WSA w Warszawie oddalił skargę Grupy Morele.net na decyzję prezesa Urzędu Ochrony Danych Osobowych. W 2019 r. nałożył on najwyższą z dotychczasowych kar za naruszenie RODO – 2,83 mln zł. Powód? Kradzież danych 2,2 mln klientów sklepów należących do spółki (m.in. Morele.net, Amfora.pl, Pupilo.pl, Trenujesz.pl, Motoria.pl, Digitalo.pl, Ubieramy.pl, Budujesz.pl).

Sprawa sięga jesieni 2018 r., kiedy to klienci ci zaczęli otrzymywać SMS-y wskazujące na konieczność dopłaty jednego złotego do zamówienia. Link z wiadomości prowadził do podstawionej bramki płatności elektronicznej, za pośrednictwem której oszust mógł zdobyć login i hasło do konta w banku i w ten sposób uzyskać dostęp do środków znajdujących się na rachunku. Nie wiadomo, ile osób padło jego ofiarą. Prezes UODO uznał jednak, że haker zdobył dane wszystkich klientów, czyli wspomnianych 2,2 mln osób.

Prawo do obrony

Według pełnomocników Morele.net spółka została pozbawiona prawa do obrony. Nie wiedziała bowiem, co dokładnie się jej zarzuca.

– Postępowanie było prowadzone według nieakceptowalnych standardów. Cały czas tak naprawdę nie wiemy, za co nałożono karę. W decyzji mówi się o tym, że jedynie częściowo spełniliśmy środki bezpieczeństwa, ale nie wiadomo, co to znaczy – argumentował Sławomir Kowalski, partner z kancelarii Maruta Wachta reprezentującej Grupę Morele.net.

– Przez całe postępowanie nie wiedzieliśmy, do jakich zarzutów mamy się odnosić. Pierwsza ich konkretyzacja nastąpiła dopiero w uzasadnieniu decyzji i sprowadzała się do stwierdzenia, że powinniśmy zastosować dwuetapowe uwierzytelnianie. Dlaczego? Tego już nie wiadomo. Pozbawiono nas prawa do obrony – przemawiał.

Sąd nie zgodził się z tą argumentacją. Jego zdaniem decyzja prezesa UODO spełnia wymagania wynikające z kodeksu postępowania administracyjnego.

– Zawiera wszystkie wymagane elementy, a rozstrzygnięcie jest jasne, precyzyjne i zrozumiałe. Sentencja wskazuje naruszone przepisy, a uzasadnienie zawiera ich rozwinięcie – zauważyła w ustnych motywach wyroku sędzia sprawozdawca Joanna Kube. W jej ocenie w zawiadomieniu o wszczęciu postępowania organ wskazał, jakie naruszenia są jego przedmiotem, opisał je prawidłowo i podał właściwą kwalifikację.

– Sąd nie miał wątpliwości, za co została nałożona kara – podkreśliła sędzia.

Zbyt słabe zabezpieczenia

Głównym zarzutem w sprawie było naruszenie poufności danych klientów. Kradzież danych, zdaniem UODO, nastąpiła poprzez nieuprawniony dostęp do panelu pracownika. Był on możliwy z powodu niewystarczających zabezpieczeń. Zastosowano bowiem jednoetapowe uwierzytelnianie – wystarczyło wpisać login i hasło, by uzyskać dostęp do danych wszystkich klientów. W opinii UODO spółka powinna wdrożyć dwuetapową weryfikację. Taką choćby, jakie są od pewnego czasu stosowane w bankowości elektronicznej (np. SMS z dodatkowym kodem). Takie są m.in. wytyczne Europejskiej Agencji ds. Bezpieczeństwa Sieci i Informacji.

Spółka broniła się, że jej zabezpieczenia były adekwatne do zagrożeń. Jej zdaniem zastosowanie ekstraordynaryjnych środków pokroju dwuetapowej weryfikacji musiałoby wynikać z analizy ryzyka. Ta zaś, według niej, nie została przez UODO przeprowadzona. Skoro zaś nie wiadomo, jakie było ryzyko, to trudno przesądzać, jakie środki byłyby adekwatne do niego. Zwłaszcza że urząd nie uwzględnił wniosku o przeprowadzenie opinii biegłego.

Zdaniem sądu UODO miał rację, uznając, że jednoetapowe uwierzytelnianie nie chroniło danych w sposób wystarczający. Przyczyną tego były niewłaściwa ocena i monitoring ryzyka.

– Morele.net, mając na uwadze, że przetwarza dane osobowe 2,2 mln osób, a także zakres tych danych i kontekst, powinno skutecznie oceniać związane z tym ryzyko i zagrożenia – podkreśliła w ustnych motywach wyroku sędzia sprawozdawca Joanna Kube, dodając, że to administrator jest zobowiązany do weryfikacji i doboru odpowiednich środków bezpieczeństwa.

– RODO wprowadziło podejście oparte na ryzyku. Zrezygnowano z listy wymagań określanych przez ustawodawcę na rzecz samodzielnego doboru środków przez administratora – zaznaczył sąd. Podkreślając zarazem, że analiza ryzyka powinna być ciągłym procesem, a nie incydentalnym działaniem. Innymi słowy administrator powinien przez cały czas monitorować zagrożenia i dostosowywać do nich środki bezpieczeństwa. Morele.net, zdaniem sądu, tego nie robiło.

Adekwatna kara

Spółka kwestionowała również samą wysokość kary. Jej zdaniem jest ona wygórowana, zwłaszcza że w decyzji prezesa UODO stwierdzono częściowe spełnianie wymogów bezpieczeństwa. Pełnomocnicy kwestionowali również skalę wycieku. Według nich niepodważalne dowody istnieją wobec grupy osób dużo mniejszej niż wspomniane 2,2 mln.

– Przy tego rodzaju działalności, jaką prowadzi spółka, ochrona danych osobowych musi być zwiększona. My, klienci, musimy mieć pewność, że nasze dane są chronione na maksymalnym, a nie minimalnym poziomie – ripostował podczas rozprawy Piotr Wójcik, radca prawny reprezentujący UODO. Przypomniał, że na British Airways za wyciek danych nałożono w Wielkiej Brytanii sankcję 183 mln funtów.

Sąd uznał sankcję za adekwatną do przewinień.

– Kara jest wysoka, ale uzasadniona. Organ wykazał, że spełnia one swą funkcję – jest skuteczna, proporcjonalna i odstraszająca – wyjaśniła sędzia Joanna Kube.

Spółce przysługuje prawo złożenia skargi kasacyjnej do Naczelnego Sądu Administracyjnego. Decyzja o tym, czy z niego skorzysta, zostanie podjęta po analizie pisemnego uzasadnienia wyroku. Pełnomocnicy Morele.net zapowiedzieli, że będą do tego namawiać klienta.

Przypomnijmy – to druga z kar nałożonych przez UODO, która została utrzymana przez WSA w Warszawie w ostatnim czasie. Tydzień wcześniej sąd ten oddalił skargę burmistrza Aleksandrowa Kujawskiego na karę 40 tys. zł za brak umowy powierzenia danych z firmami obsługującymi BIP (wyrok z 26 sierpnia 2020 r., sygn. akt II SA/Wa 2836/19).