Kara Prezesa UODO za naruszenie zasady poufności przez sąd rejonowy

Prezes Urzędu Ochrony Danych Osobowych nałożył karę pieniężną na Sąd Rejonowy Szczecin-Centrum za naruszenie przepisów RODO dotyczących ochrony danych osobowych. Sąd zgubił trzy nośniki danych z danymi osobowymi, co mogło skutkować poważnym naruszeniem poufności. Decyzja Prezesa UODO została poprzedzona postępowaniem wyjaśniającym, a kara wyniosła 30.000 złotych.

Tematyka: Prezes UODO, Sąd Rejonowy Szczecin-Centrum, naruszenie poufności, ochrona danych osobowych, kara pieniężna, RODO, środki techniczne, środki organizacyjne

Prezes UODO stwierdził naruszenie przez Sąd Rejonowy Szczecin-Centrum w Szczecinie przepisów art. 5
ust. 1 lit. f, art. 5 ust. 2, art. 24 ust. 1, art. 25 ust. 1 i 2 oraz art. 32 ust. 1 i 2 RODO, polegające na niewdrożeniu
odpowiednich środków technicznych i organizacyjnych zapewniających stopień bezpieczeństwa
odpowiadający ryzyku przetwarzania danych przy użyciu przenośnych pamięci, które to środki zapobiegłyby
utrwaleniu danych osobowych na dwóch prywatnych i niezabezpieczonych nośnikach danych
i w konsekwencji pozwoliłyby uniknąć naruszenia ochrony danych osobowych, stanowiącego naruszenie
poufności w wyniku zagubienia tych nośników. Na Sąd nałożono administracyjną karę pieniężną w kwocie
30.000 złotych.
Stan faktyczny
Do Urzędu Ochrony Danych Osobowych (dalej: UODO) wpłynęło wstępne zgłoszenie naruszenia ochrony danych
osobowych złożone przez Sąd Rejonowy Szczecin-Centrum w Szczecinie (dalej: Sąd), polegającego na zagubieniu
trzech nośników danych typu pendrive (jednego służbowego - szyfrowanego oraz dwóch nieszyfrowanych -
prywatnych), zawierających dane osobowe nieustalonej liczby osób. Następnie wpłynęło zgłoszenie uzupełniające.
Jak wskazał Sąd, na zagubionych nośnikach znajdowały się dane osobowe w zakresie imion i nazwisk, adresów
zamieszkania lub pobytu, danych dotyczących zakładu pracy oraz danych dotyczących zdrowia, zawarte
w projektach orzeczeń i uzasadnień sporządzanych w okresie od grudnia 2004 r. do sierpnia 2020 r.
Prezes Urzędu Ochrony Danych Osobowych (dalej: Prezes UODO), przeprowadził postępowanie wyjaśniające
w sprawie zgłoszonego naruszenia, a następnie wszczął z urzędu postępowanie administracyjne w przedmiocie
możliwości naruszenia przez Sąd, jako administratora danych (w związku z naruszeniem ochrony danych osobowych
osób uczestniczących w postępowaniach sądowych) obowiązków wynikających z art. 5 ust. 1 lit. e i lit. f, art. 5 ust. 2,
art. 24 ust. 1, art. 25 ust. 1 i 2 oraz art. 32 ust. 1 i 2 rozporządzenia Parlamentu Europejskiego i Rady UE 2016/679
z 27.4.2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie
swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (Dz.Urz. UE L z 2016 r. Nr 119, s. 1; dalej:
RODO).
Z uzasadnienia decyzji Prezesa UODO
Na zaginionych nośnikach danych znajdowały się dane osobowe zawarte w projektach orzeczeń i uzasadnień
przygotowanych w związku z prowadzonymi postępowaniami sądowymi, zatem uznać należy, iż administratorem
tych danych stosownie do powszechnie obowiązujących przepisów jest Sąd.
Nadmienić należy, że zgodnie z treścią art. 55 § 3 RODO, Prezes UODO nie jest właściwy do nadzorowania operacji
przetwarzania dokonywanych przez sądy w ramach sprawowania przez nie wymiaru sprawiedliwości. Do działalności
sądów powszechnych poza działalnością związaną stricte ze sprawowaniem wymiaru sprawiedliwości i ochroną
prawną, zaliczyć należy także działalność administracyjną, dzięki której sądy dysponują warunkami niezbędnymi do
wykonywania ich ustawowych zadań (tj. sprawowanie wymiaru sprawiedliwości). Do zadań administracyjnych
zaliczyć można m.in. zapewnienie warunków techniczno – organizacyjnych (tj. warunki lokalowe, sprzętowe,
osobowe), czy też zapewnienie bezpieczeństwa. Z uwagi na to, iż przedmiotowe naruszenie stanowi naruszenie
zasady poufności wyrażonej w art. 5 ust. 1 lit. f RODO, a spowodowane jest niewdrożeniem przez administratora
skutecznych środków technicznych i organizacyjnych, zapewniających stopień bezpieczeństwa odpowiadający
ryzyku przetwarzania danych osobowych, to Prezes UODO zachowuje pełnię swoich kompetencji w tej sprawie.
Na podstawie art. 58 ust. 2 lit. i RODO, każdemu organowi nadzorczemu przysługuje uprawnienie do zastosowania,
oprócz lub zamiast innych środków naprawczych przewidzianych w art. 58 ust. 2 lit. a – h oraz lit. j RODO,
administracyjnej kary pieniężnej na mocy art. 83 RODO, zależnie od okoliczności konkretnej sprawy.
Decydując o nałożeniu na Sąd administracyjnej kary pieniężnej, a także określając jej wysokość, Prezes UODO –
stosownie do treści art. 83 ust. 2 lit. a – k RODO – wziął pod uwagę, i uznał za obciążające następujące okoliczności.
Stwierdzone w niniejszej sprawie naruszenie przepisów ochrony danych osobowych, którego skutkiem była
możliwość uzyskania nieuprawnionego dostępu do przetwarzanych przez Sąd danych przez osobę bądź osoby
nieuprawnione, a w konsekwencji możliwość pozyskania danych osobowych osób, wobec których były
przygotowywane projekty orzeczeń i wyroków, ma znaczną wagę i poważny charakter. Naruszenie stwarza bowiem
wysokie ryzyko negatywnych skutków prawnych dla nieustalonej, potencjalnie (biorąc pod uwagę, że dokumenty
znajdujące się na zagubionych prywatnych nośnikach danych pochodziły z lat 2004 – 2020) dużej liczby osób, do
których danych dostęp mogła mieć osoba bądź osoby nieuprawnione.

Naruszenie przez Sąd obowiązków zastosowania środków zabezpieczających przetwarzane dane przed ich
udostępnieniem osobom nieupoważnionym, pociąga za sobą nie tylko potencjalną, ale również realną możliwość
wykorzystania tych danych przez podmioty trzecie bez wiedzy i wbrew woli osób, których dane dotyczą, niezgodnie
z przepisami RODO, np. w celu nawiązania stosunków prawnych lub zaciągnięcia zobowiązań w imieniu osób,
których dane pozyskano. Ponadto, do chwili wydania omawianej decyzji zaginione nośniki danych nie zostały
odnalezione, więc w dalszym ciągu osoba lub osoby nieuprawnione mogą mieć dostęp do danych osobowych
znajdujących się na tych nośnikach.
Podkreślić należy również długi czas trwania naruszenia przepisów RODO, bowiem przyjąć należy, iż naruszenie
rozpoczęło się w dniu 25.5.2018 r., tj. w dniu rozpoczęcia stosowania RODO, a zakończyło w październiku 2020 r.
(Administrator nie podał daty dziennej, w której miało miejsce zablokowanie portów USB).
Na zagubionych nośnikach danych znajdowały się projekty orzeczeń, uzasadnień i zarządzeń w związku
z prowadzonymi sprawami z zakresu ubezpieczeń społecznych. Oznacza to, że wśród danych mogły znajdować się
między innymi też informacje o stanie zdrowia, dane dotyczące przebiegu zatrudnienia, informacji
o wynagrodzeniach. Sąd nie był w stanie wykazać dokładnego zakresu zaginionych danych.
Ustalając wysokość administracyjnej kary pieniężnej, Prezes UODO uwzględnił jako okoliczność łagodzącą, mającą
wpływ na obniżenie wysokości wymierzonej kary, dobrą współpracą Sądu z organem nadzorczym podjętą
i prowadzoną w celu usunięcia naruszenia oraz złagodzenia jego ewentualnych negatywnych skutków. Należy w tym
miejscu wskazać, że poza prawidłowym wywiązywaniem się z ciążących na Sądzie obowiązków procesowych
w trakcie postępowania administracyjnego, zakończonego wydaniem niniejszej decyzji, Sąd w pełnym zakresie
zrealizował zalecenia Prezesa UODO dotyczące uzupełnienia powiadomienia osób, których dane dotyczą,
o zaistniałym naruszeniu. Sąd podjął również konkretne i szybkie działania, których efektem było usunięcie
możliwości ponownego wystąpienia naruszenia. W szczególności Sąd usunął podatność na naruszenie ochrony
przetwarzanych danych osobowych, poprzez wprowadzenie ewidencjonowania i szyfrowania przenośnych pamięci,
zablokował porty USB uniemożliwiając korzystanie z prywatnych nośników danych, niezarejestrowanych przez Dział
IT.
Zgodnie z treścią art. 5 ust. 1 lit e RODO dane osobowe muszą być przechowywane w formie umożliwiającej
identyfikację osoby, której dane dotyczą, przez okres nie dłuższy, niż jest to niezbędne do celów, w których dane te
są przetwarzane; dane osobowe można przechowywać przez okres dłuższy, o ile będą one przetwarzane wyłącznie
do celów archiwalnych w interesie publicznym, do celów badań naukowych lub historycznych lub do celów
statystycznych na mocy art. 89 ust. 1 RODO, z zastrzeżeniem że wdrożone zostaną odpowiednie środki techniczne
i organizacyjne wymagane na mocy niniejszego rozporządzenia w celu ochrony praw i wolności osób, których dane
dotyczą („ograniczenie przechowywania”). Badanie bowiem niezbędności danych osobowych przetwarzanych przez
Sąd oraz ich retencji nie leży w kompetencji Prezesa UODO. W każdym postępowaniu to sąd sam określa poprzez
podejmowane decyzje, uchwały, zarządzenia przydatność dowodów zawierających m.in. dane osobowe poprzez ich
dopuszczenie lub niedopuszczenie, według swojej wiedzy, doświadczenia oraz przepisów prawa (właściwej
procedury – cywilnej, karnej, czy sądowoadministracyjnej). Przyjęcie odmiennego stanowiska prowadziłoby do
badania legalności przez Prezesa UODO procesów przetwarzania danych osobowych związanych bezpośrednio
z prowadzonymi postępowaniami sądowymi, co mogłoby doprowadzić do ingerencji tut. organu w sprawowanie
wymiaru sprawiedliwości przez sąd. Tym samym postępowanie, w ocenie Prezesa UODO, stało się w tym zakresie
bezprzedmiotowe i podlega umorzeniu.
Zdaniem Prezesa UODO nałożona na Sąd kara będzie skuteczna i doprowadzi do stanu, w którym Sąd będzie
stosował takie środki techniczne i organizacyjne, które zapewnią przetwarzanym danym stopień bezpieczeństwa
odpowiadający ryzyku naruszenia praw i wolności osób, których dane dotyczą oraz wadze zagrożeń towarzyszącym
procesom przetwarzania tych danych osobowych.

Komentarz
Sąd jako instytucja zaufania publicznego, ale i organ państwowy sprawujący wymiar sprawiedliwości, jest
zobligowany do stosowania wyższych standardów w szczególności w zakresie bezpieczeństwa przetwarzanych
danych.
Negatywnie należy ocenić fakt, że Sąd wprowadził wyłącznie zakaz używania prywatnych nośników pamięci, ale nie
przeprowadził testu pod kątem skuteczności tego zabezpieczenia, w tym nie sprawdził, czy rzeczywiście pracownicy
stosują się do tego zakazu.

Decyzja Prezesa UODO z 19.1.2023 r., DKN.5131.12.2020 r.,

Sąd Rejonowy Szczecin-Centrum został ukarany przez Prezesa UODO za zagubienie nośników danych osobowych, co stanowiło poważne naruszenie zasad RODO. Decyzja ta ma na celu skłonić Sąd do wprowadzenia odpowiednich środków zapewniających bezpieczeństwo danych osobowych.