Wojewódzki Sąd Administracyjny (WSA) w Warszawie 16 września 2024 roku oddalił skargę Morele.net na decyzję Prezesa Urzędu Ochrony Danych Osobowych (UODO), w której nałożono na spółkę karę w wysokości ponad 3,8 miliona złotych. Kara została nałożona w związku z naruszeniami przepisów RODO, które dotyczyły niewystarczających środków ochrony danych osobowych klientów serwisu.
Historia sprawy
Sprawa kar nałożonych na Morele.net ma swoją historię, sięgającą decyzji Prezesa UODO z 10 września 2019 roku, kiedy to spółka została ukarana kwotą około 2,8 miliona złotych za uchybienia w zakresie ochrony danych osobowych. Wówczas Morele.net złożyło skargę na tę decyzję do Wojewódzkiego Sądu Administracyjnego, który oddalił ją, podtrzymując karę. Sprawa trafiła następnie do Naczelnego Sądu Administracyjnego (NSA), który 9 lutego 2023 roku uchylił pierwszy wyrok WSA i nakazał ponowne rozpatrzenie sprawy.
Podczas nowego postępowania, UODO ponownie przeanalizował stosowane przez Morele.net środki bezpieczeństwa oraz wnioski spółki dotyczące przeprowadzenia dowodu z opinii biegłego. Organ nadzorczy odmówił uwzględnienia tego wniosku, uzasadniając swoją decyzję i sporządzając wewnętrzny dokument, który zawierał wnioski z analizy środków bezpieczeństwa stosowanych przez spółkę.
Decyzja Wojewódzkiego Sądu Administracyjnego
Po ponownym rozpatrzeniu sprawy, WSA oddalił skargę Morele.net na decyzję Prezesa UODO z dnia 17 stycznia 2024 roku, która podtrzymywała i zwiększała kwotę kary do 3,8 miliona złotych. Sąd uznał, że UODO dostatecznie uzasadnił swoją decyzję, wskazując na poważne uchybienia w zakresie ochrony danych osobowych przez spółkę. W szczególności Sąd podkreślił, że organ nadzorczy uwzględnił wskazania Naczelnego Sądu Administracyjnego, dokonując ponownej oceny sprawy.
WSA potwierdził również, że pracownicy UODO posiadają wystarczającą wiedzę i kompetencje do oceny technicznych i organizacyjnych środków stosowanych przez Morele.net w celu ochrony danych osobowych. Sąd uznał także, że organ nadzorczy w sposób wyczerpujący uzasadnił zarówno nałożenie kary, jak i jej wysokość.
Znaczenie wyroku
Decyzja WSA z 16 września 2024 roku jest istotna z punktu widzenia egzekwowania przepisów RODO w Polsce. Wyrok potwierdza, że organizacje przetwarzające dane osobowe są zobowiązane do stosowania odpowiednich środków technicznych i organizacyjnych, a w przypadku ich zaniedbania mogą ponieść poważne konsekwencje finansowe. Sprawa Morele.net pokazuje także, że organy nadzorcze, takie jak UODO, posiadają kompetencje do samodzielnej oceny tych środków, a sądy administracyjne uznają te oceny za wiążące.
Morele.net, będąc jednym z największych sklepów internetowych w Polsce, przez lata zdobywało zaufanie klientów, jednak ten incydent związany z ochroną danych negatywnie wpłynął na wizerunek firmy. Spółka wciąż ma możliwość dalszych działań prawnych, ale obecny wyrok WSA jest kolejnym krokiem w procesie egzekwowania wysokich standardów ochrony danych osobowych w Polsce.
Podsumowanie
Sprawa Morele.net i związane z nią decyzje Prezesa UODO oraz Wojewódzkiego Sądu Administracyjnego stanowią ważny precedens w kontekście ochrony danych osobowych w Polsce. Utrzymanie kary w wysokości 3,8 miliona złotych potwierdza, że przepisy RODO są surowo egzekwowane, a przedsiębiorstwa muszą poważnie podchodzić do kwestii ochrony prywatności swoich klientów.