Augustynek, Dykas: Sprawy o ochronę danych mogą potrwać dłużej

Według NSA do oceny, czy m.in. techniczne mechanizmy bezpieczeństwa zostały prawidłowo wdrożone u danego administratora, wymagana jest specjalistyczna wiedza.

Publikacja: 04.05.2023 07:17

Augustynek, Dykas: Sprawy o ochronę danych mogą potrwać dłużej

Foto: rp.pl / Paweł Rochowicz

Michał Augustynek, Patryk Dykas

Głośny ostatnio wyrok Naczelnego Sądu Administracyjnego (sygn. III OSK 3945/21) może w najbliższym czasie znacząco wydłużyć postępowania administracyjne przed Urzędem Ochrony Danych Osobowych. Według NSA do oceny, czy techniczne i organizacyjne mechanizmy bezpieczeństwa zostały prawidłowo i adekwatnie wdrożone u danego administratora, wymagane będzie posiadanie specjalistycznej wiedzy.

W toku postępowania przed UODO administrator wniósł o przeprowadzenie dowodu z opinii biegłego posiadającego wiadomości specjalne z zakresu bezpieczeństwa systemów informatycznych, na okoliczność:

ustalenia standardów technicznych i organizacyjnych środków bezpieczeństwa w działalności gospodarczej przedsiębiorców w obszarze e-commerce o skali i charakterze podobnym do skali i charakteru działalności,
oceny, czy środki techniczne i organizacyjne odpowiadały standardom środków bezpieczeństwa w działalności gospodarczej przedsiębiorców w obszarze e-commerce o skali i charakterze podobnym do skali i charakteru działalności,
oceny, czy środki techniczne i organizacyjne stosowane przez administratora były odpowiednie, uwzględniając stan wiedzy technicznej, koszt wdrażania oraz charakter, zakres, kontekst i cele przetwarzania oraz ryzyko naruszenia praw lub wolności osób fizycznych o różnym prawdopodobieństwie wystąpienia i wadze zagrożenia.

Postanowieniem z 6 sierpnia 2019 r. prezes UODO odmówił uwzględnienia ww. wniosku dowodowego. W uzasadnieniu wskazał, że skuteczność prawna żądania strony uzależniona jest od spełnienia przesłanki – przedmiotem dowodu musi być okoliczność mająca znaczenie dla sprawy.

Ponadto, w postępowaniu administracyjnym brak jest obowiązku przeprowadzenia dowodu z opinii biegłego nawet wówczas, gdy wyjaśnienie sprawy wymaga wiadomości szerszych niż przeciętne w danej dziedzinie.

W ocenie prezesa UODO okoliczności wskazane w pierwszych dwóch punktach wniosku nie miały istotnego znaczenia dla rozstrzygnięcia. W odniesieniu do punktu trzeciego wniosku organ uznał, że okoliczność ta została już udowodniona na podstawie dowodów pozyskanych w toku kontroli przeprowadzonej w siedzibie spółki, w toku przeprowadzonego postępowania administracyjnego, jak również poprzez złożenie przez spółkę obszernych wyjaśnień w zw. ze zgłoszonymi naruszeniami ochrony danych.

Ponadto zdaniem prezesa UODO należało uwzględnić zasadę szybkości postępowania i uznać, że dopuszczenie dowodu byłoby działaniem ze zbędną zwłoką, prowadzącym do przewlekłości postępowania.

Czytaj więcej

Dane osobowe

Morele nie zapłaci gigantycznej kary za wyciek danych. NSA obciążył UODO

Sklep internetowy Morele.net nie zapłaci prawie 3 mln zł kary za wyciek danych, do którego doszło w 2018 r. Naczelny Sąd Administracyjny zobowiązał natomiast Urząd Ochrony Danych Osobowych do zwrócenia portalowi 65 tys. zł za kosztów postępowania.

Powołania biegłego

Aby prawidłowo ocenić działanie UODO, zdefiniować należy przede wszystkim termin „wiadomości specjalne”.

Sądy administracyjne wskazały, iż jest to przede wszystkim taka wiedza, której nie posiadają pracownicy organów (wyrok NSA z 24 marca 2015 r., sygn. I GSK 407/13). Granica swobody organu przy posiłkowaniu się opinią biegłego powiązana jest z zasadą prawdy obiektywnej, która nakłada na organy administracji publicznej obowiązek podjęcia wszelkich czynności niezbędnych do dokładnego wyjaśnienia stanu faktycznego. Bez dostępu do akt sprawy można posiłkować się jedynie uzasadnieniem wyroku NSA, z którego wynika, że organ obiektywnie ustalił, jakie środki bezpieczeństwa zostały wdrożone przez administratora oraz to, czy dokonywał on w tym zakresie analizy ryzyka związanego z przetwarzaniem danych osobowych. Okoliczności te ustalone zostały na podstawie innych środków dowodowych w trakcie prowadzonej sprawy. W ocenie NSA, z uwagi na brak opinii biegłego, nie zostało jednak wyjaśnione, czy środki te miały charakter adekwatny do skali działalności administratora, charakteru jego działalności oraz wiedzy technicznej. W orzecznictwie podkreśla się, że opinia biegłego nie może być sama w sobie źródłem stanu faktycznego sprawy, a tym bardziej stanowić podstawy ustalenia okoliczności będących przedmiotem oceny biegłych. Wobec tego przynajmniej część okoliczności, w jakich wypowiadać miałby się biegły w związku z wnioskiem strony, dotyczyła okoliczności faktycznych.

Ciężko zgodzić się z takim poglądem prezentowanym przez NSA. WSA w Lublinie w wyroku z 29 stycznia 2010 r. (sygn. I SA/Lu 601/09) podkreślił, że przez pojęcie wiadomości specjalne rozumieć należy nie tylko wiedzę naukową z zakresu poszczególnych gałęzi, zdobytą w wyniku specjalistycznych studiów w danej dziedzinie, ale również umiejętności praktyczne, oparte na długotrwałym, wieloletnim doświadczeniu. Odnosząc to do omawianego wyroku NSA, zadać należy pytanie, kto jeśli nie organ nadzoru nad przetwarzaniem danych osobowych i jego pracownicy posiada tego typu wiedzę i praktyczne umiejętności oceny. Automatyczne uznanie, że nie posiadają oni takiej wiedzy i umiejętności, jest podejściem błędnym.

Na gruncie przepisów kodeksu postępowania administracyjnego nastręcza to dodatkowych problemów – kto może być takim biegłym, w sytuacji gdy przepisy kodeksu nie regulują żadnych kryteriów w zakresie uznania danej osoby za biegłego.

Konsekwencje wyroku

Jeżeli tego typu linia orzecznicza utrwali się, czekają nas ciężkie czasy, jeśli chodzi o długotrwałość postępowań dotyczących ochrony danych osobowych oraz niepewność w zakresie administratorów danych, którzy z uwagi na brak wskazówek w obszarze zabezpieczeń IT pozostawieni zostaną sami sobie. Nie oceniając działania UODO, tj. czy właściwie uzasadnił on swoje stanowisko w decyzji, odnoszące się do pewnego standardu zabezpieczenia danych, patrząc na to z punktu widzenia podmiotu danych, tj. tego, który w wyniku zaniechań administratora może zostać narażony na konsekwencje, obawiamy się, że ochrona jego praw podstawowych przy takim podejściu może stać się iluzoryczna – tak samo jak iluzoryczna może być odpowiedzialność administratorów danych.

Michał Augustynek jest radcą prawnym, Patryk Dykas adwokatem w WW Legal Wądołowski i Wspólnicy sp.k.

Publicystyka Dane Osobowe

Pozostało 91% artykułu

Opinie Prawne

Tomasz Siemiątkowski: Szkodliwa nadregulacja w sprawie cyberbezpieczeństwa

W kwestii cyberbezpieczeństwa jesteśmy świadkami próby legitymizacji kontrowersyjnych instytucji prawnych rzekomymi wymogami unijnymi. To przykład tzw. goldplatingu – mówi prof. Tomasz Siemiątkowski, adwokat.

Materiał Promocyjny

Nowe Audi a5 już tu jest! Wylicz swoją ratę w leasingu 100% online!

Minister rodziny, pracy i polityki społecznej Agnieszka Dziemianowicz-Bąk (L) oraz posłanki Lewicy A

Opinie Prawne

Tomasz Pietryga: Czy wolne w Wigilię ma sens? Biznes wcale nie musi na tym stracić

Na wprowadzenie wolnej Wigilii w tym roku jest już za późno. Posłowie zbyt długo zwlekali z inicjatywą, a forsowanie jej na ostatnią chwilę może przynieść więcej szkód niż korzyści. Ale nie oznacza to jednak, że o wolnej Wigilii nie należy rozmawiać, szczególnie że lata 90. już dawno szczęśliwie za nami, a dziś liczy się tzw. work-life balance.

Opinie Prawne

Robert Gwiazdowski: Awantura o składki. Dlaczego Janusz zapłaci, a Johanes już nie?

Jak taki Janusz założy spółkę Kawa Latte sp. z o.o., w której będzie jedynym wspólnikiem, to zapłaci składkę zdrowotną. A jak jakiś Johanes ma w Berlinie spółkę Latte-Kaffee GmbH i ona założy spółkę w Warszawie, to nie zapłaci składki zdrowotnej. Dlaczego z tego powodu żadnego wzmożenia wśród naukowców i działaczy nie ma?

Opinie Prawne

Łukasz Guza: Trzy wnioski po rządowych zmianach składki zdrowotnej

Najwyższy czas podyskutować szerzej o zasadach oskładkowania zarobków. Problem w tym, że dialogu nie ma.

Materiał Promocyjny

Klimat a portfele: Czy koszty transformacji zniechęcą Europejczyków?

Europejczycy są coraz bardziej przekonani, że mogą wpłynąć na ochronę klimatu poprzez zmianę codziennych nawyków

Warszawa, 26.02.2024. Minister sprawiedliwości, prokurator generalny Adam Bodnar oraz wiceminister s

Opinie Prawne

Tomasz Pietryga: Rząd wypuszcza więźniów. Czy to rozsądne?

Za liberalizacją polityki karnej powinny iść działania, które zminimalizowałyby ryzyko powrotu skazanych na przestępczą drogę. Dziś nie idzie to w parze.

Materiał Promocyjny

Opel Movano w leasingu 105% – sprawdź teraz!

Dane osobowe

PUODO o KROPiK: rejestr zwierząt niebezpieczny dla ludzi

Sam cel utworzenia Krajowego Rejestru Oznakowanych Psów i Kotów jest słuszny, ale przetwarzanie danych o nawet 12 milionach właścicieli psów i kotów, powinno odbywać się z ograniczeniem ryzyka dla tych danych - twierdzi Prezes Urzędu Ochrony Danych Osobowych, który został pominięty w procesie opiniowania projektu.

Kadry i Płace

Czy szef może zmusić pracownika do zaszczepienia się?

Obowiązkiem pracodawców jest ochrona życia i zdrowia pracowników. Czy w zakresie tego obowiązku firma może wymagać szczepienia, pytać o nie albo zwolnić za jego brak?

Opinie Ekonomiczne

Verena Ross: Europa musi wesprzeć obywateli w inwestowaniu na przyszłość

Politycy na poziomie Unii Europejskiej i krajowym muszą działać, promując proste i niedrogie opcje inwestycyjne.

Opinie Ekonomiczne

Witold M. Orłowski: Składka zastępcza

Po długich bojach rząd podjął decyzję na temat obniżenia składki zdrowotnej dla przedsiębiorców.

Waluty

Złoty znów ma pod górkę

W środę silny dolar znów dał o sobie znać, a to był kulą u nogi dla złotego.

Waluty

Złoty próbuje łapać równowagę po wczorajszych problemach

Środowy poranek przyniósł niewielkie zmiany notowań złotego. Emocje geopolityczne na razie zostały opanowane.

Rzecz o prawie

Ewa Szadkowska: Ta okropna radcowska cisza

Dla radców publiczne krytykowanie władz samorządu to wciąż „kalanie gniazda”.

Rzecz o prawie

Maciej Gutowski, Piotr Kardas: Neosędziowski węzeł gordyjski

Celem przywracania praworządności w wymiarze sprawiedliwości nie jest spełnienie oczekiwań środowiska prawniczego, że przeszłość zostanie „rozliczona”, ale stworzenie instytucjonalnych gwarancji obywatelskiego prawa do sądu.