DKN.5131.12.2020
Na podstawie art. 104 § 1 i art. 105 § 1 ustawy z dnia 14 czerwca 1960 r. Kodeks postępowania administracyjnego (Dz. U. z 2022 r. poz. 2000, ze zm.), art. 7 ust. 1 i ust. 2, art. 60 i art. 102 ust. 1 pkt 1 i ust. 3 ustawy z dnia 10 maja 2018 r. o ochronie danych osobowych (Dz. U. z 2019 r. poz. 1781) oraz art. 57 ust. 1 lit. a) i h), art. 58 ust. 2 lit. i), art. 83 ust. 1 – 3, art. 83 ust. 4 lit. a) w związku z art. 24 ust. 1, art. 25 ust. 1 i 2 oraz art. 32 ust. 1 i 2, a także art. 83 ust. 5 lit. a) w związku z art. 5 ust. 1 lit. e) i f) i art. 5 ust. 2 rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) (Dz. Urz. UE L 119 z 4.05.2016, str. 1, Dz. Urz. UE L 127 z 23.05.2018, str. 2 oraz Dz. Urz. UE L 74 z 4.03.2021, str. 35), po przeprowadzeniu wszczętego z urzędu postępowania administracyjnego w sprawie naruszenia przepisów o ochronie danych osobowych przez Sąd Rejonowy Szczecin-Centrum w Szczecinie przy ul. Kaszubskiej 42, Prezes Urzędu Ochrony Danych Osobowych
1) stwierdzając naruszenie przez Sąd Rejonowy Szczecin-Centrum w Szczecinie przepisów art. 5 ust. 1 lit. f), art. 5 ust. 2, art. 24 ust. 1, art. 25 ust. 1 i 2 oraz art. 32 ust. 1 i 2 rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) (Dz. Urz. UE L 119 z 4.05.2016, str. 1, Dz. Urz. UE L 127 z 23.05.2018, str. 2 oraz Dz. Urz. UE L 74 z 4.03.2021, str. 35), zwanego dalej rozporządzeniem 2016/679, polegające na niewdrożeniu przez Sąd Rejonowy Szczecin-Centrum w Szczecinie odpowiednich środków technicznych i organizacyjnych zapewniających stopień bezpieczeństwa odpowiadający ryzyku przetwarzania danych przy użyciu przenośnych pamięci, które to środki zapobiegłyby utrwaleniu przez X Sądu Rejonowego Szczecin-Centrum w Szczecinie danych osobowych na dwóch prywatnych i niezabezpieczonych nośnikach danych i w konsekwencji pozwoliłyby uniknąć naruszenia ochrony danych osobowych, stanowiącego naruszenie poufności w wyniku zagubienia tych nośników, nakłada na Sąd Rejonowy Szczecin-Centrum z siedzibą w Szczecinie przy ul. Kaszubskiej 42, za naruszenie art. 5 ust. 1 lit. f), art. 5 ust. 2, art. 25 ust. 1 i 2 oraz art. 32 ust. 1 i 2 rozporządzenia 2016/679, administracyjną karę pieniężną w kwocie 30.000 PLN (słownie: trzydzieści tysięcy złotych i 00/100),
2) w pozostałym zakresie umarza postępowanie.
UZASADNIENIE
Do Urzędu Ochrony Danych Osobowych (…) września 2020 r. wpłynęło wstępne zgłoszenie naruszenia ochrony danych osobowych złożone przez Sąd Rejonowy Szczecin-Centrum w Szczecinie (dalej jako: Sąd lub Administrator), zarejestrowane pod sygnaturą DKN (…), polegającego na zagubieniu przez X trzech nośników danych typu pendrive (jednego służbowego - szyfrowanego oraz dwóch nieszyfrowanych - prywatnych), zawierających dane osobowe nieustalonej liczby osób. W dniu (…) września 2020 r. wpłynęło natomiast zgłoszenie uzupełniające. Jak wskazał Administrator, na zagubionych nośnikach znajdowały się dane osobowe w zakresie imion i nazwisk, adresów zamieszkania lub pobytu, danych dotyczących zakładu pracy oraz danych dotyczących zdrowia, zawarte w projektach orzeczeń i uzasadnień sporządzanych przez X w okresie od grudnia 2004 r. do sierpnia 2020 r.
Prezes Urzędu Ochrony Danych Osobowych, zwany dalej również Prezesem UODO, przeprowadził postępowanie wyjaśniające w sprawie zgłoszonego naruszenia (zarejestrowane pod sygn.: DKN (…)), a następnie wszczął z urzędu w dniu (…) grudnia 2020 r. postępowanie administracyjne (sygn.: DKN.5131.12.2020) w przedmiocie możliwości naruszenia przez Sąd, jako administratora danych, w związku z naruszeniem ochrony danych osobowych osób uczestniczących w postępowaniach sądowych, obowiązków wynikających z art. 5 ust. 1 lit. e) i lit. f), art. 5 ust. 2, art. 24 ust. 1, art. 25 ust. 1 i 2 oraz art. 32 ust. 1 i 2 rozporządzenia 2016/679.
Prezes UODO, w wyniku przeprowadzonego postępowania wyjaśniającego w sprawie zgłoszonego naruszenia ochrony danych osobowych oraz postępowania administracyjnego ustalił następujący stan faktyczny.
1. Zagubione nośniki danych (jeden służbowy szyfrowany, dwa prywatne nieszyfrowane) zawierały projekty orzeczeń, uzasadnień i zarządzeń, które zawierały dane osobowe w zakresie imion, nazwisk, adresów zamieszkania lub pobytu, informacji o stanie zdrowia, informacji dotyczących zakładów pracy oraz przedmiotów postępowań prowadzonych przez X w okresie jego zatrudnienia w Sądzie, tj. od grudnia 2004 r. do sierpnia 2020 r. Administrator nie był wstanie określić ilości danych, czy też personaliów osób zawartych na zaginionych nośnikach, z uwagi na to, że sprawca naruszenia nie był w stanie takiej informacji udzielić (por. oświadczenie sprawcy naruszenia z (…) września 2020 r., treść zgłoszenia).
2. Prezes UODO odebrał wyjaśnienia od Sądu (pisma z (…) października 2020 r., (…) stycznia 2021 r. oraz (…) maja 2021 r.), z których wynika, że Sąd:
1) określił zasady przetwarzania danych osobowych przy użyciu pamięci przenośnych pendrive, powołując się jednocześnie na pkt (…) Polityki (…) Sądu Rejonowego Szczecin-Centrum w Szczecinie. Cyt.: „w celu ochrony poufności przesyłanych oraz przechowywanych danych stosuje się zabezpieczenia kryptograficzne (…)
2) w ramach podjętych kroków, mających zapewnić skuteczność wprowadzonych rozwiązań, sukcesywnie wyposaża pracowników w służbowe nośniki danych typu pendrive, na których zastosowano szyfrowanie sprzętowe;
3) na liście autoryzowanych nośników danych przez Dział IT Sądu znajdują się następujące informacje: numer wydziału, imię i nazwisko, nazwa i model urządzenia, data, pieczęć i podpis odbierającego;
4) po wystąpieniu naruszenia administrator przeprowadził inwentaryzację służbowych nośników (do dnia (…) października 2020 r.) oraz blokuje porty USB od października 2020 r. poprzez zakupione w grudniu 2019 r. oprogramowanie N , dzięki czemu brak jest możliwości podłączenia innych nośników niż nośniki autoryzowane przez Dział IT Sądu (por. § (…) Zarządzenia Prezesa Sądu Rejonowego Szczecin-Centrum w Szczecinie z (…) września 2020 r. nr (…)/2020);
5) korzystanie z prywatnych nośników pamięci było zabronione (Administrator powołał się jednocześnie na treść § (…) Regulaminu (…), cyt.: „[z]abrania się użytkownikom: omijania mechanizmów kontroli (np. używania serwerów proXy), b) testowania wdrożonych zabezpieczeń, c) skanowania urządzeń sieciowych, serwerów oraz stacji roboczych pod kątem badania świadczonych usług, d) wyłączania programów uruchamianych automatycznie przy starcie systemu, e) odinstalowywania programów, f) przyłączania i użytkowania prywatnego sprzętu, w tym używania prywatnych nośników danych, g) podejmowania jakichkolwiek prób ingerencji w sprzęt komputerowy, poza czynnościami związanymi z codzienną eksploatacją”).
3. Z przedłożonej przez Sąd analizy ryzyka, przeprowadzonej (…) grudnia 2019 r., wynika, że administrator danych przewidział zagrożenie utraty poufności danych poprzez „dostęp do danych przez osoby nieupoważnione ze względu na: przechowywanie na niezabezpieczonych nośnikach wymiennych, przechowywanie danych/zdjęć na prywatnych urządzeniach”przez osoby nieupoważnione. Pierwotne ryzyko zostało ocenione na poziomie średnim, o wartości „6”. Jako wniosek z dokonanej analizy ryzyka zostało wskazane, że pomimo iż ryzyko wypada na poziomie średnim, to z uwagi na zastosowane zabezpieczenia przez administratora spada ono do poziomu akceptowalnego. Podkreślono jednak, że „w celu jego zminimalizowania można wprowadzić blokadę używania nośników zewnętrznych lub obowiązek stosowania tylko szyfrowanych nośników danych”.
4. W piśmie z (…) stycznia 2021 r. Sąd wskazał, że przed wystąpieniem naruszenia, oprócz analizy ryzyka bezpieczeństwa, która została przeprowadzona w 2019 r., podejmował także działania w zakresie weryfikacji zastosowanych środków technicznych i organizacyjnych w latach 2018 – 2020 oraz dokonywał regularnego testowania, mierzenia i oceniania skuteczności środków technicznych i organizacyjnych, mających zapewnić bezpieczeństwo przetwarzanych danych osobowych poprzez:
a) audyt zewnętrzny bezpieczeństwa informacji oraz ochrony danych w sądach powszechnych w kontekście wymagań KRI (tj. Krajowe Ramy Interoperacyjności), ISO 27001 i ochrony danych osobowych przeprowadzony przez „C Sp. z o.o.” w dniu (…) września 2018 r. Ocenie podlegało m.in. zarządzanie aktywami, w tym nośnikami wymiennymi, szyfrowanie i kryptografia. W ramach ustaleń audytu stwierdzono cyt.: „brak jednoznacznych, sformalizowanych zasad obsługi i nadzorowania i stosowania nośników wymiennych (np. pendrive). Brak formalnych procedur stosowania zabezpieczeń kryptograficznych i szyfrowania urządzeń mobilnych, nośników wymiennych i załączników poczty elektronicznej” oraz zalecono cyt.: „aktualizację Systemu Zarządzania Bezpieczeństwem Informacji poprzez aktualizację istniejących wymagań w dokumentacji wg. ISO 27001”,
b) audyt zewnętrzny, przeprowadzony w dniach (…) maja i (…) lipca 2020 r. przez „C Sp. z o.o.” w zakresie analizy Systemu Zarządzania Bezpieczeństwem Informacji zgodnie z KRI. W ramach ustaleń audytu stwierdzono, iż cyt.: „[n]ie jest wykorzystywany mechanizm kontroli nad nośnikami przenośnymi w postaci blokady portów USB w komputerach” oraz zalecono cyt.: „wprowadzić mechanizm kontroli nad nośnikami przenośnymi (np. poprzez blokowanie portów USB lub wprowadzenie tak zwanej białej listy urządzeń)”;
c) audyt pod nazwą „Ocena (…)" przez Sąd Rejonowy Szczecin-Centrum w Szczecinie, przeprowadzony przez audytora wewnętrznego w dniach (…) czerwca – (…) września 2020 r. Audytor oceniał obszar „Funkcjonowanie innych dobrych praktyk w zakresie cyberbezpieczeństwa”. W wyniku przeprowadzonego audytu ustalono, że cyt.: „(…) [w] jednostce istnieje formalny zakaz używania pendrive’ów prywatnych, wymuszone jest skanowanie nośnika przed otwarciem jego zawartości, wyłączony jest autorun. Jednakże w jednostce nie są poblokowane stacje robocze pod kątem możliwości używania prywatnych (niezarejestrowanych) nośników zewnętrznych, ma to nastąpić w najbliższym czasie” oraz zalecono cyt.: „zablokować stacje robocze służbowych komputerów stacjonarnych i laptopów pod kątem możliwości podłączenia do nich prywatnych pendrive’ów”.
5. Administrator danych w składanych wyjaśnieniach (pismo z (…) stycznia 2021 r.) oświadczył także, że:
1) okres przechowywania danych osobowych, których dotyczy przedmiotowe naruszenie, jest uregulowany w § 19-21 rozporządzenia Ministra Sprawiedliwości z 5 marca 2004 r. w sprawie przechowywania akt sądowych oraz ich przekazywania do archiwów państwowych lub do ich zniszczenia (Dz. U. z 2014 r. poz. 991, ze zm.);
2) zgodnie z zaleceniami Inspektora ochrony danych oraz audytora wewnętrznego, w październiku 2020 r. wprowadzono zabezpieczenia w postaci blokady używania nośników zewnętrznych innych niż wydane przez Dział IT oraz są stosowane tylko szyfrowane nośniki danych autoryzowane przez Dział IT.
6. Administrator, pismem z (…) października 2022 r., poinformował organ, że:
1) pracownikom (w tym X) zostały wydane zaszyfrowane nośniki pamięci przenośnych, (X , który dopuścił się naruszenia zaszyfrowany nośnik otrzymał (…) września 2019 r.), a Oddział IT Sądu prowadzi ich ewidencję;
2) Oddział IT Sądu regularnie (co najmniej raz na pół roku) przypomina pracownikom o konieczności przyniesienia wydanego sprzętu służbowego celem instalacji aktualizacji oprogramowania oraz celem przeprowadzenia przeglądu i inwentaryzacji sprzętu,
3) prowadzone są przez administratora audyty w pomieszczeniach po godzinach pracy Sądu – taki audyt ma na celu sprawdzenie, czy pracownik poprawnie zabezpiecza przetwarzane informacje oraz powierzone aktywa (przykładowe oświadczenie pracownika z (…).11.2020 r. o jego zapoznaniu się z wynikami przeprowadzonego audytu znajduje się w aktach sprawy). Jak wyjaśnił administrator, takie audyty mają na celu sprawdzenie, czy pracownik poprawnie zabezpiecza przetwarzane informacje oraz powierzone aktywa (od pracowników odbierane są oświadczenia o zapoznaniu się z wynikami takich sprawdzeń).
7. X , który dopuścił się naruszenia, został przeszkolony z zakresu ochrony danych osobowych oraz bezpieczeństwa informacji - kopie przykładowych certyfikatów z przeprowadzonych szkoleń z (…).11.2020 r., (…).11.2020, (…).12.2021 r. oraz (…).03.2021 r. znajdują się w aktach sprawy.
8. W aktach sprawy znajdują się kopie oświadczeń X , m.in. o:
1) zobowiązaniu do przestrzegania zasad bezpiecznej pracy zdalnej podczas wykonywania obowiązków służbowych z (…) marca 2020 r. i (…) kwietnia 2020 r., m.in.:
a) do wykonywania pracy zdalnej na przekazanym sprzęcie, który jest zaszyfrowany oraz na którym zainstalowany jest system antywirusowy,
b) do łączenia się z VPN przed zalogowaniem się do systemów Sądu,
c) nieprzesyłania danych na prywatne nośniki danych;
2) zapoznaniu się z dokumentami w zakresie bezpieczeństwa informacji w Sądzie z (…) października 2020 r. oraz z (…) września 2022 r.;
3) zobowiązaniu się do zachowania w tajemnicy danych osobowych, do których miał X dostęp w związku z wykonywanymi obowiązkami służbowymi - z (…) maja 2009 r.;
4) kopia aneksu do zakresu obowiązków pracownika nr (…) z 2009 r.
9. W aktach sprawy znajduje się kopia:
a) Polityki (…) Sądu Rejonowego Szczecin-Centrum w Szczecinie z (…) stycznia 2013 r. (aktualizowanej m.in. (…) stycznia 2019 r. oraz (…) stycznia 2020 r.; przed wystąpieniem naruszenia), w której zapisano, że:
- w celu zachowania poufności przesyłanych oraz przetwarzanych stosuje się zabezpieczenia kryptograficzne, (…);
b) Polityki (…) Sądu Rejonowego Szczecin-Centrum w Szczecinie z (…) września 2020 r. (po wystąpieniu naruszenia), w której zapisano, że:
- w celu ochrony poufności przesyłanych oraz przechowywanych danych stosuje się zabezpieczenia kryptograficzne, (…).
- w przypadku pracy zdalnej należy ją wykonywać wyłącznie na przekazanym sprzęcie służbowym (…);
c) Regulaminu (…) Sądu Rejonowego Szczecin-Centrum w Szczecinie z (…) stycznia 2019 r. (modyfikowany m.in. (…) stycznia 2019 r. oraz (…) stycznia 2020 r.; przed wystąpieniem naruszenia) – zgodnie z § (…) zabrania się użytkownikom przyłączania i użytkowania prywatnego sprzętu, w tym używania prywatnych nośników danych;
d) Regulaminu (…) Sądu Rejonowego Szczecin-Centrum w Szczecinie z (…) września 2020 r., z którego wynika, że w Sądzie zabrania się użytkowania prywatnego sprzętu, w tym używania prywatnych nośników danych (…);
e) Regulaminu (…) Sądu Rejonowego Szczecin-Centrum w Szczecinie z (…) września 2020 r. (modyfikowany (…) sierpnia 2021 r.), z którego wynika, że „[w] Sądzie obowiązuje zakaz użytkowania prywatnych elektronicznych nośników informacji typu pendrive. Osoby uprawnione otrzymały służbowe, zaszyfrowane pendrive’y” (…).
10. Pismem z (…) października 2020 r., Sąd poinformował organ o opublikowaniu w dniu (…) października 2020 r. komunikatu publicznego pod adresem https://szczecin-centrum.sr.gov.pl, stanowiącego realizację obowiązku wynikającego z art. 34 rozporządzenia 2016/679 (załączając jednocześnie jego treść).
Po rozpatrzeniu całości materiału dowodowego zebranego w sprawie Prezes Urzędu Ochrony Danych Osobowych zważył, co następuje.
W przedmiotowym postępowaniu Prezes UODO dokonał oceny, czy administrator danych przetwarzając dane osobowe realizuje w sposób prawidłowy obowiązki wynikające z przepisów rozporządzenia 2016/679, tj. art. 5 ust. 1 lit. e) i lit. f), art. 5 ust. 2, art. 24 ust. 1, art. 25 ust. 1 i ust. 2 oraz art. 32 ust. 1 i ust. 2, w związku z naruszeniem ochrony danych osobowych zgłoszonym organowi nadzorczemu. Prezes UODO ocenił w przedmiotowym postępowaniu zastosowane przez administratora danych środki bezpieczeństwa oraz ich skuteczność.
Zgłoszone przez administratora naruszenie ochrony danych osobowych polegało na zaginięciu z pomieszczania, w którym X wykonywał pracę, saszetki zawierającej trzy nośniki danych, jeden szyfrowany i dwa nieszyfrowane. Pomimo przeprowadzonych w Sądzie poszukiwań nie odnaleziono nośników danych. Zawartość zagubionych nośników zawierała dane osobowe pochodzące z prowadzonych przez X spraw sądowych w latach 2004 – 2020 i wskazywała na możliwość wieloletniego korzystania z prywatnych nośników (niezabezpieczonych i niezweryfikowanych przez Dział IT Sądu) na służbowym sprzęcie komputerowym przez X . Jak wykazało postępowanie, administrator nie zastosował adekwatnych środków technicznych i organizacyjnych, które uniemożliwiłyby powstanie przedmiotowego naruszenia, pomimo otrzymywanych zaleceń, pochodzących z trzech różnych audytów (pierwszy – (…) września 2018 r., drugi – (…) i (…) lipca 2020 r. oraz trzeci – (…) czerwca – (…) września 2020 r.). Administrator zablokował wejścia USB w komputerach służbowych dopiero w październiku 2020 r., uniemożliwiając tym samym korzystanie na służbowym sprzęcie z nieautoryzowanych przez Dział IT Sądu nośników danych.
Z uwagi na to, że na zaginionych nośnikach danych znajdowały się dane osobowe zawarte w projektach orzeczeń i uzasadnień przygotowanych przez X w związku z prowadzonymi przez niego postępowaniami sądowymi, uznać należy, iż administratorem tych danych stosownie do art. 175db ustawy z 27 lipca 2001 r. Prawo o ustroju sądów powszechnych (Dz. U. z 2020 r. poz. 2072), zwanej dalej Pusp, jest Sąd. Zgodnie z treścią art. 175dd § 1 Pusp, nadzór nad przetwarzaniem danych osobowych, których administratorami są sądy, zgodnie z art. 175 da i art. 175 db, wykonują w zakresie działalności sądu: 1) rejonowego – prezes sądu okręgowego, 2) okręgowego – prezes sądu apelacyjnego, 3) apelacyjnego – Krajowa Rada Sądownictwa. Kompetencje tych organów ustawodawca przewidział w art. 175dd § 2 Pusp. Zgodnie zaś z treścią art. 55 § 3 rozporządzenia 2016/679, Prezes UODO nie jest właściwy do nadzorowania operacji przetwarzania dokonywanych przez sądy w ramach sprawowania przez nie wymiaru sprawiedliwości. Podkreślenia jednak wymaga, że do działalności sądów powszechnych poza działalnością związaną stricte ze sprawowaniem wymiaru sprawiedliwości i ochroną prawną, zaliczyć należy także działalność administracyjną (art. 8 Pusp), dzięki której sądy dysponują warunkami niezbędnymi do wykonywania ich ustawowych zadań (tj. sprawowanie wymiaru sprawiedliwości). Do zadań administracyjnych zaliczyć można m.in. zapewnienie warunków techniczno – organizacyjnych (tj. warunki lokalowe, sprzętowe, osobowe), czy też zapewnienie bezpieczeństwa. Zatem do sprawowania nadzoru nad tą sferą działalności sądów nie są właściwe organy, o których mowa w art. 175dd § 1 Pusp, lecz Prezes UODO. Z uwagi na to, iż przedmiotowe naruszenie stanowi naruszenie zasady poufności wyrażonej w art. 5 ust. 1 lit. f) rozporządzenia 2016/679, a spowodowane jest niewdrożeniem przez administratora skutecznych środków technicznych i organizacyjnych, zapewniających stopień bezpieczeństwa odpowiadający ryzyku przetwarzania danych osobowych, to Prezes UODO zachowuje pełnię swoich kompetencji w tej sprawie.
Administrator danych, podejmując operacje na danych osobowych ma obowiązek zadbać, aby odbywało się to z poszanowaniem zasad dotyczących ochrony danych osobowych, zapewniając ich bezpieczeństwo.
Art. 5 rozporządzenia 2016/679 wskazuje zasady dotyczące przetwarzania danych osobowych, które muszą być respektowane przez wszystkich administratorów, tj. podmioty wskazane prawem Unii lub prawem państwa członkowskiego oraz podmioty które samodzielnie lub wspólnie z innymi ustalają cele i sposoby przetwarzania danych osobowych. Zgodnie z art. 5 ust. 1 lit. f) rozporządzenia 2016/679, dane osobowe muszą być przetwarzane w sposób zapewniający odpowiednie bezpieczeństwo danych osobowych, w tym ochronę przed niedozwolonym lub niezgodnym z prawem przetwarzaniem oraz przypadkową utratą, zniszczeniem lub uszkodzeniem, za pomocą odpowiednich środków technicznych lub organizacyjnych („integralność i poufność”).
Zgodnie z treścią art. 24 ust. 1 rozporządzenia 2016/679, uwzględniając charakter, zakres, kontekst i cele przetwarzania oraz ryzyko naruszenia praw lub wolności osób fizycznych o różnym prawdopodobieństwie i wadze, administrator wdraża odpowiednie środki techniczne i organizacyjne, aby przetwarzanie odbywało się zgodnie z niniejszym rozporządzeniem i aby móc to wykazać. Środki te są w razie potrzeby poddawane przeglądom i uaktualniane. Przepis ten określa podstawowe obowiązki administratora, który jest odpowiedzialny za wdrożenie odpowiednich środków technicznych i organizacyjnych, zapewniających zgodność przetwarzania z wymogami rozporządzenia 2016/679. Chodzi tu w szczególności o realizację zasad wskazanych w art. 5 ust. 1 rozporządzenia 2016/679 i możliwość wykazania ich realizacji, stosownie do art. 5 ust. 2 rozporządzenia 2016/679.
Zgodnie natomiast z art. 25 ust. 1 rozporządzenia 2016/679, uwzględniając stan wiedzy technicznej, koszt wdrażania oraz charakter, zakres, kontekst i cele przetwarzania oraz ryzyko naruszenia praw lub wolności osób fizycznych o różnym prawdopodobieństwie wystąpienia i wadze zagrożenia wynikające z przetwarzania, administrator zarówno przy określaniu sposobów przetwarzania, jak i w czasie samego przetwarzania - wdraża odpowiednie środki techniczne i organizacyjne, takie jak pseudonimizacja, zaprojektowane w celu skutecznej realizacji zasad ochrony danych, takich jak minimalizacja danych, oraz w celu nadania przetwarzaniu niezbędnych zabezpieczeń, tak by spełnić wymogi rozporządzenia oraz chronić prawa osób, których dane dotyczą (uwzględnianie ochrony danych w fazie projektowania). Zgodnie natomiast z art. 25 ust. 2 rozporządzenia 2016/679, administrator wdraża odpowiednie środki techniczne i organizacyjne, aby domyślnie przetwarzane były wyłącznie te dane osobowe, które są niezbędne dla osiągnięcia każdego konkretnego celu przetwarzania. Obowiązek ten odnosi się do ilości zbieranych danych osobowych, zakresu ich przetwarzania, okresu ich przechowywania oraz ich dostępności. W szczególności środki te zapewniają, by domyślnie dane osobowe nie były udostępniane bez interwencji danej osoby nieokreślonej liczbie osób fizycznych.
Stosownie do art. 32 ust. 1 rozporządzenia 2016/679, uwzględniając stan wiedzy technicznej, koszt wdrażania oraz charakter, zakres, kontekst i cele przetwarzania oraz ryzyko naruszenia praw lub wolności osób fizycznych o różnym prawdopodobieństwie wystąpienia i wadze, administrator i podmiot przetwarzający wdrażają odpowiednie środki techniczne i organizacyjne, aby zapewnić stopień bezpieczeństwa odpowiadający temu ryzyku, w tym między innymi w stosownym przypadku zdolność do ciągłego zapewnienia poufności, integralności, dostępności i odporności systemów i usług przetwarzania (lit. b) oraz regularne testowanie, mierzenie i ocenianie skuteczności środków technicznych i organizacyjnych mających zapewnić bezpieczeństwo przetwarzania (lit. d).
W myśl art. 32 ust. 2 rozporządzenia 2016/679, administrator oceniając, czy stopień bezpieczeństwa jest odpowiedni, uwzględnia w szczególności ryzyko wiążące się z przetwarzaniem, w szczególności wynikające z przypadkowego lub niezgodnego z prawem zniszczenia, utraty, modyfikacji, nieuprawnionego ujawnienia lub nieuprawnionego dostępu do danych osobowych przesyłanych, przechowywanych lub w inny sposób przetwarzanych.
Przepisy art. 25 ust. 1 oraz art. 32 ust. 1 i 2 rozporządzenia 2016/679, wraz z art. 24 ust. 1 ww. rozporządzenia, stanowią więc konkretyzację wskazanej w art. 5 ust. 1 lit. f) rozporządzenia 2016/679 zasady integralności i poufności, a więc bezpieczeństwa danych.
Poufność danych to właściwość zapewniająca w szczególności, że dane nie zostaną udostępnione nieuprawnionym podmiotom, uzyskiwana między innymi dzięki zastosowaniu środków technicznych i organizacyjnych, adekwatnych do zakresu danych, kontekstu przetwarzania oraz zidentyfikowanych ryzyk. Wskazana zasada, jak wynika z ustalonego stanu faktycznego, została naruszona przez Administratora poprzez dopuszczenie do sytuacji, w której możliwe było użytkowanie prywatnych nośników danych, nieszyfrowanych, co w następstwie zagubienia tych nośników przez X skutkowało umożliwieniem osobom nieuprawnionym dostępu do danych osobowych przetwarzanych na tych nośnikach. Jak bowiem ustalono, zabezpieczeniem zastosowanym przez Sąd była procedura, która nie dopuszczała możliwości użytkowania prywatnych nośników danych oraz wydanie X służbowego szyfrowanego nośnika danych. Jednakże wdrożenie przez Administratora tych zabezpieczeń, jak pokazuje przedmiotowa sprawa, nie zapobiegło wystąpieniu naruszenia ochrony danych osobowych, a więc nie było skuteczne.
Podkreślenia wymaga, że „[r]ozporządzenie 2016/679 wprowadziło podejście, w którym zarządzanie ryzykiem jest fundamentem działań związanych z ochroną danych osobowych i ma charakter ciągłego procesu. Podmioty przetwarzające dane osobowe zobligowane są nie tylko do zapewnienia zgodności z wytycznymi ww. rozporządzenia poprzez jednorazowe wdrożenie organizacyjnych i technicznych środków bezpieczeństwa, ale również do zapewnienia ciągłości monitorowania poziomu zagrożeń oraz zapewnienia rozliczalności w zakresie poziomu oraz adekwatności wprowadzonych zabezpieczeń. Oznacza to, że koniecznością staje się możliwość udowodnienia przed organem nadzorczym, że wprowadzone rozwiązania, mające na celu zapewnienie bezpieczeństwa danych osobowych, są adekwatne do poziomu ryzyka, jak również uwzględniają charakter danej organizacji oraz wykorzystywanych mechanizmów przetwarzania danych osobowych. Administrator samodzielnie ma przeprowadzić szczegółową analizę prowadzonych procesów przetwarzania danych i dokonać oceny ryzyka, a następnie zastosować takie środki i procedury, które będą adekwatne do oszacowanego ryzyka. Konsekwencją takiej orientacji jest rezygnacja z list wymagań, w zakresie bezpieczeństwa narzuconych przez prawodawcę, na rzecz samodzielnego doboru zabezpieczeń w oparciu o analizę zagrożeń. Administratorom nie wskazuje się konkretnych środków i procedur w zakresie bezpieczeństwa. Administrator samodzielnie ma przeprowadzić szczegółową analizę prowadzonych procesów przetwarzania danych i dokonać oceny ryzyka, a następnie zastosować takie środki i procedury, które będą adekwatne do oszacowanego ryzyka.” [wyrok Wojewódzkiego Sądu Administracyjnego w Warszawie z 3 września 2020 r. o sygnaturze II SA/Wa 2559/19].W kontekście przywołanego wyroku wskazać należy, że analiza ryzyka przeprowadzana przez administratora danych osobowych powinna zostać udokumentowana oraz uzasadniona na podstawie przede wszystkim określnego stanu faktycznego, istniejącego w momencie jej przeprowadzania. Należy wziąć pod uwagę w szczególności charakterystykę zachodzących procesów, aktywa, podatności, zagrożenia oraz istniejące zabezpieczenia, w ramach zachodzących procesów przetwarzania danych osobowych. Nie można również w trakcie tego procesu pominąć zakresu oraz charakteru danych osobowych przetwarzanych w toku czynności realizowanych przez administratora danych, albowiem w zależności właśnie od zakresu oraz charakteru ujawnionych danych zależeć będą potencjalne negatywne skutki dla osoby fizycznej w przypadku wystąpienia naruszenia ochrony jej danych osobowych. Określenie aktywa używane jest dla wskazania wszystkiego, co stanowi wartość dla administratora danych. Pewne aktywa stanowić będą wartość wyższą od innych, i również z tej perspektywy winny być oceniane i zabezpieczane. Bardzo istotne są również wzajemne powiązania występujących aktywów, np. poufność aktywów (danych osobowych) zależna będzie od rodzaju i sposobu przetwarzania tych danych. Ustalenie wartości aktywów jest konieczne do oszacowania skutków ewentualnego incydentu (naruszenia ochrony danych osobowych). Określenie istniejących lub stosowanych zabezpieczeń jest konieczne, między innymi w tym celu, aby ich nie powielać. Należy również bezwzględnie sprawdzić skuteczność funkcjonowania tych zabezpieczeń, ponieważ istnienie zabezpieczenia niesprawdzonego po pierwsze może wyeliminować jego wartość, po drugie zaś może dać fałszywe poczucie bezpieczeństwa oraz może skutkować pominięciem (niewykryciem) krytycznej podatności, która wykorzystana spowoduje bardzo negatywne skutki, w tym w szczególności może doprowadzić do naruszenia ochrony danych osobowych. Podatność jest określana powszechnie jako słabość bądź luka w zabezpieczeniach, która wykorzystana przez dane zagrożenie może zakłócać funkcjonowanie, a także może prowadzić do incydentów bądź naruszeń ochrony danych osobowych. Identyfikowanie zagrożeń polega na określaniu, jakie zagrożenia i z jakiego kierunku (powodu) mogą się pojawić. Aby analiza ryzyka została przeprowadzona w sposób właściwy, winny być zdefiniowane dla każdego z aktywów zagrożenia, mogące wystąpić w procesach przetwarzania danych.
Zarządzanie ryzykiem (przeprowadzenie analizy ryzyka i na tej podstawie określenie oraz wdrożenie odpowiednich zabezpieczeń), jest jednym z podstawowych elementów systemu ochrony danych osobowych, i jak wskazuje również powyżej przytoczony wyrok, ma charakter ciągłego procesu. Winna więc następować okresowa weryfikacja zarówno adekwatności, jak i skuteczności zastosowanych zabezpieczeń.
Z przedłożonej przez Sąd analizy ryzyka, przeprowadzonej (…) grudnia 2019 r. (przed powstaniem naruszenia) wynika, że administrator danych przewidział zagrożenie utraty poufności poprzez „dostęp do danych przez osoby nieupoważnione ze względu na: przechowywanie na niezabezpieczonych nośnikach wymiennych, przechowywanie danych/zdjęć na prywatnych urządzeniach”. Pierwotne ryzyko zostało ocenione na poziomie średnim, o wartości „6”. Jako wniosek z dokonanej analizy ryzyka zostało wskazane, że pomimo ustalenia poziomu ryzyka na poziomie średnim, to z uwagi na zastosowane zabezpieczenia przez Administratora spada ono do poziomu akceptowalnego. Podkreślono jednak, że „w celu jego zminimalizowania można wprowadzić blokadę używania nośników zewnętrznych lub obowiązek stosowania tylko szyfrowanych nośników danych”.
W ocenie Prezesa UODO, Administrator w przeprowadzonej analizie ryzyka nie przewidział jednak zagrożenia utraty poufności danych ze względu na ich przechowywanie na niezabezpieczonych lub prywatnych nośnikach pamięci, którego źródłem byłby sam pracownik sądu (w tym X). W tym przypadku nie można bowiem uznać, iż X był osobą nieupoważnioną do przetwarzania danych, którymi dysponował na zagubionych nośnikach danych. Nie ulega jednak wątpliwości, że realizacja wniosków z przeprowadzonej analizy poprzez wprowadzenie blokady używania nośników zewnętrznych zminimalizowałaby również ryzyko korzystania z takich urządzeń przez X .
Wnioskiem z przeprowadzonej analizy była sugestia wprowadzenia blokady użytkowania prywatnych nośników pamięci lub obowiązek stosowania szyfrowanych nośników danych. Niezależnie od źródła osobowego takiego zagrożenia Administrator, jak się okazuje w związku z wystąpieniem naruszenia ochrony danych osobowych, nie wdrożył blokady portów USB celem całkowitego uniemożliwienia korzystania z prywatnych nośników danych, ani nie zablokował możliwości użytkowania niezaewidencjonowanych przez Dział IT Sądu nośników pamięci, poprzestając jedynie na wprowadzeniu formalnego zakazu użytkowania „prywatnych nośników”. Taki zakaz wynikał z § (…) Regulaminu (…).
Należy także podkreślić, że Administrator już od grudnia 2019 r. dysponował programem umożliwiającym blokowanie portów USB, tj. programem o nazwie N . Taka blokada została wprowadzona w Sądzie jednak dopiero w październiku 2020 r., właśnie za pomocą programu N (umożliwiającego Działowi IT kontrolowanie nośników zewnętrznych oraz blokowanie stacji roboczych przed podłączeniem nieautoryzowanego sprzętu). Działanie wynikające z przeprowadzonej analizy ryzyka, mające na celu zminimalizowanie ryzyka zrealizowania się zidentyfikowanego zagrożenia związanego z możliwością użycia do przetwarzania danych osobowych prywatnego nośnika pamięci, zostało zatem podjęte po około 11 miesiącach od momentu zakupu ww. programu i przeprowadzenia analizy ryzyka (a dwa miesiące po zmaterializowaniu się zagrożenia). Podkreślenia również wymaga, iż po każdym z przeprowadzonych w Sądzie audytów, osoby je przeprowadzające identyfikowały ww. podatność i artykułowały zalecenia zablokowania portów USB dla zwiększenia bezpieczeństwa danych, w celu uniemożliwienia korzystania w Sądzie z prywatnych nośników danych. W tym przypadku Administrator zastosował zatem wyłącznie środki organizacyjne, ale już nie techniczne. Jak wskazał Wojewódzki Sąd Administracyjny w Warszawie w wyroku z 26 sierpnia 2020 r., sygn. II SA/Wa 2826/19, „[p]rzyjęte środki mają mieć charakter skuteczny, w konkretnych przypadkach niektóre środki będą musiały być środkami o charakterze niwelującym niskie ryzyko, inne – muszą niwelować ryzyko wysokie, ważne jednak jest, aby wszystkie środki (a także każdy z osobna) były adekwatne i proporcjonalne do stopnia ryzyka.”Takim działaniem Administrator, jak pokazuje zgłoszone organowi naruszenie ochrony danych, nie zadbał w sposób skuteczny o bezpieczeństwo danych przetwarzanych przez Sąd.Administrator, przed wystąpieniem naruszenia, nie wdrożył środków technicznych (nie zablokował portów USB w celu uniemożliwienia korzystania z prywatnych nośników danych (nieautoryzowanych przez Dział IT Sądu), choć takie wnioski były zawarte w raportach z przeprowadzonych audytów oraz wynikały z przeprowadzonej przez Sąd analizy ryzyka z (…) grudnia 2019 r.
Biorąc powyższe pod uwagę, wskazać należy, iż brak zastosowania adekwatnych do zagrożeń środków bezpieczeństwa (brak blokady portów USB w celu uniemożliwienia korzystania z prywatnych nośników pamięci) w Sądzie spowodował naruszenie przez Administratora przepisów art. 24 ust. 1, art. 25 ust. 1 oraz art. 32 ust. 1 i 2 rozporządzenia 2016/679, w następstwie czego doszło do naruszenia zasady poufności danych - art. 5 ust. 1 lit. f) rozporządzenia 2016/679. Konsekwencją zaś naruszenia zasady poufności jest naruszenie zasady rozliczalności, o której mowa w art. 5 ust. 2 rozporządzenia 2016/679. WSA w Warszawie w wyroku z dnia 10 lutego 2021 r., sygn. II SA/Wa 2378/20, wskazał, że „Zasada rozliczalności bazuje więc na prawnej odpowiedzialności administratora za właściwe wypełnianie obowiązków i nakłada na niego obowiązek wykazania zarówno przed organem nadzorczym, jak i przed podmiotem danych, dowodów na przestrzeganie wszystkich zasad przetwarzania danych .” Podobnie kwestię zasady rozliczalności interpretuje WSA w Warszawie w wyroku z dnia 26 sierpnia 2020 r., sygn. II SA/Wa 2826/19, stwierdzając, że „Biorąc pod uwagę całość norm rozporządzenia 2016/679, podkreślić należy, że administrator ma znaczną swobodę w zakresie stosowanych zabezpieczeń, jednocześnie jednak ponosi odpowiedzialność za naruszenie przepisów o ochronie danych osobowych. Z zasady rozliczalności wprost wynika, że to administrator danych powinien wykazać, a zatem udowodnić, że przestrzega przepisów określonych w art. 5 ust. 1 rozporządzenia 2016/679.”
Podkreślić również należy, iż Administrator pomimo posiadanych procedur (zakaz użytkowania prywatnych nośników danych uregulowany w Regulaminie (…) Sądu) oraz posiadanej wiedzy o zagrożeniach (pochodzącej przede wszystkich z przeprowadzonych audytów), nie prowadził nadzoru nad tym, czy pracownicy Sądu do uregulowań wewnętrznych w tym zakresie się stosują, co świadczy o naruszeniu art. 32 ust. 1 lit. d) rozporządzenia 2016/679. Dokonywanie przeglądów i aktualizacja wdrożonych środków organizacyjnych i technicznych jest również sformułowane wprost w art. 24 ust. 1 rozporządzenia 2016/697. Podkreślić także należy, że wdrożenie przez administratora środków technicznych i organizacyjnych nie jest działaniem jednorazowym, ale powinno ono przybrać postać procesu, w ramach którego administrator dokonuje przeglądu i w razie potrzeby uaktualnia przyjęte wcześniej zabezpieczenia. Regularna ocena zastosowanych środków bezpieczeństwa, stosownie do art. 32 ust. 1 lit. d) rozporządzenia 2016/679, pozwoliłaby Administratorowi na weryfikację, czy wprowadzona procedura określająca zakaz użytkowania prywatnych nośników danych jest przestrzegana, a więc i skuteczna, a w konsekwencji dała możliwość stwierdzenia, czy podejmowane są właściwe działania mające na celu zapewnienie ochrony danych przetwarzanych przez pracowników Sądu. Należy zatem podkreślić, że regularne testowanie, mierzenie i ocenianie skuteczności środków technicznych i organizacyjnych mających zapewnić bezpieczeństwo przetwarzanych danych, w tym skuteczności wdrożonych procedur, służy także zapewnieniu realizacji obowiązków Administratora i bezpieczeństwu przetwarzanych danych.
W stanie faktycznym przedmiotowej sprawy, w ocenie Prezesa UODO, weryfikacja sposobu realizacji (stosowania) środka organizacyjnego w postaci zakazu użytkowania prywatnych nośników danych, znacząco obniżyłoby ryzyko wystąpienia naruszenia albo doprowadziłoby do całkowitego jego wyeliminowania, np. poprzez zastosowanie środka technicznego w postaci blokady portów USB. Podkreślenia ponownego wymaga, że w wyniku przeprowadzonych w Sądzie audytów taka podatność została wskazana przez osoby je przeprowadzające (tj. brak zablokowanych portów USB uniemożliwiających korzystanie z prywatnych nośników danych), jak również zostały wydane zalecenia ich zablokowania. Ponadto, jako wniosek z przeprowadzonej (…) grudnia 2019 r. analizy ryzyka zostało wskazane, iż ryzyko naruszenia jest na poziomie akceptowalnym dla Administratora, to jednak „[w] celu zniwelowania ryzyka można wprowadzić blokadę używania nośników zewnętrznych lub obowiązek stosowania tylko szyfrowanych nośników danych”. Sąd natomiast, jako administrator danych, dopiero w październiku 2020 r. (tj. już po wystąpieniu naruszenia) zablokował porty USB dla nieautoryzowanych przez Dział IT nośników danych, uniemożliwiając korzystanie tym samym z prywatnych nośników danych przez pracowników Sądu.
Ponadto, aby zrealizować wymóg art. 32 ust. 1 lit. d) rozporządzenia 2016/679, wskazany zresztą w ww. wyroku Wojewódzkiego Sądu Administracyjnego w Warszawie jako obowiązek zapewnienia ciągłości monitorowania poziomu zagrożeń oraz zapewnienia rozliczalności w zakresie poziomu oraz adekwatności wdrożonych zabezpieczeń, administrator danych osobowych winien regularnie testować, mierzyć i oceniać skuteczność środków technicznych i organizacyjnych, mających zapewnić bezpieczeństwo przetwarzania. W przedmiotowej sprawie takie mierzenie miało miejsce w związku z przeprowadzonymi audytami, lecz nie były wdrażane zalecenia, jakie były wówczas wskazywane przez osoby je przeprowadzające. Brak reakcji Administratora na zalecenia audytorów powoduje osłabienie systemu ochrony danych i naraża na konsekwencje prawne, zarówno ze strony organów (odpowiedzialność administracyjną, karną), jak również ze strony osób, których dane zostały objęte naruszeniem (odpowiedzialność cywilną). Administrator podjął w ten sposób ryzyko, które zmaterializowało się w przedmiotowym naruszeniu. Naruszenie to natomiast ukazało nieprawidłowości w procesie zabezpieczania danych przez Administratora.
Biorąc powyższe pod uwagę nie ulega wątpliwości, że Administrator, przed wystąpieniem naruszenia, był świadom zagrożenia, jakim było użytkowanie prywatnych nośników danych. Świadczy o tym zarówno przeprowadzona analiza ryzyka i wynikające z niej wnioski co do sposobu minimalizowania zidentyfikowanych zagrożeń, wnioski z kolejnych audytów przeprowadzonych w Sądzie, jak również podejmowane środki organizacyjne w postaci zakazu użytkowania prywatnych nośników danych określonego w Regulaminie (…) Sądu Rejonowego Szczecin-Centrum w Szczecinie, czy też nakazu użytkowania szyfrowanych nośników danych zawartego w Polityce (…)Sądu Rejonowego Szczecin-Centrum w Szczecinie oraz określenia zasad bezpiecznej pracy zdalnej. Pomimo tej świadomości Sąd jednak nie wdrożył technicznych środków mających zapewnić bezpieczeństwo danych osobowych. Administrator przed wystąpieniem naruszenia ochrony danych osobowych poprzestał na wdrożeniu wyłącznie organizacyjnych środków bezpieczeństwa.
Biorąc powyższe pod uwagę, wskazać należy, iż brak zastosowania adekwatnych środków bezpieczeństwa do zidentyfikowanych zagrożeń dla danych osobowych przetwarzanych przez Sąd (możliwość korzystania z prywatnych nośników danych) spowodował naruszenia przez Administratora przepisów art. 24 ust. 1, art. 25 ust. 1, art. 32 ust. 1 i 2 rozporządzenia 2016/679, w następstwie czego doszło do naruszenia zasady poufności danych - art. 5 ust. 1 lit. f) rozporządzenia 2016/679 (a w konsekwencji naruszenia wyrażonej w art. 5 ust. 2 rozporządzenia 2016/679 zasady rozliczalności), bowiem doszło najpierw do zapisania danych na nieautoryzowanych nośnikach danych (będących poza kontrolą Administratora), a następnie do ich zagubienia przez X. W ocenie Prezesa UODO niezastosowanie przez Administratora ww. środków bezpieczeństwa, pomimo jego wiedzy zarówno o zagrożeniach, jak i podatnościach w organizacji, prowadzi do wniosku, iż w Sądzie nie zostały podjęte działania w celu zapewnienia domyślnej ochrony danych. A to stanowi o naruszeniu art. 25 ust. 2 rozporządzenia 2016/679.
Jednocześnie podkreślenia wymaga, że pomimo wezwania Administratora do wykazania, jakie szkolenia odbył X , który dopuścił się naruszenia, oraz kiedy miały one miejsce, w jakim zakresie (i czy dotyczyły zasad przetwarzania danych, w szczególności na nośnikach danych) Sąd przesłał informację o szkoleniach, w których uczestniczył ten X po wystąpieniu naruszenia oraz kopie oświadczeń, o których jest mowa w pkt 8 stanu faktycznego. Administrator nie wykazał natomiast, aby ww. X został przeszkolony z zakresu ochrony danych osobowych, czy też środków bezpieczeństwa przed wystąpieniem naruszenia. Podkreślić zatem należy, że samo odebranie oświadczeń od X , że znane są mu zasady obowiązujące w Sądzie, bez dodatkowych dedykowanych w tym zakresie szkoleń, nie są wystarczającym środkiem oddziaływania na świadomość danej osoby. Prawidłowo przeprowadzone szkolenia pozwolą osobom szkolonym na właściwe zrozumienie zasad przetwarzania danych osobowych określonych przez Administratora, a w konsekwencji przyczyniają się do ograniczenia ryzyka wystąpienia naruszeń w tym obszarze. Podnieść również należy, że przeprowadzanie szkoleń z zakresu ochrony danych osobowych, aby mogło zostać uznane za adekwatny środek bezpieczeństwa, musi być realizowane w sposób cykliczny, co zapewni stałe przypominanie, a w konsekwencji utrwalenie, zasad przetwarzania danych osobowych objętych szkoleniem. Ponadto, w takich szkoleniach muszą brać udział wszystkie osoby upoważnione do przetwarzania danych osobowych, a samo szkolenie musi obejmować swoim programem wszystkie zagadnienia związane z przetwarzaniem danych osobowych w ramach ustalonego tematu szkolenia. Pominięcie któregoś z tych elementów spowoduje, że szkolenie nie spełni swojej roli, bowiem część osób nie zostanie w ogóle przeszkolona albo uczestnicy szkolenia nie otrzymają pełnej wiedzy w danym zakresie. Konsekwencją powyższego może być naruszenie ochrony danych osobowych, tak jak w sprawie będącej przedmiotem niniejszego postępowania. Co więcej, brak przeprowadzania szkoleń w opisany wyżej sposób oznacza, że ten środek bezpieczeństwa w praktyce nie obniża ryzyka wystąpienia naruszeń ochrony danych osobowych, co niewątpliwie przyczynia się do osłabienia poziomu ochrony danych osobowych i przesądza o konieczności uznania naruszenia przepisów rozporządzenia 2016/679 odnoszących do obowiązków administratora w zakresie bezpieczeństwa danych.
Podsumowując, pomimo usunięcia przez Sąd uchybień w zakresie zapewnienia bezpieczeństwa przetwarzanych danych, w tym poprzez zablokowanie portów USB przed możliwością korzystania z nieautoryzowanych przez Dział IT nośników danych, którego brak był pośrednią przyczyną naruszenia poufności danych osobowych, zaistniały przesłanki uzasadniające zastosowanie wobec Sądu przysługujących Prezesowi Urzędu uprawnień do nałożenia administracyjnej kary pieniężnej za naruszenie zasady poufności danych [art. 5 ust. 1 lit. f) rozporządzenia 2016/679], a w konsekwencji zasady rozliczalności [art. 5 ust. 2 rozporządzenia 2016/679] w związku z naruszeniem obowiązków administratora przy wdrażaniu środków bezpieczeństwa w trakcie przetwarzania danych, w celu skutecznej realizacji zasad ochrony danych i zapewnienia domyślnej ochrony danych [art. 25 ust. 1 i 2 rozporządzenia 2016/679]; obowiązków w zakresie zapewnienia poufności, integralności, dostępności i odporności systemów i usług przetwarzania danych [art. 32 ust. 1 lit. b) rozporządzenia 2016/679]; obowiązku regularnego testowania, mierzenia i oceniania skuteczności przyjętych środków technicznych i organizacyjnych mających zapewnić bezpieczeństwo przetwarzania [art. 32 ust. 1 lit. d) rozporządzenia 2016/679] oraz obowiązku uwzględnienia ryzyka wiążącego się z przetwarzaniem, wynikającego z nieuprawnionego dostępu do przetwarzanych danych osobowych [art. 32 ust. 2 rozporządzenia 2016/679].
Skorzystanie przez Prezesa UODO z przysługującego mu uprawnienia nałożenia na administratora danych kary administracyjnej wynika przede wszystkim z faktu, iż Administrator uchybił podstawowym zasadom przetwarzania danych, tj. zasadzie poufności, poprzez niezastosowanie skutecznych środków techniczno-organizacyjnych w Sądzie, gwarantujących ich bezpieczeństwo, a w konsekwencji zasadzie rozliczalności opisanej w art. 5 ust. 2 rozporządzenia 2016/679.
Na podstawie art. 58 ust. 2 lit. i) rozporządzenia 2016/679, każdemu organowi nadzorczemu przysługuje uprawnienie do zastosowania, oprócz lub zamiast innych środków naprawczych przewidzianych w art. 58 ust. 2 lit. a) – h) oraz lit. j) tego rozporządzenia, administracyjnej kary pieniężnej na mocy art. 83 rozporządzenia 2016/679, zależnie od okoliczności konkretnej sprawy.
Decydując o nałożeniu na Sąd administracyjnej kary pieniężnej, a także określając jej wysokość, Prezes Urzędu Ochrony Danych Osobowych – stosownie do treści art. 83 ust. 2 lit. a) – k) rozporządzenia 2016/679 – wziął pod uwagę, i uznał za obciążające dla Sądu okoliczności w zakresie wskazanym poniżej.
1. Charakter, wagę i czas trwania naruszenia przy uwzględnieniu charakteru, zakresu lub celu danego przetwarzania, liczby poszkodowanych osób, których dane dotyczą, oraz rozmiaru poniesionej przez nie szkody [art. 83 ust. 2 lit. a) rozporządzenia 2016/679].
Stwierdzone w niniejszej sprawie naruszenie przepisów ochrony danych osobowych, którego skutkiem była możliwość uzyskania nieuprawnionego dostępu do przetwarzanych przez Sąd danych przez osobę bądź osoby nieuprawnione, a w konsekwencji możliwość pozyskania danych osobowych osób, wobec których były przygotowywane projekty orzeczeń i wyroków, ma znaczną wagę i poważny charakter, stwarza bowiem wysokie ryzyko negatywnych skutków prawnych dla nieustalonej, potencjalnie (biorąc pod uwagę, że dokumenty znajdujące się na zagubionych prywatnych nośnikach danych pochodziły z lat 2004 – 2020) dużej liczby osób, do których danych dostęp mogła mieć osoba bądź osoby nieuprawnione. Jednocześnie Sąd nie był wstanie wykazać liczby osób objętych naruszeniem, ani zakresu danych. Naruszenie przez Sąd obowiązków zastosowania środków zabezpieczających przetwarzane dane przed ich udostępnieniem osobom nieupoważnionym, pociąga za sobą nie tylko potencjalną, ale również realną możliwość wykorzystania tych danych przez podmioty trzecie bez wiedzy i wbrew woli osób, których dane dotyczą, niezgodnie z przepisami rozporządzenia 2016/679, np. w celu nawiązania stosunków prawnych lub zaciągnięcia zobowiązań w imieniu osób, których dane pozyskano. Ponadto, do chwili wydania niniejszej decyzji zaginione nośniki danych nie zostały odnalezione, więc w dalszym ciągu osoba lub osoby nieuprawnione mogą mieć dostęp do danych osobowych znajdujących się na tych nośnikach. W tym miejscu podkreślenia wymaga, że Sąd jako instytucja zaufania publicznego, ale i organ państwowy sprawujący wymiar sprawiedliwości, jest zobligowany do stosowania wyższych standardów w szczególności w zakresie bezpieczeństwa przetwarzanych danych.
Podkreślić należy również długi czas trwania naruszenia przepisów rozporządzenia 2016/679, bowiem przyjąć należy, iż naruszenie rozpoczęło się w dniu 25 maja 2018 r., tj. w dniu rozpoczęcia stosowania rozporządzenia 2016/679, a zakończyło w październiku 2020 r. (Administrator nie podał daty dziennej, w której miało miejsce zablokowanie portów USB). Co prawda do zagubienia nośników danych doszło najprawdopodobniej w sierpniu 2020 r. (w dniu (…) sierpnia 2020 r. Administrator stwierdził naruszenie ochrony danych osobowych), co wykazało brak zastosowania adekwatnych środków bezpieczeństwa, to jednak Administrator od dnia 25 maja 2018 r. był zobowiązany dostosować procesy przetwarzania danych do wymogów rozporządzenia 2016/679.
W niniejszej sprawie brak jest dowodów, aby osoby, do danych których dostęp uzyskała osoba lub osoby nieuprawnione, doznały szkody majątkowej. Niemniej jednak już samo naruszenie poufności ich danych stanowi dla nich szkodę niemajątkową (krzywdę); osoby fizyczne, których dane pozyskano w sposób nieuprawniony mogą bowiem co najmniej odczuwać obawę przed utratą kontroli nad swoimi danymi osobowymi, kradzieżą tożsamości lub oszustwem dotyczącym tożsamości, dyskryminacją, czy wreszcie przed stratą finansową. Ponadto, publiczne zawiadomienie osób nie gwarantuje, że informacja dotarła do każdej osoby, do której powinna ona dotrzeć. Tym samym mogło dojść do sytuacji, w której osoby objęte naruszeniem, nie dysponując wiedzą o naruszeniu mogły nie podjąć działań mających im zapewnić choćby minimum poczucia bezpieczeństwa, poprzez zwiększenie ostrożności w posługiwaniu się własnymi danymi osobowymi.
2. Umyślny lub nieumyślny charakter naruszenia [art. 83 ust. 2 lit. b) rozporządzenia 2016/679].
Nieuprawniony dostęp do danych osobowych osób, wobec których były podejmowane działania przez Sąd, stał się możliwy na skutek niedochowania należytej staranności przez Sąd. W ocenie organu nadzorczego stanowi to o nieumyślnym charakterze naruszenia, wynikającym z niedbalstwa Sądu, gdyż Administrator posiadał wiedzę na temat zagrożeń związanych z użytkowaniem prywatnych nośników pamięci i brakiem zablokowania portów USB, o czym jednoznacznie świadczą zalecenia powstałe po przeprowadzeniu ww. audytów, czy po przeprowadzonej analizie ryzyka. Pomimo tej wiedzy Administrator podjął jednak działania mające na celu zapewnienie bezpieczeństwa danych wyłącznie w zakresie środków organizacyjnych, pomijając te o charakterze technicznym. Sąd, jako administrator, ponosi zatem odpowiedzialność za stwierdzone nieprawidłowości w procesie przetwarzania danych. Na negatywną ocenę zasługuje w szczególności, co należy ponownie podkreślić, fakt, że Sąd wprowadził wyłącznie zakaz używania prywatnych nośników pamięci, ale nie przeprowadził testu pod kątem skuteczności tego zabezpieczenia, w tym nie sprawdził, czy rzeczywiście pracownicy stosują się do tego zakazu.
3. Kategorie danych osobowych, których dotyczyło naruszenie [art. 83 ust. 2 lit. g) rozporządzenia 2016/679].
Na zagubionych nośnikach danych znajdowały się projekty orzeczeń, uzasadnień i zarządzeń sporządzone przez X w okresie od grudnia 2004 r. do sierpnia 2020 r. w związku z prowadzonymi przez niego sprawami z zakresu ubezpieczeń społecznych. Oznacza to, że wśród danych mogły znajdować się między innymi też informacje o stanie zdrowia, dane dotyczące przebiegu zatrudnienia, informacji o wynagrodzeniach. Administrator nie był w stanie wykazać dokładnego zakresu zaginionych danych. Z oświadczenia X , który zagubił nośniki danych wynika, że mogły się na nich znajdować imiona i nazwiska stron postępowań, informacje o ich przedmiocie oraz dane dotyczące stanu zdrowia uczestników postępowań. Z treści formularza zgłoszenia wynika natomiast, iż poza imieniem i nazwiskiem oraz informacją o stanie zdrowia na zagubionych nośnikach danych znajdowały się także informacje o zakładach pracy czy adresach zamieszkania / pobytu tych osób (informacja w tym zakresie w formularzu uzupełniającym została wycofana). Jeżeli zatem znajdowały się tam informacje o stanie zdrowia, to oznacza, że były tam szczególne kategorie danych (art. 9 rozporządzenia 2016/679), które wiążą się z wysokim ryzykiem naruszenia praw lub wolności osób objętych naruszeniem. Nieuprawnione udostępnienie szczególnych kategorii danych w powiązaniu z imieniem, nazwiskiem oraz informacjami dotyczącymi przedmiotu i przebiegu postępowań sądowych, może realnie i negatywnie wpływać na ochronę praw lub wolności osób fizycznych.
Ustalając wysokość administracyjnej kary pieniężnej, Prezes Urzędu Ochrony Danych Osobowych uwzględnił jako okoliczność łagodzącą, mającą wpływ na obniżenie wysokości wymierzonej kary, dobrą współpracą Sądu z organem nadzorczym podjętą i prowadzoną w celu usunięcia naruszenia oraz złagodzenia jego ewentualnych negatywnych skutków [art. 83 ust. 2 lit. f) rozporządzenia 2016/679]. Należy w tym miejscu wskazać, że poza prawidłowym wywiązywaniem się z ciążących na Sądzie obowiązków procesowych w trakcie postępowania administracyjnego, zakończonego wydaniem niniejszej decyzji, Sąd w pełnym zakresie zrealizował zalecenia Prezesa Urzędu dotyczące uzupełnienia powiadomienia osób, których dane dotyczą, o zaistniałym naruszeniu. Sąd podjął również konkretne i szybkie działania, których efektem było usunięcie możliwości ponownego wystąpienia naruszenia. W szczególności Sąd usunął podatność na naruszenie ochrony przetwarzanych danych osobowych, poprzez wprowadzenie ewidencjonowania i szyfrowania przenośnych pamięci, zablokował porty USB uniemożliwiając korzystanie z prywatnych nośników danych, niezarejestrowanych przez Dział IT.
Żadnego wpływu na fakt zastosowania przez Prezesa UODO w niniejszej sprawie sankcji w postaci administracyjnej kary pieniężnej, jak również na jej wysokość, nie miały inne, wskazane w art. 83 ust. 2 rozporządzenia 2016/679, okoliczności:
1. Działania podjęte przez Sąd w celu zminimalizowania szkody poniesionej przez osoby, których dane dotyczą [art. 83 ust. 2 lit. c) rozporządzenia 2016/679].
Działania Administratora ograniczyły się w tym zakresie wyłącznie do zawiadomienia osób o naruszeniu, poprzez publiczny komunikat, udostępniony na stronie internetowej Administratora. Administrator nie dysponuje wiedzą czyje faktycznie dane znajdowały się na zaginionych nośnikach pamięci. Komunikat ten stanowi jednak jedynie wypełnienie prawnego obowiązku wynikającego z art. 34 ust. 3 lit. c) rozporządzenia 2016/679, a jak stanowią Wytyczne Wp. 253 (w odniesieniu do przesłanki „sposobu, w jaki organ nadzorczy dowiedział się o naruszeniu”) „[z]wykłe dopełnienie […] obowiązku przez administratora nie może być interpretowane jako czynnik osłabiający/łagodzący”.
2. Stopień odpowiedzialności Sądu z uwzględnieniem środków technicznych i organizacyjnych wdrożonych przez niego na mocy art. 25 i 32 rozporządzenia 2016/679 [art. 83 ust. 2 lit. d) rozporządzenia 2016/679].
W przyjętych w dniu 3 października 2017 r. Wytycznych Grupy Roboczej ds. Ochrony Danych Art. 29 w sprawie stosowania i ustalania administracyjnych kar pieniężnych do celów rozporządzenia nr 2016/679 wskazano, że - rozpatrując tę przesłankę - „organ nadzorczy musi odpowiedzieć na pytanie, w jakim stopniu administrator «zrobił wszystko, czego można by było oczekiwać», zważywszy na charakter, cele lub zakres przetwarzania oraz w świetle obowiązków nałożonych na niego przez rozporządzenie”.
Prezes UODO stwierdził w niniejszej sprawie naruszenie przez Sąd przepisów art. 25 ust. 1, art. 32 ust. 1 lit. b ) i lit. d) oraz art. 32 ust. 2 rozporządzenia 2016/679. W jego ocenie na administratorze ciąży w wysokim stopniu odpowiedzialność za niewdrożenie odpowiednich środków technicznych i organizacyjnych, które zapobiegłyby naruszeniu ochrony danych osobowych. Oczywistym jest, że w rozważanym kontekście charakteru, celu i zakresu przetwarzania danych osobowych Sąd nie „zrobił wszystkiego, czego można by było od niego oczekiwać”; nie wywiązał się tym samym z nałożonych na nią przepisami art. 25 i 32 rozporządzenia 2016/679 obowiązków.
W niniejszej sprawie okoliczność ta stanowi jednak o istocie samego naruszenia; nie jest jedynie czynnikiem wpływającym - łagodząco lub obciążająco - na jego ocenę. Z tego też względu brak odpowiednich środków technicznych i organizacyjnych, o których mowa w art. 25 i art. 32 rozporządzenia 2016/679, nie może zostać przez Prezesa UODO uznany w niniejszej sprawie za okoliczność mogącą dodatkowo wpłynąć na surowszą ocenę naruszenia i wymiar nałożonej na Sąd administracyjnej kary pieniężnej.”
3. Stosowne wcześniejsze naruszenia przepisów rozporządzenia 2016/679 dokonane przez Sąd [art. 83 ust. 2 lit. e) rozporządzenia 2016/679].
Prezes UODO nie stwierdził jakichkolwiek, dokonanych przez Administratora, wcześniejszych naruszeń przepisów o ochronie danych osobowych, w związku z czym brak jest podstaw do traktowania tej okoliczności jako obciążającej. Obowiązkiem każdego administratora jest przestrzeganie przepisów prawa (w tym o ochronie danych osobowych), więc brak wcześniejszych naruszeń nie może być okolicznością łagodzącą przy wymierzaniu sankcji.
4. Sposób w jaki organ nadzorczy dowiedział się o naruszeniu [art. 83 ust. 2 lit h) rozporządzenia 2016/679].
Prezes UODO stwierdził naruszenie przepisów rozporządzenia 2016/679 w wyniku zgłoszenia naruszenia ochrony danych osobowych dokonanego przez Administratora, jednakże w związku z tym, że Administrator dokonując tego zgłoszenia realizował jedynie ciążący na nim obowiązek prawny, brak jest podstaw do uznania, że okoliczność ta stanowi dla niego okoliczność łagodzącą. Zgodnie z Wytycznymi w sprawie stosowania i ustalania administracyjnych kar pieniężnych do celów rozporządzenia nr 2016/679 Wp. 253 „Organ nadzorczy może dowiedzieć się o naruszeniu w wyniku postępowania, skarg, artykułów w prasie, anonimowych wskazówek lub powiadomienia przez administratora danych. Zgodnie z rozporządzeniem administrator ma obowiązek zawiadomić organ nadzorczy o naruszeniu ochrony danych osobowych. Zwykłe dopełnienie tego obowiązku przez administratora nie może być interpretowane jako czynnik osłabiający/łagodzący”.
5. Przestrzeganie wcześniej zastosowanych w tej samej sprawie środków, o których mowa w art. 58 ust. 2 rozporządzenia 2016/679 [art. 83 ust. 2 lit. i) rozporządzenia 2016/679].
Przed wydaniem niniejszej decyzji Prezes UODO nie stosował w wobec administratora w rozpatrywanej sprawie żadnych środków wymienionych w art. 58 ust. 2 rozporządzenia 2016/679, w związku z czym administrator nie miał obowiązku podejmowania żadnych działań związanych z ich stosowaniem, a które to działania, poddane ocenie Prezesa UODO, mogłyby mieć obciążający lub łagodzący wpływ na ocenę stwierdzonego naruszenia.
6. Stosowanie zatwierdzonych kodeksów postępowania na mocy art. 40 rozporządzenia 2016/679 lub zatwierdzonych mechanizmów certyfikacji na mocy art. 42 rozporządzenia 2016/679 [art. 83 ust 2 lit. j) rozporządzenia 2016/679].
Administrator nie stosuje instrumentów, o których mowa w art. 40 i art. 42 rozporządzenia 2016/679. Ich przyjęcie, wdrożenie i stosowanie nie jest jednak – jak stanowią przepisy rozporządzenia 2016/679 – obowiązkowe dla administratorów i podmiotów przetwarzających, w związku z czym okoliczność ich niestosowania nie może być w niniejszej sprawie poczytana na niekorzyść Administratora. Na korzyść Administratora natomiast mogłaby być uwzględniona okoliczność przyjęcia i stosowania tego rodzaju instrumentów jako środków gwarantujących wyższy niż standardowy poziom ochrony przetwarzanych danych osobowych.
7. Osiągnięte bezpośrednio lub pośrednio w związku z naruszeniem korzyści finansowe lub uniknięte straty [art. 83 ust. 2 lit. k) rozporządzenia 2016/679].
Prezes UODO nie stwierdził, żeby administrator w związku z naruszeniem odniósł jakiekolwiek korzyści finansowe lub uniknął tego rodzaju strat. Brak jest więc podstaw do traktowania tej okoliczności jako obciążającej administratora. Stwierdzenie zaistnienia wymiernych korzyści finansowych wynikających z naruszenia przepisów rozporządzenia 2016/679 należałoby ocenić zdecydowanie negatywnie. Natomiast nieosiągnięcie przez administratora takich korzyści, jako stan naturalny, niezależny od naruszenia i jego skutków, jest okolicznością, która z istoty rzeczy nie może być łagodzącą dla Administratora. Potwierdza to samo sformułowanie przepisu art. 83 ust. 2 lit. k) rozporządzenia 2016/679, który nakazuje organowi nadzorczemu zwrócić należytą uwagę na korzyści „osiągnięte” – zaistniałe po stronie podmiotu dokonującego naruszenia.
8. Inne obciążające lub łagodzące czynniki (art. 83 ust. 2 lit. k) Rozporządzenia 2016/679).
Prezes UODO wszechstronnie rozpatrując sprawę nie odnotował innych niż opisane powyżej okoliczności mogących mieć wpływ na ocenę naruszenia i na wysokość orzeczonej administracyjnej kary pieniężnej.
Uwzględniając wszystkie omówione wyżej okoliczności, Prezes Urzędu Ochrony Danych Osobowych uznał, iż nałożenie administracyjnej kary pieniężnej na Sąd jest konieczne i uzasadnione wagą, charakterem oraz zakresem zarzucanych Sądowi naruszeń. Stwierdzić należy, iż zastosowanie wobec Sądu jakiegokolwiek innego środka naprawczego przewidzianego w art. 58 ust. 2 rozporządzenia 2016/679, w szczególności zaś poprzestanie na upomnieniu (art. 58 ust. 2 lit. b) rozporządzenia 2016/679), nie byłoby proporcjonalne do stwierdzonych nieprawidłowości w procesie przetwarzania danych osobowych oraz nie gwarantowałoby tego, że Sąd w przyszłości nie dopuści się kolejnych zaniedbań.
Odnosząc się do wysokości wymierzonej Sądowi administracyjnej kary pieniężnej, Prezes Urzędu Ochrony Danych Osobowych uznał, iż w ustalonych okolicznościach niniejszej sprawy – tj. wobec stwierdzenia naruszenia kilku przepisów rozporządzenia 2016/679 (zasady poufności danych, wyrażonej w art. 5 ust. 1 lit. f), a odzwierciedlonej w postaci obowiązków określonych w art. 25 ust. 1, art. 32 ust. 1 i 2 rozporządzenia 2016/679, co w konsekwencji oznacza naruszenie zasady rozliczalności, o której mowa w art. 5 ust. 2 rozporządzenia 2016/679) oraz faktu, iż Sąd jest jednostką sektora finansów publicznych – zastosowanie znajdzie również art. 102 ustawy z dnia 10 maja 2018 r. o ochronie danych osobowych (Dz. U. z 2019 r. poz. 1781), z którego wynika ograniczenie wysokości (do 100.000 zł) kary, jaka może zostać nałożona na jednostkę sektora finansów publicznych.
Z uwagi na okoliczność, iż w przedmiotowym stanie faktycznym doszło do naruszenia więcej niż jednego przepisu rozporządzenia 2016/679, których naruszenie wpłynęło na wysokość wymierzonej kary finansowej, stosownie do art. 83 ust. 3 rozporządzenia 2016/679, za najpoważniejsze należy uznać naruszenie przez Sąd zasady poufności określonej w art. 5 ust 1 lit. f) rozporządzenia 2016/679, a w konsekwencji zasady rozliczalności określonej art. 5 ust. 2 rozporządzenia 2016/679. Przemawia za tym poważny charakter naruszenia, zakres danych osobowych podlegających naruszeniu oraz krąg osób nim dotkniętych (nieustalona liczba osób, wobec których sporządzane były projekty orzeczeń, uzasadnień i zarządzeń od grudnia 2004 r. do sierpnia 2020 r., danych których administratorem jest Sąd). Co istotne, w stosunku do ww. osób w dalszym ciągu istnieje wysokie ryzyko niezgodnego z prawem posłużenia się ich danymi osobowymi, albowiem nieznany jest cel, dla którego osoba bądź osoby nieuprawnione mogą podjąć działania zmierzające do wykorzystania tych danych.
W ocenie Prezesa UODO, zastosowana administracyjna kara pieniężna spełnia w ustalonych okolicznościach niniejszej sprawy funkcje, o których mowa w art. 83 ust.1 rozporządzenia 2016/679, tzn. będzie w tym indywidualnym przypadku skuteczna, proporcjonalna i odstraszająca.
Zdaniem Prezesa Urzędu Ochrony Danych Osobowych nałożona na Sąd kara będzie skuteczna, albowiem doprowadzi do stanu, w którym Sąd stosował będzie takie środki techniczne i organizacyjne, które zapewnią przetwarzanym danym stopień bezpieczeństwa odpowiadający ryzyku naruszenia praw i wolności osób, których dane dotyczą oraz wadze zagrożeń towarzyszącym procesom przetwarzania tych danych osobowych. Skuteczność kary równoważna jest zatem gwarancji tego, iż Sąd od momentu zakończenia niniejszego postępowania będzie podejmował działania adekwatne do ryzyk.
Zastosowana kara pieniężna jest również proporcjonalna do stwierdzonego naruszenia, w tym zwłaszcza jego wagi, kręgu dotkniętych nim osób fizycznych oraz ryzyka, jakie w związku z naruszeniem ponoszą. Zdaniem Prezesa UODO, nałożona na Sąd kara pieniężna nie będzie stanowiła nadmiernego dla niego obciążenia. Wysokość kary została bowiem określona na takim poziomie, aby z jednej strony stanowiła adekwatną reakcję organu nadzorczego na stopień naruszenia obowiązków administratora, z drugiej jednak strony nie powodowała sytuacji, w której konieczność uiszczenia administracyjnej kary pieniężnej pociągnie za sobą negatywne następstwa, w postaci istotnego pogorszenia sytuacji finansowej Sądu. Zdaniem Prezesa Urzędu Ochrony Danych Osobowych, Sąd powinien i jest w stanie ponieść konsekwencje swoich zaniedbań w sferze ochrony danych, stąd nałożenie kary w wysokości 30.000 PLN jest w pełni uzasadnione.
W ocenie Prezesa UODO, administracyjna kara pieniężna spełni w tych konkretnych okolicznościach funkcję represyjną, jako że stanowić będzie odpowiedź na naruszenie przez Sąd przepisów rozporządzenia 2016/679, ale i prewencyjną, bowiem przyczyni się do zapobiegania w przyszłości naruszania obowiązków Sądu wynikających z przepisów o ochronie danych osobowych, zarówno przy przetwarzaniu danych przez sam Sąd.
W ocenie Prezesa Urzędu Ochrony Danych Osobowych, zastosowana kara pieniężna spełnia w ustalonych okolicznościach niniejszej sprawy przesłanki, o których mowa w art. 83 ust. 1 rozporządzenia 2016/679 ze względu na wagę stwierdzonych naruszeń w kontekście podstawowych wymogów i zasad rozporządzenia 2016/679 – zwłaszcza zasady poufności wyrażonej w art. 5 ust. 1 lit. f) rozporządzenia 2016/679.
Celem nałożonej kary jest doprowadzenie do przestrzegania przez Sąd w przyszłości przepisów rozporządzenia 2016/679.
Odnosząc się natomiast do zarzutu naruszenia przez Sąd art. 5 ust. 2 w związku z art. 5 ust. 1 lit. e) rozporządzenia 2016/679, wskazać należy, iż z uwagi na to, że dane osobowe znajdujące się na zagubionych prywatnych nośnikach pamięci zawarte były w sporządzanych przez X projektach orzeczeń, czy też zarządzeń, tj. przetwarzane w związku z czynnościami służbowymi X, polegającymi na sprawowaniu wymiaru sprawiedliwości, uznać należy, iż Prezes UODO nie jest właściwy do zajęcia stanowiska, lecz jeden z organów wskazanych w art. 175dd Pusp.
Zgodnie z treścią art. 5 ust. 1 lit e) rozporządzenia 2016/679 dane osobowe muszą być przechowywane w formie umożliwiającej identyfikację osoby, której dane dotyczą, przez okres nie dłuższy, niż jest to niezbędne do celów, w których dane te są przetwarzane; dane osobowe można przechowywać przez okres dłuższy, o ile będą one przetwarzane wyłącznie do celów archiwalnych w interesie publicznym, do celów badań naukowych lub historycznych lub do celów statystycznych na mocy art. 89 ust. 1, z zastrzeżeniem że wdrożone zostaną odpowiednie środki techniczne i organizacyjne wymagane na mocy niniejszego rozporządzenia w celu ochrony praw i wolności osób, których dane dotyczą („ograniczenie przechowywania”). Badanie bowiem niezbędności danych osobowych przetwarzanych przez Sąd oraz ich retencji nie leży w kompetencji Prezesa UODO. W każdym postępowaniu to sąd sam określa poprzez podejmowane decyzje, uchwały, zarządzenia przydatność dowodów zawierających m.in. dane osobowe poprzez ich dopuszczenie lub niedopuszczenie, według swojej wiedzy, doświadczenia oraz przepisów prawa (właściwej procedury – cywilnej, karnej, czy sądowoadministracyjnej). Przyjęcie odmiennego stanowiska prowadziłoby do badania legalności przez Prezesa UODO procesów przetwarzania danych osobowych związanych bezpośrednio z prowadzonymi postępowaniami sądowymi, co mogłoby doprowadzić do ingerencji tut. organu w sprawowanie wymiaru sprawiedliwości przez sąd. Tym samym postępowanie, w ocenie Prezesa UODO, stało się w tym zakresie bezprzedmiotowe i podlega umorzeniu.
W związku z powyższym, wskazać należy, że art. 105 § 1 ustawy z dnia 14 czerwca 1960 r. Kodeks postępowania administracyjnego (Dz. U. z 2022 r., poz. 2000, ze zm.), zwanej dalej k.p.a., gdy postępowanie z jakiejkolwiek przyczyny stało się bezprzedmiotowe w całości albo w części, organ administracji publicznej wydaje decyzję o umorzeniu postępowania odpowiednio w całości albo w części. W doktrynie wskazuje się, że: „bezprzedmiotowość postępowania administracyjnego, o której stanowi art. 105 § 1 k.p.a., oznacza, że brak jest któregoś z elementów materialnego stosunku prawnego, a wobec tego nie można wydać decyzji załatwiającej sprawę przez rozstrzygnięcie jej co do istoty. Przesłanka umorzenia postępowania może istnieć jeszcze przed wszczęciem postępowania, co zostanie ujawnione dopiero w toczącym się postępowaniu, a może ona powstać także w czasie trwania postępowania, a więc w sprawie już zawisłej przed organem administracyjnym” (B. Adamiak, J. Borkowski, „Kodeks postępowania administracyjnego. Komentarz”, 14. wydanie, Wydawnictwo C.H.Beck, Warszawa 2016, s. 491).
Ustalenie przez organ publiczny zaistnienia przesłanki, o której mowa w art. 105 § 1 k.p.a., zobowiązuje go, jak podkreśla się w doktrynie i orzecznictwie, do umorzenia postępowania, bowiem nie ma wówczas podstaw do rozstrzygnięcia sprawy co do istoty, a dalsze prowadzenie w takiej sytuacji postępowania stanowiłoby o jego wadliwości, mającej istotny wpływ na wynik sprawy. W sytuacji braku kompetencji organu w sprawach należących do wymiaru sprawiedliwości, zasadnym jest umorzenie postępowania.
Mając powyższe na uwadze Prezes Urzędu Ochrony Danych Osobowych rozstrzygnął jak w sentencji niniejszej decyzji.