Sprawa dotyczy Sądu Rejonowego Lublin-Zachód. Jego prezes wraz z dyrektorem zgłosili Prezesowi UODO naruszenie ochrony danych osobowych w odpowiedzi na wniosek o udzielenie dostępu do informacji publicznej. Wniosek obejmował udostępnienie danych sędziów wraz z danymi lekarzy i psychologów, którzy dopuszczali sędziów do wykonywania zawodu. Sąd wysłał wnioskodawcy o wiele więcej. Plik arkusza kalkulacyjnego zawierał bowiem dodatkowe arkusze, z danymi o szerszym zakresie. Zawierały oznaczeniu wydziału, w którym sędzia pracuje, jego PESEL, adresach zamieszkania lub pobytu sędziów, a także daty ich urodzenia oraz ich powołania na urząd sędziego.
Sąd na bakier z procedurami ochrony danych osobowych
Prezes UODO postanowił zbadać, jak w sądzie przestrzegane są przepisy o ochronie danych osobowych. Na jego polecenie została przeprowadzona kontrola, której rezultatem było wszczęcie postępowania administracyjnego z powodu stwierdzonych w nieprawidłowości.
Czytaj więcej
Wojewódzki Sąd Administracyjny w Warszawie podtrzymał decyzję Prezesa UODO w sprawie kary nałożonej na przedsiębiorstwo pogrzebowe, które zgubiło w...
Jak ustalili kontrolerzy, w sądzie nie przeprowadzano regularnego testowania, mierzenia i oceniania środków bezpieczeństwa przetwarzania danych osobowych. Skutek był taki, że długo nie było tam żadnej polityki ochrony danych ani procedury udzielania odpowiedzi na wnioski o dostęp do informacji publicznej i anonimizacji takiej informacji. Wdrożono wprawdzie politykę dotyczącą sfery rachunkowości i kadr, ale nie obejmowała ona zasad ochrony danych osobowych w zakresie odnoszącym się do całokształtu działań sądu, w tym udzielania informacji publicznej. Taką politykę, o treści odpowiadającej aktualnym wymogom prawnym, wdrożono dopiero na krótko przed wydaniem przez Prezesa UODO ostatecznej decyzji.
Okazało się też, że w sądzie zwlekano z przeprowadzeniem analizy ryzyka związanego z przetwarzaniem danych. Gdy już ją przeprowadzono, to nie spełniała wymogów RODO.
Czytaj więcej
Sam numer telefonu przekazany bez żadnych innych danych i wykorzystany do akcji telemarketingowej nie jest daną osobową.
Dzięki podjętym staraniom, prezes i dyrektor sądu uniknęli kary
Prezes UODO nakazał w decyzji prezesowi i dyrektorowi sądu dostosowanie operacji przetwarzania do rozporządzenia ogólnego o ochronie danych poprzez regularne testowanie, mierzenie i ocenianie środków służących bezpieczeństwu przetwarzania, a także poprzez przeprowadzenie prawidłowo analizy ryzyka dla przetwarzania danych w sądzie.
Dlaczego ich nie ukarał? Uznał, że ze względu na poczynione przez prezesa i dyrektora sądu starania i podjęte w końcu działania, wystarczającym środkiem sankcyjnym jest udzielenie upomnień.
