Sama sprawa wyszła na jaw, gdy do Urzędu Ochrony Danych Osobowych zgłoszenie naruszenia ochrony danych osobowych złożył minister spraw zagranicznych. Dotyczyło ono doręczenia przez operatora pocztowego adresatowi uszkodzonej i niekompletnej przesyłki. Prezes UODO został poinformowany nie przez administratora danych, a przez MSZ, któremu adresat zgłosił nieprawidłowości w jej dostarczeniu.

Konsulat Generalny RP wysłał, na wniosek Sądu Okręgowego w Krakowie, w ramach pomocy prawnej, korespondencję zawierającą dane osobowe za pośrednictwem operatora pocztowego. Następnie ten sam konsulat zawiadomił Sąd Okręgowy w Krakowie, czyli administratora danych - jako nadawcę przesyłki, o doręczeniu adresatowi przez operatora pocztowego uszkodzonej i niekompletnej korespondencji. Sąd jednak, mimo że w przedmiotowej sprawie był administratorem przesyłanych danych, nie zgłosił prezesowi UODO naruszenia ochrony danych.

Czytaj: Nowe technologie nie mogą naruszać prawa ochrony danych osobowych >>

Dlaczego kara? Naruszono ochronę szczególnych kategorii danych

W ocenie UODO, w przedmiotowej sprawie doszło do naruszenia ochrony danych osobowych siedmiu osób, przy czym wobec czterech z nich powstało wysokie ryzyko naruszenia ich praw lub wolności z uwagi na zakres naruszonych danych osobowych. Naruszenie objęło numery PESEL, a także informacje o stanie zdrowia powódki oraz opinie psychologiczne dwójki dzieci.

- Informacje te powiązane z m.in. imionami i nazwiskami oraz kontekstem sprawy rozwodowej mogą powodować utratę kontroli nad danymi, zagrożenia związane z udostępnieniem numeru PESEL, ale również dyskryminację w środowisku tych osób czy naruszania ich dóbr osobistych. Podkreślić również należy łatwość identyfikacji osób, w oparciu o wskazane dane. Okoliczności tych nie wziął pod uwagę administrator przy analizowaniu zdarzenia, choćby wymuszonego wezwaniami przez prezesa UODO. Sąd ograniczył swoje działania do sprawdzenia w systemie operatora pocztowego, czy były naniesione adnotacje dot. doręczenia korespondencji - uzasadniono decyzję.

Dodano również, że administrator, podejmując decyzję o niezawiadomieniu o naruszeniu organu nadzorczego, jak i osób, których dane dotyczą, w praktyce pozbawił je przekazanej bez zbędnej zwłoki, rzetelnej informacji o naruszeniu ochrony danych osobowych i możliwości przeciwdziałania potencjalnym szkodom.

Sąd przerzuca piłeczkę

Ponadto prezes UODO wezwał sąd do wskazania, czy została przeprowadzona analiza ryzyka naruszenia praw lub wolności osób fizycznych niezbędna dla oceny, czy doszło do naruszenia ochrony danych skutkującego koniecznością zgłoszenia naruszenia organowi nadzorczemu oraz powiadomienia osób, których naruszenie dotyczy.

- Sąd wskazał jednak, że organem właściwym do wykonywania nadzoru nad przetwarzaniem danych osobowych przetwarzanych w postępowaniach sądowych w ramach sprawowania wymiaru sprawiedliwości albo realizacji zadań z zakresu ochrony prawnej, których administratorem są sądy w rozumieniu art. 174da i 175db ustawy Prawo o ustroju sądów powszechnych jest dla Sądu Okręgowego w Krakowie, prezes Sądu Apelacyjnego w Krakowie. Zdaniem UODO z uwagi na to, że doszło do naruszenia w związku z administracyjną częścią działalności sądu, powinno ono zostać zgłoszone w trybie przewidzianym w art. 33 ust. 1 RODO do prezesa UODO, jako właściwego organu nadzorczego. Nie bez znaczenia dla sprawy jest także okoliczność, że do kompetencji sądowych organów nadzorczych, o których mowa w art. 175 dd par. 1 ustawy Prawo o ustroju sądów powszechnych, nie należy przyjmowanie zgłoszeń naruszeń ochrony danych osobowych, czy też ich merytoryczna ocena - wskazano.

Problemów więcej

Postępowanie organu wykazało też inne nieprawidłowości związane z naruszeniem. - Inspektor ochrony danych sądu błędnie ocenił poziom ryzyka naruszenia praw lub wolności osób fizycznych. Wskazał bowiem, że fakt, iż dokumenty zostały sporządzone w języku polskim, a wysłane do Wielkiej Brytanii, nie powoduje powstania wysokiego ryzyka w tym zakresie. W ocenie prezesa UODO, fakt że dokumenty zawierające dane osobowe były sporządzone w języku polskim i wysłane do kraju, gdzie językiem urzędowym jest język angielski, nie obniża poziomu ryzyka. W dobie narzędzi pozwalających na szybkie tłumaczenie dokumentów, jak również z uwagi na fakt, iż w Wielkiej Brytanii spora część mieszkańców posługuje się językiem polskim, błędne jest założenie, że okoliczność ta pozwala na obniżenie poziomu ryzyka - dodano.

Za okoliczność obciążającą uznano też długi czas trwania naruszenia. - Od powzięcia przez administratora informacji o naruszeniu ochrony danych osobowych do dnia wydania niniejszej decyzji upłynęło 16 miesięcy, w trakcie których ryzyko naruszenia praw lub wolności czterech osób, w stosunku do których wystąpiło takie ryzyko na poziomie wysokim, mogło się zrealizować, a czemu osoby te nie mogłyby przeciwdziałać ze względu na niewywiązanie się przez administratora z obowiązku powiadomienia ich o naruszeniu - wskazuje UODO.

Prezes UODO nakazał też zawiadomienie o tym w terminie trzech dni od dnia otrzymania decyzji, czterech osób, których dane zawarte w dokumentach znajdujących się w uszkodzonej przesyłce pocztowej, były szczególnie narażone. Chodzi o wysokie ryzyko naruszenia praw i wolności powódki, pozwanego oraz dwójki ich dzieci.

Dane pracowników sądów też niewystarczająco chronione

Dariusz Kadulski, wiceprzewodniczący NSZZ "Solidarność" Pracowników Sądownictwa i Prokuratury przyznaje, że do Związku napływają zgłoszenia, ale dotyczące incydentów z danymi pracowników. - Zwykle wynikają - prawdopodobnie - z nieświadomości pracodawcy. Podobnie jest zresztą w prokuraturach. Chodzi zarówno o ujawnianie danych jak i np. próby ustalania przynależności związkowej. A przynależność związkowa, przypominam, jest szczególnie chroniona przez art. 9 ust. 1 RODO, podobnie jak dane o stanie zdrowia, światopoglądzie, orientacji seksualnej - mówi.

Jak dodaje, wydaje się, że po stronie pracodawców wciąż jest za mała świadomość, że są to dane tak szczególnie chronione. - Zajmujemy się też sprawą, w której pracodawca będący sądem zwrócił się do prezesa innego sądu o informacje, czy w tamtejszym sądzie były prowadzone jakiekolwiek postępowania sądowe dotyczące danego pracownika. Nie było ku temu żadnego uzasadnienia. Od tego jest Krajowy Rejestr Karny, a jeśli jest postępowanie, które uzasadnia zawieszenie, to ten kto je prowadzi powinien zawiadamiać pracodawcę o takim postępowaniu. Natomiast w momencie, gdy jeden prezes sądu zwraca się do drugiego o takie informacje bez podstawy prawnej, a ten prezes sądu przekazuje mu informacje o postępowaniach, które nie są postępowaniami niejawnymi, to jest to poważna sprawa - wskazuje. – Warto zadać sobie pytanie, czy pracodawca nie będący sądem, uzyskałby takie informacje - podsumowuje.

Naruszenia w sądach różne

UODO przyznane, że otrzymuje zgłoszenia naruszenia ochrony danych osobowych ze strony sądów. Czego dotyczą? Przykładowo:

• skierowanie korespondencji do niewłaściwego adresata (czasem z winy pracownika, czasem z winy błędnie ustalonych danych przez wierzyciela);
• zagubienie korespondencji przez operatora pocztowego;
• zagubienie nośnika danych (w tej sprawie zostało wszczęte postępowanie administracyjne DKN.5131.12.2020 – kara finansowa), w tej sprawie zostało wszczęte postępowanie administracyjne – kara finansowa);
• opublikowanie wyroku bez prawidłowej anonimizacji (imię, nazwisko, stan zdrowia, wysokości wynagrodzenia) w sprawie pracowniczej sędziego w stanie spoczynku - sprawa o mobbing;
• źle skonfigurowany system - naruszenie polegało na tym, że od końca 2020 r. wszyscy pracownicy Sądu, mający dostęp do portalu sądowego, mieli dostęp do bazy 2127 wyroków w sprawach karnych wydawanych w latach 2018-2019 (zakładka repozytorium karne) oraz do 27 aktów oskarżenia z lat 2012-2013 (zakładka Prokuratura). Pliki te były, w formacie pdf, możliwe do ściągnięcia przez pracownika. Dostęp został już zablokowany. Wszyscy pracownicy zobowiązani są do zachowania poufności. Do portalu sądowego mają dostęp sędziowie, referendarze, asesorzy, asystenci, pracownicy administracyjni (kadry, księgowość, obsługa administracyjna Sądu) informatycy. Pracownicy korzystali z portalu sądowego w bardzo ograniczonym zakresie — w zakresie poczty elektronicznej oraz uzyskania bieżących informacji o działalności Sądu. Administrator nie jest wstanie określić, który pracownik odczytywał dane w tej konkretnie zakładce. Możliwość uzyskania dostępu do wskazanych wyżej danych jest skutkiem przeniesienia tychże danych, znajdujących się uprzednio na serwerach Sądu, do systemu portalu sądowego Ministerstwa Sprawiedliwości;
• zagubienie przez kuratora społecznego laptopa prywatnego, na którym znajdowała się dokumentacja służbowa (w sprawie zostało wszczęte postępowanie adm.– jest w toku);
• wysłanie do osób nieuprawnionych za pomocą skrzynki wiadomości e-mail wraz z załącznikami;
• zagubienie przez kuratora sądowego dokumentacji papierowej;
• udostępnienie w Biuletynie Informacji Publicznej nieprawidłowo zanonimizowanego oświadczenia majątkowego;
• kradzież dokumentów służbowych z samochodu kuratora społecznego.