Analiza zagadnienia ochrony danych osobowych w branżye-commerce na podstawie wyroku Naczelnego Sądu Administracyjnego z dnia 9 lutego 2023 r. (sygn.akt: III OSK 3945/21).

Z wyciekiem danych osobowych spotykamy się niezwykle często. Proceder ten występuje regularnie, szczególnie w odniesieniu do podmiotów działających w branży e-commerce.
Bez odpowiedzi pozostaje pytanie, czy w przeszłości również tak było? Wydaje się, że wycieki danych osobowych do sieci zawsze
miały miejsce, ale nie istniały wówczas procedury, które mogłyby regulować to niebezpieczne zagadnienie. Wyciek danych
osobowych to za każdym razem spore ryzyko dla każdej osoby, której dane wyciekły oraz dla samego przedsiębiorcy, który na podstawie
obowiązujących przepisów prawa, zobowiązany jest do należytego przestrzegania reguł ochrony danych osobowych.

W dzisiejszej publikacji skupimy się na zagadnieniu związanym z wyciekiem danych osobowych przez pryzmat wyroku Naczelnego Sądu Administracyjnego z dnia 9 lutego 2023 r. (sygn. akt: III OSK 3945/21) – dalej „wyrok NSA”, który traktował o platformie Morele.net.

Jakiego naruszenia dopuścił się sklep internetowy Motele.net?

Wyjaśnić należy, że mowa jest o nieodpowiednim zabezpieczeniu baz danych klientów sklepu internetowego Morele.net.
Na skutek przyjęcia niedostatecznych zabezpieczeń, doszło do wycieku danych osobowych klientów sklepu w ogromnej ilości ponad 2 milionów użytkowników.

Sankcja na 600 tysięcy Euro za naruszenie przepisów RODO.

Należy zwrócić uwagę na wymiar kary za to naruszenie. Wymierzono karę pieniężną w wysokości 2.830.410 PLN (równowartość 660 000 EUR), według średniego kursu euro ogłoszonego przez Narodowy Bank Polski w tabeli kursów na dzień 28 stycznia 2019 r.

Cytując stanowisko z wyroku NSA – „Sankcji administracyjnej za naruszenie obowiązków wskazanych
w art. 32 rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych
w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) (Dz. U. UE. L. z 2016 r. Nr 119, str. 1 z późn. zm.) podlega nie ten, kto jako administrator albo podmiot przetwarzający dopuścił do nieuprawnionego przetwarzania danych osobowych, a tylko podmiot, który nie dochował odpowiedniego, danych okolicznościach, standardu środków bezpieczeństwa.”.

Jakie przepisy RODO zostały naruszone w przedmiotowej sprawie?

W tym miejscu należy wskazać, że przedsiębiorcy zostało zarzucone naruszenie art. 32 rozporządzenia
Parlamentu Europejskiego i Rady (UE) 2016/679 z 27 kwietnia 2016 r. w sprawie ochrony osób
fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu
takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych)
(Dz. U. UE. L. z 2016 r. Nr 119, str. 1 z późn. zm.) – dalej „RODO” – artykuł traktujący o bezpieczeństwie przetwarzania danych osobowych.

Summary.

Brak należytego zabezpieczenia danych osobowych klientów zawsze oznacza wystąpienie realnego ryzyka na przechwycenie
tych danych przez podmioty nieuprawnione. Dodatkowo zawsze warto jest pamiętać o tym, że powszechnie stosowane są już sankcje
administracyjnego w postaci wielomilionowych kar nakładanych na przedsiębiorców, którzy nienależycie zabezpieczają dane osobowe
swoich klientów sklepów internetowych oraz przez których zaniechania dochodzi do dużych wycieków danych osobowych. Niestety
coraz częściej spotykamy się z problematyką wycieku danych osobowych do sieci. Remedium na tego typu okoliczności jest stosowanie
aktualnych i silnych zabezpieczeń baz danych, w których przechowywane są dane osobowe klientów. Szczególnie dotyczy to branży
e-commerce, która z natury funkcjonowania w sieci jest szczególnie narażona na ataki ze strony podmiotów, które chcą w nielegalny sposób wykorzystać dane osobowe do różnego rodzaju celów.

Dane osobowe są obecnie niezwykle wartościowymi informacjami, które często chcą być wykorzystywane przez nieuprawnione podmioty.
Należy regularnie sprawdzać poziom zabezpieczeń w danej organizacji i możliwie maksymalnie przeciwdziałać
tego typu niepożądanym zachowaniom, które w konsekwencji mogą okazać się niezwykle kosztowe dla przedsiębiorcy – zarówno z perspektywy bezpieczeństwa klientów oraz interesów finansowych i wizerunkowych przedsiębiorcy.