Centralna Baza Orzeczeń Sądów Administracyjnych

Wojewódzki Sąd Administracyjny w Warszawie w składzie następującym: Przewodniczący Sędzia WSA Izabela Głowacka-Klimas (spr.), Sędzia WSA Andrzej Wieczorek, Asesor WSA Arkadiusz Koziarski, Protokolant starszy referent Edyta Brzezicka, po rozpoznaniu na rozprawie w dniu 16 września 2024 r. sprawy ze skargi [...] Sp. z o.o. z siedzibą w [...] na decyzję Prezesa Urzędu Ochrony Danych Osobowych z dnia [...] stycznia 2024 r. nr [...] w przedmiocie ochrony danych osobowych oddala skargę

Prezes Urzędu Ochrony Danych Osobowych (dalej: organ, Prezes UODO) decyzją z [...] stycznia 2024 r., znak [...]; [...],

po przeprowadzeniu wszczętego z urzędu postępowania administracyjnego w sprawie naruszenia przepisów o ochronie danych osobowych przez [...] sp. z o.o. z siedzibą w K. (dalej: spółka, skarżąca), stwierdzając naruszenie przez spółkę przepisów art. 24 ust. 1, art. 25 ust. 1, art. 32 ust. 1 lit. b i lit. d oraz art. 32 ust. 2 rozporządzenia Parlamentu Europejskiego i Rady UE 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (Dz.Urz. UE L 119 z 04.05.2016, str. 1, ze zm.; dalej "RODO"), polegające na:

a) niewdrożeniu odpowiednich środków technicznych i organizacyjnych zapewniających bezpieczeństwo przetwarzania danych w systemach informatycznych oraz ochronę praw osób, których dane dotyczą, na podstawie przeprowadzonej analizy ryzyka uwzględniającej stan wiedzy technicznej, koszt wdrożenia, charakter, zakres, kontekst i cele przetwarzania oraz ryzyko naruszenia praw lub wolności osób fizycznych,

b) niewdrożeniu odpowiednich środków technicznych i organizacyjnych w celu zapewnienia regularnego testowania, mierzenia i oceniania skuteczności środków technicznych i organizacyjnych mających zapewnić bezpieczeństwo danych osobowych przetwarzanych w systemach informatycznych, w szczególności

w zakresie podatności, błędów oraz ich możliwych skutków dla tych systemów oraz podjętych działań minimalizujących ryzyko ich wystąpienia, skutkujące naruszeniem zasady integralności i poufności (art. 5 ust. 1 lit. f RODO) oraz zasady rozliczalności (art. 5 ust 2 RODO), działając na podstawie art. 104 § 1 i 105 § 1 ustawy z dnia 14 czerwca 1960 r. Kodeks postępowania administracyjnego (Dz.U. z 2023 r. poz. 775 ze zm.; dalej "Kpa.") oraz art. 7 ust. 1 i ust. 2, art. 60, art. 90, art. 101 i art. 103 ustawy o ochronie danych osobowych z dnia 10 maja 2018 r. (Dz. U. z 2019 r. poz. 1781) oraz art. 57 ust. 1 lit. a i lit. h, art. 58 ust. 2 lit. i, art. 83 ust. 1-3, art. 83 ust. 4 lit. a w zw. z art. 24 ust. 1, art. 25 ust. 1 oraz art. 32 ust. 1 lit. b i lit. d oraz ust. 2, a także art. 83 ust. 5 lit. a w zw. z art. 5 ust. 1 lit. a i lit. f, art. 5 ust. 2, art. 6 ust. 1, art. 7 ust. 1 RODO, nałożył na spółkę za naruszenie art. 5 ust. 1 lit. f, art. 5 ust. 2, art. 25 ust. 1 oraz art. 32 ust. 1 lit. b i lit. d i ust. 2 RODO, administracyjną karę pieniężną w wysokości [...] zł (słownie: [...]), w pozostałym zakresie umorzył postępowanie.

Do wydania powyższej decyzji doszło w następującym stanie sprawy.

Spółka [...] listopada 2018 r. zgłosiła Prezesowi UODO dwa naruszenia ochrony danych osobowych, które dotyczyły uzyskania przez osobę nieuprawnioną dostępu do bazy danych klientów sklepów internetowych [...], [...], [...], [...], [...], [...], [...], [...], [...], [...], [...] (dalej "sklepy internetowe") oraz uzyskania przez osobę nieupoważnioną dostępu do konta pracownika spółki, a w konsekwencji uzyskania danych osobowych klientów realizujących zakupy w sklepach internetowych. Następnie, [...] grudnia 2018 r., spółka zgłosiła organowi kolejne naruszenie ochrony danych osobowych polegające na uzyskaniu nieuprawionego dostępu do konta pracownika spółki.

W dniach od [...] do [...] stycznia 2019 r. w celu kontroli zgodności przetwarzania danych z przepisami o ochronie danych osobowych dokonano czynności kontrolnych w spółce. Zakresem kontroli objęto przetwarzanie danych osobowych klientów sklepów internetowych, których administratorem jest spółka.

Na podstawie zgromadzonego materiału dowodowego ustalono, że w procesie przetwarzania danych osobowych spółka, jako administrator, naruszyła przepisy

o ochronie danych osobowych. Uchybienia te polegały na:

1. naruszeniu przez spółkę zasady integralności i poufności danych wyrażonej

w art. 5 ust. 1 lit. f RODO, odzwierciedlonej w postaci obowiązków określonych

w art. 24 ust 1, art. 25 ust. 1, art. 32 ust. 1 lit. b i lit. d oraz art. 32 ust. 2 RODO, polegającym na niezapewnieniu bezpieczeństwa i poufności przetwarzanych danych osobowych, co spowodowało, że dostęp do danych osobowych klientów spółki uzyskały osoby nieuprawnione,

2. naruszeniu zasady zgodności z prawem, rzetelności i przejrzystości oraz zasady rozliczalności, wyrażonych w art. 5 ust. 1 lit. a oraz art. 5 ust. 2 RODO, uszczegółowionych w art. 7 ust. 1 oraz art. 6 ust. 1 RODO, poprzez niewykazanie, że dane osobowe z wniosków ratalnych, zbierane przed [...] maja 2018 r., były przetwarzane przez spółkę na podstawie zgody osoby, której dane dotyczyły.

Jak ustalono, przedmiotem działalności spółki jest sprzedaż detaliczna prowadzona przez domy sprzedaży wysyłkowej lub Internet - prowadzi sklepy internetowe. W związku z prowadzoną działalnością przetwarza dane osobowe klientów, którzy dokonali rejestracji na stronie internetowej [...] (oraz stronach sklepów internetowych, których jest administratorem). Liczba osób, których dane są przetwarzane przez spółkę wynosi ok. 2.200.000 (ok. dwa miliony dwieście tysięcy). Zakres tych danych obejmuje: imię, nazwisko, adres poczty elektronicznej (e-mail), numer telefonu i adres do doręczeń, a dostęp do tych danych mają wyznaczeni pracownicy spółki (oraz pracownicy punktów partnerskich odbioru zamówień - tzw. [...] stanowiących grupę około 17 podmiotów na terenie całego kraju)

w panelu, w postaci kart zamówień. Do grudnia 2018 r. spółka przetwarzała również dane z wniosków ratalnych. Zakres tych danych obejmował: imię, nazwisko, adres poczty elektronicznej (e-mail), numer telefonu, numer PESEL, seria i numer dokumentu tożsamości, data wydania dokumentu tożsamości, data ważności dokumentu tożsamości, wykształcenie, adres zameldowania, adres do korespondencji, źródło dochodu, miesięczny dochód netto, koszty utrzymania gospodarstwa domowego, liczba osób na utrzymaniu, stan cywilny, wysokość miesięcznych innych zobowiązań w instytucjach finansowych, informacja o wysokości zobowiązań alimentacyjnych i innych wynikających z wyroków sądowych (gromadzone od 2016 r.). Ich łączna liczba wynosiła ok. 35 000. Dane te nie były dostępne z poziomu panelu pracownika.

Proces obsługi klienta realizowany jest za pomocą obsługiwanego przez pracownika modułu o nazwie "[...]". W panelu tym personel obsługujący klientów sklepu, w tym pracownicy tzw. [...], mają możliwość zrealizowania procesu zamówienia, procesu reklamacji, zlecenia wygenerowania faktury czy zlecenia listu przewozowego. Zakres uprawnień do funkcji panelu wynika z zakresu stanowisk personelu. [...] są punktami partnerskimi odbioru zamówień obejmującymi około 17 podmiotów na terenie całego kraju.

W dniu [...] listopada 2018 r. spółka została poinformowana przez klientów

o otrzymywaniu przez nich krótkich widomości tekstowych (sms), informujących

o konieczności dokonania dodatkowej opłaty, w wysokości "1 PLN", w celu dokończenia realizacji zamówienia. Wiadomość zawierała link do fałszywej bramki płatności elektronicznej [...]. Spółka niezwłocznie powiadomiła o zdarzeniu Policję oraz przystąpiła do próby wyjaśnienia tej sprawy.

W wyniku analizy zaistniałego naruszenia ochrony danych osobowych, polegającego na uzyskaniu dostępu do panelu pracownika przez osobę nieuprawnioną, spółka ustaliła, że numery telefonów znajdują się tylko w kartach zamówień, do których dostęp miała określona grupa upoważnionych pracowników. Ponadto ustalono, że odczyt danych z kart zamówień odbywał się z poziomu konta jednego z pracowników oraz, że operacje te wykonywała osoba trzecia dysponująca loginem i hasłem do konta tego pracownika. Naruszenie ochrony danych osobowych stwierdzono [...] listopada 2018 r.

Po przeprowadzeniu działań monitorujących, [...] listopada 2018 r. spółka zgłosiła naruszenie do Prezesa UODO. Ponadto, zamieściła na swojej stronie internetowej informację ostrzegającą o fałszywych smsach. Taka sama informacja była przez spółkę wysyłana do klientów w wiadomościach e-mail oraz sms. [...] grudnia 2018 r. spółka ponownie poinformowała osoby, których dane dotyczą, o naruszeniu, informując m.in. o potencjalnym uzyskaniu dostępu do danych z wniosków ratalnych.

Jak wskazano w przesyłanych do organu zgłoszeniach oraz zgłoszeniach uzupełniających, spółka podjęła prace nad wprowadzeniem dodatkowych środków zabezpieczenia technicznego, m.in. w postaci dwuetapowego uwierzytelniania dostępu do panelu pracownika (login w postaci adresu e-mail wraz z hasłem oraz kodem weryfikacyjnym generowanym w aplikacji [...]).

W dniu [...] listopada 2018 r. spółka otrzymała wiadomość e-mail od nieznanej osoby, informującej o dokonanej przez nią kradzieży bazy danych klientów spółki.

Spółka [...] listopada 2018 r. zgłosiła do Prezesa UODO naruszenie ochrony danych osobowych dotyczące potencjalnego uzyskania nieuprawnionego dostępu

do bazy danych jej klientów. Dotyczyło ono około 2.200.000 użytkowników.

W dniu [...] grudnia 2018 r. spółka wysłała do klientów około 2.200.000 wiadomości mailowych zawierających zawiadomienie o nieuprawnionym dostępie

do bazy danych klientów (treść zawiadomienia osób, których dane dotyczą została przesłana w uzupełnieniu zgłoszenia naruszenia ochrony danych osobowych).

W powyższej informacji kierowanej do klientów, spółka poinformowała, że nie przetwarza danych pochodzących z wniosków kredytowych.

Ponadto spółka [...] grudnia 2018 r. zidentyfikowała kolejny nieuprawniony dostęp do konta jednego z pracowników, wykorzystany do ponownej wysyłki fałszywych smsów, o czym zostało poinformowanych 600 osób, do danych których osoba nieuprawniona miała dostęp. Po tym incydencie, w tym samym dniu, spółka wprowadziła podwójne uwierzytelnienie, nad którym pracowała od [...] listopada

2018 r. W dniu [...] grudnia 2018 r. naruszenie to zostało zgłoszone organowi.

W celu ustalenia okoliczności naruszeń ochrony danych zgłoszonych przez spółkę oraz ustalenia stosowanych przez nią środków zabezpieczenia technicznego, środków zastosowanych w celu zminimalizowania skutków naruszenia oraz zapobieżenia podobnym zdarzeniom, [...] stycznia 2019 r. Prezes UODO skierował

do spółki wezwanie do złożenia wyjaśnień.

W odpowiedzi, spółka pismem z [...] stycznia 2019 r. przedstawiła obszerne wyjaśnienia, zawierające m.in: opis prowadzonych przez nią działań po zaistniałym incydencie, opis stosowanych środków zabezpieczenia technicznego

i organizacyjnego, opis procedury obsługi żądań osób, których dane dotyczą.

Do wyjaśnień dołączyła sprawozdanie finansowe za rok obrotowy od [...] stycznia

2017 r. do [...] grudnia 2017 r., z którego wynika, że wysokość przychodów netto

ze sprzedaży i zrównanych z nimi wynosi: [...] złotych oraz oświadczenie zarządu o przychodzie całkowitym spółki za rok 2018, obliczonym na dzień [...] stycznia 2019 r., który wynosi [...] złotych.

Jak ustalono w toku kontroli, dokonanie zakupów w sklepach internetowych, których administratorem jest spółka, wymaga uprzedniej rejestracji. Niezbędne informacje do założenia konta obejmują adres poczty elektronicznej (e-mail) oraz hasło do konta użytkownika, które wprowadza klient sklepu. Po zalogowaniu użytkownik ma możliwość wpisania imienia, nazwiska, adresu oraz numeru telefonu (na potrzeby ustalenia podstawowych danych niezbędnych do doręczenia zakupionych towarów). Konto użytkownika istnieje w systemie spółki do czasu wypowiedzenia umowy, tj. usunięcia konta przez użytkownik. W 2016 roku zaktualizowana została obowiązująca w spółce dokumentacja dotycząca przetwarzania danych osobowych. W 2017 roku spółka rozpoczęła prace związane ze zbliżającą się datą rozpoczęcia stosowania przepisów RODO, w zakresie dostosowania strony internetowej, profilu użytkownika, newslettera, dostosowania dokumentów wewnątrz spółki, obiegu dokumentów, środków zabezpieczenia fizycznego i technicznego. Jak wskazano w przyjętych podczas kontroli wyjaśnianiach, analiza ryzyka była robiona przez spółkę doraźnie dla poszczególnych procesów, w sposób niesformalizowany. Zwrócono ponadto uwagę na "Raport po wykradzeniu bazy danych", który zawiera analizę przepływu danych, konfiguracji i logów serwera, na którym przechowywane są dane klientów spółki. W dokumencie tym wskazano, że w "październiku 2018 r., najprawdopodobniej w dniach [...] a [...] doszło do kradzieży danych z systemu bazodanowego [...]". Analiza "została zrealizowana na podstawie dokumentów i opisów przekazanych przez włamywacza". Jak wynika z raportu, na dzień [...] stycznia 2019 r. (data aktualizacji raportu) nie stwierdzono przyczyny wzrostu przesyłu danych. Kolejna aktualizacja raportu, z [...] stycznia 2019 r. wskazuje, że "przyczyny wzrostu przesyłu danych związane były z integracją [...] z [...]".

Jak wynika z danego raportu, bezpośredni dostęp do bazy danych serwera miały określone adresy IP (tzw. white lista). W raporcie ujęto również analizę eksportu danych bezpośrednio z bazy [...], w wyniku której nie stwierdzono przypadku eksportu danych z serwera bazy danych z wykorzystaniem modułów służących do eksportu konkretnej tabeli (np. "[...]"). Jak wynika z wyjaśnień spółki "po uzyskaniu informacji o rzekomym pobraniu danych wszystkich klientów, serwer bazy danych został wyłączony z bieżącego użytku".

Przeprowadzona kontrola dowiodła też, że moduł obsługujący formularz kredytowy nie zapisuje w bazie danych spółki informacji wprowadzanych przez klienta. Dane wniosku kredytowego są zapisywane w pamięci podręcznej serwera spółki w postaci zaszyfrowanej. Po zakończeniu każdego z etapów, określonych przez współpracujący w tym zakresie bank, dane przesyłane są bezpośrednio do [...] systemu bankowego. W przypadku zakończenia procesu wnioskowania o kredyt dane klienta są niezwłocznie usuwane z pamięci podręcznej serwera spółki. W przypadku niedokończenia procesu wypełniania formularza dane znajdujące się w pamięci podręcznej serwera spółki po upływie czterech godzin są eksportowane do [...] systemu bankowego, a następnie usuwane z pamięci podręcznej serwera.

Zgodnie z przyjętymi w toku kontroli wyjaśnieniami, spółka nie zbierała danych w zakresie skanów dowodów tożsamości należących do klientów składających wnioski kredytowe. Formularz zakupów ratalnych od około [...] października 2018 r. zawierał miejsce na wpisanie wyłącznie kwoty zobowiązań alimentacyjnych lub kwoty zobowiązań wynikających z innych orzeczeń sądowych. Spółka nie potwierdziła, że takie dane były zapisane w bazie usuniętej w grudniu 2018 r.

Prezes UODO postanowieniem z [...] sierpnia 2019 r. odmówił uwzględnienia złożonego przez spółkę wniosku o przeprowadzenie opinii przez biegłego, wskazując m.in. że ocena, czy środki techniczne i organizacyjne stosowane przez spółkę odpowiadały standardom, nie ma istotnego znaczenia dla wydania rozstrzygnięcia

w sprawie, a okoliczność, czy środki techniczne i organizacyjne stosowane przez spółkę były odpowiednie uwzględniając stan wiedzy technicznej, koszt wdrażania oraz charakter, zakres, kontekst i cele przetwarzania oraz ryzyko naruszenia praw lub wolności osób fizycznych o różnym prawdopodobieństwie wystąpienia i wadze zagrożenia, została już w sposób dostateczny ustalona na podstawie pozyskanych dowodów.

Po przeanalizowaniu materiału dowodowego zgromadzonego w postępowaniu administracyjnym, Prezes UODO w decyzji z [...] września 2019 r., stwierdził naruszenie przez spółkę przepisów art. 5 ust. 1 lit. a oraz lit. f, art. 5 ust. 2, art. 6

ust. 1, art. 7 ust. 1, art. 24 ust. 1, art. 25 ust. 1, art. 32 ust. 1 lit. b i lit. d oraz art. 32

ust. 2 RODO i nałożył na spółkę administracyjną karę pieniężną w wysokości

[...] złotych.

Spółka zaskarżyła wspomnianą decyzję do Wojewódzkiego Sądu Administracyjnego w Warszawie, który wyrokiem z dnia 3 września 2020 r., sygn.

II SA/Wa 2559/19, oddalił skargę.

Sąd podał w szczególności, że zaskarżona decyzja zawiera poprawnie sformułowane rozstrzygnięcie. Sentencja decyzji jest zrozumiała, zaś z uzasadnienia wynikają podstawy prawne rozstrzygnięcia. W zawiadomieniu o wszczęciu postępowania organ wskazał, jakie naruszenia stwierdzone w trakcie kontroli są przedmiotem postępowania. Sąd podzielił stanowisko Prezesa UODO, że najpoważniejszym naruszeniem, determinującym wymierzoną karę, było naruszenie zasady poufności wyrażonej w art. 5 ust. 1 lit. f w zw. z art. 32 ust. 1 lit. b i lit. d

w zw. z art. 32 ust. 2 RODO. Organ miał podstawy przyjąć, że przyczyną uzyskania nieuprawnionego dostępu do panelu pracownika był nieskuteczny środek uwierzytelniania, którym był wyłącznie login i hasło. Zdaniem Sądu spółka niewystarczająco oceniła zdolność do ciągłego zapewnienia poufności i nie uwzględniła ryzyka związanego z uzyskaniem nieuprawnionego dostępu do panelu pracownika. Nieskuteczne monitorowanie potencjalnych zagrożeń dla praw i wolności osób, których dane były przetwarzane przez spółkę, przyczyniło się do nieuprawnionego dostępu do danych klientów z jej systemu bazodanowego. Sąd podkreślił, iż spółka – mając na uwadze, że przetwarza dane osobowe ponad 2.200.000 użytkowników – winna była skuteczniej na bieżąco oceniać i monitorować potencjalne zagrożenia dla praw i wolności osób, których dane dotyczą. Spółka jedynie częściowo wywiązała się z obowiązku weryfikacji doboru i poziomu skuteczności stosowanych środków technicznych i organizacyjnych. Nie podejmowała bowiem stosownych działań w kierunku oceny odpowiednich środków technicznych i organizacyjnych przez pryzmat adekwatności do ryzyk, do czego była zobowiązana przez art. 32 ust. 1 zd. 1 i art. 25 ust. 1 RODO. Sąd wskazał, że RODO wprowadziło podejście, w którym zarządzanie ryzykiem jest fundamentem działań związanych z ochroną danych osobowych i ma charakter ciągłego procesu. Podmioty przetwarzające dane osobowe zobligowane są nie tylko do zapewnienia zgodności

z wytycznymi określonymi w RODO przez jednorazowe wdrożenie organizacyjnych

i technicznych środków bezpieczeństwa, ale również do zapewnienia ciągłości monitorowania poziomu zagrożeń oraz zapewnienia rozliczalności w zakresie poziomu oraz adekwatności wprowadzonych zabezpieczeń. Zdaniem Sądu organ prawidłowo przyjął, że spółka naruszyła art. 5 ust. 1 lit. a oraz art. 5 ust. 2 RODO, czyli zasady zgodności z prawem, rzetelności i przejrzystości oraz zasady rozliczalności przy przetwarzaniu danych osobowych pochodzących z wniosków ratalnych.

Za niewystarczające Sąd uznał wyjaśnienia spółki, dotyczące zakończonego procesu przetwarzania danych z wniosków ratalnych, aby uznać, że samo przetwarzanie odbywało się zgodnie z przepisami prawa. Skoro do przetwarzania danych osobowych prawodawca zaliczył także ich usuwanie, to proces usuwania danych przez administratora musi odpowiadać wymogom wskazanym w art. 5 RODO. Dokonany tymczasem przez spółkę proces usuwania bazy danych z wniosków ratalnych nie był poprzedzony żadną udokumentowaną analizą oraz nie został dokonany na podstawie obowiązujących w spółce procedur określających zasady i okresy usuwania danych osobowych wynikające z przepisów prawa lub celów administratora. W odniesieniu do kwestii oddalenia wniosku spółki o przeprowadzenie dowodu z opinii biegłego, Sąd wskazał, że skoro organ dysponował dostatecznym materiałem dowodowym w sprawie, to prowadzenie wszelkich innych dowodów, w świetle poczynionych ustaleń, było zbędne.

Naczelny Sąd Administracyjny (NSA) wyrokiem z dnia 9 lutego 2023 r., sygn.

III OSK 3945/21, po rozpoznaniu skargi kasacyjnej spółki wywiedzionej

od powyższego wyroku Sądu, uchylił zaskarżony wyrok i zaskarżoną decyzję, wskazując, że Sąd pierwszej instancji pominął wynikające z art. 78 Kpa. uprawnienia strony przyjmując, że skoro Prezes UODO dysponował dostatecznym materiałem dowodowym w sprawie, to przeprowadzenie wnioskowanego przez stronę dowodu

z opinii biegłego było zbędne. Sąd powinien wziąć pod uwagę precedensowy charakter sprawy, związany ze skalą naruszenia poufności danych osobowych i rozmiarem działalności spółki, przetwarzającej dane osobowe ponad 2.200.000 użytkowników.

W takim stanie rzeczy, jak stwierdził NSA, należy podać w wątpliwość, czy organ w dacie wydania zaskarżonej decyzji - posiadał własną wiedzę specjalistyczną, pozwalającą na ocenę odpowiedniości środków technicznych i organizacyjnych

w działalności gospodarczej o tak dużej skali. O posiadaniu takiej wiedzy specjalistycznej, niezbędnej do zastąpienia opinii biegłego własnymi ustaleniami, nie przesądza samo twierdzenie organu administracji. Organ ten powinien być w stanie uprawdopodobnić, iż w rzeczywistości posiada wiedzę, która nie tylko subiektywnie, ale i obiektywnie, a więc z zachowaniem wymaganej przez art. 8 § 1 Kpa. bezstronności, pozwoli na dokonanie wymagającej wiedzy specjalistycznej oceny okoliczności sprawy. W tym przypadku jest to ocena, czy środki techniczne

i organizacyjne stosowane przez spółkę były odpowiednie, uwzględniając stan wiedzy technicznej, koszt wdrażania oraz charakter, zakres, kontekst i cele przetwarzania oraz ryzyko naruszenia praw lub wolności osób fizycznych o różnym prawdopodobieństwie wystąpienia i wadze zagrożenia.

NSA wyraził wątpliwości, czy organ w swojej dotychczasowej praktyce

(tj. w 2019 r.) prowadził postępowania w zbliżonej kategorii spraw, co pozwalałoby na ustalenie odpowiedniego do charakteru, zakresu i kontekstu przetwarzania standardu środków bezpieczeństwa. Organ nie mógł skutecznie powołać się na wiedzę specjalistyczną pracowników Urzędu, skoro odnosiła się ona do poprzedniego stanu prawnego, w ramach którego nie stosowano rozwiązania takiego jak w art. 32 RODO (niedookreślenie odpowiedniego standardu wymaganych środków technicznych).

Za nieprzekonujące NSA uznał wyjaśnienia organu, że model ochrony danych osobowych oparty na założeniu, że przyjmowane przez administratorów środki powinny być dostosowane do zagrożeń i charakteru przetwarzanych danych nie jest nowością, a Generalny Inspektor Ochrony Danych Osobowych niejednokrotnie identyfikował zagrożenia i zobowiązywał administratorów w formie decyzji administracyjnych do wdrożenia środków adekwatnych do ryzyka. Okoliczności te pozostają bez znaczenia dla sprawy, zważywszy na skalę działalności spółki

i związaną z nią specyfikę stosowanych środków zabezpieczenia danych osobowych ponad dwóch milionów klientów. NSA uznał, że wskazane we wniosku dowodowym spółki okoliczności miały istotne znaczenie dla sprawy, a zatem wniosek

o przeprowadzenie dowodu z opinii biegłego winien zostać przez Prezesa UODO uwzględniony. NSA jednocześnie wskazał, że w toku postępowania kontrolnego ani też postępowania administracyjnego, Prezes UODO nie wytworzył żadnego dokumentu stanowiącego wnioski z analizy standardu środków bezpieczeństwa stosowanych przez spółkę, do którego strona - w braku zgromadzenia w aktach opinii biegłego - mogłaby się odnieść w toku postępowania. Rozwiązanie takie zmniejszyłoby znacząco rygoryzm postępowania, w ramach którego dopiero z ostatecznej decyzji administracyjnej strona dowiaduje się, w jaki sposób oceniono przyjęty przez nią standard zabezpieczeń.

Następnie, po zwrocie akt do organu, Prezes UODO w dniu [...] listopada

2023 r. wydał postanowienie o odmowie uwzględnienia wniosku "o dopuszczenie

i przeprowadzenie dowodu z opinii biegłego posiadającego wiadomości specjalne

z zakresu bezpieczeństwa systemów informatycznych, na okoliczność ustalenia standardów technicznych i organizacyjnych środków bezpieczeństwa w działalności gospodarczej przedsiębiorców w obszarze e-commerce o skali i charakterze podobnym do skali i charakteru działalności Spółki w 2018 r.; oceny, czy środki techniczne i organizacyjne stosowane przez Spółkę odpowiadały standardom środków bezpieczeństwa w działalności gospodarczej przedsiębiorców w obszarze

e-commerce o skali i charakterze podobnym do skali i charakteru działalności Spółki w 2018 r.; oceny, czy środki techniczne i organizacyjne stosowane przez Spółkę były odpowiednie uwzględniając stan wiedzy technicznej, koszt wdrażania oraz charakter, zakres, kontekst i cele przetwarzania oraz ryzyko naruszenia praw lub wolności osób fizycznych o różnym prawdopodobieństwie wystąpienia i wadze zagrożenia".

Spółka w piśmie z [...] grudnia 2023 r. przedstawiła swoje stanowisko oraz wniosła o wyłączenie pracowników organu od udziału w postępowaniu w sprawie. Nie zgodziła się ze stanowiskiem Prezesa UODO wyrażonym w postanowieniu

z [...] listopada 2023 r. w sprawie odmowy uwzględnienia wniosku w przedmiocie dopuszczenia dowodu z opinii biegłego na okoliczność wskazaną w tym rozstrzygnięciu. Jej zdaniem sporządzona przez pracowników Urzędu [...] października 2023 r. "Analiza zastosowanych przez [...] sp. z o.o. z siedzibą w K. środków technicznych i organizacyjnych mających wpływ na wystąpienie naruszenie ochrony danych osobowych...", nie stanowi wystarczającego środka dowodowego. Istnieją bowiem uzasadnione obawy co do bezstronności autorów tej analizy jako pracowników Urzędu. Prezes UODO w żaden sposób nie wykazał, że w dniu wydania analizy posiadał własną wiedzę specjalistyczną, pozwalającą samodzielnie ocenić stosowane przez spółkę w czasie wystąpienia zewnętrznych ataków, środki techniczne i organizacyjne. W ocenie spółki wnioski płynące z analizy uprawdopodobniają tezę o braku bezstronności pracowników Urzędu, którzy ją opracowali. Pomimo, że autorzy prawidłowo wskazali, iż punktem wyjścia do dokonania oceny zdarzenia powinno być ustalenie poziomu ryzyka związanego z przetwarzaniem konkretnych danych osobowych (w konkretnym procesie), nie doprecyzowali jednak, jaki stopień ryzyka został przez nich przyjęty. Brak ten pociąga za sobą następne istotne konsekwencje, gdyż ocena wdrożonych środków technicznych i organizacyjnych, nie może zostać przeprowadzona w oderwaniu od poziomu ryzyka związanego z przetwarzaniem (zagrożenia). Błąd ten rzutuje na całość analizy, de facto ją dyskwalifikując. Nie można przy tym wykluczyć, że źródłem opisanego zaniechania był brak bezstronności autorów analizy. Spółka uznała w konsekwencji, określone w art. 24 § 3 Kpa., uprawdopodobnienie zaistnienia okoliczności, które mogą wywoływać wątpliwości co do bezstronności wskazanych we wniosku pracowników organu.

W uzasadnieniu wymienionej na wstępie decyzji Prezes UODO przywołał przepisy mające zastosowanie w niniejszej sprawie oraz odwołał się do zasad przetwarzania danych określonych w RODO i stwierdził, że spółka nie zapewniała należytej kontroli nad tym procesem w kontekście zagwarantowania bezpieczeństwa uczestniczących w nim danych osobowych, jak również możliwości wykazania jego zgodności z przepisami RODO, stosownie do zasady rozliczalności wynikającej

z art. 5 ust. 2 RODO.

Wobec nieprzeprowadzenia analizy ryzyka wiążącego się z przetwarzaniem

w sposób sformalizowany, a więc udokumentowany lub w inny sposób utrwalony oraz ujęty w postaci ściśle określonych, precyzyjnych formuł wyjaśniających

i porządkujących przebieg tego procesu, spółka nie była zdolna wykazać, że wdrażając środki techniczne i organizacyjne mające zapewnić zgodność przetwarzania z RODO, a także oceniając, czy stopień bezpieczeństwa danych osobowych jest odpowiedni, rzeczywiście uwzględniła kryteria opisane w art. 32 ust. 1 RODO, w tym ryzyko naruszenia praw lub wolności osób fizycznych, oraz ryzyko wiążące się z przetwarzaniem, w szczególności wynikające z przypadkowego lub niezgodnego z prawem zniszczenia, utraty, modyfikacji, nieuprawnionego ujawnienia lub nieuprawnionego dostępu do danych osobowych, zgodnie z obowiązkiem wynikającym z art. 32 ust. 2 RODO.

Jak podał organ, administrator dla prawidłowej realizacji obowiązków wynikających z powołanych przepisów RODO powinien w pierwszej kolejności przeprowadzić analizę ryzyka i na jej podstawie określić i wdrożyć adekwatne środki zapewniające bezpieczeństwo w procesie przetwarzania danych osobowych.

W przypadku, gdy administrator przewidział możliwość przetwarzania danych osobowych w systemach teleinformatycznych, przedmiotowa analiza powinna wskazywać na ryzyko wynikające z wykorzystania konkretnych elementów środowiska teleinformatycznego. Konsekwentnie, analiza taka powinna przewidywać właściwe środki bezpieczeństwa gwarantujące przede wszystkim zdolność do ciągłego zapewnienia poufności, integralności, dostępności i odporności systemów i usług przetwarzania (art. 32 ust. 1 lit. b RODO), w celu minimalizacji ryzyka wystąpienia naruszenia ochrony danych osobowych. Organ zgodził się ze spółką, że stosowane przez nią przed naruszeniem ochrony danych osobowych środki techniczne (m.in. brak dwuskładnikowego uwierzytelniania), nie zapewniały odpowiedniego poziomu ochrony dla przetwarzanych danych osobowych.

Spółka nie przeprowadziła analizy ryzyk wynikających chociażby z możliwości logowania się do [...] z sieci publicznej (szczególnie, że jednym z mediów transmisyjnych w spółce było [...]), przy użyciu loginów pracowników o składni <[...]> (co ułatwiało poznanie ich przez atakującego)

w powiązaniu z zakresem uprawnień części użytkowników [...] (związanych

z zakresem ich obowiązków) oraz polityką haseł użytkowników.

W przypadku naruszenia, do którego doszło w spółce, użycie loginu i hasła

do logowania do panelu administracyjnego stanowiło podstawowe zabezpieczenie, ale samo w sobie nie było wystarczające do zapewnienia pełnego bezpieczeństwa. Organ zauważył, że istniało i nadal istnieje wiele zaawansowanych zagrożeń, takich jak ataki brute force, phishing, keylogging czy wykorzystywanie słabych haseł, które mogą umożliwić nieuprawnionym osobom dostęp do panelu administracyjnego.

Aby zwiększyć poziom bezpieczeństwa, zalecane jest wdrożenie dodatkowych mechanizmów zabezpieczeń, takich jak: kontrola dostępu na podstawie ról (przypisanie odpowiednich uprawnień i ról dla pracowników może ograniczyć dostęp do konkretnych funkcji i danych zgodnie z ich obowiązkami, w ten sposób można zapobiec nieuprawnionemu dostępowi do poufnych informacji); monitorowanie aktywności (system powinien rejestrować i monitorować aktywność pracowników

w panelu administracyjnym co pozwala na wykrywanie niezwykłych lub podejrzanych aktywności, takich jak logowanie się w nietypowych godzinach czy próby dostępu

do niedozwolonych obszarów); ograniczenia IP (można ustawić ograniczenia na poziomie adresów IP, które mają dostęp do panelu administracyjnego, tylko określone adresy IP lub zakresy adresów IP będą miały możliwość logowania się, co może zwiększyć bezpieczeństwo, ograniczając potencjalne zagrożenia z zewnątrz); audyt bezpieczeństwa (regularne przeprowadzanie audytów bezpieczeństwa może pomóc w identyfikacji potencjalnych luk w zabezpieczeniach i zapewnieniu zgodności

z najlepszymi praktykami); szkolenie pracowników; wielopoziomowe uwierzytelnianie. Niezwykle ważne jest również regularne przeglądanie i aktualizowanie tych zabezpieczeń w odpowiedzi na zmieniające się zagrożenia. Wskazana powyżej podstawowa wiedza powinna być znana osobom zajmującym się ogólnie pojętymi kwestiami bezpieczeństwa IT i powinna być brana pod uwagę przy tworzeniu

i zabezpieczeniu infrastruktury informatycznej służącej do przetwarzania informacji,

w tym danych osobowych.

Dokonując oceny zastosowanych przez spółkę środków technicznych

i organizacyjnych mających wpływ na wystąpienie naruszenia ochrony danych osobowych, nie można nie zauważyć, zdaniem organu, że do naruszenia ochrony danych osobowych doszło w wyniku dostępu do konta pracownika przez nieuprawnioną osobę, która dysponowała loginem i hasłem do danego konta. Istotne jest przy tym, że spółka nie potrafiła wyjaśnić, w jaki sposób doszło do przejęcia danych do logowania. Ponadto w wyjaśnieniach z [...] stycznia 2019 r. spółka przedstawiła stanowisko, że "Spółka nie łączy incydentu z dnia [...] listopada 2018 r.

z wiadomością otrzymaną od szantażysty". Spółka jednocześnie nie przedstawiła żadnych dowodów na potwierdzenie powyższego stwierdzenia ani też nie wskazała, w jaki sposób mogło dojść do pozyskania danych osobowych z bazy klientów.

Spółka – wbrew składanym w toku postępowania oświadczeniom – nie monitorowała sieci i swojego środowiska produkcyjnego, a także nie reagowała na incydenty w systemie 24/7. Co więcej, zebrany materiał dowodowy potwierdza, że spółka nie miała pewności, czy i co faktycznie zostało wykradzione z jej serwerów, mimo że odczyt danych z kart zamówień odbywał się z poziomu konta jednego

z pracowników również po godzinach pracy.

Niewystarczające monitorowanie aktywności użytkowników przed incydentem, potwierdzają działania podjęte przez spółkę już po jego wystąpieniu. Spółka przyznała, że dopiero po wykradzeniu danych osobowych wdrożono narzędzie śledzące ruch w systemie [...] wraz z powiązaniem do [...] z bazy danych, wprowadzono blokadę konta w przypadku [...] nieudanego logowania oraz wprowadzono podgląd listy aktywnych sesji użytkowników panelowych wraz z opcją usunięcia sesji, a także usunięto konta użytkowników z domeną [...].

Spółka wywiązywała się z tego obowiązku określonego w art. 32 ust. 1 lit. d RODO, częściowo weryfikując wyłącznie poziom skuteczności wdrożonych zabezpieczeń pod kątem znanych podatności we wdrożonym oprogramowaniu – na co wskazują audyty bezpieczeństwa funkcjonujących już systemów informatycznych służących do przetwarzania danych klientów spółki, przeprowadzone w dniach

od [...] sierpnia do [...] września 2016 r. oraz od [...] maja do [...] czerwca 2017 r. Brak jest jednak dowodów, aby spółka od momentu rozpoczęcia stosowania RODO,

tj. w okresie od [...] maja 2018 r. do czasu wystąpienia naruszenia ochrony danych osobowych, przeprowadzała audyty bezpieczeństwa lub w inny sposób wykonywała

w tym zakresie swoje obowiązki jako administrator.

Uzyskanie dostępu do [...] oraz danych klientów spółki skutkowało zmaterializowaniem się ryzyka naruszenia praw lub wolności osób fizycznych, których dane przetwarzała, poprzez próbę wyłudzenia danych, m.in. uwierzytelniających do konta bankowego (phishing), poprzez podszycie się pod spółkę, wykorzystując fakt dokonania zamówienia przez klienta. Szczególnie, że nieskuteczna okazała się również metoda szyfrowania haseł użytkowników sklepu, gdyż weryfikowane przez klientów spółki w ogólnodostępnych narzędziach służących do sprawdzenia, czy dane zostały ujawnione, wskazywały na wyciek ze strony internetowej spółki danych dotyczących m.in. adresu e-mail oraz hasła.

Spółka – mimo stwierdzenia, że do naruszenia doszło w wyniku nieuprawnionego dostępu do kont systemowych pracowników – nie przedstawiła żadnego dowodu potwierdzającego dokonanie oceny stopnia przyczynienia się pracownika do powstania naruszenia obowiązku ochrony danych. Wobec zakazu udostępniania przez pracowników haseł dostępu, nawet po utracie przez nie ważności, dokonanie ustaleń, w jaki sposób osoba trzecia uzyskała po raz pierwszy dostęp do konta systemowego pracownika, umożliwiłoby spółce wdrożenie odpowiednich działań zabezpieczających system, a tym samym wykluczyłoby możliwość powstania kolejnego naruszenia ochrony danych osobowych.

W niniejszej sprawie administracyjna kara pieniężna wobec spółki nałożona została za naruszenie art. 25 ust. 1, art. 32 ust. 1 lit. b i lit. d) oraz art. 32 ust. 2 RODO na podstawie art. 83 ust. 4 lit. a RODO, natomiast za naruszenie art. 5 ust. 1 lit. f i art. 5 ust. 2 RODO na podstawie art. 83 ust. 5 lit. a RODO. Karę pieniężną

w wysokości określonej w decyzji nałożono na spółkę łącznie za naruszenie wszystkich powyższych przepisów – stosownie do art. 83 ust. 3 RODO – nie przekracza ona wysokości kary za najpoważniejsze stwierdzone w niniejszej sprawie naruszenie, tj. naruszenie art. 5 ust. 1 lit. f i art. 5 ust. 2 RODO, które stosownie

do art. 83 ust. 5 lit. a, podlega administracyjnej karze pieniężnej w wysokości

do 20.000.000 EURO, a w przypadku przedsiębiorstwa – w wysokości do 4% jego całkowitego rocznego światowego obrotu z poprzedniego roku obrotowego.

Orzekając o wymiarze kary organ uznał, że nałożenie jej w danej kwocie

na spółkę jest konieczne i uzasadnione wagą, charakterem oraz zakresem zarzucanych spółce naruszeń. Spełni ona w ustalonych okolicznościach niniejszej sprawy funkcje, o których mowa w art. 83 ust. 1 RODO, tzn. będzie w tym indywidualnym przypadku skuteczna, proporcjonalna i odstraszająca. Doprowadzi

do stanu, w którym spółka będzie stosowała takie środki techniczne i organizacyjne, które zapewnią przetwarzanym danym stopień bezpieczeństwa odpowiadający ryzyku naruszenia praw lub wolności osób, których dane dotyczą, oraz wadze zagrożeń towarzyszących procesom przetwarzania tych danych osobowych, w szczególności przy użyciu systemów informatycznych. Skuteczność kary równoważna jest zatem gwarancji tego, że spółka od momentu zakończenia postępowania będzie z najwyższą starannością podchodzić do wymogów stawianych przez przepisy o ochronie danych osobowych.

Ustalając w niniejszej sprawie wysokość administracyjnej kary pieniężnej Prezes UODO wyjaśnił, że zastosował metodykę przyjętą przez Europejską Radę Ochrony Danych w Wytycznych [...] w sprawie obliczania administracyjnych kar pieniężnych na podstawie RODO przyjętych 24 maja 2023 r., zwanych dalej "Wytycznymi".

Jednocześnie, wobec stwierdzenia NSA dokonania przez organ nietrafnej

i przedwczesnej oceny, że spółka nie udokumentowała usunięcia danych z wniosków ratalnych, gdy zdaniem NSA w toku postępowania spółka przekonująco wyjaśniła, że usunięcie baz danych zostało udokumentowane w logach systemu IT, Prezes UODO stwierdził, że na obecnym etapie postępowania należy uznać w tym zakresie wyjaśnienia spółki. Tym bardziej, że samo zbieranie danych osobowych dotyczyło okresu sprzed rozpoczęcia stosowania RODO. Aktualnie orzecznictwo sądowe zawęża możliwość oceny stanów faktycznych sprzed rozpoczęcia stosowania tego aktu prawnego przez pryzmat jego przepisów. Wobec tego, w tym zakresie przedmiotowej sprawy, nie można przypisać spółce naruszenia przepisów RODO,

a zatem nie jest uzasadnione skorzystanie przez organ z jakiegokolwiek uprawnienia naprawczego, o którym mowa w art. 58 ust. 2 RODO. W tej sytuacji, jak stwierdził organ, niniejsze postępowanie podlega umorzeniu na podstawie art. 105 § 1 Kpa., wobec jego bezprzedmiotowości.

Ponadto organ wskazał, że sformułowany przez spółkę zarzut braku bezstronności odnoszony w zasadzie do wszystkich pracowników Urzędu, wyklucza możliwość skorzystania z instytucji wyłączenia pracownika określonej w art. 24 ust. 3 Kpa..

Spółka, reprezentowana przez adwokata, wywiodła do Wojewódzkiego Sądu Administracyjnego w Warszawie skargę na decyzję Prezesa UODO z [...] stycznia

2024 r.

Wniosła – przed rozpoznaniem postawionych zarzutów – o zwrócenie się przez Sąd z dwoma niezależnymi wnioskami do Trybunału Sprawiedliwości Unii Europejskiej, zwanego dalej "TSUE" o wydanie orzeczenia w trybie prejudycjalnym,

a mianowicie:

- "Czy sądy administracyjne w Polsce, które dokonują kontroli legalności zaskarżonego aktu z perspektywy uwzględniającej faktyczne podstawy jego wydania, tj. kontroli realizacji i przestrzegania przez organ orzekający w sprawie wiążących go reguł proceduralnych (tj. w szczególności nie ustalają stanu faktycznego, nie orzekają merytorycznie i nie mają możliwości wydania wyroku reformatoryjnego), zapewniają skuteczną ochronę prawną przed sądem przeciwko prawnie wiążącej decyzji organu nadzorczego, tj. wykonują pełną jurysdykcję w sprawie, w tym w zakresie ustalenia okoliczności faktycznych i prawnych mających znaczenie dla rozstrzygnięcia sprawy, o której mowa w art. 78 ust. 1 RODO oraz w motywie (143) preambuły RODO, w sytuacji, w której postępowanie przed PUODO jest jednoinstancyjne i brak jest organu lub sądu, który oceni rozstrzygnięcie PUODO merytorycznie lub ma kompetencje do dokonywania ustaleń faktycznych, zaś zgodnie z art. 6 Europejskiej Konwencji o Ochronie Praw Człowieka i Podstawowych Wolności oraz art. 47 Karty Praw Podstawowych podmiot ukarany powinien mieć prawo do rozstrzygnięcia sprawy przez sąd posiadający pełną jurysdykcję w sprawie?",

- "Czy administracyjna kara pieniężna, o której mowa w art. 83 RODO nałożona na administratora w drodze decyzji administracyjnej wydanej po ponownym rozpoznaniu sprawy przez krajowy organ nadzorczy w wyniku uchylenia

w postępowaniu sądowym pierwotnej decyzji administracyjnej PUODO przez sąd krajowy może być kwotowo lub procentowo wyższa niż kara nałożona w pierwszej decyzji, w przypadku, gdy obie decyzje dotyczą identycznego stanu faktycznego, przy czym zakres naruszenia wskazany w decyzji administracyjnej wydanej po ponownym rozpoznaniu sprawy jest węższy niż w pierwotnej decyzji z uwagi na treść wydanego wyroku sądu krajowego".

Skarżąca zarzuciła zaskarżonej decyzji mogące mieć istotny wpływ na wynik sprawy naruszenie przepisów postępowania, tj.:

- art. 78 ust. 1 RODO w zw. z art. 6 ust. 1 Europejskiej Konwencji o Ochronie Praw Człowieka i Podstawowych Wolności (dalej: "EKPCz") oraz art. 13 EKPCz poprzez uniemożliwienie wniesienia skutecznego środka ochrony prawnej przed sądem,

- art. 47 Karty Praw Podstawowych poprzez uniemożliwienie skarżącej rozpatrzenia sprawy przez sąd lub inny organ odwoławczy sprawujący pełną kontrolę jurysdykcyjną w sprawie, tj. mogący co najmniej ustalać stan faktyczny oraz modyfikować rozstrzygnięcie, co godzi w prawo skarżącej do rzetelnego procesu,

- art. 10 § 1, § 2 oraz § 3 Kpa. poprzez brak zapewnienia skarżącej czynnego udziału w postępowaniu i brak możliwości wypowiedzenia się co do zebranych dowodów i materiałów, w szczególności opracowanej przez Prezesa UODO analizy

z [...] października 2023 r., mimo braku wystąpienia przesłanek uzasadniających odstąpienie od tej zasady i braku ich utrwalenia w aktach sprawy, gdy skarżąca wyraźnie wskazała w toku postępowania, że zamierza przedstawić dodatkowy materiał dowodowy, a wskazany przez organ [...] termin na aktywny udział skarżącej w postępowaniu był zdecydowanie niewystarczający, biorąc pod uwagę wysoki poziom skomplikowania dołączonego do akt sprawy materiału dowodowego,

- art. 153 ustawy – Prawo o postępowaniu przed sądami administracyjnymi (p.p.s.a.) poprzez brak uwzględnienia przez organ oceny prawnej i wskazania co do dalszego postępowania wyrażonego w orzeczeniu NSA, a w konsekwencji brak dopuszczenia i przeprowadzenia dowodu z opinii biegłego i uznanie, że

w okolicznościach sprawy wewnętrzny dokument wytworzony przez organ jest równoważny z opinią biegłego, gdy z treści uzasadnienia wyroku NSA wynika, że taki dokument mógłby stanowić podstawę oceny organu wyłącznie w przypadku spełnienia określonych warunków, takich jak: specjalistyczna wiedza urzędników poparta doświadczeniem w podobnych sprawach, uprawdopodobnienie posiadania wiadomości specjalnych w odniesieniu do podobnego charakteru spraw oraz obiektywny charakter analizy, z których to warunków żaden nie został spełniony przez organ, w związku z czym obowiązkiem Prezesa UODO było przeprowadzenie dowodu z opinii biegłego, który posiadałby wiedzę specjalną, wymagane doświadczenie oraz gwarantowałby bezstronność oceny w zakresie adekwatności środków bezpieczeństwa w przedmiotowej sprawie,

- art. 78 § 1 Kpa. w zw. z art. 84 § 1 Kpa. w zw. z art. 7 i 77 § 1 Kpa. w kontekście art. 24 ust. 1 RODO i art. 32 ust. 1 RODO poprzez oddalenie przez Prezesa UODO wniosku dowodowego skarżącej o przeprowadzenie dowodu z opinii biegłego, na okoliczność:

1) ustalenia standardów technicznych i organizacyjnych środków bezpieczeństwa w działalności gospodarczej przedsiębiorców w obszarze e-commerce o skali i charakterze podobnym do skali i charakteru działalności skarżącej w 2018 r.,

2) oceny, czy środki techniczne i organizacyjne stosowane przez skarżącą odpowiadały standardom środków bezpieczeństwa w działalności gospodarczej przedsiębiorców w obszarze e-commerce o skali i charakterze podobnym do skali

i charakteru działalności skarżącej w 2018 r.,

3) oceny, czy środki techniczne i organizacyjne stosowane przez skarżącą były odpowiednie, uwzględniając stan wiedzy technicznej, koszt wdrażania oraz charakter, zakres, kontekst i cele przetwarzania oraz ryzyko naruszenia praw lub wolności osób fizycznych o różnym prawdopodobieństwie wystąpienia i wadze zagrożenia, co mogło mieć istotny wpływ na wynik sprawy, ponieważ Prezes UODO poczynił samodzielnie ustalenia wymagające posiadania wiadomości specjalnych, których nie posiadał, co w konsekwencji doprowadziło do uznania, że w warunkach określonych w art. 32 RODO "odpowiednim środkiem technicznym i organizacyjnym" dla skarżącej było wprowadzenie podwójnego uwierzytelniania, gdy dopiero opinia biegłego mogłaby w okolicznościach sprawy stanowić podstawę dla tak kategorycznego ustalenia, co doprowadziło do poczynienia przez Prezesa UODO błędnych ustaleń faktycznych,

- art. 7, art. 77 § 1 i art. 80 Kpa. poprzez:

1) brak wszechstronnej oceny oraz wywodzenia logicznych i spójnych wniosków

z materiału dowodowego i oparcie się na opracowanym przez pracowników Urzędu dokumencie wewnętrznym (analizie z [...] października 2023 r.), który nie ma charakteru bezstronnego, został przygotowany pod z góry ustaloną tezę, opiera się na błędnej wykładni przepisów RODO i zawiera twierdzenia, które nie odpowiadają standardom rynkowym i doświadczeniu życiowemu,

2) brak wszechstronnej oraz merytorycznej oceny zgromadzonego materiału dowodowego, tj. przedstawionych przez skarżącą stosowanych środków bezpieczeństwa, których wszechstronna ocena powinna doprowadzić organ

do ustalenia, że skarżąca wdrożyła środki techniczne służące ochronie przetwarzanych danych osobowych,

3) brak wszechstronnej oceny oraz wywodzenia logicznych i spójnych wniosków

z materiału dowodowego, tj.: wytycznych dotyczących bezpieczeństwa przetwarzania danych osobowych wydanych w 2016 r., normy [...], "[...], i przyjęcie, że z wytycznych tych wynika rekomendacja stosowania wieloetapowego uwierzytelniania, w szczególności, że [...] rekomenduje stosowanie mechanizmu uwierzytelniania dwuetapowego dla systemów obejmujących dostęp do danych osobowych, sugerując przy tym, że wieloetapowe uwierzytelnianie powinno być także stosowane przez skarżącą, gdy z tych dokumentów wynikają jedynie ogólne rekomendacje w zakresie przykładowych środków technicznych, jakie mogą być stosowane, a wybór odpowiednich środków w konkretnym przypadku jest uzależniony od oceny ryzyka, której Prezes UODO nie przeprowadził – w szczególności [...] w przedmiotowych wytycznych rekomenduje zastosowanie dwuetapowego uwierzytelniania wyłącznie w przypadku wysokiego ryzyka, a Prezes UODO takiego poziomu ryzyka nie wykazał na etapie postępowania, co doprowadziło do niepełnego ustalenia stanu faktycznego sprawy, przede wszystkim w zakresie okoliczności mających wpływ na spełnienie przez skarżącą przesłanki z art. 24 ust. 1 RODO oraz z art. 32 ust. 1 RODO, co zgodnie z art. 83 ust. 2 RODO wpływa na nałożenie oraz wysokość kary administracyjnej,

- art. 107 § 1 pkt 6 Kpa. oraz art. 107 § 3 Kpa. poprzez sporządzenie uzasadnienia w sposób niezrozumiały, niezgodny z obowiązkami nałożonymi

na Prezesa UODO w zakresie sporządzenia uzasadnienia, polegający na braku wyczerpującego wskazania przez organ faktów, które organ uznał za udowodnione, dowodów, na których się oparł, oraz przyczyn, z powodu których innym dowodom odmówił wiarygodności i mocy dowodowej, a przyjmowaniu przez Prezesa UODO założeń niepopartych ani dowodami, ani uzasadnieniem logicznym, poprzez m.in.:

1) niepopartą dowodami ani argumentacją ocenę, że środki zabezpieczające stosowane przez skarżącą były nieadekwatne do ryzyk i niezgodne z przepisami,

2) niepopartą dowodami ani argumentacją ocenę, że zastosowanie przez skarżącą środka uwierzytelniającego wyłącznie w postaci loginu i hasła było niewystarczające,

3) niepopartą dowodami ani argumentacją ocenę, że w sposób niewystarczający oceniono zdolność do ciągłego zapewniania poufności oraz nie uwzględniono ryzyka związanego z uzyskaniem nieuprawnionego dostępu do panelu pracownika,

4) niepopartą dowodami ocenę, że skarżąca nie podejmowała działań mających na celu ocenę doboru środków technicznych i organizacyjnych przez pryzmat adekwatności do ryzyk,

5) niepopartą dowodami ani argumentacją ocenę, że wcześniejsze wdrożenie

i wprowadzenie dodatkowych środków, m.in. dwuskładnikowego uwierzytelniania, znacząco zminimalizowałoby ryzyko naruszenia praw i wolności osób fizycznych,

- art. 107 § 1 pkt 6 Kpa. oraz art. 107 § 3 Kpa. poprzez sporządzenie uzasadnienia w sposób niezrozumiały, niezgodny z obowiązkami nałożonymi na Prezesa UODO w zakresie sporządzenia uzasadnienia, polegający na braku wyczerpującego wyjaśnienia przyczyn nałożenia kary finansowej we wskazanej

w zaskarżonej decyzji wysokości,

co w konsekwencji uniemożliwia realną kontrolę merytoryczną zaskarżonej decyzji.

Ponadto skarżąca zarzuciła zaskarżonej decyzji naruszenie przepisów prawa materialnego, w postaci:

- art. 24 ust. 1 oraz 32 ust. 1 i 2 RODO, przez ich niewłaściwe zastosowanie,

tj. formułowanie ocen dotyczących odpowiedniości/nieodpowiedniości technicznych

i organizacyjnych środków bezpieczeństwa bez uprzedniej oceny ryzyka,

w szczególności poprzez przyjęcie, że stosowane przez skarżącą techniczne

i organizacyjne środki bezpieczeństwa były nieodpowiednie (niewystarczające), zaś wskazany przez Prezesa UODO środek bezpieczeństwa w postaci podwójnego uwierzytelnienia byłby odpowiedni (z uwzględnieniem stanu wiedzy technicznej, kosztu wdrożenia oraz charakteru, kontekstu i celu przetwarzania oraz ryzyka naruszenia praw i wolności osób fizycznych), gdy Prezes UODO (i) nie zakwestionował merytorycznie oceny ryzyka dokonanej przez skarżącą, (ii) formułował oceny dotyczące ryzyka w sposób arbitralny, w szczególności bez udziału biegłych, bez określenia metody oceny ryzyka oraz bez oparcia formułowanych ocen w materiale dowodowym, (iii) zaniechał przeprowadzenia postępowania administracyjnego pod kątem oceny ryzyka dokonanej przez skarżącą i oceny jej prawidłowości,

- art. 83 ust. 1 RODO w zw. z art. 8 § 1 Kpa. poprzez jego niewłaściwe zastosowanie, prowadzące do nałożenia nieproporcjonalnej, rażąco zawyżonej kary administracyjnej nieadekwatnej do stwierdzonego naruszenia, a w konsekwencji

do naruszenia zasady zaufania do władzy publicznej, a polegające na nałożeniu kary finansowej procentowo wyższej niż w uchylonej wyrokiem NSA z dnia 9 lutego 2023 r. decyzji z [...] września 2019 r., gdy w obu przypadkach przedmiotem oceny organu był identyczny stan faktyczny, natomiast zakres przyjętych przez Prezesa UODO naruszeń przepisów RODO przez skarżącą był w zaskarżonej decyzji węższy niż

w przypadku decyzji z [...] września 2019 r. (postępowanie zostało w części umorzone), co powinno doprowadzić do wniosku, że administracyjna kara pieniężna powinna być kwotowo i procentowo niższa niż kara nałożona decyzją z [...] września 2019 r.,

- art. 83 ust. 1 w zw. z art. 83 ust. 2 RODO:

1) lit. a) poprzez jego niewłaściwe zastosowanie i przyjęcie, że charakter, waga

i czas trwania naruszenia są okolicznościami wpływającymi obciążająco na wymiar kary i uzasadniają zastosowanie środka, o którym mowa w art. 58 ust. 2 lit. i RODO, gdy charakter naruszenia, jego waga oraz czas trwania nie uzasadniają nałożenia kary pieniężnej, ponieważ według dowodów zebranych w sprawie naruszenie dotyczyło około 600 rekordów (spośród ponad 2.200.000 rekordów w bazie skarżącej), było krótkotrwałe i dotyczyło wyłącznie danych zwykłych związanych z funkcjonowaniem konta w sklepie internetowym i realizacją umowy sprzedaży,

2) lit. a) poprzez brak uwzględnienia przez Prezesa UODO w ustalonym stanie faktycznym, tj. wycieku danych w związku z przestępstwem jako okoliczności łagodzącej przestępczego charakteru włamania do systemów informatycznych skarżącej,

3) lit. a) poprzez brak uwzględnienia przez Prezesa UODO w ustalonym stanie faktycznym, tj. krótkotrwałego okresu trwania naruszenia, jako okoliczności łagodzącej, gdy szybka reakcja skarżącej na podejrzenie naruszenia winna zostać pozytywnie oceniona przez organ w toku ustalania wysokości nakładanej kary administracyjnej,

4) lit. b) poprzez jego błędną wykładnię i przyjęcie, że nieumyślny charakter naruszenia wpływa obciążająco na zasadność nałożenia kary pieniężnej oraz jej wysokość, gdy ww. przepis rozróżnia umyślny lub nieumyślny charakter naruszenia przepisów RODO i tej pierwszej sytuacji przypisuje łagodniejsze sankcje,

5) lit. d) poprzez jego błędne zastosowanie i przyjęcie, że stopień odpowiedzialności skarżącej uzasadnia nałożenie kary, gdy okoliczności będące przedmiotem niniejszej sprawy, w szczególności:

a) poziom wdrożenia RODO w spółce, w tym stosowanie procedury,

b) stosowane organizacyjne i techniczne środki bezpieczeństwa, w tym bezpieczeństwa IT,

c) powołanie Inspektora Ochrony Danych,

d) pełna współpraca skarżącej z organem nadzorczym oraz Policją,

e) fakt bycia ofiarą przestępstwa,

wskazują, że dostęp do danych klientów skarżącej przez osoby nieuprawnione był okolicznością nadzwyczajną,

- art. 83 ust. 1 w zw. z art. 83 ust. 2 RODO w zw. z art. 8 § 1 Kpa. poprzez jego niewłaściwe zastosowanie, prowadzące do nałożenia nieproporcjonalnej, rażąco zawyżonej kary finansowej nieadekwatnej do stwierdzonego naruszenia,

a w konsekwencji do naruszenia zasady zaufania do władzy publicznej, w związku

z brakiem prawidłowego zastosowania Wytycznych [...] w sprawie obliczania administracyjnych kar pieniężnych i obliczeniem wysokości kary pieniężnej za naruszenie przepisów RODO niezgodnie z metodyką, do stosowania której organ był zobligowany, które to naruszenie bezpośrednio wpływa na nieproporcjonalność nałożonej kary administracyjnej na skarżącą.

Wobec powyższych zarzutów wniesiono o uchylenie zaskarżonej decyzji

w całości.

W obszernym uzasadnieniu skargi rozwinięto argumentację sformułowaną

na rzecz postawionych w niej zarzutów.

W odpowiedzi na skargę Prezes UODO wniósł o jej oddalenie, podtrzymując argumentację zawartą w uzasadnieniu zaskarżonej decyzji.

W piśmie z [...] września 2024 r. pełnomocnik skarżącej odniósł się do stanowiska organu zawartego w udzielonej odpowiedzi na skargę i podtrzymał zarzuty sformułowane w skardze.

Wojewódzki Sąd Administracyjny w Warszawie zważył, co następuje.

Zgodnie z art. 1 § 1 i 2 ustawy z dnia 25 lipca 2002 r. – Prawo o ustroju sądów administracyjnych (t.j. Dz.U. z 2024 r. poz. 1267) sąd administracyjny sprawuje wymiar sprawiedliwości poprzez kontrolę pod względem zgodności z prawem skarżonej decyzji administracyjnej. Jest więc to kontrola legalności rozstrzygnięcia zapadłego

w postępowaniu administracyjnym, z punktu widzenia jego zgodności z prawem materialnym i procesowym. Oceniając zaskarżoną decyzję według powyższych kryteriów, uznać należy, iż nie narusza ona prawa.

Sąd nie znalazł podstaw do skierowania pytania prejudycjalnego do TSUE zawartego w skardze, gdyż nie powziął wątpliwości, co do możliwości zapewnienia skutecznej ochrony prawnej przy rozpoznawaniu skargi w niniejszej sprawie. W danym zakresie Sąd podziela pogląd wyrażony w uprzednio zapadłym wyroku w sprawie ze skargi spółki prowadzonej pod sygn. II SA/Wa 2559/19 (publ. Centralna Baza Orzeczeń Sądów Administracyjnych, orzeczenia.nsa.gov.pl, dalej zwana "CBOSA").

Jak stwierdzono, skoro co do zasady, decyzje o nałożeniu sankcji o charakterze pieniężnym podlegają – jak wszystkie decyzje administracyjne – zaskarżeniu do sądu administracyjnego, nie sposób przyjąć, że zastosowanie tej reguły w przedmiotowej sprawie narusza prawo do sądu. Przepis art. 184 Konstytucji RP wprowadza domniemanie, że w sprawach z zakresu administracji publicznej prawo do sądu realizowane będzie przez sądownictwo administracyjne (por. wyrok TK z 14 czerwca 1999 r., sygn. K 11/98, OTK ZU nr 5/1999, poz. 97), czyli że w uzasadnionych wypadkach sprawowanie wymiaru sprawiedliwości w tym obszarze może być powierzone sądom powszechnym (por. postanowienia TK z: 9 maja 2000 r., sygn. SK 15/98, OTK ZU nr 4/2000, poz. 113; 14 listopada 2007 r., sygn. SK 53/06, OTK ZU nr 10/A/2007, poz. 139).

W wyroku NSA z dnia 9 lutego 2023 r., sygn. III OSK 3945/21 (dostępny

w CBOSA), uchylającym powołany wyrok Sądu I instancji oraz decyzję objętą skargą spółki, wskazano m.in., że organ zaniechał przeprowadzenia pełnego postępowania wyjaśniającego na okoliczność przetwarzania przez spółkę danych osobowych

z wniosków ratalnych bez podstawy prawnej. Niezależnie od tego organ nietrafnie

i przedwcześnie wywiódł, iż spółka nie udokumentowała usunięcia danych z wniosków ratalnych. W toku postępowania spółka przekonująco wyjaśniła, że usunięcie baz danych udokumentowano w logach systemu IT. Zarzucając nieudokumentowanie tej czynności organ winien był wyjaśnić, za pomocą jakich jeszcze dowodów okoliczność ta powinna zostać udokumentowana. Tej kwestii organ nie wyjaśnił, pomimo że – po wyczerpaniu nieosobowych środków dowodowych – mógł na okoliczność usunięcia danych osobowych przesłuchać ewentualnie świadków oraz stronę postępowania. Zwrócono uwagę na konieczność – przy ponownym rozpatrzeniu sprawy spółki – ponownej oceny wniosku dowodowego spółki, przy uwzględnieniu, iż ocena, czy środki techniczne i organizacyjne stosowane przez nią były odpowiednie, jest istotną dla sprawy okolicznością wymagającą wiedzy specjalistycznej. Wyjaśniono, że stronie postępowania w przedmiocie nałożenia administracyjnej kary pieniężnej przysługuje inicjatywa dowodowa stosownie do art. 78 § 1 Kpa., zaś organ zobowiązany jest do przeprowadzenia dowodów również na korzyść strony postępowania. Jako przedwczesną uznano ocenę o naruszeniu przez spółkę zasady zgodności z prawem, rzetelności i rozliczalności przy przetwarzaniu danych osobowych przez nieudokumentowanie usunięcia danych z wniosków ratalnych.

Zgodnie z tezą do powołanego wyroku NSA, "Sankcji administracyjnej

za naruszenie obowiązków wskazanych w art. 32 rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) (Dz. U. UE. L. z 2016 r. Nr 119, str. 1 ze zm.) podlega nie ten, kto jako administrator albo podmiot przetwarzający dopuścił do nieuprawnionego przetwarzania danych osobowych, a tylko podmiot, który nie dochował odpowiedniego, w danych okolicznościach, standardu środków bezpieczeństwa.".

Istota postępowania w niniejszej sprawie sprowadza się do dokonania przez Sąd oceny zaskarżonej decyzji, ze szczególnym uwzględnieniem możliwości nałożenia na skarżącą kary pieniężnej w wyższej wysokości niż w decyzji pierwotnej oraz oceny, czy organ prawidłowo oddalił wniosek dowodowy skarżącej w zakresie powołania biegłego posiadającego wiadomości specjalne z zakresu bezpieczeństwa systemów informatycznych, dysponującego wiedzą pozwalającą ocenić, czy środki techniczne i organizacyjne stosowane przez spółkę odpowiadały standardom środków bezpieczeństwa w działalności gospodarczej przedsiębiorców w obszarze

e-commerce o skali i charakterze podobnymi do skali i charakteru działalności spółki, oraz system zabezpieczeń stosowanych przez nią w celu ochrony danych osobowych klientów spółki.

Wobec związania oceną prawną i wskazaniami co do dalszego postępowania wyrażonymi przez NSA – Prezes UODO w dniu [...] listopada 2023 r. wydał postanowienie o odmowie uwzględnienia wniosku skarżącej

"o dopuszczenie i przeprowadzenie dowodu z opinii biegłego posiadającego wiadomości specjalne z zakresu bezpieczeństwa systemów informatycznych (...)". Skarżąca z kolei w piśmie z [...] grudnia 2023 r. przedstawiła swoją argumentację

i zakwestionowała stanowisko organu zawarte w danym postanowieniu. Stwierdziła ponadto, że sporządzona [...] października 2023 r. "Analiza zastosowanych przez [...] sp. z o.o. z siedzibą w K. środków technicznych i organizacyjnych mających wpływ na wystąpienie naruszenia ochrony danych osobowych...", nie stanowi wystarczającego środka dowodowego.

W wydanym postanowieniu stwierdzono m.in., że brak jest uzasadnienia dla konieczności powoływania dodatkowych specjalistów w celu oceny zastosowanych przez skarżącą zabezpieczeń, gdy – jak wykazano – skarżąca sama nie miała problemów ze zidentyfikowaniem słabych punktów w swoim systemie bezpieczeństwa.

Zdaniem Sądu specjalistyczna wiedza urzędników poparta doświadczeniem

w podobnych sprawach, uprawdopodabnia posiadanie wiadomości specjalnych

w odniesieniu do podobnego charakteru spraw oraz obiektywny charakter analizy. Posiadanie zatem przez wykwalifikowanych w danym segmencie spraw pracowników Urzędu Ochrony Danych Osobowych wiedzy specjalnej oraz wymaganego doświadczenia, gwarantowało bezstronność oceny w zakresie adekwatności środków bezpieczeństwa podejmowanych przez skarżącą w toku prowadzonej przez nią działalności w sektorze usług e-commerce.

W sprawie nie ulega wątpliwości, że doszło do incydentów związanych

z naruszeniem danych osobowych, które to naruszenia zostały zgłoszone organowi przez samą spółkę. Incydenty te związane były z nienależytym zabezpieczeniem danych przez spółkę. Zgodnie z treścią art. 32 ust. 1 RODO, uwzględniając stan wiedzy technicznej, koszt wdrażania oraz charakter, zakres, kontekst i cele przetwarzania oraz ryzyko naruszenia praw lub wolności osób fizycznych o różnym prawdopodobieństwie wystąpienia i wadze, administrator i podmiot przetwarzający wdrażają odpowiednie środki techniczne i organizacyjne, aby zapewnić stopień bezpieczeństwa odpowiadający temu ryzyku, w tym między innymi w stosownym przypadku: a) pseudonimizację i szyfrowanie danych osobowych; b) zdolność

do ciągłego zapewnienia poufności, integralności, dostępności i odporności systemów i usług przetwarzania; c) zdolność do szybkiego przywrócenia dostępności danych osobowych i dostępu do nich w razie incydentu fizycznego lub technicznego;

d) regularne testowanie, mierzenie i ocenianie skuteczności środków technicznych

i organizacyjnych mających zapewnić bezpieczeństwo przetwarzania.

Oceniając, czy stopień bezpieczeństwa jest odpowiedni, uwzględnia się

w szczególności ryzyko wiążące się z przetwarzaniem, w szczególności wynikające

z przypadkowego lub niezgodnego z prawem zniszczenia, utraty, modyfikacji, nieuprawnionego ujawnienia lub nieuprawnionego dostępu do danych osobowych przesyłanych, przechowywanych lub w inny sposób przetwarzanych (ust. 2 art. 32 RODO). Wywiązywanie się z obowiązków, o których mowa w ust. 1 niniejszego artykułu, można wykazać między innymi poprzez stosowanie zatwierdzonego kodeksu postępowania, o którym mowa w art. 40 lub zatwierdzonego mechanizmu certyfikacji, o którym mowa w art. 42 (ust. 3). Administrator oraz podmiot przetwarzający podejmują działania w celu zapewnienia, by każda osoba fizyczna działająca z upoważnienia administratora lub podmiotu przetwarzającego, która ma dostęp do danych osobowych, przetwarzała je wyłącznie na polecenie administratora, chyba że wymaga tego od niej prawo Unii lub prawo państwa członkowskiego (ust. 4 art. 3 RODO).

Sąd jako własne uznaje stanowisko Prezesa UODO, zgodnie z którym, skoro skarżąca nie przeprowadziła analizy ryzyka wiążącego się z przetwarzaniem danych osobowych w sposób sformalizowany, a więc udokumentowany lub w inny sposób utrwalony oraz ujęty w postaci ściśle określonych, precyzyjnych formuł wyjaśniających i porządkujących przebieg tego procesu, to nie była zdolna wykazać, że wdrażając środki techniczne i organizacyjne mające zapewnić zgodność przetwarzania z RODO, a także oceniając, czy stopień bezpieczeństwa danych osobowych jest odpowiedni, rzeczywiście uwzględniła kryteria opisane w art. 32 ust. 1 RODO, w tym ryzyko naruszenia praw lub wolności osób fizycznych, oraz ryzyko wiążące się z przetwarzaniem, w szczególności wynikające z przypadkowego lub niezgodnego z prawem zniszczenia, utraty, modyfikacji, nieuprawnionego ujawnienia lub nieuprawnionego dostępu do danych osobowych, zgodnie z obowiązkiem wynikającym z art. 32 ust. 2 RODO.

Sąd wskazuje, że następcze – już po odnotowanym incydencie wycieku danych osobowych – zastosowanie odpowiednich środków zabezpieczających,

z uwzględnieniem powyższego obowiązku, nie znosi braku zastosowania pierwotnie wymaganych przez RODO zabezpieczeń, koniecznych z uwagi na charakter i zakres prowadzonej przez skarżącą działalności.

Rację ma organ twierdząc, że w przypadku naruszenia, do którego doszło

w spółce, użycie loginu i hasła do logowania do panelu administracyjnego stanowiło podstawowe zabezpieczenie, ale samo w sobie nie było wystarczające

do zapewnienia pełnego bezpieczeństwa. Skarżąca nie monitorowała sieci i swojego środowiska produkcyjnego, a także nie reagowała na incydenty w systemie 24/7. Zgromadzony w niniejszej sprawie materiał dowodowy potwierdza, że skarżąca nie miała pewności, czy i co faktycznie zostało wykradzione w jej serwerów, gdy odczyt danych z kart zamówień odbywał się z poziomu konta jednego z pracowników spółki również po godzinach pracy. Jako uprawniony jawni się wniosek, że niewystarczające monitorowanie aktywności użytkowników przed incydentem, potwierdzają niejako działania podjęte przez skarżącą już po jego wystąpieniu. Przyznała bowiem, że dopiero po wykradzeniu danych osobowych wdrożono narzędzie śledzące ruch w systemie "[...]" wraz z powiązaniem do "[...]" z bazy danych, wprowadzono blokadę konta w przypadku [...] nieudanego logowania oraz wprowadzono podgląd listy aktywnych sesji użytkowników panelowych wraz z opcją usunięcia sesji, usunięto również konta użytkowników z domeną "[...]". Brak jest dowodów, aby skarżąca już w czasie obowiązywania RODO przeprowadzała audyty bezpieczeństwa lub w inny sposób wykonywała w tym zakresie swoje obowiązki jako administrator.

Uzyskanie dostępu do "[...]" oraz danych klientów spółki skutkowało zmaterializowaniem się ryzyka naruszenia praw lub wolności osób fizycznych, których dane przetwarzała, poprzez próbę wyłudzenia danych, m.in. uwierzytelniających do konta bankowego (phishing), poprzez podszycie się pod spółkę, wykorzystując fakt dokonania zamówienia przez klienta. Szczególnie, że nieskuteczna okazała się również metoda szyfrowania haseł użytkowników sklepu, gdyż weryfikowane przez klientów spółki w ogólnodostępnych narzędziach służących do sprawdzenia, czy dane zostały ujawnione, wskazywały na wyciek ze strony internetowej spółki danych dotyczących m.in. adresu e-mail oraz hasła.

Nieskuteczne zatem monitorowanie potencjalnych zagrożeń dla praw i wolności osób, których dane były przetwarzane przez skarżącą, przyczyniło się do nieuprawnionego dostępu do danych jej klientów. Mając jednakże na uwadze, że przetwarza dane osobowe ponad 2.200.000 użytkowników, a także zakres i kontekst ich przetwarzania, winna skuteczniej na bieżąco oceniać i monitorować potencjalne zagrożenia dla praw i wolności osób, których dane dotyczą. To administrator danych jest zobowiązany do weryfikacji zarówno doboru, jak i poziomu skuteczności stosowanych środków technicznych i organizacyjnych. Kompleksowość tej weryfikacji powinna być oceniana przez pryzmat adekwatności do ryzyk oraz proporcjonalności

w stosunku do stanu wiedzy technicznej, kosztów wdrażania oraz charakteru, zakresu, kontekstu i celów przetwarzania.

Jak wskazują poczynione w analizowanej sprawie ustalenia, skarżąca wywiązywała się z powyższego obowiązku jedynie częściowo, gdyż weryfikowała wyłącznie poziom skuteczności wdrożonych zabezpieczeń pod kątem znanych podatności we wdrożonym oprogramowaniu – co potwierdzają audyty bezpieczeństwa funkcjonujących już systemów informatycznych służących do przetwarzania danych klientów spółki. Nie podejmowała natomiast stosownych działań w kierunku oceny odpowiednich środków technicznych i organizacyjnych przez pryzmat adekwatności do ryzyk, do czego była zobowiązana przez art. 32 ust. 1 zd. 1 RODO, a także art. 25 ust. 1 danego aktu. Brak skutecznych środków monitorujących umożliwił zaś zaistnienie stwierdzonych incydentów. Tak więc przyjęcie, że skarżąca zastosowała środki techniczne i organizacyjne, które nie wypełniały w pełnym zakresie wymogów z art. 32 RODO, było uzasadnione, gdyż przewidywalne ryzyko nie zostało odpowiednio zminimalizowane i ograniczone w czasie przetwarzania.

Wypada dodać, że organ uznał za przekonujące wyjaśnienia skarżącej co do faktu usunięcia baz danych z wniosków ratalnych, potwierdzonego w systemie IT spółki. Stwierdził w konsekwencji, że w tym zakresie nie można przypisać skarżącej naruszenia przepisów RODO, a co za tym idzie, skorzystać z jakiegokolwiek uprawnienia naprawczego. W rezultacie w danym zakresie orzekł prawidłowo

o umorzeniu postępowania wobec jego częściowej bezprzedmiotowości.

Za błędne uznać należy przeświadczenie skarżącej, że skoro zakres przyjętych przez Prezesa UODO naruszeń dokonanych przez skarżącą przepisów RODO jest węższy niż w uprzednio wydanej wobec niej decyzji, to administracyjna kara pieniężna powinna być kwotowo i procentowo niższa niż ta wcześniej nałożona.

W ocenie Sądu zastosowana przez Prezesa UODO administracyjna kara pieniężna spełnia, w ustalonych okolicznościach niniejszej sprawy, funkcje, o których mowa w art. 83 ust. 1 RODO, tzn. jest w tym indywidualnym przypadku skuteczna, proporcjonalna i odstraszająca. Organ uzasadnił nałożenie administracyjnej kary finansowej, wskazując przesłanki, na jakich się oparł, biorąc pod uwagę charakter, wagę i czas trwania naruszenia i okoliczności zarówno obciążające, jak i łagodzące wymiar tej kary.

Należy podzielić stanowisko organu, że najpoważniejszym naruszeniem, determinującym wymierzoną karę, było naruszenie zasady poufności wyrażonej

w art. 5 ust. 1 lit. f w zw. z art. 32 ust. 1 lit. b i d w zw. z art. 32 ust. 2 RODO.

Przepis art. 5 RODO formułuje zasady dotyczące przetwarzania danych osobowych, które muszą być respektowane przez wszystkich administratorów,

tj. podmioty, które samodzielnie lub wspólnie z innymi ustalają cele i sposoby przetwarzania danych osobowych. Zgodnie z art. 5 ust. 1 lit. f RODO, dane osobowe muszą być przetwarzane w sposób zapewniający odpowiednie bezpieczeństwo danych osobowych, w tym ochronę przed niedozwolonym lub niezgodnym z prawem przetwarzaniem oraz przypadkową utratą, zniszczeniem lub uszkodzeniem, za pomocą odpowiednich środków technicznych lub organizacyjnych ("integralność

i poufność").

Stosownie zaś do art. 32 ust. 1 lit. b RODO, uwzględniając stan wiedzy technicznej, koszt wdrażania oraz charakter, zakres, kontekst i cele przetwarzania oraz ryzyko naruszenia praw lub wolności osób fizycznych o różnym prawdopodobieństwie wystąpienia i wadze, administrator i podmiot przetwarzający wdrażają odpowiednie środki techniczne i organizacyjne, aby zapewnić stopień bezpieczeństwa odpowiadający temu ryzyku, w tym między innymi w stosownym przypadku zdolność do ciągłego zapewnienia poufności, integralności, dostępności

i odporności systemów i usług przetwarzania. Z art. 32 ust. 1 lit. d RODO wynika

z kolei obowiązek regularnego testowania, mierzenia i oceniania skuteczności środków technicznych i organizacyjnych mających zapewnić bezpieczeństwo przetwarzania.

Zdaniem Sądu Prezes UODO wywiązał się z obowiązku uzasadnienia nałożenia administracyjnej kary finansowej, co w zaskarżonej decyzji uczynił, wskazując przesłanki, na jakich się oparł oraz biorąc pod uwagę charakter, wagę i czas trwania naruszenia, a także okoliczności łagodzące wymiar tej kary. Wyjaśnił, że charakter, waga i czas naruszenia stanowią uzasadnienie dla nałożenia kary finansowej w wysokości podanej w zaskarżonej decyzji. Spełnia ona w ustalonych okolicznościach przesłanki, o których mowa w art. 83 RODO, ze względu na wagę stwierdzonych naruszeń w kontekście podstawowych wymogów i zasad RODO, w tym w szczególności zasady poufności i integralności wyrażonej w art. 5 ust. 1 lit. f RODO oraz zasady rozliczalności, o której mowa w art. 5 ust. 2 RODO. Jej celem zaś jest doprowadzenie do przestrzegania w przyszłości przez spółkę przepisów RODO.

Karę pieniężną w wysokości określonej w decyzji, nałożono mianowicie

na spółkę łącznie za naruszenie przepisów art. 5 ust. 1 lit. f, art. 5 ust. 2, art. 32 ust. 1 lit. b i d oraz art. 32 ust. 2 – stosownie do art. 83 ust. 3 RODO – nie przekracza ona wysokości kary za najpoważniejsze stwierdzone w niniejszej sprawie naruszenie,

tj. naruszenie art. 5 ust. 1 lit. f i art. 5 ust. 2 RODO, które stosownie do art. 83 ust. 5

lit. a, podlega administracyjnej karze pieniężnej w wysokości do 20.000.000 EUR,

a w przypadku przedsiębiorstwa – w wysokości do 4% jego całkowitego rocznego światowego obrotu z poprzedniego roku obrotowego.

Prezes UODO ocenił stwierdzone w niniejszej sprawie naruszenia –

w szczególności naruszenia podstawowych zasad przetwarzania – jako naruszenia

o wysokim poziomie powagi. W ramach tej oceny wziął pod uwagę te przesłanki spośród wymienionych w art. 83 ust. 2 RODO, które tyczą się strony przedmiotowej naruszeń – składają się na "powagę" naruszenia – to jest: charakter, waga i czas trwania naruszeń (art. 83 ust. 2 lit. a RODO), umyślny lub nieumyślny charakter naruszeń (art. 83 ust. 2 lit. b RODO) oraz kategorie danych osobowych, których dotyczyły naruszenia (art. 83 ust. 2 lit. g RODO). Poziom tej powagi, rozumianej zgodnie z Wytycznymi, oceniono jako wysoki. W konsekwencji przyjęto – jako kwotę wyjściową do obliczenia kary – wartość mieszczącą się w przedziale od 20%

do 100% maksymalnej wysokości kary możliwej do orzeczenia wobec spółki, to jest – zważywszy na limit określony w art. 83 ust. 5 RODO – od kwoty 4 000 000 EUR

do kwoty 20 000 000 EUR (vide Podrozdział 4.2.4 Wytycznych). Za adekwatną, uzasadnioną okolicznościami niniejszej sprawy, kwotę wyjściową uznano kwotę [...] EUR (równowartość [...] złotych). Zważywszy, że obrót spółki w ostatnim roku sprawozdawczym (kończącym się [...] marca 2023 r.) wyniósł [...] złotych, to jest ok. [...] EUR (wg średniego kursu EUR z [...] stycznia 2023 r.), Prezes UODO za stosowne uznał skorygowanie podlegającej obliczeniom kwoty kary do wartości odpowiadającej 45% kwoty wyjściowej, to jest do kwoty [...] EUR (równowartość [...] złotych). Ze względu na zaistnienie w sprawie jednej okoliczności łagodzącej – działania podjęte przez spółkę w celu zminimalizowania szkody poniesionej przez osoby, których dane dotyczą – jako zasadne uznano dalsze obniżenie kwoty kary ustalonej z uwzględnieniem obrotu spółki. Adekwatnym do wpływu tej przesłanki na ocenę naruszenia, okazało się być obniżenie kary o 10% - do kwoty [...] EUR (równowartość [...] złotych). Jej wysokość uznano jednakże za nieproporcjonalną ze względu na swoją nadmierną dolegliwość.

W konsekwencji dokonano dalszego obniżenia wysokości kary – do [...] kwoty uzyskanej po uwzględnieniu okoliczności obciążających i łagodzących, to jest do kwoty [...] EUR (równowartość [...] złotych). W efekcie uznano, że takie określenie ostatecznej wysokości orzeczonej kary nie wpłynie na obniżenie jej skuteczności i odstraszającego charakteru.

Wobec powyższego jako niezasadne uznać należy stanowisko skarżącej, zgodnie z którym, skoro zakres naruszeń objętych zaskarżoną decyzją był węższy

niż w przypadku decyzji z [...] września 2019 r., powinno to skutkować nałożeniem administracyjnej kary pieniężnej kwotowo i procentowo niższej niż tej ustalonej

we wcześniej wydanej wobec skarżącej decyzji. Ani przepisy RODO, w szczególności art. 83 danego aktu, ani przepisy ustawy procesowej mającej zastosowanie w postępowaniu prowadzonym przez Prezesa UODO, nie wyłączają możliwości wymierzenia kary pieniężnej w wyższej niż wcześniej orzeczonej wobec danego podmiotu wysokości, skoro przy ponownej ocenie wymiaru administracyjnej kary pieniężnej, odnosi się okoliczności stanowiące o jej wysokość, do kondycji finansowej danego podmiotu ocenianej z punktu widzenia rocznego światowego obrotu z poprzedniego roku obrotowego – w analizowanej sprawie – skarżącej spółki. Wspomnianą zasadą kierował się Prezes UODO orzekając w danym zakresie, czemu dał wyraz w uzasadnieniu zaskarżonej decyzji.

Chybione są zatem wywody skargi, gdzie zarzucono naruszenie przepisów prawa materialnego, zakreślających kompetencje organu przy stosowaniu środków naprawczych bądź dyscyplinujących. Jak trafnie przyjęto w judykaturze, kwestia zastosowania przewidzianej w RODO sankcji – w postaci administracyjnej kary pieniężnej – pozostaje w sferze uznania organu. Środek ten stosowany jest bowiem

z urzędu. Kontrola legalności stosowania danej sankcji przez sąd administracyjny dotyczyć może więc wyłącznie przypadku, gdy karę w określonej wysokości wymierzono. W kontekście decyzji administracyjnych Sąd nie bada bowiem legalności działania organu w zakresie, gdzie może on podejmować kompetencje władcze wyłącznie z urzędu. Rolą sądu administracyjnych nie jest bowiem generalnie kontrola racjonalności i celowości działania administracji publicznej, lecz legalność rozstrzygnięcia w sprawie indywidualnej, gdy ingeruje ono w sferę praw i obowiązków jednostki – służy to ochronie jej praw.

Nie naruszono też wymienionych w skardze przepisów postępowania, co do powinności właściwego wyjaśnienia sprawy czy uzasadnienia decyzji. Żadne jej istotne okoliczności faktyczne nie budzą wątpliwości.

Sąd nie dopatrzył się więc w zaskarżonym akcie – w świetle zarzutów skargi ani z urzędu – wad, które uzasadniałyby jego wyeliminowanie z obrotu prawnego.

Z przytoczonych wyżej przyczyn – na podstawie art. 151 ustawy z dnia 30 sierpnia 2002 r. – Prawo o postępowaniu przed sądami administracyjnymi (t.j. Dz.U.

z 2024 r. poz. 935), orzeczono jak w sentencji.