W 2019 roku spółka Morele doświadczyła wycieku danych co było powodem kontroli UODO następnie wszczęcia postępowania w sprawie naruszenia i decyzji o nałożeniu administracyjnej kary pieniężnej w wysokości niemal 3 mln zł. Morele wniosła skargę która została oddalona wyrokiem WSA. Na skutek skargi kasacyjnej NSA uchylił wyrok WSA i poprzedzającą go decyzję UODO. Sprawa będzie więc rozpoznana ponownie. Głównym zagadnieniem będącym przedmiotem ww. orzeczeń, była kwestia czy dwuskładnikowe uwierzytelnianie było środkiem wymaganym (odpowiednim) zgodnie z art. 32 rodo w warunkach działania administratora i czy potrzebna była opinia biegłego, żeby to ustalić. W odpowiedzi na wyrok NSA UODO wydał komunikat zawierający treść pisma do NSA, które wyraża zaniepokojenie kształtowaną linią orzeczniczą uderzającą w niezależność organu.
W wyroku NSA zostały sformułowane dwie tezy:
1. Sankcji administracyjnej za naruszenie obowiązków wskazanych w art. 32 rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) (Dz. U. UE. L. z 2016 r. Nr 119, str. 1 ze zm.) podlega nie ten, kto jako administrator albo podmiot przetwarzający dopuścił do nieuprawnionego przetwarzania danych osobowych, a tylko podmiot, który nie dochował odpowiedniego, w danych okolicznościach, standardu środków bezpieczeństwa.
2. Jakkolwiek ustawa z 14 czerwca 1960 r. – Kodeks postępowania administracyjnego (Dz. U. z 2018 r., poz. 1000 ze zm.) nie przewiduje wprost „prawa do obrony”, to szereg uprawnień składających się na to prawo można wywieść z art. 10 k.p.a. oraz przepisów stanowiących konkretyzację zasady czynnego udziału, takich jak art. 78 k.p.a.
Fragmenty uzasadnienia
Dodatkowo w uzasadnieniu wyroku można znaleźć m.in. następujące ciekawe fragmenty, NSA stwierdza że:
- Zakwalifikowanie danej sankcji jako criminal offence nie prowadzi do jej przyporządkowania do prawa karnego na gruncie prawa krajowego, a wyłącznie do obowiązku zapewnienia skutecznej kontroli sądowej nakładania tejże sankcji. W takim stanie rzeczy brak jest podstaw do przyjęcia, iż organ nakładając sankcję rozstrzygał sprawę karną i że powinien w rozstrzygnięciu decyzji określić czyn, za jaki nałożył administracyjną karę pieniężną. Natomiast rację ma skarżąca kasacyjnie, iż organ naruszył wyrażony w art. 8 § 2 k.p.a. zakaz odstępowania – bez uzasadnionej przyczyny – od utrwalonej praktyki rozstrzygania spraw. Przez utrwaloną praktykę należy rozumieć zgodne z prawem, akceptowane przez sądy, stabilne, jednolite, ustandaryzowane i wieloletnie oraz znane publicznie postępowanie organów administracji publicznej przy rozstrzyganiu spraw tego samego rodzaju w takich samych stanach faktycznych i prawnych (A. Wróbel [w:] M. Jaśkowska, M. Wilbrandt-Gotowicz, A. Wróbel, Komentarz aktualizowany do Kodeksu postępowania administracyjnego, LEX/el. 2022, art. 8, pkt 21).
- Co do zasady Prezes UODO posiada kompetencję do samodzielnej oceny, czy stosowane przez stronę środki techniczne i organizacyjne były odpowiednie. Ocena taka bez wątpienia wymaga wiadomości specjalnych, jednakże w świetle art. 84 k.p.a. „[g]dy w sprawie wymagane są wiadomości specjalne, organ administracji publicznej może zwrócić się do biegłego lub biegłych o wydanie opinii”. (…) Jednakże nie w każdej sytuacji organ będzie uprawniony do zaniechania powołania biegłego i do dokonania oceny wymagającej wiedzy specjalistycznej we własnym zakresie. Ograniczenia w tym względzie wynikają przede wszystkim z zasady prawdy obiektywnej (art. 7 k.p.a.). W szczególności przesłankami obligującymi organ do przeprowadzenia dowodu z opinii biegłego może być brak wiedzy specjalistycznej pracowników organu czy wysoki stopień skomplikowania sprawy. (…) Niemniej art. 84 k.p.a. nie stanowi regulacji prawnej pozwalającej organom administracji na samodzielne dokonywanie oceny faktów w każdym przypadku, ponieważ mogłoby to doprowadzić do arbitralnej oceny okoliczności faktycznych danej sprawy. Przepis ten musi być wykładany w zgodzie z art. 78 k.p.a., nakazującym uwzględnić wniosek dowodowy strony.
- Sąd Wojewódzki powinien wziąć pod uwagę precedensowy charakter sprawy, związany ze skalą naruszenia poufności danych osobowych i rozmiarem działalności skarżącej, przetwarzającej dane osobowe ponad 2.200.000 użytkowników. W takim stanie rzeczy należy poddać w wątpliwość, czy organ – w dacie wydania zaskarżonej decyzji – posiadał własną wiedzę specjalistyczną, pozwalającą na ocenę odpowiedniości środków technicznych i organizacyjnych w działalności gospodarczej o tak dużej skali. W ocenie Sądu kasacyjnego o posiadaniu takiej wiedzy specjalistycznej, niezbędnej do zastąpienia opinii biegłego własnymi ustaleniami, nie przesądza samo twierdzenie organu administracji.
- Jakkolwiek w sprawie nie ma podstaw do podważania wiedzy specjalistycznej pracowników Urzędu Ochrony Danych Osobowych, to wątpliwe wydaje się, czy organ w swojej dotychczasowej praktyce prowadził postępowania w zbliżonej kategorii spraw, co pozwalałoby na ustalenie odpowiedniego do charakteru, zakresu i kontekstu przetwarzania standardu środków bezpieczeństwa. Wniosek ten wzmacnia fakt, iż do wycieku danych osobowych doszło w październiku 2018 r., a więc niedługo po wejściu w życie RODO. Prowadząc postępowanie administracyjne i wydając we wrześniu 2019 r. decyzję o nałożeniu kary pieniężnej, Prezes UODO rozstrzygał sprawę w oparciu o nowy stan prawny. Organ nie mógł skutecznie powołać się na wiedzę specjalistyczną pracowników urzędu, skoro odnosiła się ona do poprzedniego stanu prawnego, w ramach którego nie stosowano rozwiązania takiego jak w art. 32 RODO, polegającego na niedookreśleniu odpowiedniego standardu wymaganych środków technicznych.
- Biorąc powyższe okoliczności pod uwagę, organ naruszył art. 78 § 1 k.p.a., stanowiący iż „[ż]ądanie strony dotyczące przeprowadzenia dowodu należy uwzględnić, jeżeli przedmiotem dowodu jest okoliczność mająca znaczenie dla sprawy”. Wskazane we wniosku dowodowym M. okoliczności miały istotne znaczenie dla sprawy, a zatem wniosek o przeprowadzenie dowodu z opinii biegłego winien zostać przez Prezesa UODO uwzględniony. NSA w składzie orzekającym podziela prezentowane w judykaturze stanowisko, iż inicjatywa dowodowa nie jest przypisana tylko organom orzekającym, ale należy też do stron postępowania. Mimo, że to na organach administracji spoczywa obowiązek zbadania wszystkich okoliczności sprawy to strona ma inicjatywę dowodową – może wskazać kontrdowód z którego zamierza wyprowadzić korzystne skutki prawne. Organy administracji publicznej nie mogą ignorować aktywności stron w dążeniu do ustalenia stanu faktycznego, szczególnie gdy strony przedstawiają dowody, które w ich ocenie podważają dotychczasowe ustalenia poczynione w toku postępowania. Obowiązkiem organu jest ustosunkowanie się do przedstawionych przez stronę dowodów i wyczerpujące wyjaśnienie pojawiających się na tym tle wątpliwości. Za niedopuszczalne należy uznać ignorowanie przez organy administracyjne aktywności stron w dążeniu do ustalenia stanu faktycznego (zob. stanowisko zawarte w wyrokach NSA: z 10 marca 2021 r., II OSK 1918/18, LEX nr 3153048, z 23 lutego 2021 r., II GSK 613/19, LEX nr 3147096, z 24 listopada 2011 r., II OSK 1639/10, LEX nr 1151966). Stanowisko to jest tym bardziej aktualne, iż wniosek dowodowy jest jedynym środkiem obrony strony dążącej do wykazania korzystnych dla niej okoliczności faktycznych. Nie można w postępowaniu administracyjnym ograniczać prawa strony do czynnego udziału, uwzględniając jedynie dowody świadczące na jej niekorzyść. Uwadze Prezesa UODO i Sądu pierwszej instancji umknęło, iż postępowanie w przedmiocie nałożenia administracyjnej kary pieniężnej jest postępowaniem sankcyjnym i to jednoinstancyjnym, w którym dochodzi do ingerencji w sferę wolności jednostki (wyrok TK z 1.07.2014 r., SK 6/12, OTK-A 2014, nr 7, poz. 68). Okoliczność ta nie pozostaje bez wpływu na kierunek interpretacji przepisów postępowania administracyjnego.
- W orzeczeniach Naczelnego Sądu Administracyjnego podkreśla się, że „jakkolwiek w prawie administracyjnym nie można odwołać się do pojęcia winy, to jednak podmiot będący adresatem sankcji administracyjnej powinien „mieć możliwość obrony”
- W rozpoznawanej sprawie oznacza to, że organ nie tylko powinien dążyć do ustalenia rzeczywistego stanu faktycznego, lecz także do zapewnienia prawa czynnego udziału (prawa „do obrony”) strony postępowania – podmiotu „obwinionego” o popełnienie deliktu administracyjnego. Prezes UODO powinien mieć na uwadze, że w postępowaniu w przedmiocie nałożenia sankcji dochodzi do kumulacji roli oskarżyciela, podmiotu orzekającego, a w przypadku odmowy skorzystania z art. 84 k.p.a. – także biegłego. Ta kumulacja ról procesowych nie jest sama w sobie zakazana; jest ona związana z samą istotą postępowania administracyjnego. Niemniej przyjęte rozwiązanie prawne wymaga od Prezesa UODO nie tylko ustalenia okoliczności sprawy, lecz także prowadzenia postępowania w sposób bezstronny i budzący zaufanie jego uczestników do władzy publicznej (art. 8 § 1 k.p.a.). W praktyce obowiązek ten wiąże się z nakazem respektowania uprawnień proceduralnych strony postępowania.
- Nie bez znaczenia pozostaje także to, iż postępowanie administracyjne prowadzone przez Prezesa UODO jest, z woli ustawodawcy, postępowaniem jednoinstancyjnym (art. 7 ust. 2 u.o.d.o.). Powyższe oznacza, iż strona nie może skorzystać z prawa do wniesienia odwołania lub wniosku o ponowne rozpatrzenie sprawy i w tych pismach zawrzeć wniosków dowodowych zmierzających do podważenia stanowiska przyjętego w decyzji administracyjnej. Jednocześnie, w razie odmowy przeprowadzenia dowodów na korzyść w toku postępowania, strona dopiero z decyzji kończącej postępowanie dowiaduje się, czy i dlaczego organ przyjął, iż w sprawie doszło do naruszenia obowiązków ciążących na stronie (tu: w zakresie ustanowienia odpowiednich środków technicznych w postaci m.in. uwierzytelniania dwuetapowego). W toku postępowania kontrolnego ani też postępowania administracyjnego Prezes UODO nie wytworzył żadnego dokumentu stanowiącego wnioski z analizy standardu środków bezpieczeństwa stosowanych przez M., do którego strona – w braku zgromadzenia w aktach opinii biegłego – mogłaby się odnieść w toku postępowania. Tymczasem takie rozwiązanie zmniejszyłoby znacząco rygoryzm postępowania, w ramach którego dopiero z ostatecznej decyzji administracyjnej strona dowiaduje się, w jaki sposób oceniono przyjęty przez nią standard zabezpieczeń. Wobec odmowy dopuszczenia dowodu z opinii biegłego strona nie mogła przed rozstrzygnięciem sprawy dowiedzieć się, jakie wnioski wymagające wiedzy specjalnej wyciągnął organ, a stan ten doprowadził do naruszenia zasady czynnego udziału strony, niezależnie od treści potencjalnej opinii. Sąd kasacyjny podkreśla, że nawet negatywna dla strony opinia biegłego byłaby podstawą do zapewnienia ochrony interesów strony w postępowaniu sankcyjnym i mogłaby stanowić podstawę do zajęcia przez stronę stanowiska przed wydaniem decyzji administracyjnej.
- Rozstrzygając powyższą kwestię Naczelny Sąd Administracyjny miał także na uwadze art. 78 ust. 1 RODO i motyw 143 preambuły RODO, wymagające aby stronie przysługiwało, przeciwko prawnie wiążącej decyzji organu nadzorczego jej dotyczącej, prawo do skutecznego środka ochrony prawnej przed sądem. Prawo to zakłada wymóg, aby sąd administracyjny sprawował pełną jurysdykcję w sprawie, w tym w zakresie ustalenia okoliczności faktycznych i prawnych mających znaczenie dla rozstrzygnięcia sprawy. W przyjętym przez ustawodawcę kasacyjnym modelu orzekania sąd administracyjny nie rozstrzyga o istocie sprawy administracyjnej, orzekając wyłącznie o legalności (zgodności z prawem) decyzji organu ochrony danych osobowych. Sąd administracyjny nie posiada kompetencji do zastąpienia rozstrzygnięcia Prezesa UODO własnym orzeczeniem, ani do prowadzenia pełnego postępowania dowodowego obejmującego przeprowadzenie dowodu z opinii biegłego.
Wytyczne ENISY
- Prezes UODO przekonuje, że spółka powinna zastosować uwierzytelnianie dwuetapowe odwołując się do wytycznych Europejskiej Agencji ds. Bezpieczeństwa Sieci i Informacji (ENISA) dotyczących bezpieczeństwa przetwarzania danych osobowych wydanych w 2016 r.
- Z zaskarżonej decyzji nie wynika, czy powołane przez Prezesa UODO normy są relewantne pod kątem oceny działalności skarżącej i wskazanych w art. 32 ust. 1 i 2 RODO okoliczności, tj. ryzyka nieuprawnionego ujawnienia przetwarzania danych, stanu wiedzy technicznej, kosztu wdrażania oraz charakteru, zakresu, kontekstu i celów przetwarzania danych przez skarżącą. Podniesione przez organ argumenty mają charakter ogólny, niepozwalający na odniesienie ich do okoliczności sprawy i skali prowadzonej przez skarżącą działalności gospodarczej. Skoro ocena odpowiedniości zastosowanych środków bezpieczeństwa powinna uwzględniać ww. okoliczności, to jako dowolny jawi się wniosek, iż uwierzytelnianie dwuetapowe jest środkiem odpowiednim w każdym przypadku, jak to zdaje się wynikać z zaskarżonej decyzji. Analiza w tym zakresie powinna uwzględniać indywidualne okoliczności sprawy. Ponadto na podstawie uzasadnienia decyzji nie jest możliwe do ustalenia, czy powołane przez Prezesa UODO dokumenty na poparcie tezy o nieodpowiednim charakterze stosowanych środków technicznych mają charakter reprezentatywny, czy też prezentują one wyłącznie pewien pogląd jednostkowy, mając na celu poparcie stanowiska organu. Organ nie porównuje rzetelnie wniosków wynikających z dwóch przedstawionych dokumentów z innymi źródłami wiedzy specjalistycznej. Dlatego w zakresie określenia, iż skarżąca nie zastosowała odpowiednich środków technicznych, i że środkiem takim byłoby uwierzytelnianie dwuetapowe, Naczelny Sąd Administracyjny uznaje decyzję za uzasadnioną w sposób zbyt lakoniczny. W takim stanie rzeczy organ naruszył art. 7, art. 77 § 1 i art. 80 k.p.a. przez niepełne ustalenie stanu faktycznego sprawy oraz dowolną, a nie swobodną analizę zgromadzonego materiału dowodowego. Ocena ta skutkowała przedwczesnym przyjęciem, iż M. nie zastosowała odpowiednich środków bezpieczeństwa ochrony danych osobowych.
- Normy i wytyczne, na które powołuje się spółka, nie mają charakteru dowodów i nie wymagają zgromadzenia w aktach sprawy. Dokumenty te nie służą bowiem ustaleniu środków technicznych i organizacyjnych stosowanych przez administratora. Jak wynika z uzasadnienia zaskarżonej decyzji, są one podstawą oceny, czy zastosowane środki mają charakter odpowiedni w rozumieniu art. 32 ust. 1 i 2 RODO. Jak wskazuje organ w odpowiedzi na skargę kasacyjną, przytoczone normy są standardami powszechnie znanymi i stosowanymi w dziedzinie zabezpieczania informacji. Przy czym podkreślenia wymaga, iż powołane dokumenty nie mają charakteru źródeł prawa, wiążąco określających wymagany w odniesieniu do skarżącej standard zabezpieczeń, a wyłącznie posiłkowo mogą być traktowane jako argument przemawiający za przyjętą przez organ oceną materiału dowodowego. Powyższe wynika z niedookreśloności wymaganego od administratora, „odpowiedniego” standardu środków technicznych i organizacyjnych w świetle art. 32 RODO. Dlatego wspomniane w zarzucie dokumenty pełnią rolę analogiczną do stanowiska orzecznictwa i poglądów doktryny, które – pełniąc funkcję argumentacyjną – również nie wymagają zgromadzenia w aktach sprawy jako część materiału dowodowego. W konsekwencji dokumenty te stanowią podstawę oceny materiału dowodowego i argumentacji prawnej poczynionej przez Prezesa UODO. Organ nie ma obowiązku gromadzić w aktach sprawy dokumentów, które, nie stanowiąc materiału dowodowego, wspierają argumentację przedstawioną w ramach uzasadnienia prawnego decyzji.
- Przypomnieć należy, że na gruncie art. 7 w zw. z art. 77 § 1 k.p.a. organ administracji zobowiązany jest do ustalenia stanu faktycznego i do zebrania pełnego materiału dowodowego. Czynić to organ może na podstawie wszystkich środków dowodowych (art. 75 § 1 k.p.a.) i co do zasady nie jest wykluczone posługiwanie się w postępowaniu administracyjnym domniemaniami faktycznymi. Niemniej trzeba zauważyć, że w postępowaniu w przedmiocie nałożenia administracyjnej kary pieniężnej stosuje się art. 81a § 1 k.p.a. przewidujący nakaz rozstrzygania wątpliwości faktycznych na korzyść strony. W doktrynie wskazuje się, że art. 81a § 1 k.p.a. ma zastosowanie do postępowań administracyjnych w sprawie szeroko rozumianych sankcji administracyjnych
- Organ nie może jednak czynić ustaleń faktycznych bez zgromadzenia jakichkolwiek dowodów, zaś strona postępowania nie powinna być zaskakiwana przyjętymi przez organ ustaleniami. Prezes UODO, stosownie do art. 7 k.p.a., winien był przed stwierdzeniem, iż doszło do naruszenia prawa, zwrócić się do strony o złożenie wyjaśnień we wskazanym zakresie lub przeprowadzić inne dowody w tym osobowe, czego zaniechał. Dopiero wówczas możliwe byłoby powołanie się na przytoczoną przez Prezesa UODO zasadę rozliczalności, która nie może być rozumiana jako odstępstwo od wynikającej z art. 7 k.p.a. zasady prawdy obiektywnej.
Nieproporcjonalność kary
- Nieproporcjonalność kary oznacza bowiem sytuację, w której sankcja ta nie doprowadzi do osiągnięcia stawianych jej celów w związku z koniecznością zakończenia działalności gospodarczej w znacznym zakresie, czy też ogłoszenia upadłości strony. W tym kontekście Prezes UODO powinien był odnieść się do sytuacji finansowej strony i poddać analizie, czy wysokość kary pieniężnej będzie świadczyć o jej proporcjonalności w odniesieniu do złożonych przez spółkę dokumentów finansowych.
Środki odpowiednie do ryzyka a nie skuteczne
- Zarzut dziesiąty dotyczy naruszenia art. 151 p.p.s.a. w zw. z art. 32 ust. 1 i 2 RODO polegającego na przyjęciu, że z art. 32 ust. 1 i 2 RODO wynika obowiązek zastosowania skutecznych środków technicznych i organizacyjnych (str. 14), podczas gdy obowiązek wynikający z art. 32 ust. 1 i 2 RODO dotyczy zastosowania (wdrożenia) środków odpowiednich, aby zapewnić stopień bezpieczeństwa odpowiadający temu ryzyku. Zarzut ten jest bezzasadny, albowiem Prezes UODO nie przyjął, iż z art. 32 ust. 1 i 2 RODO wynika obowiązek zastosowania skutecznych w każdym przypadku środków technicznych i organizacyjnych.
- Z art. 7 ust. 1 RODO wynika, że „[j]eżeli przetwarzanie odbywa się na podstawie zgody, administrator musi być w stanie wykazać, że osoba, której dane dotyczą, wyraziła zgodę na przetwarzanie swoich danych osobowych”. Przepis ten, jak i art. 5 ust. 2 RODO, nie ograniczają obowiązku administratora do wykazania przestrzegania zasady legalności tylko w odniesieniu do danych obecnie przetwarzanych. Usunięcie z bazy danych dotyczących przetwarzania danych, nie uniemożliwia przeprowadzenia innych dowodów na potwierdzenie zgodności ich przetwarzania z prawem. Wykładnia zaprezentowana w skardze kasacyjnej nie znajduje uzasadnienia w przepisach RODO i prowadziłaby do niemożliwości wykonywania swojej funkcji przez organ nadzorczy. Słusznie organ w odpowiedzi na skargę kasacyjną wskazuje, że ograniczenie zastosowania zasady rozliczalności do bieżących procesów przetwarzania danych mogłoby prowadzić do uniknięcia odpowiedzialności za poważne naruszenia ochrony danych i nieuzasadnionego ograniczenia kompetencji organu nadzorczego oraz praw osób, których dane dotyczą, wystarczyłoby bowiem usunięcie takiej bazy danych.
Komentarz
Art. 32 1.Uwzględniając stan wiedzy technicznej, koszt wdrażania oraz charakter, zakres, kontekst i cele przetwarzania oraz ryzyko naruszenia praw lub wolności osób fizycznych o różnym prawdopodobieństwie wystąpienia i wadze zagrożenia, administrator i podmiot przetwarzający wdrażają odpowiednie środki techniczne i organizacyjne, aby zapewnić stopień bezpieczeństwa odpowiadający temu ryzyku, w tym między innymi w stosownym przypadku: (…)
2. Oceniając, czy stopień bezpieczeństwa jest odpowiedni, uwzględnia się w szczególności ryzyko wiążące się z przetwarzaniem, w szczególności wynikające z przypadkowego lub niezgodnego z prawem zniszczenia, utraty, modyfikacji, nieuprawnionego ujawnienia lub nieuprawnionego dostępu do danych osobowych przesyłanych, przechowywanych lub w inny sposób przetwarzanych.
Brak doświadczenia urzędników czy potrzeba obrony ado
Z licznych poruszanych kwestii na pierwszy plan wysuwa się zagadnienie konieczności powołania biegłego dla ustalenia czy zastosowane przez administratora zabezpieczenia były odpowiednie do ryzyka jakie generowała działalność (przetwarzanie) administratora. Wprawdzie NSA, odnosząc się do art. 84 k.p.a., uzasadnia taką konieczność m.in. faktem precedensowej sprawy i brakiem doświadczenia urzędników UODO co do nowego stanu prawnego, jednak nie jest to główny powód, a argumentacja NSA jest w tym zakresie nieprzekonująca. Regulacja była nowa dla każdego, również dla ewentualnego powołanego biegłego, przedmiot opinii dotyczyłby kwestii bezpieczeństwa IT, a nie powinno być w kraju biegłego w wyższym stopniu kompetentnego w tym zakresie niż urzędnicy UODO. Także nie tyle jest potrzeba żeby organ powoływał biegłego, co żeby w sposób wyczerpujący uzasadniał swoje stanowisko, tak aby druga strona mogła z tym polemizować, bo organ choć kompetentny nie zawsze ma rację.
Głównym powodem oceny, że potrzebna była opinia biegłego jest konieczność zapewnienia administratorowi prawa do obrony już przed organem nadzorczym, czyli w postępowaniu administracyjnym, ponieważ zostało ukształtowane jako jednoinstancyjne a model kasacyjny postępowania sądowoadministracyjnego nie pozwala na uzupełnianie stanu faktycznego przed WSA czy NSA. Jest to próba zastąpienia prawidłowego modelu, który powinien stworzyć ustawodawca, instytucją dowodu z opinii biegłego, przez stworzenie „wewnętrznej instancji” w postaci „orzeczenia” biegłego, z którym mógłby polemizować ado zanim UODO wyda ostateczną decyzję. Z drugiej strony, trzeba zauważyć że niezależnie ile ma instancji postępowanie administracyjne, art. 78 k.p.a. stwarza możliwość odmowy uwzględnienia żądania przeprowadzenia dowodu, tylko jeśli dotyczy okoliczności niespornych i stąd uzasadniony jest wniosek, że jego ewidentnym celem jest wyłącznie przewleczenie sprawy. Czyli to że organ ma kompetencje do oceny faktów i nie potrzebuje biegłego, nie stanowi przesłanki odmowy spełnienia żądania strony. Także właściwie w wyroku tym NSA po prostu potwierdził istnienie takiej „wewnętrznej instancji”. Stąd też, żeby uzasadnić konieczność przeprowadzenia dowodu z biegłego, nie trzeba nawet odnosić się do art. 84 k.p.a. i rozważać czy i w jakim stopniu urzędnicy organu byli doświadczeni na nowym stanie prawnym, żeby ustalać okoliczności faktyczne sprawy.
Sfera faktu czy sfera prawa
Natomiast moje wątpliwości budzi, czy w ogóle ocena czy zabezpieczenia były odpowiednie w świetle art. 32 rodo, należy do okoliczności faktycznych i powinna być przedmiotem dowodu i postępowania dowodowego. Czy tym samym w środku zaskarżenia powinien być formułowany zarzut naruszenia przepisów postępowania i idącego za tym błędu w ustaleniach faktycznych a nie naruszenia prawa materialnego. Dla porównania można wziąć przykład rozboju na gruncie k.k. i k.p.k. Fakt że sprawca użył kija i jakiej grubości należy do okoliczności faktycznych, ale jeśli wątły kij zostanie błędnie uznany za „niebezpieczny przedmiot”, to jest obraza art. 280 par. 2 k.k. a nie błąd w ustaleniach faktycznych, ponieważ o tym co jest niebezpiecznym przedmiotem mówi doktryna i judykatura. Tak samo, jakie zachowanie sprawcy zakwalifikować jako „włamanie” na gruncie art. 279 k.k., jest przedmiotem rozważań doktryny i orzecznictwa, do sfery faktu należy co sprawca faktycznie robił, a nie ocena tego działania przez pryzmat treści przepisu. Podobnie tu, do stanu faktycznego należy ustalenie, że nie było dwuskładnikowego uwierzytelniania, jaki był rozmiar działalności ado, jaki był zakres, kontekst i charakter przetwarzania, ile danych wyciekło i w jakim terminie, ale że to było zabezpieczenie nieodpowiednie, jak również to czy właściwa była metodologia i wynik analizy ryzyka, należy do sfery prawa a nie faktu i powinno być zwalczane przez zarzut naruszenia prawa materialnego. Stąd też ado w postępowaniu przed UODO powinien sformułować wyczerpującą argumentację prawną, w której redagowaniu obok prawnika weźmie udział dział IT albo zewnętrzny informatyk. Obojętne zresztą czy znajdzie się ona w treści pisma procesowego, czy będzie stanowiła opinię w formie załącznika, to nie zmienia jej charakteru – argumentacji prawnej. Trafnie w jednym z fragmentów uzasadnienia NSA twierdzi, że wytyczne np. ENISY stanowią poglądy doktryny, a przecież wytyczne te pisali specjaliści ds. bezpieczeństwa, inżynierowie, informatycy, co nie zmienia oceny, że jest to doktryna prawa ochrony danych osobowych.
Dalej jeśli wydana zostanie decyzja dla ado niekorzystna, można by przedstawić dodatkową argumentację w skardze do WSA, taka argumentacja należąca do sfery prawa a nie faktu, może być przez WSA brana pod uwagę, bo nie stanowi niedopuszczalnego uzupełnienia postępowania dowodowego i podstawy faktycznej rozstrzygnięcia. Czyli żeby ado mógł się bronić przed WSA argumentacją polemiczną wobec UODO, wystarczy jego twierdzenia uznać za dotyczące sfery prawa a nie sfery faktu. Jeśli przekona sąd administracyjny, to ten mogąc wydać jedynie orzeczenie kasacyjne a nie merytoryczne (art. 1 par. 2 p.u.s.a.), wróci sprawę z powrotem do organu, ale z wiążącą oceną prawną (art. 153 p.p.s.a), wywołaną argumentacją ado.
Odpowiedzialność na zasadzie winy
NSA potwierdził, że ado odpowiada na zasadzie winy za niedołożenie należytej staranności. Odmienna ocena byłaby wielkim zaskoczeniem i jaskrawym błędem, oznaczałoby to że ado odpowiada jak ubezpieczyciel za skutek w postaci nielegalnego przełamania zabezpieczeń. Zasadę winy potwierdzają też dyrektywy wymiaru kary z art. 83 rodo (m.in. strona podmiotowa – umyślność albo jej brak), są one bardzo zbliżone do tych które możemy znaleźć w art. 53 i art. 115 par. 2 k.k. Wprawdzie NSA stwierdza, że w prawie administracyjnym nie można odwoływać się do pojęcia winy, ale normy prawa administracyjnego są różnorodne i trzeba indywidualnie badać jak są ukształtowane przesłanki odpowiedzialności. Z pewnością lektura art. 83 rodo musi prowadzić do wniosku, że odpowiedzialność jest tam ukształtowana na podstawie osobistej zarzucalności i to bardzo zróżnicowanej – co odpowiada pojęciu winy.
Przepisy
Art. 174. [Podstawy skargi kasacyjnej] Skargę kasacyjną można oprzeć na następujących podstawach:
1) naruszeniu prawa materialnego przez błędną jego wykładnię lub niewłaściwe zastosowanie;
2) naruszeniu przepisów postępowania, jeżeli uchybienie to mogło mieć istotny wpływ na wynik sprawy.
Art. 57. [Elementy składowe skargi] § 1. Skarga powinna czynić zadość wymaganiom pisma w postępowaniu sądowym, a ponadto zawierać:
1) wskazanie zaskarżonej decyzji, postanowienia, innego aktu lub czynności;
2) oznaczenie organu, którego działania, bezczynności lub przewlekłego prowadzenia postępowania skarga dotyczy;
3) określenie naruszenia prawa lub interesu prawnego;
4) (uchylony).
§ 2. W przypadku, o którym mowa w art. 51, skargi mogą być wniesione w jednym piśmie.
§ 3. Jeżeli w jednym piśmie zaskarżono więcej niż jeden akt lub czynność albo bezczynność lub przewlekłe prowadzenie postępowania, przewodniczący zarządza rozdzielenie tych skarg.
Art. 153. [Związanie oceną prawną] Ocena prawna i wskazania co do dalszego postępowania wyrażone w orzeczeniu sądu wiążą w sprawie organy, których działanie, bezczynność lub przewlekłe prowadzenie postępowania było przedmiotem zaskarżenia, a także sądy, chyba że przepisy prawa uległy zmianie.
Art. 1. [Funkcja sądów administracyjnych. Kryterium kontroli] § 1. Sądy administracyjne sprawują wymiar sprawiedliwości przez kontrolę działalności administracji publicznej oraz rozstrzyganie sporów kompetencyjnych i o właściwość między organami jednostek samorządu terytorialnego, samorządowymi kolegiami odwoławczymi i między tymi organami a organami administracji rządowej.
§ 2. Kontrola, o której mowa w § 1, sprawowana jest pod względem zgodności z prawem, jeżeli ustawy nie stanowią inaczej.
Art. 78. [Wnioski dowodowe strony] § 1. Żądanie strony dotyczące przeprowadzenia dowodu należy uwzględnić, jeżeli przedmiotem dowodu jest okoliczność mająca znaczenie dla sprawy.
§ 2. Organ administracji publicznej może nie uwzględnić żądania (§ 1), które nie zostało zgłoszone w toku przeprowadzania dowodów lub w czasie rozprawy, jeżeli żądanie to dotyczy okoliczności już stwierdzonych innymi dowodami, chyba że mają one znaczenie dla sprawy.
Art. 84. [Opinia biegłego] § 1. Gdy w sprawie wymagane są wiadomości specjalne, organ administracji publicznej może zwrócić się do biegłego lub biegłych o wydanie opinii.
§ 2. Biegły podlega wyłączeniu na zasadach i w trybie określonym w art. 24. Poza tym do biegłych stosuje się przepisy dotyczące przesłuchania świadków.