Rekordowa kara za wyciek danych osobowych

Kara 2,8 mln zł za wyciek danych osobowych nie jest wygórowana - orzekł Wojewódzki Sąd Administracyjny w Warszawie. Spółka Morele.net zgłosiła naruszenia ochrony danych osobowych, dotyczące dostępu nieuprawnionego do bazy danych klientów sklepów internetowych. Prezes UODO nałożył administracyjną karę pieniężną na Spółkę za naruszenia przepisów o ochronie danych osobowych. Sąd oddalił skargę Spółki, uzasadniając decyzję m.in. nieskutecznością środków technicznych i organizacyjnych oraz niewystarczającym monitorem zagrożeń dla danych klientów.

Tematyka: wyciek danych osobowych, kara administracyjna, naruszenia ochrony danych, Prezes UODO, Wojewódzki Sąd Administracyjny, Spółka Morele.net, bezpieczeństwo danych, decyzja administracyjna

Kara 2,8 mln zł za wyciek nie jest wygórowana - orzekł Wojewódzki Sąd Administracyjny w Warszawie
w wyroku z 2.9.2020 r. (II SA/Wa 2559/19).
Opis stanu faktycznego
W dniu […] listopada 2018 r. Morele.net Sp. z o. o. z siedzibą w Krakowie (zwana dalej „Spółką”), zgłosiła Prezesowi
Urzędu Ochrony Danych Osobowych (zwanym dalej także „Prezesem UODO”) dwa naruszenia ochrony danych
osobowych, które dotyczyły uzyskania przez osobę nieuprawnioną dostępu do bazy danych klientów sklepów
internetowych morele.net, hulahop.pl, amfora.pl, pupilo.pl, trenujesz.pl, motoria.pl, digitalo.pl, ubieramy.pl,
meblujesz.pl, sklep-presto.pl, budujesz.pl oraz uzyskania przez osobę nieupoważnioną dostępu, a w konsekwencji
uzyskania danych osobowych klientów realizujących zakupy w ww. sklepach internetowych. Kolejne naruszenie
spółka zgłosiła w grudniu 2018 r.
W dniach od […] do […] stycznia 2019 r. w celu kontroli zgodności przetwarzania danych z przepisami ustawy
z 10.5.2018 r. o ochronie danych osobowych (t.j. Dz. U. z 2019 r. poz. 1781 ze zm.; dalej jako: OchrDanychU) Prezes
UODO dokonał czynności kontrolnych w spółce. Zakresem kontroli objęto przetwarzanie danych osobowych klientów
sklepów internetowych: morele.net, hulahop.pl, amfora.pl, pupilo.pl, trenujesz.pl, motoria.pl, digitalo.pl, ubieramy.pl,
meblujesz.pl, sklep-presto.pl, budujesz.pl, których administratorem jest Spółka.
Na podstawie zgromadzonego materiału dowodowego ustalono, że w procesie przetwarzania danych osobowych
Spółka, jako administrator, naruszyła przepisy OchrDanychU. Mając powyższe na uwadze, Prezes UODO, decyzją
ZSPR.421.2.2019 z 10.9.2019 r., na podstawie art. 83 ust. 3 i art. 83 ust. 5 lit. a RODO w zw. z art. 103
OchrDanychU, za naruszenia wskazane powyżej, nałożył na Spółkę – stosując średni kurs euro z dnia 28.1.2019 r.
(1 EUR = 4,2885 PLN) – administracyjną karę pieniężną w kwocie 2 830 410 PLN (co stanowi równowartość 660 000
EUR).
Skargę na decyzję Prezesa UODO wniosła spółka, lecz Wojewódzki Sąd Administracyjny wyrokiem z 3.9.2020 r.
oddalił skargę.
Z uzasadnienia Sądu
W ustnym uzasadnieniu orzeczenia, Sąd wskazał, że podzielił stanowisko organu nadzorczego, iż zastosowane
przez spółkę środki techniczne i organizacyjne okazały się nieskuteczne w celu ochrony danych osobowych klientów,
w tym jednoetapowa autoryzacja do panelu pracownika. Sąd potwierdził również argument UODO, że spółka
niewystarczająco monitorowała potencjalne zagrożenia dla praw i wolności osób, których dane przetwarza.
Sąd oddalając skargę uznał, że decyzja Prezesa UODO spełnia wymogi decyzji wynikające z Kodeksu postępowania
administracyjnego, a zarzuty strony skarżącej dotyczące naruszenia jej praw, w tym ograniczenia prawa do obrony
nie zasługują na uwzględnienie. Zdaniem Sądu sentencja decyzji wskazuje, które przepisy zostały naruszone. Sąd
nie miał wątpliwości za jakie naruszenia została nałożona kara. Ponadto Sąd stwierdził, że organ nadzorczy
prawidłowo ocenił stan faktyczny w przedmiotowej sprawie i uznał, że nałożona kara jest wysoka, ale w granicach
prawa oraz uzasadniona okolicznościami. Zdaniem Sądu organ nadzorczy prawidłowo wziął pod uwagę czynniki
obciążające oraz łagodzące karę.
Odnosząc się do wysokości nałożonej kary wskazać należy, że w decyzji Prezesa Urzędu Ochrony Danych
Osobowych z 10.9.2019 r., ZSPR.421.2.2019, wskazano, iż zastosowana administracyjna kara pieniężna spełnia
w ustalonych okolicznościach niniejszej sprawy funkcje, o których mowa w art. 83 ust. 1 RODO, tzn. będzie w tym
indywidualnym przypadku skuteczna, proporcjonalna i odstraszająca. Zdaniem Prezesa UODO nałożona na Spółkę
kara będzie skuteczna, albowiem doprowadzi do stanu, w którym Spółka stosowała będzie takie środki techniczne
i organizacyjne, które zapewnią przetwarzanym danym stopień bezpieczeństwa odpowiadający ryzyku naruszenia
praw i wolności osób, których dane dotyczą oraz wadze zagrożeń towarzyszącym procesom przetwarzania tych
danych osobowych. Skuteczność kary równoważna jest zatem gwarancji tego, iż Spółka od momentu zakończenia
niniejszego postępowania będzie z najwyższą starannością podchodzić do wymogów stawianych przez przepisy
OchrDanychU. Zastosowana kara pieniężna jest również proporcjonalna do stwierdzonego naruszenia, w tym
zwłaszcza jego wagi, kręgu dotkniętych nim osób fizycznych oraz ryzyka, jakie w związku z naruszeniem ponoszą.
Zdaniem Prezesa Urzędu Ochrony Danych Osobowych, nałożona na Spółkę kara pieniężna jest również
proporcjonalna do jej sytuacji finansowej i nie będzie stanowiła nadmiernego dla niej obciążenia. Wysokość kary
została bowiem określona na takim poziomie, aby z jednej strony stanowiła adekwatną reakcję organu nadzorczego

na stopień naruszenia obowiązków administratora, z drugiej jednak strony nie powodowała sytuacji, w której
konieczność uiszczenia kary finansowej pociągnie za sobą negatywne następstwa, w postaci znaczącej redukcji
zatrudnienia bądź istotnego spadku obrotów Spółki. Zdaniem Prezesa Urzędu Ochrony Danych Osobowych, Spółka
powinna i jest w stanie ponieść konsekwencje swoich zaniedbań w sferze ochrony danych, stąd nałożenie kary
w wysokości 2 830 410 PLN jest w pełni uzasadnione. W ocenie Prezesa UODO, administracyjna kara pieniężna
spełni w tych konkretnych okolicznościach funkcję represyjną, jako że stanowić będzie odpowiedź na naruszenie
przez Spółkę przepisów RODO, ale i prewencyjną, jako że sama Spółka, jak i inni administratorzy będą skutecznie
zniechęceni do naruszania przepisów OchrDanychU w przyszłości. W ocenie Prezesa UODO, zastosowana kara
pieniężna spełnia w ustalonych okolicznościach niniejszej sprawy przesłanki, o których mowa w art. 83 ust. 1 RODO
ze względu na wagę stwierdzonych naruszeń w kontekście podstawowych wymogów i zasad RODO – zwłaszcza
zasady poufności wyrażonej w art. 5 ust. 1 lit. f RODO. Celem nałożonej kary jest doprowadzenie do właściwego
wykonywania przez Spółkę obowiązków przewidzianych w art. 5 ust. 1 lit. f, art. 24 ust. 1, art. 25 ust. 1 oraz art. 32
ust. 1 lit. b i d, art. 32 ust. 2 RODO, a w konsekwencji do prowadzenia procesów przetwarzania danych zgodnie
z obowiązującymi przepisami prawa.

Komentarz
Głównym zarzutem w sprawie było naruszenie poufności danych klientów, w wyniku kradzieży, która nastąpiła
poprzez nieuprawniony dostęp do panelu pracownika. W ocenie UODO było to spowodowane niewystarczającym
zabezpieczeniem, gdyż zastosowano jednoetapowe uwierzytelnianie, a więc aby uzyskać dostęp do danych
wystarczyło wpisać login i hasło. W opinii UODO spółka powinna wdrożyć dwuetapową weryfikację.
Spółka w związku z prowadzoną działalnością przetwarzała dane osobowe klientów, którzy dokonali rejestracji na
stronie internetowej prowadzonych przez nią sklepów, zaś liczba osób, których dane są przetwarzane przez Spółkę
wynosi ok. 2 200 000 (ok dwa miliony dwieście tysięcy). Zakres tych danych obejmuje: imię, nazwisko, adres poczty
elektronicznej (e-mail), numer telefonu i adres do doręczeń. Ponadto, Spółka przetwarzała również dane z wniosków
ratalnych. Zakres tych danych obejmował: imię, nazwisko, adres poczty elektronicznej (e-mail), numer telefonu,
numer PESEL, seria i numer dokumentu tożsamości, data wydania dokumentu tożsamości, data ważności
dokumentu tożsamości, wykształcenie, adres zameldowania, adres do korespondencji, źródło dochodu, miesięczny
dochód netto, koszty utrzymania gospodarstwa domowego, liczba osób na utrzymaniu, stan cywilny, wysokość
miesięcznych innych zobowiązań w instytucjach finansowych, informacja o wysokości zobowiązań alimentacyjnych
i innych wynikających z wyroków sądowych. Ich łączna liczba wynosiła ok 35 000.
Mając powyższe na względzie, Prezes UODO, a następnie WSA w Warszawie uznały karę administracyjną
w wysokości ok. 2,8 mln zł jako adekwatną. Wydaje się, że stanowisko organu nadzoru oraz Sądu jest słuszne.
Spółka przetwarzała dane osobowe 2,2 mln osób, zaś mając na względzie także zakres tych danych i kontekst,
powinna ona skuteczniej oceniać związane z tym ryzyko i zagrożenia. Przy tak szerokiej działalności jaką prowadzi
Spółka, bezpieczeństwo danych osobowych klientów musi być zwiększone. Trudno uznać jednostopniowy stopień
uwierzytelniania jako wystarczający, przy tak szerokim zakresie działalności Spółki.

Wyrok WSA w Warszawie z 2.9.2020 r., II SA/Wa 2559/19

Wydaje się, że stanowisko organów nadzoru oraz Sądu jest słuszne. Spółka przetwarzała dane osobowe 2,2 mln osób, co wymagało zwiększonego bezpieczeństwa danych. Jednostopniowy stopień uwierzytelniania okazał się niewystarczający, a kara administracyjna w wysokości 2,8 mln zł została uznana za adekwatną. Wyrok WSA w Warszawie potwierdził decyzję Prezesa UODO.