Wojewódzki Sąd Administracyjny oddalił skargę Morele.net na decyzję prezesa Urzędu Ochrony Danych Osobowych, który w styczniu 2024 r. wymierzył spółce ponad 3,8 mln zł kary za naruszenie przepisów RODO.

Chodzi o głośną sprawę z 2018 r., gdy doszło do ataku hakerskiego na detalistę. W ocenie urzędu miał miejsce wówczas wyciek danych 2,2 mln osób wskutek nie zastosowania przez spółkę odpowiednich zabezpieczeń i procedur.

UODO już raz nałożył karę na Morele w związku z tymi zarzutami (2,8 mln zł w 2019 r.). Spółka jednak odwołała się i w lutym 2023 r. NSA uchylił decyzję o karze. UODO ponownie zajął się tą samą sprawą i naliczył jeszcze wyższą karę.

WSA oddalając skargę Morele.net, uzasadnił, iż „organ nadzorczy [UODO], w wydanej decyzji, w sposób wyczerpujący uzasadnił zajęte stanowisko i wysokość nałożonej kary”.

Wskazał też, że „prezes UODO uwzględnił ocenę prawną i wskazania co do dalszego postępowania wyrażone w wyroku NSA, bowiem dokonał ponownej oceny wniosku Morele.net o dopuszczenie i przeprowadzenie dowodu z opinii biegłego, dostatecznie uzasadnił odmowę uwzględnienia tego wniosku, wytworzył i włączył do akt postępowania wewnętrzny dokument stanowiący wnioski z analizy standardu środków bezpieczeństwa stosowanych przez spółkę” .

Sąd uznał też, że pracownicy UODO posiadają wystarczającą wiedzę i kompetencje w zakresie oceny środków technicznych i organizacyjnych zastosowanych przez administratora danych.

Morele nie poddaje się

Morele.net nie zgadza się z wyrokiem WSA i zamierza zaskarżyć go do Naczelnego Sądu Administracyjnego.

Jak przypomina spółka, „NSA uchylił wcześniejszą decyzję Prezesa UODO m.in. z uwagi na brak obiektywnej oceny środków zabezpieczeń stosowanych przez Spółkę. NSA wskazał m.in. na opinię biegłego, jako sposób spełnienia tego wymagania.

WSA uznał, że Prezes UODO nie był zobligowany, aby powołać biegłego w celu oceny prawidłowości zabezpieczeń, które Spółka stosowała w 2018 r. Zdaniem WSA organ nadzorczy posiada wystarczającą specjalistyczną wiedzę, aby ocenić postępowanie Spółki, a zatem mógł oprzeć decyzję wyłącznie na opracowanej przez pracowników UODO analizie zabezpieczeń danych osobowych stosowanych przez Spółkę.

WSA nie uwzględnił także zarzutu Spółki, że Prezes UODO nie był uprawniony do nałożenia kary wyższej niż kara nałożona w decyzji z 2019 r. mimo, że w okresie dzielącym obie decyzje nie zmieniły się okoliczności związane ze sprawą” – stwierdziła firma w oświadczeniu.