1 miesiąc temu
Stan faktyczny
Do Urzędu Ochrony Danych Osobowych (dalej: UODO) wpłynęło wstępne zgłoszenie naruszenia ochrony danych osobowych złożone przez Sąd Rejonowy Szczecin-Centrum w Szczecinie (dalej: Sąd), polegającego na zagubieniu trzech nośników danych typu pendrive (jednego służbowego – szyfrowanego oraz dwóch nieszyfrowanych – prywatnych), zawierających dane osobowe nieustalonej liczby osób. Następnie wpłynęło zgłoszenie uzupełniające. Jak wskazał Sąd, na zagubionych nośnikach znajdowały się dane osobowe w zakresie imion i nazwisk, adresów zamieszkania lub pobytu, danych dotyczących zakładu pracy oraz danych dotyczących zdrowia, zawarte w projektach orzeczeń i uzasadnień sporządzanych w okresie od grudnia 2004 r. do sierpnia 2020 r.
Prezes Urzędu Ochrony Danych Osobowych (dalej: Prezes UODO), przeprowadził postępowanie wyjaśniające w sprawie zgłoszonego naruszenia, a następnie wszczął z urzędu postępowanie administracyjne w przedmiocie możliwości naruszenia przez Sąd, jako administratora danych (w związku z naruszeniem ochrony danych osobowych osób uczestniczących w postępowaniach sądowych) obowiązków wynikających z art. 5 ust. 1 lit. e i lit. f, art. 5 ust. 2, art. 24 ust. 1, art. 25 ust. 1 i 2 oraz art. 32 ust. 1 i 2 rozporządzenia Parlamentu Europejskiego i Rady UE 2016/679 z 27.4.2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (Dz.Urz. UE L z 2016 r. Nr 119, s. 1; dalej: RODO).
Z uzasadnienia decyzji Prezesa UODO
Na zaginionych nośnikach danych znajdowały się dane osobowe zawarte w projektach orzeczeń i uzasadnień przygotowanych w związku z prowadzonymi postępowaniami sądowymi, zatem uznać należy, iż administratorem tych danych stosownie do powszechnie obowiązujących przepisów jest Sąd.
Nadmienić należy, iż zgodnie z treścią art. 55 § 3 RODO, Prezes UODO nie jest adekwatny do nadzorowania operacji przetwarzania dokonywanych przez sądy w ramach sprawowania przez nie wymiaru sprawiedliwości. Do działalności sądów powszechnych poza działalnością związaną stricte ze sprawowaniem wymiaru sprawiedliwości i ochroną prawną, zaliczyć należy także działalność administracyjną, dzięki której sądy dysponują warunkami niezbędnymi do wykonywania ich ustawowych zadań (tj. sprawowanie wymiaru sprawiedliwości). Do zadań administracyjnych zaliczyć można m.in. zapewnienie warunków techniczno – organizacyjnych (tj. warunki lokalowe, sprzętowe, osobowe), czy też zapewnienie bezpieczeństwa. Z uwagi na to, iż przedmiotowe naruszenie stanowi naruszenie zasady poufności wyrażonej w art. 5 ust. 1 lit. f RODO, a spowodowane jest niewdrożeniem przez administratora skutecznych środków technicznych i organizacyjnych, zapewniających stopień bezpieczeństwa odpowiadający ryzyku przetwarzania danych osobowych, to Prezes UODO zachowuje pełnię swoich kompetencji w tej sprawie.
Na podstawie art. 58 ust. 2 lit. i RODO, każdemu organowi nadzorczemu przysługuje uprawnienie do zastosowania, oprócz lub zamiast innych środków naprawczych przewidzianych w art. 58 ust. 2 lit. a – h oraz lit. j RODO, administracyjnej kary pieniężnej na mocy art. 83 RODO, zależnie od okoliczności konkretnej sprawy.
Decydując o nałożeniu na Sąd administracyjnej kary pieniężnej, a także określając jej wysokość, Prezes UODO – stosownie do treści art. 83 ust. 2 lit. a – k RODO – wziął pod uwagę, i uznał za obciążające następujące okoliczności.
Stwierdzone w niniejszej sprawie naruszenie przepisów ochrony danych osobowych, którego skutkiem była możliwość uzyskania nieuprawnionego dostępu do przetwarzanych przez Sąd danych przez osobę bądź osoby nieuprawnione, a w konsekwencji możliwość pozyskania danych osobowych osób, wobec których były przygotowywane projekty orzeczeń i wyroków, ma znaczną wagę i poważny charakter. Naruszenie stwarza bowiem wysokie ryzyko negatywnych skutków prawnych dla nieustalonej, potencjalnie (biorąc pod uwagę, iż dokumenty znajdujące się na zagubionych prywatnych nośnikach danych pochodziły z lat 2004 – 2020) dużej liczby osób, do których danych dostęp mogła mieć osoba bądź osoby nieuprawnione.
Naruszenie przez Sąd obowiązków zastosowania środków zabezpieczających przetwarzane dane przed ich udostępnieniem osobom nieupoważnionym, pociąga za sobą nie tylko potencjalną, ale również realną możliwość wykorzystania tych danych przez podmioty trzecie bez wiedzy i wbrew woli osób, których dane dotyczą, niezgodnie z przepisami RODO, np. w celu nawiązania stosunków prawnych lub zaciągnięcia zobowiązań w imieniu osób, których dane pozyskano. Ponadto, do chwili wydania omawianej decyzji zaginione nośniki danych nie zostały odnalezione, więc w dalszym ciągu osoba lub osoby nieuprawnione mogą mieć dostęp do danych osobowych znajdujących się na tych nośnikach.
Podkreślić należy również długi czas trwania naruszenia przepisów RODO, bowiem przyjąć należy, iż naruszenie rozpoczęło się w dniu 25.5.2018 r., tj. w dniu rozpoczęcia stosowania RODO, a zakończyło w październiku 2020 r. (Administrator nie podał daty dziennej, w której miało miejsce zablokowanie portów USB).
Na zagubionych nośnikach danych znajdowały się projekty orzeczeń, uzasadnień i zarządzeń w związku z prowadzonymi sprawami z zakresu ubezpieczeń społecznych. Oznacza to, iż wśród danych mogły znajdować się między innymi też informacje o stanie zdrowia, dane dotyczące przebiegu zatrudnienia, informacji o wynagrodzeniach. Sąd nie był w stanie wykazać dokładnego zakresu zaginionych danych.
Ustalając wysokość administracyjnej kary pieniężnej, Prezes UODO uwzględnił jako okoliczność łagodzącą, mającą wpływ na obniżenie wysokości wymierzonej kary, dobrą współpracą Sądu z organem nadzorczym podjętą i prowadzoną w celu usunięcia naruszenia oraz złagodzenia jego ewentualnych negatywnych skutków. Należy w tym miejscu wskazać, iż poza prawidłowym wywiązywaniem się z ciążących na Sądzie obowiązków procesowych w trakcie postępowania administracyjnego, zakończonego wydaniem niniejszej decyzji, Sąd w pełnym zakresie zrealizował zalecenia Prezesa UODO dotyczące uzupełnienia powiadomienia osób, których dane dotyczą, o zaistniałym naruszeniu. Sąd podjął również konkretne i szybkie działania, których efektem było usunięcie możliwości ponownego wystąpienia naruszenia. W szczególności Sąd usunął podatność na naruszenie ochrony przetwarzanych danych osobowych, poprzez wprowadzenie ewidencjonowania i szyfrowania przenośnych pamięci, zablokował porty USB uniemożliwiając korzystanie z prywatnych nośników danych, niezarejestrowanych przez Dział IT.
Zgodnie z treścią art. 5 ust. 1 lit e RODO dane osobowe muszą być przechowywane w formie umożliwiającej identyfikację osoby, której dane dotyczą, przez okres nie dłuższy, niż jest to niezbędne do celów, w których dane te są przetwarzane; dane osobowe można przechowywać przez okres dłuższy, o ile będą one przetwarzane wyłącznie do celów archiwalnych w interesie publicznym, do celów badań naukowych lub historycznych lub do celów statystycznych na mocy art. 89 ust. 1 RODO, z zastrzeżeniem iż wdrożone zostaną odpowiednie środki techniczne i organizacyjne wymagane na mocy niniejszego rozporządzenia w celu ochrony praw i wolności osób, których dane dotyczą („ograniczenie przechowywania”). Badanie bowiem niezbędności danych osobowych przetwarzanych przez Sąd oraz ich retencji nie leży w kompetencji Prezesa UODO. W każdym postępowaniu to sąd sam określa poprzez podejmowane decyzje, uchwały, zarządzenia przydatność dowodów zawierających m.in. dane osobowe poprzez ich dopuszczenie lub niedopuszczenie, według swojej wiedzy, doświadczenia oraz przepisów prawa (właściwej procedury – cywilnej, karnej, czy sądowoadministracyjnej). Przyjęcie odmiennego stanowiska prowadziłoby do badania legalności przez Prezesa UODO procesów przetwarzania danych osobowych związanych bezpośrednio z prowadzonymi postępowaniami sądowymi, co mogłoby doprowadzić do ingerencji tut. organu w sprawowanie wymiaru sprawiedliwości przez sąd. Tym samym postępowanie, w ocenie Prezesa UODO, stało się w tym zakresie bezprzedmiotowe i podlega umorzeniu.
Zdaniem Prezesa UODO nałożona na Sąd kara będzie skuteczna i doprowadzi do stanu, w którym Sąd będzie stosował takie środki techniczne i organizacyjne, które zapewnią przetwarzanym danym stopień bezpieczeństwa odpowiadający ryzyku naruszenia praw i wolności osób, których dane dotyczą oraz wadze zagrożeń towarzyszącym procesom przetwarzania tych danych osobowych.
Komentarz
Sąd jako instytucja zaufania publicznego, ale i organ państwowy sprawujący wymiar sprawiedliwości, jest zobligowany do stosowania wyższych standardów w szczególności w zakresie bezpieczeństwa przetwarzanych danych.
Negatywnie należy ocenić fakt, iż Sąd wprowadził wyłącznie zakaz używania prywatnych nośników pamięci, ale nie przeprowadził testu pod kątem skuteczności tego zabezpieczenia, w tym nie sprawdził, czy rzeczywiście pracownicy stosują się do tego zakazu.
![Wygraj bilety na Rawa Blues Festival 2024! [konkurs]](https://kulturalnemedia.pl/wp-content/uploads/2023/10/41.-Rawa-Blues-Festival-100.jpg)
