Dziennik Gazeta Prawana logo

Kara dla Ministra Sprawiedliwości. Chodzi o aferę z 2019 roku

Weronika Papiernik
oprac. Weronika PapiernikRedaktorka. W dzienniku pracuje od 2020 roku.
39 minut temu
Ten tekst przeczytasz w 10 minut
Kara dla Ministra Sprawiedliwości. Chodzi o aferę z 2019 roku
Kara dla Ministra Sprawiedliwości. Chodzi o aferę z 2019 roku/ShutterStock
Prezes UODO Mirosław Wróblewski nałożył administracyjną karę pieniężną na Ministra Sprawiedliwości po przeprowadzeniu postępowania w sprawie znanej z doniesień medialnych jako tzw. afera hejterska. Dane osobowe sędziów zostały pozyskane przez osoby, które następnie wbrew lub mimo braku upoważnienia administratora samodzielnie decydowały o celach i sposobach ich przetwarzania. Postępowanie wyjaśniające wykazało, że Minister Sprawiedliwości nie wdrożył odpowiednich środków bezpieczeństwa, które uniemożliwiłyby niezgodne z prawem przetwarzanie danych osobowych pozyskanych z zasobów kadrowych Ministerstwa. Administrator nie sprawował należytego nadzoru nad upoważnieniami udzielonymi pracownikom, którzy pozyskane niezgodnie z prawem dane osobowe wykorzystywali do celów politycznych i prywatnych.

Naruszenie zasad przetwarzania danych osobowych w Ministerstwie Sprawiedliwości zostało po raz pierwszy opisane na łamach portali internetowych. Tzw. aferze hejterskiej poświęcono w sierpniu 2019 roku trzy artykuły („Śledztwo Onetu. Farma trolli w Ministerstwie Sprawiedliwości, czyli »za czynienie dobra nie wsadzamy«”, „Farma trolli w Ministerstwie Sprawiedliwości, cz. 2. Tak człowiek Piebiaka polował na szefa Iustitii” oraz „Farma trolli w Ministerstwie Sprawiedliwości, cz. 3. Sędziowie organizują hejt przeciwko prezes Sądu Najwyższego”). W materiałach dziennikarze opisali proceder pozyskiwania informacji o sędziach wyrażających krytyczne opinie wobec zmian forsowanych w wymiarze sprawiedliwości. Na skutek działania osób przetwarzających nielegalnie dane osobowe, treści znieważające sędziów zostały udostępniane opinii publicznej. Na skutek tych działań sędziowie stali się celem wymierzonych w nich zniesławiających ataków.

Postępowanie administracyjne zostało wszczęte przez organ nadzorczy w 2019 r., bezpośrednio po zapoznaniu się z doniesieniami medialnymi. Na wezwanie do złożenia wyjaśnień ówczesny Minister Sprawiedliwości odpowiedział, że „wskutek przeprowadzonego postępowania wyjaśniającego nie stwierdzono wystąpienia” incydentu o charakterze wycieku danych osobowych. Prokuratura wszczęła postępowanie karne w sprawie przekroczenia uprawnień przez funkcjonariuszy publicznych. Prezes UODO przez wiele lat bezskutecznie usiłował dowiedzieć się jakie są jej konkretne ustalenia w sprawie. Postępowanie było prowadzone kolejno przez prokuraturę w Lublinie i w Świdnicy, które w odpowiedzi na pisma informowały Prezesa UODO, że „z uwagi na dobro śledztwa” nie jest możliwe przekazanie bliższych informacji dotyczących ich ustaleń.

Ustawa Kamilka na celowniku. Prezes UODO domaga się zmian w przepisach
Ustawa Kamilka na celowniku. Prezes UODO domaga się zmian w przepisach

Ustalenia prokuratury

Dopiero w grudniu 2024 r. Prokuratura Regionalna we Wrocławiu przekazała Prezesowi UODO materiał dowodowy z postępowania przygotowawczego, który okazał się wystarczający do wydania decyzji administracyjnej przez organ nadzorczy. Przekazane informacje potwierdziły, że doszło do naruszenia danych osobowych sędziów przez funkcjonariuszy publicznych.

Analiza materiału dowodowego wykazała, że przyczyną naruszenia był przede wszystkim brak wprowadzenia odpowiednich środków technicznych i organizacyjnych przez administratora. Przedmiotem badania legalności przetwarzania danych osobowych przez organ nadzorczy zgodnie z RODO mogą być wydarzenia od 25 maja 2018 r. – przed tą datą administrator podjął działania będące źródłem późniejszych operacji przetwarzania danych i mających miejsce już po tej dacie.  

Materiał dowodowy udostępniony przez prokuraturę pozwolił Prezesowi UODO określić szczegółowy obraz nieprawidłowości mających miejsce w sprawie tzw. afery hejterskiej. Nielegalne działania podejmowane przez funkcjonariuszy publicznych polegały m.in. na korzystaniu z upoważnienia dostępu do informacji z niejawnych akt osobowych sędziów, które następnie przetwarzali w celach osobistych i politycznych. Dane osobowe sędziów przekazywane były osobom nieupoważnionym (innym funkcjonariuszom publicznym, dziennikarzom). Wrażliwe informacje nielegalnie udostępniano również w internecie – na Twiterze (obecnie X) – służyło temu konto, które zostało założone za pośrednictwem adresu IP pochodzącemu z puli przypisanej Ministerstwu Sprawiedliwości.  

Ustalenia Prezesa UODO

Prezes Urzędu Ochrony Danych Osobowych zaznaczył, że rozstrzygnięcie organu nadzorczego nie przesądza o braku odpowiedzialności prawnej osób, które faktycznie i bezprawnie dokonały udostępnienia danych osobowych sędziów na rzecz osób nieupoważnionych. W związku z powyższym postępowanie administracyjne prowadzone przez organ nadzorczy objęło przede wszystkim kwestię zapewnienia bezpieczeństwa przetwarzania danych osobowych przez administratora – Ministra Sprawiedliwości.

Zgodnie z RODO administrator jest zobowiązany do wdrożenia odpowiednich środków technicznych i organizacyjnych oraz zapewnienia, że przetwarzanie danych osobowych będzie odbywało się zgodnie z zasadami i literą prawa. Administrator oraz podmiot przetwarzający są oprócz tego zobowiązani do podejmowania działań w celu zapewnienia, że każda osoba, która ma dostęp do danych osobowych będzie przetwarzała je wyłącznie na polecenie administratora. Jak wykazało postępowanie administracyjne w niniejszej sprawie – doszło do szeregu nieprawidłowości.

Z materiału dowodowego zebranego w sprawie wynika, że dochodziło do przetwarzania danych osobowych w celu atakowania sędziów wyrażających sprzeciw wobec wprowadzanych przez ówczesny rząd reform w wymiarze sprawiedliwości. Wykazano, że działania dokonywane w ramach operacji przetwarzania były nielegalne – sprawcy naruszeń przetwarzali dane w sposób niezgodny z zakresem pierwotnego upoważnienia. Nie zwalnia to jednak z odpowiedzialności administratora – Ministra Sprawiedliwości, który odpowiada za kolejne operacje przetwarzania danych osobowych przez upoważnione przez siebie podmioty przetwarzające.  Administrator musi bowiem mieć pełną kontrolę nad procesem przetwarzania danych – aby zapobiegać narażaniu na udostępnianie danych osobowych osobom nieupoważnionym [por. wyrok NSA z 4 kwietnia 2003 r. o sygn.. II SA 2935/02]. Trybunał Sprawiedliwości w wyroku z 5 grudnia 2023 o sygn. akt C-683/21 wskazał, że administrator jest odpowiedzialny nie tylko za każde przetwarzanie danych, którego sam dokonuje, lecz również za przetwarzanie dokonywane w jego imieniu.

Skutkiem zaniechań administratora był szereg naruszeń przepisów RODO. Należy podkreślić, że przedmiotem działań sprawców naruszeń stały się również dane szczególnej kategorii – dotyczące stanu zdrowia sędziów, poglądów politycznych oraz ich przynależności organizacyjnej.

Administracyjna kara pieniężna

Naruszenia przepisów RODO dokonane przez administratora mają poważny charakter, godzą one w podstawowe zasady przetwarzania danych osobowych. W ramach całego systemu ochrony danych zasady te mają charakter fundamentalny. Nieprawidłowości w przetwarzaniu danych osobowych polegały w tej sprawie na braku nadzoru nad wykorzystaniem udzielonych upoważnień pod kątem ich zgodności z celem i zakresem przetwarzania w nich określonym.

Za okoliczność o charakterze obciążającym należy uznać fakt, że sprawcą naruszeń RODO jest konstytucyjny organ państwa: Minister Sprawiedliwości, podmiot publiczny, który w systemie RP pełni także funkcję Prokuratora Generalnego, a jako minister odpowiada za szeroki zakres spraw. Minister Sprawiedliwości powinien odznaczać się nie tylko najwyższą znajomością prawa, ale również stać na straży praworządności i dawać gwarancję poszanowania praw oraz wolności osób. Naganność zachowania przypisanego Ministrowi Sprawiedliwości wzmaga fakt, że organ ten z racji swoich zadań powinien działać z uwzględnieniem i na rzecz interesu osób sprawujących funkcję orzeczniczą.

Administrator nie przyczynił się w istotnym stopniu do ustalenia stanu faktycznego sprawy. Na wczesnym etapie postępowania wyjaśniającego w 2019 r., Minister Sprawiedliwości poinformował, że żaden wyciek danych z jego zbiorów nie nastąpił, co pozostaje w sprzeczności z późniejszymi ustaleniami prokuratury. Postępowanie administratora na początkowym etapie utrudniło Prezesowi UODO przeprowadzenie postępowania w sposób wnikliwy i sprawny. 

Zdaniem Prezesa UODO wymierzenie w niniejszej sprawie administracyjnej kary pieniężnej było nieuniknione. W ocenie organu nadzorczego jedynie administracyjna kara pieniężna może przyczynić się do przestrzegania przepisów RODO.

Zgodnie z RODO kara może być wymierzona jedynie względem administratora danych osobowych, nie zaś w odniesieniu do osób upoważnionych przez administratora danych osobowych do przetwarzania danych osobowych, a którzy np. naruszyli swoje obowiązki lub uprawnienia. Ukarany administrator może natomiast w trybie innych przepisów (np. przepisów prawa pracy lub prawa cywilnego) dochodzić względem osób przez niego upoważnionych do przetwarzania danych odpowiedzialności prawnej, w tym np. odpowiedzialności służbowej czy odpowiedzialności odszkodowawczej (regresowej).

ZSPU.440.1111.2019

Page 2

Polityka prywatności i wykorzystywania plików Cookies w serwisach internetowych UODO 

Urząd Ochrony Danych Osobowych przywiązuje szczególną wagę do poszanowania prywatności użytkowników odwiedzających serwisy w domenie *.uodo.gov.pl. Gromadzone w dziennikach logów dane są wykorzystywane tylko i wyłącznie do celów administrowania serwisem. Nie zabiegamy o identyfikację użytkowników stron Urzędu. Żadne dane identyfikacyjne, do żadnych celów, nie są przekazywane do jakiejkolwiek trzeciej strony.

Gromadzenie danych.

Zgodnie z przyjętą praktyką większości serwisów WWW, przechowujemy zapytania HTTP kierowane do naszego serwera. Przeglądane zasoby identyfikowane są poprzez adresy URL.  Dokładny wykaz informacji przechowywanych w plikach logów serwera WWW jest następujący: 

  • publiczny adres IP komputera z którego nadeszło zapytanie (może to być bezpośrednio komputer użytkownika)
  • nazwę stacji klienta - identyfikacja realizowana przez protokół HTTP o ile jest możliwa,
  • nazwa użytkownika podawana w procesie autoryzacji,
  • czas nadejścia zapytania,
  • pierwszy wiersz żądania HTTP,
  • kod odpowiedzi HTTP,
  • liczbę wysłanych przez serwer bajtów,
  • adres URL strony poprzednio odwiedzanej przez użytkownika (referer link) - w przypadku gdy przejście do strony Urzędu nastąpiło przez odnośnik,
  • informacje o przeglądarce użytkownika,
  • informacje o błędach, jakie nastąpiły przy realizacji transakcji HTTP.

Dane te nie są kojarzone z konkretnymi osobami przeglądającymi strony Urzędu. Dla zapewnienia jak najwyższej jakości serwisu, okazjonalnie analizujemy pliki z logami w celu określenia: które strony odwiedzane są najczęściej, jakie przeglądarki stron WWW są stosowane, czy struktura strony nie zawiera błędów itp.

Do celów analitycznych korzystamy z Plausible Analytics. Jest to narzędzie analityczne szanujące prywatność użytkowników, które nie wykorzystuje plików cookie i nie zbiera danych osobowych. Bazuje na podstawowych informacjach takich jak w szczególności: dane o unikalnych wizytach, odsłonach, źródłach odsyłających, informacje o przeglądarce, czas spędzony na stronie, strony błędu 404 oraz aktywności polegające np. na pobraniu plików.

Dane zbierane przez Plausible Analytics są wykorzystywane wyłącznie do oceny korzystania z witryny.

Wykorzystywanie danych

Zebrane logi przechowywane są przez czas nieokreślony jako materiał pomocniczy służący do administrowania serwisem. Informacje w nich zawarte nie są ujawniane nikomu poza osobami upoważnionymi do administrowania serwerem oraz siecią Urzędu. Na podstawie plików logów mogą być generowane statystyki stanowiące pomoc w administrowaniu. Zbiorcze podsumowania w postaci takich statystyk nie zawierają żadnych cech identyfikujących osoby odwiedzające serwis.

Mechanizm Cookies na stronach internetowych UODO

Mechanizm Cookies nie jest wykorzystywany do pozyskiwania jakichkolwiek informacji o użytkownikach serwisu ani śledzenia ich nawigacji. Pliki Cookies stosowane w serwisach UODO nie przechowują żadnych danych osobowych ani innych informacji zebranych od użytkowników.

W serwisie uodo.gov.pl okresowo może być wykorzystywany sesyjny plik Cookie o nazwie INFO - do zapisania faktu zapoznania się z wyróżnionymi informacjami. Plik Cookie jest tworzony w celu ograniczania ilości emisji okresowo pojawiających się ogłoszeń. Dzięki zastosowaniu pliku Cookie informacja wyświetla się tylko raz dla jednej sesji użytkownika i nie ukazuje się ponownie po przejściu na kolejną stronę serwisu. Wymieniony wyżej sesyjny plik Cookie, jeśli jest tworzony, to występuje w określonym czasie, i tylko przez czas, w jakim strona jest odwiedzana przez użytkownika. Zamknięcie okna przeglądarki ze stroną serwisu uodo.gov.pl powoduje usunięcie utworzonego pliku.

Odnośniki do innych stron

Serwis Urzędu Ochrony Danych Osobowych zawiera odnośniki do innych stron WWW. Nie możemy ponosić odpowiedzialności za zasady zachowania prywatności obowiązujące na tych stronach. Namawiamy, by po przejściu na inne strony, zapoznać się z polityka prywatności tam ustaloną. Niniejsza polityka prywatności dotyczy tylko serwisów WWW Urzędu Ochrony Danych Osobowych.

Zmiany

W przypadku zmiany obowiązującej polityki prywatności, wprowadzone zostaną odpowiednie modyfikacje do powyższego zapisu.

Copyright
Materiał chroniony prawem autorskim - wszelkie prawa zastrzeżone. Dalsze rozpowszechnianie artykułu za zgodą wydawcy INFOR PL S.A. Kup licencję
Źródło Alerter: UODO - Aktualności
Tematy: karaMinister SprawiedliwościUODOafera hejterska
Powiązane
szkoła, telefon, smartfon, zakaz
UODO popiera ograniczenia telefonów w szkołach. Ostrzega jednak przed naruszeniami prywatności
Weronika Papiernik
oprac. Weronika Papiernik
Redaktorka. W dzienniku pracuje od 2020 roku.
Zobacz wszystkie artykuły tego autoraKara dla Ministra Sprawiedliwości. Chodzi o aferę z 2019 roku »
Zobacz
|
Quiz z polskich seriali
Quiz. Dopasuj postać do polskiego serialu. Wynik 25/25 to mistrzostwo
Kontrola drogowa policji i moment przekazania blankietu prawa jazdy funkcjonariuszowi w odblaskowej kamizelce. Nowe przepisy, punkty karne i utrata uprawnień od 3 czerwca 2026 roku.
"Polecą" prawa jazdy. Rząd zdecydował w ostatniej chwili. Od 3 czerwca zmiana w przepisach
Policja
Zmiana przepisów w ostatniej chwili. Od jutra "polecą" mandaty i prawa jazdy
GAC Aion UT
Polacy kupują zamiast SUV-a. Nowy hit ma 204 KM i wygodne wnętrze. Jaka cena?
Zapisz się na newsletter
Najważniejsze wydarzenia polityczne i społeczne, istotne wiadomości kulturalne, najlepsza rozrywka, pomocne porady i najświeższa prognoza pogody. To wszystko i wiele więcej znajdziesz w newsletterze Dziennik.pl. Trzymamy rękę na pulsie Polski i świata. Zapisz się do naszego newslettera i bądź na bieżąco!

Zapisując się na newsletter wyrażasz zgodę na otrzymywanie treści reklam również podmiotów trzecich

Administratorem danych osobowych jest INFOR PL S.A. Dane są przetwarzane w celu wysyłki newslettera. Po więcej informacji kliknij tutaj