Po serii publikacji Onetu o tzw. farmie trolli i zorganizowanym procederze oczerniania niektórych sędziów prezes Urzędu Ochrony Danych Osobowych Jan Nowak wszczął z urzędu postępowanie i zażądał wyjaśnień od Ministerstwa Sprawiedliwości i Krajowej Rady Sądownictwa. Jak dowiedział się DGP, żadne z dotychczas otrzymanych nie były satysfakcjonujące. Dlatego UODO już po raz trzeci zwrócił się do MS o wyjaśnienia.
– Z uwagi na fakt, iż w piśmie z MS nie było odpowiedzi na wszystkie kwestie, które zaniepokoiły prezesa UODO, zostało wysłane kolejne pismo. Odpowiedź na nie wpłynęła do UODO 4 września 2019 r. Po jej analizie prezes UODO zwrócił się do MS o dalsze wyjaśnienia – mówi Adam Sanocki, rzecznik prasowy UODO.
Obydwie instytucje w swych pierwszych odpowiedziach oświadczyły, że nie ma żadnych przesłanek, by stwierdzić, że to w nich doszło do wycieku danych. Pierwsza odpowiedź MS była nadzwyczaj lakoniczna. W dwóch zdaniach sekretarz stanu Michał Wójcik oznajmił, że wszczęto działania wyjaśniające, jednak nie ma żadnych dowodów, by to z MS pochodziły informacje na temat sędziów. Prezes UODO zażądał dodatkowych informacji i uściślenia, na czym polegają „działania wyjaśniające”, w tym również kto je prowadzi, w jakim trybie i co już ustalono. W drugim pytaniu poprosił o wskazanie, czy w MS są gromadzone dane sędziów, a jeśli tak, to komu i w jakim zakresie są udostępniane.
Reklama

Kto miał dostęp?

Druga odpowiedź MS była już bardziej rozbudowana. Wynika z niej, że w ramach wyjaśnienia sprawy przeprowadzono rozmowy z pracownikami resortu na temat możliwości wycieku danych.
„Z udzielonych wyjaśnień wynika, że do chwili obecnej nie stwierdzono wystąpienia incydentu o takim charakterze. Dotyczy to zarówno danych przetwarzanych w formie papierowej, jak również nie stwierdzono wycieku danych z systemów teleinformatycznych resortu” – napisano w piśmie podpisanym tym razem przez inspektora ochrony danych MS.
Jednocześnie przyznano w nim jednak, że departament kadr i organizacji sądów powszechnych i wojskowych w Ministerstwie Sprawiedliwości posiada zbiory dokumentów dotyczących wszystkich sędziów sądów powszechnych. Dokumentacja ta jest zabezpieczona i wydawana wyłącznie pracownikom tego departamentu, ale również kierownictwu MS. Osoby te muszą posiadać aktualne upoważnienie do przetwarzania danych osobowych.
Jak wynika z tego samego pisma, wiceminister Łukasz Piebiak, który złożył dymisję po publikacji obciążających go materiałów prasowych, miał upoważnienie do przetwarzania danych osobowych.
„W ramach pełnionej funkcji uprawniony był do przetwarzania danych kadrowych sędziów, a także posiadał stosowne upoważnienie do przetwarzania danych osobowych” – napisano w piśmie do UODO.
Ministerstwo nie informuje, czy sprawdzono, do jakich danych miał dostęp Łukasz Piebiak. Z wyjaśnień resortu nie wynika nawet, czy taka weryfikacja jest możliwa. Powinna być. Przy tego typu informacjach (MS potwierdza, że w archiwum departamentu kadr są gromadzone również dane wrażliwe) należy prowadzić rejestr i odnotowywać w nim, kto, jakiego dnia, o której godzinie otrzymywał teczkę danego sędziego. Choć żaden przepis nie wymaga wprost prowadzenia takiego rejestru, to obowiązek ten można wyczytać z zasady rozliczalności wprowadzonej przez RODO (patrz: grafika). Mówiąc w uproszczeniu – administrator, który chce wykazać, że przestrzega zasad ochrony danych osobowych, musi to umieć udowodnić. A takim dowodem mógłby być wspomniany rejestr dostępu do danych.
Zapytaliśmy wczoraj MS, czy prowadzi taki rejestr, ale nie uzyskaliśmy odpowiedzi. Już sam jego brak mógłby zostać uznany przez UODO za naruszenie zasad RODO w przypadku ewentualnej kontroli.

Dodatkowe wątpliwości

Prezes UODO uznał drugie wyjaśnienia za niewystarczające i wystosował trzecie pismo. Pyta w nim m.in. o to, czy inspektor ochrony danych udzielający wcześniejszej odpowiedzi jest do tego upoważniony. Interesuje go również postępowanie wyjaśniające prokuratury prowadzone w tej sprawie i to, czy objęto nim również prawdopodobieństwo naruszenia ochrony danych.
Do KRS również wystosowano dodatkowe pytania. Prezesa UODO interesuje, czy podjęto kroki zmierzające do potwierdzenia możliwości wycieku danych, a jeśli tak, to jakie konkretnie. Chce również doprecyzowania, czy KRS posiada jedynie dane adresowe sędziów i czy rzeczywiście nie przetwarza żadnych innych. Dotyczy to fragmentu pisma otrzymanego wcześniej z rady, w którym zaznaczono, że „KRS nie odnotowała naruszenia ochrony danych osobowych w swoich zasobach. Ponadto informacje podawane przez media w przeważającej mierze miały charakter prywatny, a ich kategorie pozostawały poza obszarem właściwości przetwarzania przez Radę. Natomiast dane teleadresowe, o których traktuje publikacja portalu Onet, są dostępne dla wielu podmiotów zarówno publicznych, jak i prywatnych – dotyczą sędziów rozpoznawalnych zarówno w środowisku, ale również udzielających się publicznie i medialnie”.
UODO czeka na dodatkowe wyjaśnienia.
– Kolejne działania będą uwarunkowane treścią uzyskanych materiałów i dowodów oraz wynikami ich analizy. Będą one realizowane w ramach procedur przewidzianych w kodeksie postępowania administracyjnego i w zakresie uprawnień, jakie przysługują prezesowi UODO na podstawie przepisów o ochronie danych osobowych – wyjaśnia Adam Sanocki.
Eksperci zwracają uwagę, że w tej chwili głównym zadaniem organu ochrony danych jest ustalenie, co naprawdę się wydarzyło.
– Jeśli wiadomo, że pewne informacje o sędziach, a nawet ich rodzinach były przekazywane osobie, która nie powinna mieć do nich dostępu, to trzeba wyjaśnić, skąd one pochodziły i w jaki sposób zostały przekazane. Skoro zarówno MS, jak i KRS twierdzą, że nie stwierdziły wycieku danych, to prezes UODO powinien kontynuować czynności i dążyć do wyjaśnienia stanu faktycznego – analizuje dr Grzegorz Sibiga z Instytutu Nauk Prawnych PAN.
– Organ ochrony danych dysponuje instrumentami, które mogą pomóc w wyjaśnieniu tej sprawy. Może nie tylko przeprowadzić inspekcję w MS czy KRS i poprosić o wydanie wszystkich potrzebnych informacji, lecz także wezwać na świadków osoby, które mogą posiadać ważne informacje, w tym również te, które wskazywane są jako ich źródła – dodaje prawnik.