Prezes UODO nie zgadza się na kwestionowanie jego niezależności i kompetencji pracowników UODO
Prezes UODO w piśmie skierowanym do Prezesa Naczelnego Sądu Administracyjnego wyraża głębokie zaniepokojenie niebezpiecznym kierunkiem, w jakim zmierza dokonana przez NSA interpretacja kompetencji i pozycji ustrojowej organu nadzorczego w świetle praw osób, których dane osobowe zostały naruszone.
Zdaniem Prezesa UODO, NSA w sposób niezaprzeczalny i precedensowy kwestionuje niezależność organu nadzorczego, jak i podważa jego kompetencje oraz kwalifikacje merytoryczne zatrudnionych w nim osób, niezbędne do wykonywania zadań, do których organ ten został powołany.
Chodzi o orzeczenie NSA w sprawie kary nałożonej przez UODO na spółkę Morele.net. Z orzeczenia wynika wprost, iż przyczyną uchylenia decyzji Prezesa UODO w sprawie Morele.net było oddalenie przez organ wniosku o przeprowadzenie dowodu z opinii biegłego w kontekście standardów technicznych i organizacyjnych stosowanych przez spółkę.
Pracownicy UODO mają wieloletnie, często ponad dwudziestoletnie doświadczenie w kontroli i prowadzeniu postępowań wobec podmiotów przetwarzających dane osobowe. W tym właśnie okresie wytworzona została unikalna wiedza instytucjonalna organu, na której bazują wszyscy jego pracownicy, a która daje gwarancję posiadania wiedzy specjalistycznej pozwalającej na samodzielną ocenę stosowania środków technicznych i organizacyjnych w systemach informatycznych bez konieczności korzystania z pomocy biegłego. Ponadto, wbrew twierdzeniom NSA, dokonywana przez UODO ocena stosowania środków technicznych i organizacyjnych na gruncie RODO nie jest żadnym novum. Co istotne, NSA przed wejściem w życie RODO nie kwestionował kompetencji pracowników Biura GIODO (dawne UODO) do kontroli i prowadzenia postępowania wobec podmiotów przetwarzających dane w systemach informatycznych, w tym w strategicznych z punktu widzenia interesów państwa systemach np. rejestru PESEL.
Przypomnijmy, w 2019 roku UODO nałożył na spółkę Morele.net karę w wysokości ponad 2,8 mln zł. Zdaniem Urzędu zastosowane przez spółkę środki organizacyjne i techniczne nie były odpowiednie do istniejącego ryzyka związanego z ich przetwarzaniem, przez co dane około 2 mln 200 tys. osób dostały się w niepowołane ręce. Nakładając karę, organ nadzorczy stwierdził, że naruszenie, do jakiego doszło w tej sprawie, miało znaczną wagę i poważny charakter oraz dotyczyło dużej skali osób.
NSA swoim orzeczeniem całkowicie pominął prawa ponad 2 mln 200 tys. użytkowników, których dane osobowe zostały naruszone wskutek działalności spółki, a którzy ponosić mogą również i dotkliwe konsekwencje związane z uzyskaniem nieuprawnionego dostępu do ich danych. Zdaniem UODO prawa osób, których dane dotyczą, winny być istotną wartością w rozpatrywanej sprawie, zwłaszcza, że organ podkreślił, iż w stanie faktycznym przedmiotowej sprawy ryzyko dotyczyło zagrożenia polegającego na zastosowaniu metody zwanej phishingiem, mającej na celu wyłudzenie danych, m.in. uwierzytelniających do konta bankowego poprzez podszycie się pod spółkę w wiadomościach SMS i wykorzystanie faktu dokonania zamówienia przez klienta.
Warto też przypomnieć, że Wojewódzki Sąd Administracyjny w Warszawie w 2020 r. oddalił skargę Morele.net i uznał, że decyzja o karze nałożonej na spółkę była zasadna. WSA podzielił wtedy stanowisko organu nadzorczego, iż zastosowane przez spółkę środki techniczne i organizacyjne okazały się nieskuteczne w celu ochrony danych osobowych klientów.
Przyjęcie stanowiska NSA wyrażonego w ww. wyroku, kwestionującego kompetencje UODO i podważającego jego niezależność, za słuszne,w praktyce oznaczałoby uniemożliwienie organowi samodzielnego funkcjonowania i rozstrzygania spraw z zakresu ochrony danych osobowych w systemach informatycznych służących do przetwarzania danych i prowadziłoby do pozbawienia skutecznej ochrony praw osób, których dane są przetwarzane, zagwarantowanej przepisami Traktatu o funkcjonowaniu Unii Europejskiej, Karty praw podstawowych Unii Europejskiej i RODO.