uwierzytelnianie to podstawowe środki bezpieczeństwa mające na celu ochronę przed nieautoryzowanym dostępem do systemu informatycznego wykorzystywanego do przetwarzania danych osobowych. Zapewnienie dostępu uprawnionym użytkownikom i zapobieganie nieuprawnionemu dostępowi do systemów i usług to jeden z wzorcowych elementów bezpieczeństwa, na który wskazuje m.in. norma PN-EN ISO/IEC 27001:2017-06.

Z art. 32 ust. 1 rozporządzenia 2016/679, jednym z czynników, jakie należy brać pod uwagę przy doborze właściwych środków technicznych i organizacyjnych, jest stan wiedzy technicznej, który powinno się oceniać z uwzględnieniem warunków rynkowych, w szczególności dostępności i akceptowalności rynkowej danego rozwiązania technicznego. Wskazówek konkretyzujących w tym przedmiocie dostarczają obowiązujące standardy i normy, w szczególności normy ISO, które ulegają również ciągłym przeglądom i zmianom warunkowanym postępem technologicznym.

Europejska Agencja ds. Bezpieczeństwa Sieci i Informacji (ENISA) w swoich wytycznych dotyczących bezpieczeństwa przetwarzania danych osobowych wydanych w 2016 r. (Guidelines for SMEs on the security of personal data processing - https://www.enisa.europa.eu/publications/guidelines-for-smes-on-the-security-of-personal-data-processing) z uwzględnieniem ww. normy (w wersji

z 2013 r.) oraz przepisów rozporządzenia 2016/679, w ramach kontroli dostępu

i uwierzytelniania, rekomenduje stosowanie mechanizmu uwierzytelnia dwuetapowego dla systemów obejmujących dostęp do danych osobowych.

Zgodnie z podejściem opartym na ryzyku, wynikającym m.in. z art. 25 ust. 1 rozporządzenia 2016/679, wybór odpowiedniego środka uwierzytelniania powinien opierać się na ocenie ryzyka realizowanej za jej pomocą transakcji lub usługi. Norma PN-ISO/IEC 29115:2017-07 ("Technika informatyczna - Techniki bezpieczeństwa - Ramy uzasadnionej pewności poziomów uwierzytelnienia"), podobnie jak motywy 75 czy 85 rozporządzenia 2016/679, wskazuje możliwe konsekwencje i skutki niepowodzenia uwierzytelnienia w zależności od zastosowanego poziomu m.in. nieuprawnione ujawnienie poufnych informacji czy stratę finansową.

Na zasadność stosowania prawidłowo dobranych środków technicznych w zakresie kontroli dostępu i uwierzytelniania wskazują również inne organizacje zajmujące się bezpieczeństwem informacji.

Fundacja O., międzynarodowa organizacja non-profit, której celem jest opracowywanie i szerzenie dobrych praktyk kierowanych do twórców oprogramowania, w dokumencie "[...], przedstawia listę największych zagrożeń dla aplikacji internetowych wraz z metodami im zapobiegania. Jednym z nich jest przełamanie środka uwierzytelniającego (najczęściej jednoetapowego). Jako środek zapobiegawczy rekomendowane jest stosowanie wieloetapowego uwierzytelniania, jako sposób na znaczne zminimalizowanie ryzyka przełamania zabezpieczeń.

Zarówno ten dokument, jak i przytoczona wcześniej norma, odwołują się do opracowania amerykańskiej agencji federalnej - Narodowego Instytutu Standaryzacji i Technologii (ang. National Institute of Standards and Technology, NIST) dokumentu - "NIST 800-63B: Wytyczne dotyczące tożsamości cyfrowej: uwierzytelnianie i zarządzanie cyklem życia aplikacji" (ang. Digital Identity Guidelines: Authentication and Lifecycle Management) (https://nvlpubs.nist.gOv/nistpubs/SpecialPublications/NIST.SP.800-63b.pdf.)

Zarówno norma PN-ISO/IEC 29115:2017 07, dokument NIST 800-63B oraz opracowania organizacji OWASP wskazują, że dobór właściwego środka uwierzytelniającego powinien być poprzedzony analizą ryzyka i być poddawany ciągłym przeglądom.

W ocenie Prezesa Urzędu, nieskuteczne monitorowanie potencjalnych zagrożeń dla praw i wolności osób, których dane są przetwarzane przez Spółkę, przyczyniło się do zdarzenia polegającego na uzyskaniu nieuprawnionego dostępu do danych klientów z systemu bazodanowego Spółki.

W myśl art. 32 ust. 2 i motywu 83 rozporządzenia 2016/679, administrator oceniając, czy stopień bezpieczeństwa jest odpowiedni, uwzględnia w szczególności ryzyko wiążące się z przetwarzaniem (w szczególności wynikające z przypadkowego lub niezgodnego z prawem zniszczenia, utraty, modyfikacji, nieuprawnionego ujawnienia lub nieuprawnionego dostępu do danych osobowych przesyłanych, przechowywanych lub w inny sposób przetwarzanych) i mogące w szczególności prowadzić do uszczerbku fizycznego, szkód majątkowych lub niemajątkowych.

Prezes Urzędu stwierdził, że Spółka przetwarzając dane osobowe ponad

2.200.000 użytkowników, co stanowi przetwarzanie danych osobowych na dużą skalę, oraz biorąc pod uwagę zakres danych i kontekst przetwarzania, miała obowiązek skuteczniej na bieżąco oceniać i monitorować potencjalne zagrożenia dla praw i wolności osób, których dane przetwarza.

Regularne testowanie, mierzenie i ocenianie skuteczności środków technicznych

i organizacyjnych mających zapewnić bezpieczeństwo przetwarzania jest obowiązkiem każdego administratora oraz podmiotu przetwarzającego wynikającym z art. 32 ust 1 lit. d rozporządzenia 2016/679. Administrator zobowiązany jest więc do weryfikacji zarówno doboru, jak i poziomu skuteczności, stosowanych środków technicznych. Kompleksowość tej weryfikacji powinna być oceniana przez pryzmat adekwatności do ryzyk oraz proporcjonalności w stosunku do stanu wiedzy technicznej, kosztów wdrażania oraz charakteru, zakresu, kontekstu i celów przetwarzania.

Zdaniem organu, w stanie faktycznym przedmiotowej sprawy, Spółka wywiązywała się z tego obowiązku częściowo, weryfikując wyłącznie poziom skuteczności wdrożonych zabezpieczeń pod kątem znanych podatności we wdrożonym oprogramowaniu - na co wskazują audyty bezpieczeństwa funkcjonujących już systemów informatycznych służących do przetwarzania danych klientów Spółki.

W ocenie Prezesa Urzędu, Spółka tym samym nie podejmowała działań mających na celu ocenę doboru środków technicznych i organizacyjnych przez pryzmat adekwatności do ryzyk. Zastosowane przez Spółkę środki techniczne

i organizacyjne, przyczyniły się w ograniczonym stopniu do wypełnienia wymogów

z art. 32 rozporządzania rozporządzenia 2016/679, gdyż przewidywalne ryzyka nie zostały odpowiednio zminimalizowane i ograniczone w czasie przetwarzania.

Dokonywanie przeglądów i aktualizacja wdrożonych rozwiązań są również wymogiem sformułowanym wprost w art. 24 ust. 1 zd. 2 rozporządzenia 2016/679,

a także wynikającym z art. 25 ust. 1 rozporządzenia 2016/679, kreującego obowiązek zapewnienia prywatności w fazie projektowania (privacy by design) i nakładającego na administratora zobowiązanie do wdrożenia odpowiednich środków technicznych zarówno w fazie określania sposobów przetwarzania, jak i w fazie samego przetwarzania. Uwzględniając przy tym charakter, zakres, kontekst i cel przetwarzania danych oraz wynikające z nich ryzyka dla praw i wolności osób fizycznych, administrator ma obowiązek wdrażania odpowiednich środków technicznych i organizacyjnych.

Organ podniósł, że wcześniejsze zastosowanie wdrożonego [...] grudnia

2018 r. dwuskładnikowego uwierzytelniania, (nad którym Spółka pracowała od [...] listopada 2018 r.) oraz wdrożona procedura reagowania i właściwa konfiguracja poziomów alertów (adekwatnych do ryzyk) w systemie monitorowania ruchu sieciowego znacząco obniżyłoby ryzyko uzyskania nieuprawnionego dostępu przez osobę nieupoważnioną, a tym samym zminimalizowałoby ryzyko naruszenia praw lub wolności osób fizycznych, których dane są przez Spółkę przetwarzane, czyli udostępnieniu danych nieuprawnionym odbiorcom.

2. Ponadto organ wskazał, że naruszona została przez Spółkę również zasada zgodności z prawem, rzetelności (art. 5 ust. 1 lit. a RODO) i rozliczalności (art. 5 ust. 2 RODO) przy przetwarzaniu danych pochodzących z wniosków ratalnych. Wymóg

z art. 5 ust. 1 lit. a nakłada na administratora obowiązek przetwarzania danych zgodnie z prawem, rzetelnie i w sposób przejrzysty dla osoby, której dotyczą. Zapewnienie zgodności z prawem operacji przetwarzania danych oznacza m.in. konieczność spełnienia, co najmniej jednej z przesłanek legalności przetwarzania danych, które zostały określone w art. 6 rozporządzenia 2016/679 oraz konieczność zapewnienia zgodności z pozostałymi przepisami o ochronie danych osobowych.

Zgodnie z art. 6 ust. 1 lit. a rozporządzenia 2016/679 przetwarzanie jest zgodne z prawem w przypadku, gdy osoba, której dane dotyczą wyraziła zgodę na przetwarzanie swoich danych osobowych w jednym lub większej liczbie określonych celów. Jak wynika z art. 4 pkt 11 rozporządzenia 2016/679, zgoda osoby, której dane dotyczą, oznacza dobrowolne, konkretne, świadome i jednoznaczne okazanie woli, którym osoba, której dane dotyczą, w formie oświadczenia lub wyraźnego działania potwierdzającego, przyzwala na przetwarzanie dotyczących jej danych osobowych.

Natomiast z treści art. 7 ust. 1 rozporządzenia 2016/679 w przypadku, gdy przetwarzanie odbywa się na podstawie zgody, administrator musi być w stanie wykazać, że osoba, której dane dotyczą, wyraziła zgodę na przetwarzanie swoich danych osobowych. Administrator powinien wdrożyć środki organizacyjne lub techniczne umożliwiające udowodnienie otrzymania zgody podmiotu danych,

w szczególności w sposób pozwalający na utrwalenie faktu otrzymania zgody.

Za prawidłowe dla celów dowodowych, związanych ze spoczywającym na administratorze w myśl art. 7 ust. 1 rozporządzenia 2016/679 ciężarem dowodu, uznaje się zbieranie i utrwalanie informacji na temat tego, kto udzielił zgody i jaką miała ona treść, kiedy została ona udzielona, jakie informacje otrzymał podmiot danych przy składaniu oświadczenia o wyrażeniu zgody, jakie informacje zostały udzielone o sposobie wyrażenia zgody, oraz czy zgoda została wycofana i jeśli tak, to kiedy. Posiadanie przez administratora ww. informacji, na temat zgody wyrażonej przez osobę, której dane dotyczą, stanowi uszczegółowienie ogólnej zasady rozliczalności sformułowanej w art. 5 ust. 2 rozporządzenia 2016/679. W przypadku, gdy administrator nie jest w stanie wykazać, że i jaką zgodę na przetwarzanie danych wyraziła osoba, której dane dotyczą, zgoda ta może być kwestionowana.

W toku kontroli ustalono, że Spółka pozyskiwała dane z wniosków ratalnych, co miało ułatwić klientom występowanie z kolejnymi wnioskami o zakupy ratalne (autouzupełnianie formularza ratalnego).

Spółka nie jest w stanie dokładnie wskazać daty uruchomienia funkcjonalności zapisywania danych z wniosków ratalnych (prawdopodobnie w roku 2016) oraz nie posiada w tym zakresie udokumentowanej analizy procesu przetwarzania danych.

Spółka w toku kontroli nie przedstawiła oświadczeń o wyrażeniu zgody na takie przetwarzanie, ani też klauzul czy wzorów stosowanych zgód zbieranych przed rozpoczęciem stosowania rozporządzenia 2016/679, wobec powyższego stwierdzono, że administrator nie wykazał, że pozyskał odpowiednie zgody od osób, których dane zebrał w okresie od roku 2016 (jak wskazano w wyjaśnieniach - okres, od którego Spółka zaczęła pozyskiwać dane z wniosków ratalnych) do maja 2018 r. na przetwarzanie danych z wniosków ratalnych.

W wydruku tzw. systemu ticketowego znajduje się wyłącznie wskazanie, że dopiero w związku z nowelizacją przepisów o ochronie danych osobowych ("w związku

z RODO") należy dodać dwie zgody na stronie https//[...] /.

Około [...] grudnia 2018 r. Spółka, na ustne polecenie Wiceprezesa Spółki R. S., usunęła bazę danych zawierającą dane klientów z tzw. "wniosków ratalnych". Nie przeprowadzono w tym zakresie szczegółowej analizy oraz nie udokumentowano usunięcia danych.

Z uwagi na to, że zgody były pozyskiwane po rozpoczęciu obowiązywania rozporządzenia 2016/679, a sam proces trwał od 2016 r. (wyjaśnienia Spółki), przyjęto, że w usuniętej bazie danych znajdowały się dane zebrane bez podstawy prawnej.

Ponadto Prezes Urzędu wskazał, że obowiązująca w tym czasie umowa

z [...] Bank S.A. z siedzibą w W., przy ul. S. [...], zabraniała Spółce zbierania danych pochodzących z formularzy wniosków ratalnych. Jak wynika bowiem z umowy z dnia [...] listopada 2017 r., zawartej pomiędzy Spółką a bankiem, Spółka nie była uprawniona do wykorzystywania danych, pozyskanych dla celów realizacji postanowień umowy, do tworzenia własnych zbiorów danych osobowych, dla których byłaby administratorem.

W ocenie organu, sam fakt zakończania procesu przetwarzania danych, wobec braku innych dowodów, nie wystarczy, aby uznać, że przetwarzanie odbywało się zgodnie z przepisami prawa, w tym na podstawie prawidłowo sformułowanej przesłanki zgody.

Z zasady legalności i rzetelności, wskazanej w art. 5 ust 1 lit. a rozporządzenia 2016/679, wynika, że administrator musi zawsze być w stanie wykazać, że dane osobowe są przetwarzane zgodnie z prawem. Natomiast zasada rozliczalności (art. 5 ust. 2 rozporządzenia 2016/67), wymaga aby administrator był w stanie wykazać, że przestrzega swoich obowiązków wynikających z przepisów o ochronie danych osobowych. Wymogi te dotyczą wszystkich etapów przetwarzania danych.

Prezes Urzędu, w oparciu o art. 58 ust. 2 lit. i rozporządzenia 2016/679 uznał, iż w rozpatrywanej sprawie zaistniały przesłanki uzasadniające nałożenie na Spółkę administracyjnej kary pieniężnej przewidzianej w art. 83 rozporządzenia 2016/679. Wskazał, że decydując o nałożeniu na Spółkę administracyjnej kary pieniężnej, stosownie do treści art. 83 ust. 2 lit. a-k rozporządzenia 2016/679, wziął pod uwagę następujące okoliczności sprawy, wpływające obciążająco i mające wpływ na wymiar nałożonej kary finansowej:

a) Spółka nie dopełniła obowiązku zastosowania odpowiednich środków technicznych i organizacyjnych, by zapewnić stopień bezpieczeństwa odpowiadający ryzyku nieuprawnionego dostępu do danych osobowych jej klientów, co skutkowało dwukrotnym uzyskaniem dostępu do panelu pracownika Spółki przez osobę bądź osoby nieuprawnione, a w konsekwencji również i dostępu do bazy danych wszystkich klientów Spółki w łącznej liczbie około 2.200.000 (ok. dwóch milionów dwustu tysięcy) osób;

b) stwierdzone w niniejszej sprawie naruszenie art. 5 ust. 1 lit. f w zw. z art. 32 ust. 1 lit. b i d w zw. z art. 32 ust. 2 rozporządzenia 2016/679, polegające na uzyskaniu nieuprawnionego dostępu do panelu pracownika Spółki przez osobę bądź osoby nieuprawnione, a w konsekwencji również i dostępu do bazy danych klientów Spółki, ma znaczną wagę i poważny charakter, stwarza bowiem wysokie ryzyko negatywnych skutków prawnych dla około 2.200.000 (ok. dwóch milionów dwustu tysięcy) osób, do których danych dostęp miała osoba bądź osoby nieuprawnione; co istotne, wobec dwukrotnego naruszenia poufności systemu informatycznego Spółki, wobec 600 (sześciuset) osób ryzyko to jest proporcjonalnie większe;

c) naruszenie art. 5 ust. 1 lit. f, art. 32 ust. 1 lit. b i d oraz art. 32 ust. 2 rozporządzenia 2016/679, powstało na skutek niedochowania należytej staranności przez Spółkę i niewątpliwie miało charakter nieumyślny, niemniej jednak Spółka jako administrator ponosi odpowiedzialność za stwierdzone nieprawidłowości w procesie przetwarzania danych; na szczególnie naganną ocenę zasługuje przy tym okoliczność, iż Spółka, pomimo deklaracji monitorowania systemu sieciowego

i reagowania w systemie 24/7 (dwadzieścia cztery godziny, siedem dni w tygodniu), nie stwierdziła w czasie rzeczywistym, tj. w dniach [...].10.2018 – [..].10.2018 r., zwiększonego ruchu na bramie sieciowej serwera i nie podjęła w tym czasie żadnych działań zaradczych, celem uniemożliwienia dostępu do danych około 2.200.000 (ok. dwóch milionów dwustu tysięcy) osób fizycznych, będących klientami Spółki. W tym stanie rzeczy, zaniedbanie Spółki organ nadzoru uznał za rażące;

d) naruszenie polegające na niezapewnieniu bezpieczeństwa i poufności danych trwało co najmniej od dnia [...] listopada 2018 r. (kiedy to klienci Spółki poinformowali o otrzymywaniu wiadomości SMS wzywających do dokonania dodatkowej opłaty

w wysokości 1 PLN, w celu dokończenia realizacji zamówienia wraz z linkiem odsyłającym do fałszywej bramki płatności elektronicznej D. do dnia [...] grudnia 2018 r. (tj. wprowadzenia przez Spółkę dodatkowych zabezpieczeń technicznych). Zdaniem organu, stosunkowo krótki okres tego naruszenia nie może wpływać łagodząco na rozstrzygnięcie, gdyż naruszenie to dotyczyło znacznej liczby osób fizycznych i winno być ocenione surowo, ze względu na charakter, dużą wagę oraz zakres, a także możliwe długofalowe następstwa dla podmiotów danych.

Ustalając wysokość administracyjnej kary pieniężnej, Prezes Urzędu uwzględnił również okoliczności łagodzące, mające wpływ na ostateczny wymiar kary, tj.:

a) podjęcie przez Spółkę wszelkich możliwych działań, mających na celu usunięcie naruszenia. Następczo w stosunku do zgłoszonych naruszeń, wprowadzono

w Spółce m.in. dwuetapowe uwierzytelnianie dostępu do Panelu pracownika, zaktualizowano narzędzie śledzące ruch w systemie Panel, zresetowano hasła do zewnętrznych serwisów oraz baz danych developerskich;

b) dobrą współpracę ze strony Spółki w celu usunięcia naruszenia oraz złagodzenia jego ewentualnych negatywnych skutków. W wyznaczonym terminie Spółka przesłała wyjaśnienia i udzieliła odpowiedzi na wystąpienie Prezesa Urzędu, zatem stopień tej współpracy oceniono, jako pełny;

c) brak dowodów, aby osoby, których dane dotyczą, doznały szkody majątkowej, niemniej już samo naruszenie poufności danych stanowi szkodę niemajątkową (krzywdę); osoby fizyczne, do których danych dostęp uzyskano w sposób nieuprawniony mogą bowiem co najmniej odczuwać strach przed utratą kontroli nad swoimi danymi osobowymi, kradzieżą tożsamości lub oszustwem dotyczącym tożsamości, czy wreszcie przed stratą finansową;

d) nie zostało stwierdzone, żeby Spółka uprzednio dopuściła się naruszenia przepisów rozporządzenia 2016/679, które miałoby istotne znaczenie dla niniejszego postępowania.

Natomiast żadnego wpływu na fakt nałożenia, jak i sam wymiar administracyjnej kary pieniężnej nie miały takie okoliczności, jak to, że:

a) Spółka nie stosuje zatwierdzonych kodeksów postępowania na mocy art. 40 rozporządzenia 2016/679 lub zatwierdzonych mechanizmów certyfikacji na mocy art. 42 rozporządzenia 2016/679,

b) w tej samej sprawie nie zostały wcześniej zastosowane wobec Spółki środki,

o których mowa w art. 58 ust. 2 rozporządzenia 2016/679,

c) brak jest dowodów wskazujących na uzyskanie przez Spółkę korzyści finansowych, jak i powodujących uniknięcie strat w związku z naruszeniem.

Prezes Urzędu uwzględniając powyższe uznał, iż nałożenie administracyjnej kary pieniężnej na Spółkę jest konieczne i uzasadnione wagą, charakterem oraz zakresem zarzucanych Spółce naruszeń. Stwierdził, iż zastosowanie wobec Spółki jakiegokolwiek innego środka naprawczego przewidzianego w art. 58 ust. 2 rozporządzenia 2016/679, w szczególności zaś poprzestanie na upomnieniu (art. 58 ust. 2 lit. b), nie byłoby proporcjonalne do stwierdzonych nieprawidłowości w procesie przetwarzania danych osobowych oraz nie gwarantowałoby tego, że Spółka

w przyszłości nie dopuści się podobnych, co w sprawie niniejszej, zaniedbań.

Odnośnie wysokości wymierzonej Spółce administracyjnej kary pieniężnej, Prezes Urzędu uznał, iż w ustalonych okolicznościach sprawy - tj. wobec stwierdzenia naruszenia zasady poufności danych, wyrażonej w art. 5 ust. 1 lit. f rozporządzenia 2016/679 (a odzwierciedlonej w postaci obowiązków określonych w art. 24 ust. 1, art. 25 ust. 1 oraz art. 32 ust. 1 lit. b i d, art. 32 ust. 2 rozporządzenia 2016/679), a nadto naruszenia zasad legalności, rzetelności i przejrzystości, wyrażonych w art. 5 ust. 1 lit. a rozporządzenia 2016/679 oraz zasady rozliczalności, wyrażonej w art. 5 ust. 2 (uszczegółowionych w art. 6 oraz 7 rozporządzenia 2016/679) - zastosowanie znajduje art. 83 ust. 5 lit. a rozporządzenia 2016/679, zgodnie z którym naruszenia podstawowych zasad przetwarzania, w tym warunków zgody, o których to zasadach

i warunkach mowa m.in. w art. 5, art. 6, art. 7 tego rozporządzenia, podlegają administracyjnej karze pieniężnej w wysokości do 20.000.000 EUR, a w przypadku przedsiębiorstwa - w wysokości do 4% jego całkowitego rocznego światowego obrotu z poprzedniego roku obrotowego, przy czym zastosowanie ma kwota wyższa.

Organ za najpoważniejsze uznał naruszenie przez Spółkę zasady poufności, określonej w art. 5 ust. 1 lit. f rozporządzenia 2016/679, za czym przemawia poważny charakter naruszenia oraz krąg osób nim dotkniętych (ok. 2.200.000 - ok. dwa miliony dwieście tysięcy użytkowników sklepów internetowych, których administratorem jest Spółka). Co istotne, w stosunku do ww. liczby osób w dalszym ciągu istnieje wysokie ryzyko niezgodnego z prawem posłużenia się ich danymi osobowymi, albowiem nieznany jest cel, dla którego osoba nieuprawniona podjęła działania zmierzające do uzyskania dostępu do tychże informacji.

Naruszenie przez Spółkę zasady legalności i rzetelności wyrażonych w art. 5 ust. 1 lit. a oraz zasady rozliczalności z art. 5 ust. 2 rozporządzenia 2016/679, organ nadzoru uznał natomiast za naruszenie mniejszej wagi. W przypadku drugiego ze stwierdzonych naruszeń, krąg osób nim dotkniętych jest znacznie mniejszy (ok. 35.000 -. trzydzieści pięć tysięcy - użytkowników składających wnioski ratalne).

Mając powyższe na uwadze, Prezes Urzędu, na podstawie art. 83 ust. 3 i art. 83 ust. 5 lit. a rozporządzenia 2016/679, w związku z art. 103 u.o.d.o., za naruszenia opisane w sentencji niniejszej decyzji, nałożył na Spółkę administracyjną karę pieniężną w kwocie 2.830.410 PLN (co stanowi równowartość 660 000 EUR).

Zdaniem organu nadzoru, zastosowana kara pieniężna spełnia, w ustalonych okolicznościach niniejszej sprawy, przesłanki, o których mowa w art. 83 ust. 1 rozporządzenia 2016/679, tj. będzie w tym indywidualnym przypadku skuteczna, proporcjonalna i odstraszająca.

Nałożona na Spółkę kara będzie skuteczna, albowiem doprowadzi do stanu,

w którym Spółka stosowała będzie takie środki techniczne i organizacyjne, które zapewnią przetwarzanym danym stopień bezpieczeństwa odpowiadający ryzyku naruszenia praw i wolności osób, których dane dotyczą oraz wadze zagrożeń towarzyszącym procesom przetwarzania tych danych osobowych.

Zastosowana kara pieniężna jest także proporcjonalna do stwierdzonego naruszenia, w tym zwłaszcza jego wagi, kręgu dotkniętych nim osób fizycznych oraz ryzyka, jakie w związku z naruszeniem ponoszą, jak również proporcjonalna do jej sytuacji finansowej i nie będzie stanowiła nadmiernego dla niej obciążenia.

Nadto, nałożona administracyjna kara pieniężna spełni w tych konkretnych okolicznościach funkcję represyjną, jako że stanowić będzie odpowiedź na naruszenie przez Spółkę przepisów rozporządzenia 2016/679, ale i prewencyjną, jako że sama Spółka, jak i inni administratorzy będą skutecznie zniechęceni do naruszania przepisów o ochronie danych osobowych w przyszłości.

W skardze do Wojewódzkiego Sądu Administracyjnego w Warszawie z dnia 16 października 2019 r. M. zawnioskowało o zwrócenie się przez Sąd

z wnioskiem do Trybunału Sprawiedliwości Unii Europejskiej o wydanie orzeczenia

w trybie prejudycjalnym, czy sądy administracyjne w Polsce zapewniają skuteczną ochronę prawną przeciwko prawnie wiążącej decyzji organu nadzorczego, tj. wykonują pełną jurysdykcję w zakresie ustalenia okoliczności faktycznych i prawnych mających znaczenie dla rozstrzygnięcia sprawy, o której mowa w art. 78 ust. 1 RODO oraz w motywie (143) preambuły RODO, w sytuacji, w której postępowanie przed Prezesem Urzędu jest jednoinstancyjne i brak jest organu lub sądu, który oceni rozstrzygnięcie Prezesa Urzędu merytorycznie lub ma kompetencje do dokonywania ustaleń faktycznych, podczas gdy art. 6 Europejskiej Konwencji o Ochronie Praw Człowieka i Podstawowych Wolności oraz art. 47 Karty Praw Podstawowych gwarantuje podmiotowi ukaranemu prawo do rozstrzygnięcia sprawy przez sąd posiadający pełną jurysdykcję w sprawie.

Wnoszący skargę wniósł o uchylenie decyzji Prezesa Urzędu z dnia [...] września 2019 r. oraz o zasądzenie kosztów postępowania, w tym kosztów zastępstwa procesowego według norm przepisanych.

Skarżący wniósł o dopuszczenie i przeprowadzenie dowodu z dokumentów załączonych do skargi (załączniki 3 - 5; załącznik nr 3: analiza ryzyka naruszenia praw i wolności podmiotów danych, załącznik nr 4: screeny z firewall, załącznik nr 5: screeny i pisma dot. zmiany komunikatu www.) celem wykazania faktów wskazanych w treści uzasadnienia skargi.

Zaskarżonemu rozstrzygnięciu zarzucono naruszenie:

przepisów postępowania, mogące mieć istotny wpływ na wynik sprawy, tj.:

1. art. 78 ust. 1 RODO w zw. z art. 6 ust. 1 Europejskiej Konwencji o Ochronie Praw Człowieka i Podstawowych Wolności oraz art. 13 EKPCz przez uniemożliwienie skutecznego środka ochrony prawnej przed sądem;

2. art. 47 Karty Praw Podstawowych poprzez uniemożliwienie M. rozpatrzenia sprawy przez sąd mający pełną jurysdykcję w sprawie, tj. mogący co najmniej ustalać stan faktyczny oraz modyfikować rozstrzygnięcie, co godzi w prawo Spółki do rzetelnego procesu;

3. art. 107 § 1 pkt 5 k.p.a., poprzez wadliwość sformułowania rozstrzygnięcia zaskarżonej decyzji, polegającą na braku sprecyzowania przez Prezesa Urzędu, które działania lub zaniechania M., ustalone w toku postępowania administracyjnego, organ uznał za naruszenie przepisów prawa wymienionych

w sentencji decyzji, za które to stwierdzenie naruszenia organ nałożył karę pieniężną, co w konsekwencji uniemożliwia zapoznanie się z rezultatem stosowania przez organ normy prawa materialnego do konkretnego przypadku w kontekście określonych okoliczności faktycznych i materiału dowodowego, a tym samym wyklucza kontrolę instancyjną decyzji w zakresie konkretnego i indywidualnie oznaczonego czynu oraz określenie zakresu przedmiotowego sprawy objętej powagą sprawy rozstrzygniętej;

4. art. 61 § 4 k.p.a. w zw. z art. 47 Karty Praw Podstawowych oraz art. 6 ust. 3 lit. a) Konwencji o Ochronie Praw Człowieka i Podstawowych Wolności poprzez brak informacji w treści zawiadomienia Prezesa Urzędu z dnia [...] czerwca 2019 r.

o wszczęciu postępowania o przedmiocie zarzuconych czynów (konkretnych działań lub zaniechań Spółki będących naruszeniem przepisów RODO), podczas gdy postępowanie zakończone decyzją należy traktować jako postępowanie

w przedmiocie naruszenia przepisów ochrony danych osobowych w rozumieniu art. 60 u.o.d.o., co w konsekwencji doprowadziło do ograniczenia prawa do obrony M., uniemożliwiając skarżącemu ustosunkowanie się do konkretnych zarzutów i przedstawienia wyczerpującego materiału dowodowego w celu odparcia skonkretyzowanych zarzutów;

5. art. 7 k.p.a., art. 77 § 1 k.p.a., art. 80 k.p.a. w kontekście spełnienia przez skarżącego wymogów określonych w art. 32 ust. 1 RODO, poprzez brak wszechstronnej oraz merytorycznej oceny zgromadzonego materiału dowodowego, tj. przedstawionych przez Spółkę stosowanych środków bezpieczeństwa, którego wszechstronna ocena powinna doprowadzić organ do ustalenia, że skarżący wdrożył środki techniczne służące ochronie przetwarzanych danych osobowych, co doprowadziło do niepełnego ustalenia stanu faktycznego sprawy, przede wszystkim w zakresie okoliczności mających wpływ na spełnienie przez skarżącego przesłanki

z art. 24 ust. 1 RODO oraz z art. 32 ust. 1 RODO, co zgodnie z art. 83 ust. 2 RODO wpływa na nałożenie oraz wysokość kary administracyjnej;

6. art. 78 § 1 k.p.a. w zw. z art. 84 § 1 k.p.a. w zw. z art. 7 k.p.a. i art. 77 § 1 k.p.a.

w kontekście art. 24 ust. 1 RODO i art. 32 ust. 1 RODO, poprzez oddalenie przez Prezesa Urzędu wniosku dowodowego M. o przeprowadzenie dowodu

z opinii biegłego, na okoliczność:

- ustalenia standardów technicznych i organizacyjnych środków bezpieczeństwa

w działalności gospodarczej przedsiębiorców w obszarze e-commerce o skali

i charakterze podobnym do skali i charakteru działalności M. w 2018 r.;

- oceny, czy środki techniczne i organizacyjne stosowane przez M. odpowiadały standardom środków bezpieczeństwa w działalności gospodarczej przedsiębiorców w obszarze e-commerce o skali i charakterze podobnym do skali i charakteru działalności M. w 2018 r.;

- oceny czy środki techniczne i organizacyjne stosowane przez M. były odpowiednie, uwzględniając stan wiedzy technicznej, koszt wdrażania oraz charakter, zakres, kontekst i cele przetwarzania oraz ryzyko naruszenia praw lub wolności osób fizycznych o różnym prawdopodobieństwie wystąpienia i wadze zagrożenia, co mogło mieć istotny wpływ na wynik sprawy. Prezes Urzędu poczynił samodzielnie ustalenia, które de facto stanowiły twierdzenia organu niepoparte jakimkolwiek materiałem dowodowym (np.: wykonana przez biegłych analiza ryzyka) - wymagające posiadania wiadomości specjalnych zespołu biegłych, do których na etapie postępowania administracyjnego skarżący nie mógł się odnieść, co

w konsekwencji doprowadziło do uznania przez Prezesa Urzędu, że w warunkach określonych w art. 32 RODO "odpowiednim środkiem technicznym i organizacyjnym" dla M. było wprowadzenie podwójnego uwierzytelniania, podczas gdy dopiero opinia biegłego - jako jeden ze środków dowodowych - stanowić może podstawę dla tak kategorycznego ustalenia organu, co doprowadziło do poczynienia przez organ błędnych ustaleń faktycznych;

7. art. 83 § 3 k.p.a. w zw. z art. 86 ust. 3 u.p.d.p., poprzez odebranie przez organ zeznań od świadków L. W., J. F., S. K., J. K., W. P., B. M. bez uprzedniego pouczenia tych osób o prawie odmowy zeznań i odpowiedzi na pytania oraz o odpowiedzialności za fałszywe zeznania w toku postępowania kontrolnego, co mogło mieć istotny wpływ na wynik sprawy, podczas gdy zeznania prawidłowo pouczonych świadków mogłyby doprowadzić do ustaleń odmiennych niż ustalenia organu;

8. art. 7 k.p.a., art. 77 § 1 k.p.a. w zw. z art. 77 § 4 k.p.a., art. 80 k.p.a., art. 81 k.p.a., art. 84 § 1 k.p.a. w zw. z art. 8 § 1 k.p.a. i art. 10 § 1 k.p.a., poprzez poczynienie przez organ ustaleń faktycznych oraz ocen w oparciu o:

1) normy PN-EN ISO/IEC 27001:2071-06 (s. 15 decyzji),

2) wytyczne Europejskiej Agencji ds. Bezpieczeństwa Sieci i Informacji z 2016 r.

(s. 16 decyzji),

3) dokument OWASP Top 10 - 201T (s. 16 decyzji),

4) NIST 800:63B (s. 16 decyzji),

5) raporty roczne CERT Polska za 2016, 2017 i 2018 rok (s. 17 decyzji),

w sytuacji gdy w aktach postępowania administracyjnego nie znajduje się materiał źródłowy (dowodowy), który pozwalałby na (i) poczynienie wiążących dla skarżącego ustaleń zawartych na stronach od 15 do 17 uzasadnienia decyzji, (ii) przeprowadzenie przez skarżącego oceny materiału źródłowego i prawidłowości ustaleń organu, a wręcz (iii) wypowiedzenie się co do tego materiału źródłowego

w trybie art. 10 § 1 k.p.a., co w konsekwencji doprowadziło do poczynienia przez organ ustaleń z materiału dowodowego zebranego poza postępowaniem administracyjnym;

9) art. 7 k.p.a., art. 77 § 1 k.p.a., art. 80 k.p.a., poprzez brak wszechstronnej oceny oraz wywodzenia logicznych i spójnych wniosków z materiału dowodowego zgromadzonego przez organ administracyjnym, w którym brał udział skarżący, tj.: wytycznych ENISA dot. bezpieczeństwa przetwarzania danych osobowych wydanych w 2016 r. (s. 16 decyzji) polegający na przyjęciu przez organ, że ENISA rekomenduje stosowanie mechanizmu uwierzytelniania dwuetapowego dla systemów obejmujących dostęp do danych osobowych, podczas gdy ENISA w przedmiotowych wytycznych rekomenduje zastosowanie dwuetapowego uwierzytelniania wyłącznie

w przypadku wysokiego ryzyka, a organ takiej oceny ryzyka nie przeprowadził, nie zakwestionował merytorycznie oceny dokonanej przez Spółkę;

10. art. 7 k.p.a., art. 77 § 1 k.p.a., art. 80 k.p.a. poprzez brak wszechstronnej oceny wywodzenia logicznych i spójnych wniosków z materiału dowodowego oraz zgromadzonego przez organ poza postępowaniem administracyjnym, w którym brał udział skarżący, tj.:

- normy PN-EN ISO/IEC 27001:2071 -06 (s. 15 decyzji),

- "dokument OWASP Top 10 - 2017" (s. 16 decyzji),

- NIST 800:63B (s. 16 decyzji),

polegające na przyjęciu, że z wytycznych tych wynika rekomendacja stosowania wieloetapowego uwierzytelniania, sugerując przy tym, że wieloetapowe uwierzytelnianie powinno być także stosowane przez Spółkę, podczas gdy z tych dokumentów wynikają jedynie ogólne rekomendacje w zakresie przykładowych środków technicznych, jakie mogą być stosowane, a wybór odpowiednich środków

w konkretnym przypadku jest uzależniony od oceny ryzyka, której organ nie przeprowadził;

11. art. 7 k.p.a., art. 77 § 1 k.p.a., art. 80 k.p.a., poprzez dowolną ocenę materiału dowodowego, niezgodną z logiką i zasadami doświadczenia życiowego, polegającą na stwierdzeniu, że Spółka w sposób niewystarczający oceniła zdolność do ciągłego zapewnienia poufności oraz nie uwzględniła ryzyka związanego z uzyskaniem nieuprawnionego dostępu do panelu pracownika, podczas gdy prawidłowa ocena materiału dowodowego zebranego w sprawie powinna doprowadzić do ustalenia, że Spółka nie dopuściła się naruszenia w tym zakresie;

12. art. 7 k.p.a., art. 77 § 1 k.p.a., art. 80 k.p.a., poprzez dowolną ocenę materiału dowodowego niezgodną z logiką i zasadami doświadczenia życiowego, polegającą na stwierdzeniu przez organ w treści decyzji, że Spółka nie podejmowała działań mających na celu ocenę doboru środków technicznych i organizacyjnych przez pryzmat adekwatności do ryzyk, podczas gdy w toku postępowania organ nie przeprowadził postępowania dowodowego na tę okoliczność i nie dokonał żadnych ustaleń faktycznych w zakresie ryzyka naruszenia praw i wolności osób fizycznych;

13. art. 7 k.p.a., art. 77 § 1 k.p.a., art. 80 k.p.a., poprzez brak wszechstronnej oceny materiału dowodowego oraz wywodzenia logicznych i spójnych wniosków ze zgromadzonego przez organ materiału dowodowego, polegający na przyjęciu przez organ, że:

- "Naruszenie dotyczyło około 2.200.000 (ok. dwóch milionów dwustu tysięcy) użytkowników" - s. 5,

- "Uzyskania dostępu do bazy danych wszystkich klientów Spółki przez osoby nieuprawnione. Uzyskanie dostępu do panelu pracowników Spółki oraz do danych wszystkich klientów z systemu bazodanowego Spółki skutkowało zmaterializowaniem się ryzyka naruszenia praw i wolności osób fizycznych, których dane przetwarzane są przez spółkę" - s. 14,

- "stwarza bowiem wysokie ryzyko negatywnych skutków prawnych dla około 2.200.000 osób, do których danych dostęp miała osoba, bądź osoby nieuprawnione" - s. 23,

- "wyciek danych 2.200.000 (ok. dwóch milionów dwustu tysięcy) osób" - s. 24,

podczas, gdy zgromadzony materiał dowodowy prowadzi do wniosku odmiennego, tj. brak stanu naruszenia, wycieku 2.200.000 użytkowników (osób) oraz przestępczego skopiowania jedynie wycinka bazy danych klientów skarżącego - 600 osób, gdyż jak organ prawidłowo ustalił (punkt 20 ustaleń faktycznych), że "nie stwierdzono przypadku eksportu danych z serwera bazy danych z wykorzystaniem modułów służących do eksportu konkretnej tabeli", tj. pobrania pełnej bazy danych skarżącego w ilości około 2.200.000 osób, co w konsekwencji przełożyło się na błędne ustalenie stanu faktycznego sprawy w zakresie okoliczności wpływających na ustalenie oraz wysokość kary administracyjnej;

14. art. 7 k.p.a., art. 77 § 1 k.p.a., art. 80 k.p.a., poprzez brak wszechstronnej oceny materiału dowodowego oraz wyciągania logicznych, zgodnych z zasadami doświadczenia życiowego, wniosków ze zgromadzonego materiału dowodowego, polegającego na przyjęciu przez organ, że skarżąca "pomimo deklaracji monitorowania systemu sieciowego i reagowania w systemie 24/7 nie stwierdziła

w czasie rzeczywistym, tj. w dniach [...].10.2018 – [...].10.2018 r. zwiększonego ruchu na bramie sieciowej serwera i nie podjęła w tym czasie żadnych działań zaradczych", w sytuacji gdy równocześnie organ ustalił (punkt 19 stanu faktycznego), że przyczyną wzrostu przesyłu danych była integracja M. z A., a zatem nie było podstaw do przypuszczenia przestępczej ingerencji w systemy informatyczne skarżącego oraz nie zaistniały inne okoliczności, które by taką przestępczą ingerencję uzasadniały, co w konsekwencji doprowadziło do błędnego stwierdzenia naruszenia przez skarżącego art. 5 ust. 1 łit. f, art. 32 ust. 1 łit. b i d oraz art. 32 ust. 2 RODO uznanego przez organ, jako rażące zaniedbanie (punkt c) s. 24);

15. art. 7 k.p.a., art. 77 § 1 k.p.a. oraz art. 80 k.p.a. i art. 81a § 1 k.p.a. poprzez przyjęcie, że Spółka przetwarzała dane osobowe zebrane we wnioskach ratalnych przed dniem [...] maja 2018 r., podczas gdy prawidłowa ocena materiału dowodowego powinna doprowadzić do wniosku, że okoliczność ta nie została udowodniona w toku postępowania administracyjnego, a niedające się usunąć wątpliwości co do stanu faktycznego powinny być rozstrzygnięte na korzyść strony, natomiast bezpodstawne założenie organu co do stanu faktycznego w konsekwencji doprowadziło do nieprawidłowego przyjęcia, że Spółka naruszyła zasady legalności i rzetelności wyrażone w art. 5 ust. 1 lit. 1 RODO oraz zasadę rozliczalności z art. 7 ust. 2 RODO oraz nałożenia na Spółkę kary administracyjnej;

16. art. 7 k.p.a., art. 77 § 1 k.p.a. oraz art. 107 § 1 pkt 6 k.p.a. przez przyjęcie, że Spółka nie zbierała prawidłowo zgód na przetwarzanie danych przed [...] maja

2018 r., podczas gdy prawidłowa ocena materiału dowodowego powinna doprowadzić do wniosku, że okoliczność ta nie została udowodniona w toku postępowania administracyjnego, a organ nie podjął czynności niezbędnych do dokładnego wyjaśnienia stanu faktycznego, w tym w toku postępowania kontrolnego oraz później w toku postępowania administracyjnego Prezes Urzędu nie zwrócił się do Spółki o wyjaśnienia w przedmiotowym zakresie, w szczególności nie zwrócił się do Spółki o przedstawienie treści zbieranych zgód na przetwarzanie danych osobowych, co w konsekwencji doprowadziło do nieprawidłowego uznania, że Spółka naruszyła zasady legalności i rzetelności wyrażone w art. 5 ust. 1 lit. 1 RODO oraz zasadę rozliczalności z art. 7 ust. 2 RODO oraz nałożenia na Spółkę kary administracyjnej;

17. art. 107 § 1 pkt 6 k.p.a. oraz art. 107 § 3 k.p.a., poprzez sporządzenie uzasadnienia w sposób niezrozumiały, niezgodny z obowiązkami nałożonymi na organ w zakresie sporządzenia uzasadnienia, polegający na:

- braku wyczerpującego wskazania faktów, które organ uznał za udowodnione, dowodów, na których się oparł, oraz przyczyn, z powodu których innym dowodom odmówił wiarygodności i mocy dowodowej, a przyjmowaniu założeń niepopartych ani dowodami ani uzasadnieniem logicznym lub dokumentami nie stanowiącymi materiału dowodowego zgromadzonego w sprawie ani nie będących źródłami prawa, poprzez m.in.:

a) niepopartą dowodami i argumentacją ocenę, że środki zabezpieczające stosowane przez M. były nieadekwatne do ryzyk i niezgodne z przepisami;

b) niepopartą dowodami i argumentacją ocenę, że zastosowanie przez spółkę środka uwierzytelniającego wyłącznie w postaci loginu i hasła było niewystarczające (str. 15),

c) niepopartą dowodami i argumentacją ocenę, że w sposób niewystarczający oceniono zdolność do ciągłego zapewniania poufności oraz nie uwzględniono ryzyka związanego z uzyskaniem nieuprawnionego dostępu do Panelu pracownika (str. 15),

d) niepopartą dowodami ocenę, że Spółka nie podejmowała działań mających na celu ocenę doboru środków technicznych i organizacyjnych przez pryzmat adekwatności do ryzyk (str. 19);

e) niepopartą dowodami i argumentacją ocenę, że wcześniejsze wdrożenie

i wprowadzenie dodatkowych środków, m.in. dwuskładnikowego uwierzytelniania znacząco zminimalizowałoby ryzyko naruszenia praw i wolności osób fizycznych;

f) nieumotywowane argumentacją i dowodami założenie przez organ, że skoro "zgody były pozyskiwane po rozpoczęciu obowiązywania rozporządzenia 2016/679,

a sam proces trwał od 2016 r. (wyjaśnienia Spółki), należy założyć, że w usuniętej bazie danych znajdowały się dane zebrane bez podstawy prawnej" (s. 21 decyzji);

- braku wskazania przez organ wyliczenia takiej a nie innej wysokości kary administracyjnej, a wskazanie przez organ jedynie tez nieznajdujących oparcia

w zgromadzonym materiale dowodowym,

- sprzeczności wewnętrznych uzasadnienia, w tym m.in. w punkcie 20 ustaleń faktycznych organ ustalił, że "nie stwierdzono przypadku eksportu danych z serwera bazy danych z wykorzystaniem modułów służących do eksportu konkretnej tabeli", podczas gdy już w lit. d) na s. 24 decyzji organ stwierdził, że zaszedł "wyciek danych 2.200.000 osób";

co w konsekwencji uniemożliwia realną kontrolę merytoryczną decyzji;

18. art. 107 § 1 pkt 6 k.p.a. w zw. z art. 72 u.o.d.o. i art. 83 ust. 1 i 2 RODO, poprzez brak uzasadnienia przez organ wysokości nałożonej kary administracyjnej w zakresie m.in. wyliczenia i skwantyfikowania, jakie przełożenie na wysokość nałożonej kary miały okoliczności, które w ocenie organu miały charakter łagodzący lub zaostrzający odpowiedzialność M. co w konsekwencji uniemożliwia realną kontrolę merytoryczną decyzji.

Ponadto zaskarżanej decyzji zarzucono, mające wpływ na wynik sprawy, naruszenie przepisów prawa materialnego:

1. art. 32 ust. 1 i 2 RODO polegające na przyjęciu, że z art. 32 ust. 1 i 2 RODO wynika obowiązek zastosowania skutecznych środków technicznych

i organizacyjnych (str. 14), podczas gdy obowiązek wynikający z art. 32 ust. 1 i 2 RODO dotyczy zastosowania (wdrożenia) środków odpowiednich, aby zapewnić stopień bezpieczeństwa odpowiadający temu ryzyku;

2. art. 24 ust. 1 RODO oraz 32 ust. 1 i 2 RODO, przez ich niewłaściwe zastosowanie tj. formułowanie ocen dotyczących odpowiedniości/nieodpowiedniości technicznych

i organizacyjnych środków bezpieczeństwa bez uprzedniej oceny ryzyka,

w szczególności poprzez przyjęcie, że stosowane przez Spółkę techniczne

i organizacyjne środki bezpieczeństwa były nieodpowiednie (tj. zdaniem organu niewystarczające), zaś wskazany przez organ środek bezpieczeństwa w postaci podwójnego uwierzytelnienia byłby odpowiedni (z uwzględnieniem stanu wiedzy technicznej, kosztu wdrożenia oraz charakteru, kontekstu i celu przetwarzania oraz ryzyka naruszenia praw i wolności osób fizycznych), podczas gdy organ (i) nie zakwestionował merytorycznie oceny ryzyka dokonanej przez skarżącego, (ii) formułował oceny dotyczące ryzyka w sposób arbitralny, w szczególności bez udziału biegłych, bez określenia metody oceny ryzyka oraz bez oparcia formułowanych ocen w materiale dowodowym, (iii) zaniechał przeprowadzenia postępowania administracyjnego pod kątem oceny ryzyka dokonanej przez skarżącego i oceny jej prawidłowości;

3. naruszenie art. 5 ust. 2 RODO w zw. z art. 7 ust. 1 oraz w zw. z art. 11 ust. 1 RODO przez ich błędną wykładnię i przyjęcie, że Spółka ma obowiązek wykazać legalność przetwarzania danych osobowych, pomimo że proces przetwarzania danych osobowych został zakończony, podczas gdy przepisy RODO nakazują wykazać rozliczalność, w tym wykazanie podstawy prawnej oraz prawidłowość zebranych zgód, wyłącznie względem danych aktualnie przetwarzanych przez administratora procesów przetwarzania;

4. art. 72 u.o.d.o. w zw. z art. 83 ust. 2 lit. g i h RODO, poprzez ich niezastosowanie, w sytuacji gdy organ ustalił takie okoliczności jak: charakter kategorii danych, których dotyczyło stwierdzone naruszenie oraz powzięcie przez organ informacji

o naruszeniu od skarżącego (auto denuncjacja), tj. okoliczności, które w świetle art. 83 ust. 2 RODO dają podstawę do złagodzenia nałożonej kary administracyjnej;

5. art. 83 ust. 2 RODO:

- lit. a) poprzez brak uwzględnienia przez organ w ustalonym stanie faktycznym wycieku danych w związku z przestępstwem włamania do systemów informatycznych Spółki, jako okoliczności łagodzącej,

- lit. a) poprzez brak uwzględnienia przez organ w ustalonym stanie faktycznym krótkotrwałego okresu trwania naruszenia, jako okoliczności łagodzącej, w sytuacji gdy szybka reakcja skarżącego na podejrzenie naruszenia winna zostać pozytywnie oceniona przez organ w toku ustalania wysokości nakładanej kary administracyjnej,

- lit. a) poprzez jego niewłaściwe zastosowanie i przyjęcie, że charakter, waga i czas trwania naruszenia uzasadniają zastosowanie środka, o którym mowa w art. 58 ust. 2 lit. i RODO, podczas gdy charakter naruszenia, jego waga oraz czas trwania nie uzasadniają nałożenia kary pieniężnej, ponieważ według dowodów zebranych

w sprawie naruszenie dotyczyło około 600 rekordów (spośród ponad 2.200.000 rekordów w bazie M.), było krótkotrwałe (trwało najwyżej 10 dni), zaś względem 600 osób dotyczyło wyłącznie danych zwykłych związanych

z funkcjonowaniem konta w sklepie internetowym i realizacją umowy sprzedaży,

- lit. b) poprzez jego błędną wykładnię i przyjęcie, że nieumyślny charakter naruszenia wpływa obciążająco na zasadność nałożenia kary pieniężnej oraz jej wysokość, podczas gdy ww. przepis rozróżnia umyślny lub nieumyślny charakter naruszenia przepisów RODO i tej pierwszej sytuacji przypisuje łagodniejsze sankcje,

- lit. d) poprzez jego błędne zastosowanie i przyjęcie, że stopień odpowiedzialności Spółki uzasadnia nałożenie kary, podczas gdy okoliczności będące przedmiotem niniejszej sprawy, w szczególności:

a) poziom wdrożenia RODO w Spółce, w tym stosowanie procedury,

b) stosowane organizacyjne i techniczne środki bezpieczeństwa, w tym bezpieczeństwa IT,

c) powołanie Inspektora Ochrony Danych,

d) pełną współpracę M. z organem nadzorczym oraz Policją,

e) fakt bycia ofiarą przestępstwa,

wskazują, że dostęp do danych klientów przez osoby nieuprawnione był okolicznością nadzwyczajną,

- lit. f) poprzez jego błędne zastosowanie i brak wskazania, o ile (kwotowo lub

w procentach) kara została obniżona w związku z dobrą i pełną współpracą Spółki

z Prezesem Urzędu,

- lit. k) poprzez przez jego niewłaściwe zastosowanie i ustalenie, że brak dowodów wskazujących na uzyskanie przez Spółkę korzyści finansowych lub uniknięcie straty jest okolicznością nie mającą wpływu na fakt nałożenia oraz wymiar administracyjnej kary pieniężnej, podczas gdy (i) Spółka poniosła wysokie straty finansowe oraz marketingowe w związku z zaistniałą sytuacją, (ii) Spółka poinformowała podmioty danych o sytuacji pomimo nieziszczenia się obowiązku informowania podmiotów danych, o którym mowa w art. 34 ust. 1 RODO, (iii) Spółka współpracowała

z organami ścigania (Policja), (iv) Spółka zgodziła się na przeprowadzenie kontroli przez Prezesa Urzędu w styczniu 2019 r., pomimo zaistnienia przesłanek uzasadniających niemożność przeprowadzenia kontroli w związku z inną kontrolą prowadzoną w Spółce, które to naruszenie bezpośrednio wpływa na nieproporcjonalność nałożonej kary administracyjnej.

W odpowiedzi na skargę Prezes Urzędu wniósł o jej oddalenie, podtrzymując swoje dotychczasowe argumenty faktyczne i prawne.

Odnosząc się do zarzutów skargi, stwierdził, że przytoczone w decyzji normy

i standardy międzynarodowe (PN-EN ISO/IEC 27001:2071-06) czy standardy Amerykańskiego Narodowego Instytutu Standaryzacji i Technologii NIST (NIST 800:63B) są standardami powszechnie znanymi i stosowanymi w dziedzinie zabezpieczania informacji i jako takie musiały zatem być zarówno dla Spółki, jak

i organu nadzorczego, kryteriami oceny i źródłem powszechnej i aktualnej wiedzy

o sposobie wykonania obowiązków określonych w przepisach rozporządzenia 2016/679. Bazują one na międzynarodowo uznanych wartościach podstawowych, tj. poufności, integralności i dostępności, do których odwołuje się także unijny prawodawca w art. 32 ust. 1 lit. b RODO. W płaszczyźnie organizacyjnej normy tego typu wyznaczają powszechnie znane i akceptowane standardy.

Prezes Urzędu odmówił uwzględnienia wniosku Spółki o dopuszczenie

i przeprowadzenie dowodu z opinii biegłego we wskazanym we wniosku zakresie, ponieważ dotyczył przeprowadzenia opinii biegłego na okoliczności i fakty niespornie ustalone podczas kontroli oraz przeprowadzonego postępowania. Stopień skomplikowania sprawy, w tym oceny zgromadzonego w sprawie materiału dowodowego, nie przekraczał natomiast zakresu wiadomości, jaki pozostaje w gestii organu.

Prezes Urzędu uznał za niezasadny zarzut w zakresie odebrania zeznań od świadków bez ich uprzedniego pouczenia o prawie odmowy zeznań i odpowiedzi na pytania oraz o odpowiedzialności za fałszywe zeznania w toku postępowania kontrolnego, tj. naruszenie art. 83 § 3 k.p.a. w związku z art. 86 § 3 u.o.d.o. Wskazał, że na podstawie art. 84 ust. 1 pkt 4 u.o.d.o. kontrolujący ma prawo żądać złożenia pisemnych lub ustnych wyjaśnień oraz przesłuchać w charakterze świadka osoby

w zakresie niezbędnym do ustalenia stanu faktycznego. Przepis ten rozróżnia zebranie informacji w toku kontroli poprzez zebranie wyjaśnień od pracowników czy przedstawicieli podmiotu kontrolowanego od przesłuchania pracowników czy przedstawicieli podmiotu kontrolowanego w charakterze świadka. W trakcie czynności kontrolnych kontrolujący pozyskali od: L. W., J. F., S. K., J. K., W. P., B. M. ustne wyjaśnienia, o czym świadczą znajdujące się w aktach sprawy "Protokoły przyjęcia ustnych wyjaśnień". Tym samym skoro w toku kontroli ww. osoby nie były przesłuchiwane w charakterze świadków, to kontrolujący postąpili prawidłowo nie pouczając o prawie odmowy zeznań i odpowiedzi na pytania oraz

o odpowiedzialności za fałszywe zeznania. Pouczenie takie byłoby bowiem działaniem nieprawidłowym, jako niewymaganym przepisami prawa.

Dodatkowo w piśmie procesowym z dnia [...] marca 2020 r. w uzupełnieniu odpowiedzi na skargę Prezes Urzędu podkreślił, że w zaskarżonej decyzji zasadnie przyjęto, iż osoba trzecia w sposób nieuprawniony pozyskała dane osobowe ok. 2.200.000 osób, których dane dotyczą. Zwrócił uwagę, że zgodnie z art. 4 pkt 12 RODO naruszenie ochrony danych osobowych oznacza naruszenie bezpieczeństwa prowadzące do przypadkowego lub niezgodnego z prawem zniszczenia, utracenia, zmodyfikowania, nieuprawnionego ujawnienia lub nieuprawnionego dostępu do danych osobowych przesyłanych, przechowywanych lub w innych sposób przetwarzanych.

Fakt niezgodnego z prawem ujawnienia lub nieuprawnionego dostępu,

o którym mowa w art. 4 pkt 12 rozporządzenia 2016/679, do danych osobowych przetwarzanych przez Spółkę wynika zarówno z materiału zgromadzonego w toku kontroli, jak i z wyjaśnień Spółki złożonych zarówno przed, jak i w trakcie prowadzonego postępowania.

W zgłoszeniu naruszenia ochrony danych osobowych z [...] listopada 2018 r., Spółka wskazała, że zgłoszone naruszenie ochrony danych osobowych dotyczyło około 2.200.000 (dwóch milionów dwustu tysięcy) użytkowników. Ponadto

w zgłoszeniu tym Spółka zaznaczyła, że posiada informacje od osoby nieuprawnionej, iż jest ona w posiadaniu bazy danych obejmującej następujące kategorie danych: imię, nazwisko, e-mail, numer telefonu, zakodowane hasło, informację o statusie osoby (osoba fizyczna czy spółka), identyfikator adresu wysyłki, czy użytkownik jest aktywny, id Account Managera, datę utworzenia konta, datę modyfikacji konta, informację czy użytkownik zweryfikował swój adres e-mail. W dniu [...] grudnia 2018 r. "szantażysta" skierował do Spółki korespondencję e-mailową, w której przekazał próbkę posiadanej bazy danych zawierającą 106 rekordów. Spółka wysłała do ok. 2.200.000 klientów wiadomości e-mailowe zawierające zawiadomienie

o nieuprawnionym dostępie do bazy danych klientów tym samym uznając, że dane tylu osób zostały objęte naruszeniem.

W toku kontroli zostało ustalone, że w przesłanej do Spółki przez "szantażystę" próbce bazy danych znajdowały się kategorie danych tożsame do tych wskazanych w przesłanym do Prezesa Urzędu zgłoszeniu naruszenia z dnia [...] listopada 2018 r.

Porównanie kolumn tabeli z przekazanej próbki z tabelą użytkowników sklepu pozwoliło Prezesowi Urzędu przyjąć, że osoba nieuprawniona miała wgląd w całą bazę danych użytkowników, gdyż posiadała ona pełną wiedzę o zakresie przetwarzanych przez Spółkę danych osobowych.

Wojewódzki Sąd Administracyjny w Warszawie zważył, co następuje:

Sąd nie znalazł podstaw do skierowania pytania prejudycjalnego do TSUE zawartego w skardze, gdyż nie powziął wątpliwości, co do możliwości zapewnienia skutecznej ochrony prawnej przy rozpoznawaniu skargi w przedmiotowej sprawie.

Skoro co do zasady, decyzje o nałożeniu sankcji o charakterze pieniężnym podlegają – jak wszystkie decyzje administracyjne – zaskarżeniu do sądu administracyjnego, nie sposób przyjąć, że zastosowanie tej reguły w przedmiotowej sprawie narusza prawo do sądu.

Przepis art. 184 Konstytucji RP wprowadza domniemanie, że w sprawach

z zakresu administracji publicznej prawo do sądu realizowane będzie przez sądownictwo administracyjne (por. wyrok TK z 14 czerwca 1999 r., sygn. K 11/98, OTK ZU nr 5/1999, poz. 97), czyli że w uzasadnionych wypadkach sprawowanie wymiaru sprawiedliwości w tym obszarze może być powierzone sądom powszechnym (por. postanowienia TK z: 9 maja 2000 r., sygn. SK 15/98, OTK ZU nr 4/2000, poz. 113; 14 listopada 2007 r., sygn. SK 53/06, OTK ZU nr 10/A/2007, poz. 139).

Zgodnie z art. 2 ustawy z dnia 30 sierpnia 2002 r. - Prawo postępowaniu przed sądami administracyjnymi (t.j. Dz. U. z 2019 r., poz. 2325 z późn. zm.), dalej: "p.p.s.a.", do rozpoznawania spraw sądowoadministracyjnych powołane są sądy administracyjne. Z kolei w przepisie art. 3 § 2 pkt 1 p.p.s.a. wskazano, że kontrola działalności administracji publicznej przez sądy administracyjne obejmuje orzekanie w sprawach skarg na decyzje administracyjne.

Decyzja wydana przez Prezesa Urzędu mieści się w katalogu decyzji podlegających kontroli sądowoadministracyjnej, gdyż jest decyzją administracyjną.

Nie ulega wątpliwości, że w świetle konstytucyjnego modelu sądowej kontroli działalności administracji publicznej - sąd administracyjny nie posiada, co do zasady kompetencji do dokonywania ustaleń stanu faktycznego, w będącej przedmiotem jego rozpoznania sprawie administracyjnej. Zadanie to należy do organu administracji publicznej. Kognicja ta jest ograniczona, ponieważ przyznanie sądom administracyjnym kompetencji w zakresie merytorycznego rozpoznania sprawy administracyjnej (np. o nałożenie administracyjnej kary pieniężnej) prowadziłoby do wyręczania przez judykaturę administracji publicznej (egzekutywy) w realizacji powierzonych jej zadań i kompetencji (por. wyrok TK z 13 listopada 2007 r., sygn. SK 40/06, OTK ZU nr 10/A/2007, poz. 137).

Samo zaś umocowanie organów administracji do wymierzania administracyjnych kar pieniężnych mieści się w ramach porządku konstytucyjnego i nie może być postrzegane, jako wkraczanie administracji w kompetencje wymiaru sprawiedliwości (art. 10 Konstytucji). Nie można administracyjnych kar pieniężnych utożsamiać z grzywną lub innymi instytucjami prawa karnego. Kary pieniężne nie muszą być wymierzane tylko w postępowaniu karnym (por. wyrok TK z 29 kwietnia 1998 r., sygn. akt K 17/97; publ. OTK 1998/3/30).

Sąd oddalił wnioski dowodowe zawarte w skardze, z dokumentów załączonych do skargi, jako załączniki od 3 do 5. Skoro w aktach sprawy znajdują się dokumenty wskazane w załączniku nr 4 i 5 odpowiednio: screeny z firewall i pismo dot. zmiany komunikatu www., to zbędne było przeprowadzenie uzupełniającego dowodu z tych dokumentów, na podstawie art. 106 § 3 p.p.s.a. Według art. 133 p.p.s.a., sąd administracyjny orzeka na podstawie akt sprawy. Podstawą zatem orzekania przez ten sąd jest materiał dowodowy zgromadzony przez organy administracji publicznej w toku całego postępowania.

Natomiast dowód załączony do skargi, jako załącznik nr 3, nazwany analizą ryzyka naruszenia praw i wolności podmiotów danych, a stanowiący dokument z dnia [...] grudnia 2018 r. o nazwie "Ocena powagi naruszenia ochrony danych osobowych

w M. sp. z o.o." nie pozostaje, zdaniem Sądu, w związku z oceną legalności zaskarżonego aktu.

Skarga nie zasługuje na uwzględnienie, ponieważ Sąd, przeprowadzając kontrolę pod względem zgodności z prawem zaskarżonej decyzji administracyjnej, stosownie do art. 1 § 1 i § 2 p.p.s.a., nie stwierdził, aby Prezes Urzędu, wydając decyzję z dnia [...] września 2019 r. naruszył przepisy prawa materialnego w stopniu mającym wpływ na wynik sprawy, czy też przepisy postępowania administracyjnego w stopniu mogącym mieć istotny wpływ na wynik sprawy.

Zaskarżona decyzja spełnia warunki określone w art. 107 § 1 pkt 5 k.p.a., tj. zawiera oznaczenie organu administracyjnego, datę wydania, oznaczenie strony, powołanie podstawy prawnej, rozstrzygnięcie, uzasadnienie faktyczne i prawne, pouczenie, podpis z podaniem imienia i nazwiska oraz stanowiska. Osnowa decyzji, czyli rozstrzygnięcie, jest sformułowana jasno i precyzyjnie, jest zrozumiała. Sentencja rozstrzyga o nałożeniu kary administracyjnej w związku z naruszeniem wskazanych w niej przepisów obowiązującego prawa. W uzasadnieniu zaś decyzji organ wyjaśnił podstawy prawne rozstrzygnięcia.

W zawiadomieniu o wszczęciu postępowania administracyjnego z dnia [...] czerwca 2019 r. organ wskazał, jakie naruszenia stwierdzone w trakcie kontroli wywołanej zgłoszeniem naruszeń ochrony danych osobowych klientów sklepów [...], [...], [...], [...], [...], [...], [...], [...], [...],[...].[...], których administratorem jest Spółka, są przedmiotem postępowania, opisując je i podając ich kwalifikację prawną.

Decyzja Prezesa Urzędu z dnia [...] września 2019 r. wskazuje za co organ nadzoru nałożył na skarżącą Spółkę karę administracyjną pieniężną i wbrew zarzutom skargi, podaje przyczyny jej nałożenia. W sentencji rozstrzygnięcia wskazano przepisy rozporządzenia 2016/679, których naruszenie stwierdzono w toku postępowania. Natomiast w jego uzasadnieniu zawarto opis tych naruszeń i ich kwalifikację prawną.

Fakt niezgodnego z prawem ujawnienia lub nieuprawnionego dostępu,

o którym mowa w art. 4 pkt 12 rozporządzenia 2016/679, do danych osobowych przetwarzanych przez Spółkę, wynika niezbicie z materiału zgromadzonego

w przedmiotowej sprawie.

Należy podzielić stanowisko organu, że najpoważniejszym naruszeniem, determinującym wymierzoną karę, było naruszenie zasady poufności wyrażonej

w art. 5 ust. 1 lit. f w zw. z art. 32 ust. 1 lit. b i d w zw. z art. 32 ust. 2 RODO.

Przepis art. 5 RODO formułuje zasady dotyczące przetwarzania danych osobowych, które muszą być respektowane przez wszystkich administratorów, tj. podmioty, które samodzielnie lub wspólnie z innymi ustalają cele i sposoby przetwarzania danych osobowych. Zgodnie z art. 5 ust. 1 lit. f RODO, dane osobowe muszą być przetwarzane w sposób zapewniający odpowiednie bezpieczeństwo danych osobowych, w tym ochronę przed niedozwolonym lub niezgodnym z prawem przetwarzaniem oraz przypadkową utratą, zniszczeniem lub uszkodzeniem, za pomocą odpowiednich środków technicznych lub organizacyjnych ("integralność

i poufność").

Stosownie zaś do treści art. 32 ust. 1 lit. b RODO, uwzględniając stan wiedzy technicznej, koszt wdrażania oraz charakter, zakres, kontekst i cele przetwarzania oraz ryzyko naruszenia praw lub wolności osób fizycznych o różnym prawdopodobieństwie wystąpienia i wadze, administrator i podmiot przetwarzający wdrażają odpowiednie środki techniczne i organizacyjne, aby zapewnić stopień bezpieczeństwa odpowiadający temu ryzyku, w tym między innymi w stosownym przypadku zdolność do ciągłego zapewnienia poufności, integralności, dostępności

i odporności systemów i usług przetwarzania. Zaś z art. 32 ust. 1 lit. d rozporządzenia 2016/679 wynika obowiązek regularnego testowania, mierzenia

i oceniania skuteczności środków technicznych i organizacyjnych mających zapewnić bezpieczeństwo przetwarzania.

W myśl art. 32 ust. 2 RODO, administrator oceniając, czy stopień bezpieczeństwa jest odpowiedni, uwzględnia w szczególności ryzyko wiążące się z przetwarzaniem, w szczególności wynikające z przypadkowego lub niezgodnego z prawem zniszczenia, utraty, modyfikacji, nieuprawnionego ujawnienia lub nieuprawnionego dostępu do danych osobowych przesyłanych, przechowywanych lub w inny sposób przetwarzanych.

Przepis art. 32 RODO stanowi również konkretyzację, wskazanej w art. 5 ust. 1 lit. f RODO, zasady integralności i poufności, zgodnie z którą dane osobowe muszą być przetwarzane w sposób zapewniający odpowiednie bezpieczeństwo danych osobowych, w tym ochronę przed niedozwolonym lub niezgodnym z prawem przetwarzaniem, oraz przypadkową utratą, zniszczeniem lub uszkodzeniem, za pomocą odpowiednich środków technicznych lub organizacyjnych.

Jak prawidłowo ustalił organ, naruszenie zasady poufności nastąpiło poprzez nieuprawniony dostęp do panelu pracownika oraz uzyskanie danych wszystkich klientów systemu bazodanego Spółki. Skutkowało to zmaterializowaniem się ryzyka naruszenia praw i wolności osób fizycznych, których dane osobowe M. przetwarzało. Ryzyko zaś polegało na zastosowaniu metody phishingu w celu wyłudzenia danych.

Zdaniem Sądu, organ miał podstawy przyjąć, że przyczyną uzyskania nieuprawnionego dostępu do panelu pracownika był nieskuteczny środek uwierzytelniania, którym był wyłącznie login i hasło. M. niewystarczająco oceniło zdolność do ciągłego zapewnienia poufności i nie uwzględniło ryzyka związanego z uzyskaniem nieuprawnionego dostępu do panelu pracownika.

Dokonywanie przeglądów i aktualizacja wdrożonych rozwiązań jest również wymogiem sformułowanym wprost w art. 24 ust. 1 zd. 2 rozporządzenia 2016/679,

a także wynikającym z art. 25 ust. 1, który nakłada na administratora zobowiązanie do wdrożenia odpowiednich środków technicznych zarówno w fazie określania sposobów przetwarzania, jak i w fazie samego przetwarzania. Uwzględniając przy tym charakter, zakres, kontekst i cel przetwarzania danych oraz wynikające z nich ryzyka dla praw i wolności osób fizycznych, administrator ma obowiązek wdrażania środków technicznych i organizacyjnych odpowiednich do tychże okoliczności

i aspektów przetwarzania danych osobowych.

Jak prawidłowo ustalił organ nadzoru, to nieskuteczne monitorowanie potencjalnych zagrożeń dla praw i wolności osób, których dane były przetwarzane przez Spółkę, przyczyniło się do nieuprawnionego dostępu do danych klientów

z systemu bazodanowego Spółki.

M., mając na uwadze, że przetwarza dane osobowe ponad 2.200.000 użytkowników, a także zakres i kontekst ich przetwarzania, winna skuteczniej na bieżąco oceniać i monitorować potencjalne zagrożenia dla praw i wolności osób, których dane dotyczą.

To administrator danych jest zobowiązany do weryfikacji zarówno doboru, jak

i poziomu skuteczności stosowanych środków technicznych i organizacyjnych. Kompleksowość tej weryfikacji powinna być oceniana przez pryzmat adekwatności do ryzyk oraz proporcjonalności w stosunku do stanu wiedzy technicznej, kosztów wdrażania oraz charakteru, zakresu, kontekstu i celów przetwarzania.

Organ miał podstawy przyjąć, że Spółka wywiązywała się z tego obowiązku jedynie częściowo, gdyż weryfikowała wyłącznie poziom skuteczności wdrożonych zabezpieczeń pod kątem znanych podatności we wdrożonym oprogramowaniu - na co wskazują audyty bezpieczeństwa funkcjonujących już systemów informatycznych służących do przetwarzania danych klientów Spółki. Nie podejmowała natomiast stosownych działań w kierunku oceny odpowiednich środków technicznych

i organizacyjnych przez pryzmat adekwatności do ryzyk, do czego była zobowiązana przez art. 32 ust. 1 zd. 1 rozporządzenia 2016/679, a także art. 25 ust. 1 tego rozporządzenia. Brak skutecznych środków monitorujących umożliwił zaś zaistnienie stwierdzonych incydentów.

Tak więc przyjęcie, że Spółka zastosowała środki techniczne i organizacyjne, które nie wypełniały w pełnym zakresie wymogów z art. 32 rozporządzenia 2016/679, było uzasadnione, gdyż przewidywalne ryzyko nie zostało odpowiednio zminimalizowane i ograniczone w czasie przetwarzania.

RODO wprowadziło podejście, w którym zarządzanie ryzykiem jest fundamentem działań związanych z ochroną danych osobowych i ma charakter ciągłego procesu. Podmioty przetwarzające dane osobowe zobligowane są nie tylko do zapewnienia zgodności z wytycznymi ww. rozporządzenia poprzez jednorazowe wdrożenie organizacyjnych i technicznych środków bezpieczeństwa, ale również do zapewnienia ciągłości monitorowania poziomu zagrożeń oraz zapewnienia rozliczalności w zakresie poziomu oraz adekwatności wprowadzonych zabezpieczeń. Oznacza to, że koniecznością staje się możliwość udowodnienia przed organem nadzorczym, że wprowadzone rozwiązania, mające na celu zapewnienie bezpieczeństwa danych osobowych, są adekwatne do poziomu ryzyka, jak również uwzględniają charakter danej organizacji oraz wykorzystywanych mechanizmów przetwarzania danych osobowych.

Konsekwencją takiej orientacji jest rezygnacja z list wymagań, w zakresie bezpieczeństwa narzuconych przez prawodawcę, na rzecz samodzielnego doboru zabezpieczeń w oparciu o analizę zagrożeń. Administratorom nie wskazuje się konkretnych środków i procedur w zakresie bezpieczeństwa. Administrator samodzielnie ma przeprowadzić szczegółową analizę prowadzonych procesów przetwarzania danych i dokonać oceny ryzyka, a następnie zastosować takie środki

i procedury, które będą adekwatne do oszacowanego ryzyka.

Jako kolejny zarzut, organ wskazał naruszenie art. 5 ust. 1 lit. a oraz art. 5 ust. 2 RODO, czyli odpowiednio zasady legalności i rzetelności oraz zasady rozliczalności przy przetwarzaniu danych osobowych pochodzących z wniosków ratalnych. Przy czym organ przyjął, że przy nałożeniu kary naruszenie to miało mniejszą wagę.

Zdaniem Sądu, również i w tym zakresie ustalenia i ocena organu nadzoru okazały się prawidłowe.

Należy podzielić stanowisko Prezesa Urzędu, że wyjaśnienia Spółki, dotyczące zakończonego procesu przetwarzania danych z wniosków ratalnych, wobec braku innych dowodów, nie są wystarczające aby uznać, że samo przetwarzanie odbywało się zgodnie z przepisami prawa, w tym na podstawie prawidłowo sformułowanej przesłanki zgody. Fakt, iż prawodawca w art. 4 pkt 2 RODO zaliczył do przetwarzania także usuwanie danych osobowych, skutkuje tym, że proces usuwania przez administratora posiadanych przez niego danych osobowych również musi odpowiadać wskazanym w art. 5 rozporządzenia 2016/679 zasadom dotyczącym przetwarzania danych osobowych.

Dokonany przez Spółkę proces usuwania bazy danych z wniosków ratalnych nie był poprzedzony żadną udokumentowaną przez Spółkę analizą oraz nie został dokonany na podstawie obowiązujących w Spółce procedur określających zasady i okresy usuwania danych osobowych wynikające z przepisów prawa lub celów administratora. Spółka nie była w stanie wykazać, że od roku 2016 do maja 2018 r. pozyskiwała dane klientów z wniosków ratalnych, w celu ułatwienia wypełniania przyszłych wniosków kredytowych, na podstawie prawidłowo sformułowanej przesłanki zgody.

W ocenie Sądu, zastosowana przez Prezesa Urzędu administracyjna kara pieniężna spełnia, w ustalonych okolicznościach niniejszej sprawy, funkcje, o których mowa w art. 83 ust. 1 RODO, tzn. jest w tym indywidualnym przypadku skuteczna, proporcjonalna i odstraszająca.

Organ uzasadnił nałożenie administracyjnej kary finansowej, wskazując przesłanki, na jakich się oparł, biorąc pod uwagę charakter, wagę i czas trwania naruszenia i okoliczności zarówno obciążające, jak i łagodzące wymiar tej kary.

Odnosząc się zaś do zarzutu strony skarżącej, że organ nadzorczy nie uzasadnił okoliczności niezastosowania innego środka naprawczego względem M. z katalogu wymienionego w art. 58 ust. 2 lit. a-h oraz lit. j RODO, zamiast administracyjnej kary pieniężnej, należy wskazać, że zgodnie z art. 58 ust. 2 lit. i RODO, każdemu organowi nadzorczemu przysługuje uprawnienie do zastosowania, oprócz lub zamiast innych środków naprawczych przewidzianych w art. 58 ust. 2 RODO, administracyjnej kary pieniężnej na mocy art. 83 rozporządzenia, zależnie od okoliczności konkretnej sprawy. Organ nie ma zatem obowiązku uzasadnienia dlaczego nie zastosował innego środka naprawczego. Ma natomiast obowiązek uzasadnienia nałożenia administracyjnej kary finansowej, co w zaskarżonej decyzji uczynił, wskazując przesłanki, na jakich się oparł oraz biorąc pod uwagę charakter, wagę i czas trwania naruszenia, a także okoliczności łagodzące wymiar tej kary. W przedmiotowej sprawie organ uznał, że charakter, waga i czas naruszenia kwalifikuje się do nałożenia przedmiotowej kary finansowej.

W uzasadnieniu zaskarżonej decyzji Prezes Urzędu wskazał, na podstawie art. 83 ust. 2 lit. a – k RODO, jakie okoliczności uznał za te, które wpływają na zaostrzenie kary i te, które przemawiają za złagodzeniem wymiaru kary oraz wypowiedział się co do nieumyślności kary (ust. 3). Nie można więc organowi orzekającemu w sprawie skutecznie postawić zarzutu dowolności podjętego rozstrzygnięcia.

Zarzut podniesiony w skardze, że organ nie sprecyzował, w jaki sposób określił wysokość administracyjnej kary pieniężnej, np. poprzez wskazanie wyjściowej wysokości kary, jest niezasadny. Przesłanki nałożenia administracyjnej kary pieniężnej określa bowiem art. 83 RODO. Wysokość nałożonej kary pieniężnej jest wypadkową przesłanek określonych w art. 83 ust. 2 i 3 RODO.

Co zaś się tyczy zarzutu nieprzeprowadzenia, wnioskowanego w toku postępowania administracyjnego, dowodu z opinii biegłego, to należy wskazać, że skoro organ dysponował dostatecznym materiałem dowodowym w sprawie, to prowadzenie wszelkich innych dowodów, w świetle poczynionych ustaleń, było zbędne.

Nie zasługuje na uwzględnienie zarzut naruszenia art. 83 § 3 k.p.a. w zw.

z art. 86 ust. 3 u.p.d.p. W tym zakresie Sąd zgadza się ze stanowiskiem, które w tej kwestii zajął organ w odpowiedzi na skargę.

Za niezasadne Sąd uznał także wszystkie pozostałe zarzuty skargi.

Skoro zatem wszystkie podniesione przez skarżącą Spółkę zarzuty, zarówno dotyczące naruszenia prawa materialnego, jak i procesowego, okazały się chybione oraz brak jest podstaw do uznania, że organ dopuścił się innych naruszeń prawa, które mogłyby stanowić o uchyleniu albo stwierdzeniu nieważności zaskarżonej decyzji, Wojewódzki Sąd Administracyjny w Warszawie, na podstawie art. 151 p.p.s.a., orzekł jak w sentencji.



Powered by SoftProdukt