Paweł Litwiński: Jak chroni się dane w sądach? Cóż…

Sprawa byłego sędziego Szmydta zwróciła uwagę opinii publicznej na kwestię dostępu sędziów do informacji niejawnych – i słusznie moim zdaniem, bo sytuacja, w której w stosunku do sędziów nie są stosowane żadne procedury sprawdzające w mojej ocenie wymaga zmiany. Problem polega tylko na tym, że informacje niejawne to tylko wierzchołek góry lodowej znacznie szerszego problemu, jakim jest ochrona informacji i danych osobowych w sądach.

Publikacja: 19.05.2024 17:56

Paweł Litwiński: Jak chroni się dane w sądach? Cóż…

Foto: Fotorzepa

Zima 2020 r. – zapewne ciepła, mamy w końcu postępujące ocieplenie klimatu; Zgierz, miasto nad Bzurą. Kurator sądowy gubi nośnik typu pendrive, niezabezpieczony hasłem, z danymi osobowymi 400 osób objętych nadzorem kuratorskim. W efekcie, Prezes Sądu Rejonowego w Zgierzu został ukarany karą 10.000 zł. przez Prezesa Urzędu Ochrony Danych Osobowych. Lato 2020 r. – zapewne ciepłe, mamy w końcu postępujące ocieplenie klimatu; Szczecin, czyli nad morze już niedaleko. I w takich oto okolicznościach przyrody giną 3 nośniki typu pendrive, niezabezpieczone hasłem, na których znajdowały się projekty orzeczeń i uzasadnień powstałe w ostatnich 16 (!) latach. Kto je zgubił, tego nie wiemy, w końcu mamy ochronę danych osobowych; nie wiemy też, dlaczego ktoś na pendrive trzymał dokumenty służbowe z 16 lat pracy – dość powiedzieć, że Sąd Rejonowy Szczecin-Centrum został w związku z tym ukarany karą 30.000 zł. przez Prezesa UODO. Oczywiście nie muszę dodawać, że kary płatne z budżetu ukaranych sądów do budżetu Państwa. A to tylko dwa przykłady skrajnej niefrasobliwości osób przetwarzających dane osobowe w sądach, zakończone nałożeniem kary finansowej przez Prezesa UODO – a przecież jakże niebezpieczny i także zakończony karą wyciek danych osobowych z Krajowej Szkoły Sądownictwa i Prokuratury też obciąża władzę sądowniczą.

Czytaj więcej

W sądzie zginęły pendrivy z projektami orzeczeń. Jest kara

Obowiązujące w naszym kraju przepisy o ochronie danych osobowych obejmują także sądy i dane przetwarzane w związku ze sprawowaniem wymiaru sprawiedliwości. Nie jest to regulacja jednolita, bo słynne RODO nie znajduje zastosowania do (w pewnym uproszczeniu) danych przetwarzanych w związku z postępowaniami karnymi, gdzie z kolei stosuje się przepisy ustawy o ochronie danych osobowych przetwarzanych w związku z zapobieganiem i zwalczaniem przestępczości. Tym niemniej system prawa ochrony danych osobowych dostrzega to, że w sądach przetwarzane są dane osobowe, często o ogromnym ciężarze gatunkowym: rozwody, przemoc domowa, długi, dobra osobiste to tylko niektóre przykłady spraw, w których informacje zawarte w aktach spraw charakteryzują się ponadprzeciętną wrażliwością, przez co są łakomym kąskiem nie tylko dla mediów, ale i dla obcych służb.

Wynoszenie akt z sądu to standard

Jak więc chroni się dane osobowe przetwarzane w sądach? Cóż… Zacznijmy może od drobnego szczegółu: otóż zgodnie z § 137 Regulaminu urzędowania sądów powszechnych, sędzia – referent może wynieść akta sprawy poza siedzibę sądu, poza aktami rejestrowymi i księgami wieczystymi. „Wynieść poza siedzibę sądu”, czyli po prostu zabrać np. do domu. W sytuacji, gdy powszechną praktyką w sektorze prywatnym jest absolutny zakaz wynoszenia danych osobowych do domu przez pracowników, nasz prawodawca nie ma z tym problemu w stosunku do sędziów. Powiedzmy to jeszcze raz: sędzia – referent może zabrać do domu akta sprawy np. rozwodowej znanego polityka, czy sprawy o zapłatę przeciwko osobie publicznej i nie muszę chyba mówić, jak to wpływa na bezpieczeństwo danych zawartych w tych aktach. Za wyjątkiem sądów administracyjnych, akta spraw nie są też digitalizowane – a gdyby były, nie byłoby potrzeby wynoszenia ich w formie papierowej.

W sytuacji, gdy powszechną praktyką – także w sektorze publicznym – jest upoważnianie konkretnych pracowników do przetwarzania konkretnych danych osobowych, sędziowie nie są w żaden sposób upoważniani do przetwarzania danych osobowych zawartych w aktach spraw. Przyjmuje się bowiem, w ślad za wyrokiem NSA z 21.12.2006 r. (I OSK 1279/05) wydanym w odniesieniu do prokuratorów, że sędziowie z racji sprawowanego urzędu są upoważnieni do dostępu do danych osobowych i nie muszą „mieć odrębnego upoważnienia do dostępu do danych osobowych”. Oczywiście przepisy o ochronie danych osobowych nie mogą być wykorzystywane do tego, żeby nadając sędziemu i ew. odbierając mu (albo grożąc odebraniem) uprawnienie do dostępu do danych osobowych wpływać na możliwość sprawowania urzędu przez tego sędziego – bo przecież bez dostępu do akt sądzić się nie da. Tym niemniej wydaje się, że brak jakiejkolwiek kontroli nad przetwarzaniem danych osobowych przez sędziów w związku ze sprawowaniem przez nich wymiaru sprawiedliwości także nie jest sytuacją pożądaną.

Czytaj więcej

Sąd: kurator zgubił dane osobowe, ale odpowiada prezes sądu

Przetwarzanie danych osobowych nadzoruje KRS 

Wreszcie nadzór nad przetwarzaniem danych osobowych przez sądy: w zakresie niezwiązanym ze sprawowaniem wymiaru sprawiedliwości jest to nadzór sprawowany na zasadach ogólnych przez Prezesa UODO; jednakże wtedy, gdy przetwarzanie danych osobowych wchodzi w zakres sprawowania wymiaru sprawiedliwości, nadzór nad przetwarzaniem danych osobowych w zakresie działalności sądu rejonowego sprawuje prezes sądu okręgowego, okręgowego - prezes sądu apelacyjnego, zaś apelacyjnego - Krajowa Rada Sądownictwa. Takie rozwiązanie znów, jak należy założyć, służy zapewnieniu niezawisłości sędziowskiej i wykluczeniu sytuacji, w której przepisami o ochronie danych osobowych próbuje się ograniczyć niezawisłość sędziowską. Ale czy prezesi sądu okręgowego i apelacyjnego oraz KRS mają wiedzę specjalistyczną niezbędną do efektywnego sprawowania nadzoru? Czy sami są w pełni niezależni tak, jak niezależny być musi krajowy organ nadzorczy? Śmiem wątpić. I czy wreszcie są wyposażeni w jakiekolwiek efektywne środki nadzorcze, skoro Prawo o ustroju sądów powszechnych przyznaje im prawo do wydawania ostrzeżeń, udzielania upomnień i wzywania do dostosowania przetwarzania danych do przepisów prawa? Tu już chyba nie ma żadnych wątpliwości, że sprawowany w ten sposób nadzór żadnym nadzorem nie jest.

Wyważenie niezawisłości sędziowskiej z zapewnieniem ochrony danych osobowych przetwarzanych w sądach łatwe nie jest. Wręcz przeciwnie, bardzo prosto można popaść w jedną ze skrajności: można albo widzieć wyłącznie niezawisłość sędziowską jako wartość absolutną i w jej imię zrezygnować z nadzoru nad ochroną danych osobowych przetwarzanych w związku ze sprawowaniem wymiaru sprawiedliwości, albo przeciwnie, na ołtarzu bezpieczeństwa informacji można poświęcić niezależność trzeciej władzy. I tak źle, i tak niedobrze. Ale skoro już dzięki działalności byłego sędziego Szmydta rozmawiamy o bezpieczeństwie informacji niejawnych w sądach, porozmawiajmy też o ochronie danych osobowych i spróbujmy przemyśleć na nowo obowiązujący od 6 lat model.

dr Paweł Litwiński, adwokat, partner w Barta Litwiński Kancelaria Radców Prawnych i Adwokatów sp.p.

Zima 2020 r. – zapewne ciepła, mamy w końcu postępujące ocieplenie klimatu; Zgierz, miasto nad Bzurą. Kurator sądowy gubi nośnik typu pendrive, niezabezpieczony hasłem, z danymi osobowymi 400 osób objętych nadzorem kuratorskim. W efekcie, Prezes Sądu Rejonowego w Zgierzu został ukarany karą 10.000 zł. przez Prezesa Urzędu Ochrony Danych Osobowych. Lato 2020 r. – zapewne ciepłe, mamy w końcu postępujące ocieplenie klimatu; Szczecin, czyli nad morze już niedaleko. I w takich oto okolicznościach przyrody giną 3 nośniki typu pendrive, niezabezpieczone hasłem, na których znajdowały się projekty orzeczeń i uzasadnień powstałe w ostatnich 16 (!) latach. Kto je zgubił, tego nie wiemy, w końcu mamy ochronę danych osobowych; nie wiemy też, dlaczego ktoś na pendrive trzymał dokumenty służbowe z 16 lat pracy – dość powiedzieć, że Sąd Rejonowy Szczecin-Centrum został w związku z tym ukarany karą 30.000 zł. przez Prezesa UODO. Oczywiście nie muszę dodawać, że kary płatne z budżetu ukaranych sądów do budżetu Państwa. A to tylko dwa przykłady skrajnej niefrasobliwości osób przetwarzających dane osobowe w sądach, zakończone nałożeniem kary finansowej przez Prezesa UODO – a przecież jakże niebezpieczny i także zakończony karą wyciek danych osobowych z Krajowej Szkoły Sądownictwa i Prokuratury też obciąża władzę sądowniczą.

Pozostało 81% artykułu
2 / 3
artykułów
Czytaj dalej. Subskrybuj
Opinie Prawne
Robert Gwiazdowski: Apteka jednak dla aptekarza, a nie pacjenta. Czyli niech żyje praworządność
Materiał Promocyjny
Naszą siłą jest różnorodność
Opinie Prawne
Tomasz Pietryga: Szybki rozwód, znak naszych czasów. Tylko czy to dobrze?
Opinie Prawne
Tomasz Pietryga: Sprawiedliwość kopiuj-wklej
Opinie Prawne
Terentiew: PiS pozbawił myśliwych samorządności, nowy rząd chce upaństwowić
Akcje Specjalne
Dekarbonizacja gospodarki bez wodoru będzie bardzo trudna
Opinie Prawne
Isański: Dlaczego sprawy podatkowe zwykłych obywateli są zbyt trudne dla NSA
Materiał Promocyjny
Sztuczna inteligencja może być wykorzystywana w każdej branży