Zima 2020 r. – zapewne ciepła, mamy w końcu postępujące ocieplenie klimatu; Zgierz, miasto nad Bzurą. Kurator sądowy gubi nośnik typu pendrive, niezabezpieczony hasłem, z danymi osobowymi 400 osób objętych nadzorem kuratorskim. W efekcie, Prezes Sądu Rejonowego w Zgierzu został ukarany karą 10.000 zł. przez Prezesa Urzędu Ochrony Danych Osobowych. Lato 2020 r. – zapewne ciepłe, mamy w końcu postępujące ocieplenie klimatu; Szczecin, czyli nad morze już niedaleko. I w takich oto okolicznościach przyrody giną 3 nośniki typu pendrive, niezabezpieczone hasłem, na których znajdowały się projekty orzeczeń i uzasadnień powstałe w ostatnich 16 (!) latach. Kto je zgubił, tego nie wiemy, w końcu mamy ochronę danych osobowych; nie wiemy też, dlaczego ktoś na pendrive trzymał dokumenty służbowe z 16 lat pracy – dość powiedzieć, że Sąd Rejonowy Szczecin-Centrum został w związku z tym ukarany karą 30.000 zł. przez Prezesa UODO. Oczywiście nie muszę dodawać, że kary płatne z budżetu ukaranych sądów do budżetu Państwa. A to tylko dwa przykłady skrajnej niefrasobliwości osób przetwarzających dane osobowe w sądach, zakończone nałożeniem kary finansowej przez Prezesa UODO – a przecież jakże niebezpieczny i także zakończony karą wyciek danych osobowych z Krajowej Szkoły Sądownictwa i Prokuratury też obciąża władzę sądowniczą.
Czytaj więcej
Urząd Ochrony Danych Osobowych nałożył na Sąd Rejonowy Szczecin-Centrum w Szczecinie administracyjną karę pieniężną w wysokości 30 tys. zł za niewd...
Obowiązujące w naszym kraju przepisy o ochronie danych osobowych obejmują także sądy i dane przetwarzane w związku ze sprawowaniem wymiaru sprawiedliwości. Nie jest to regulacja jednolita, bo słynne RODO nie znajduje zastosowania do (w pewnym uproszczeniu) danych przetwarzanych w związku z postępowaniami karnymi, gdzie z kolei stosuje się przepisy ustawy o ochronie danych osobowych przetwarzanych w związku z zapobieganiem i zwalczaniem przestępczości. Tym niemniej system prawa ochrony danych osobowych dostrzega to, że w sądach przetwarzane są dane osobowe, często o ogromnym ciężarze gatunkowym: rozwody, przemoc domowa, długi, dobra osobiste to tylko niektóre przykłady spraw, w których informacje zawarte w aktach spraw charakteryzują się ponadprzeciętną wrażliwością, przez co są łakomym kąskiem nie tylko dla mediów, ale i dla obcych służb.
Wynoszenie akt z sądu to standard
Jak więc chroni się dane osobowe przetwarzane w sądach? Cóż… Zacznijmy może od drobnego szczegółu: otóż zgodnie z § 137 Regulaminu urzędowania sądów powszechnych, sędzia – referent może wynieść akta sprawy poza siedzibę sądu, poza aktami rejestrowymi i księgami wieczystymi. „Wynieść poza siedzibę sądu”, czyli po prostu zabrać np. do domu. W sytuacji, gdy powszechną praktyką w sektorze prywatnym jest absolutny zakaz wynoszenia danych osobowych do domu przez pracowników, nasz prawodawca nie ma z tym problemu w stosunku do sędziów. Powiedzmy to jeszcze raz: sędzia – referent może zabrać do domu akta sprawy np. rozwodowej znanego polityka, czy sprawy o zapłatę przeciwko osobie publicznej i nie muszę chyba mówić, jak to wpływa na bezpieczeństwo danych zawartych w tych aktach. Za wyjątkiem sądów administracyjnych, akta spraw nie są też digitalizowane – a gdyby były, nie byłoby potrzeby wynoszenia ich w formie papierowej.
W sytuacji, gdy powszechną praktyką – także w sektorze publicznym – jest upoważnianie konkretnych pracowników do przetwarzania konkretnych danych osobowych, sędziowie nie są w żaden sposób upoważniani do przetwarzania danych osobowych zawartych w aktach spraw. Przyjmuje się bowiem, w ślad za wyrokiem NSA z 21.12.2006 r. (I OSK 1279/05) wydanym w odniesieniu do prokuratorów, że sędziowie z racji sprawowanego urzędu są upoważnieni do dostępu do danych osobowych i nie muszą „mieć odrębnego upoważnienia do dostępu do danych osobowych”. Oczywiście przepisy o ochronie danych osobowych nie mogą być wykorzystywane do tego, żeby nadając sędziemu i ew. odbierając mu (albo grożąc odebraniem) uprawnienie do dostępu do danych osobowych wpływać na możliwość sprawowania urzędu przez tego sędziego – bo przecież bez dostępu do akt sądzić się nie da. Tym niemniej wydaje się, że brak jakiejkolwiek kontroli nad przetwarzaniem danych osobowych przez sędziów w związku ze sprawowaniem przez nich wymiaru sprawiedliwości także nie jest sytuacją pożądaną.
Czytaj więcej
Ograniczenie się przez administratora tylko do szkolenia dla pracowników, pomijając przy tym zastosowanie zabezpieczeń technicznych, nie może być u...
Przetwarzanie danych osobowych nadzoruje KRS
Wreszcie nadzór nad przetwarzaniem danych osobowych przez sądy: w zakresie niezwiązanym ze sprawowaniem wymiaru sprawiedliwości jest to nadzór sprawowany na zasadach ogólnych przez Prezesa UODO; jednakże wtedy, gdy przetwarzanie danych osobowych wchodzi w zakres sprawowania wymiaru sprawiedliwości, nadzór nad przetwarzaniem danych osobowych w zakresie działalności sądu rejonowego sprawuje prezes sądu okręgowego, okręgowego - prezes sądu apelacyjnego, zaś apelacyjnego - Krajowa Rada Sądownictwa. Takie rozwiązanie znów, jak należy założyć, służy zapewnieniu niezawisłości sędziowskiej i wykluczeniu sytuacji, w której przepisami o ochronie danych osobowych próbuje się ograniczyć niezawisłość sędziowską. Ale czy prezesi sądu okręgowego i apelacyjnego oraz KRS mają wiedzę specjalistyczną niezbędną do efektywnego sprawowania nadzoru? Czy sami są w pełni niezależni tak, jak niezależny być musi krajowy organ nadzorczy? Śmiem wątpić. I czy wreszcie są wyposażeni w jakiekolwiek efektywne środki nadzorcze, skoro Prawo o ustroju sądów powszechnych przyznaje im prawo do wydawania ostrzeżeń, udzielania upomnień i wzywania do dostosowania przetwarzania danych do przepisów prawa? Tu już chyba nie ma żadnych wątpliwości, że sprawowany w ten sposób nadzór żadnym nadzorem nie jest.
Wyważenie niezawisłości sędziowskiej z zapewnieniem ochrony danych osobowych przetwarzanych w sądach łatwe nie jest. Wręcz przeciwnie, bardzo prosto można popaść w jedną ze skrajności: można albo widzieć wyłącznie niezawisłość sędziowską jako wartość absolutną i w jej imię zrezygnować z nadzoru nad ochroną danych osobowych przetwarzanych w związku ze sprawowaniem wymiaru sprawiedliwości, albo przeciwnie, na ołtarzu bezpieczeństwa informacji można poświęcić niezależność trzeciej władzy. I tak źle, i tak niedobrze. Ale skoro już dzięki działalności byłego sędziego Szmydta rozmawiamy o bezpieczeństwie informacji niejawnych w sądach, porozmawiajmy też o ochronie danych osobowych i spróbujmy przemyśleć na nowo obowiązujący od 6 lat model.
dr Paweł Litwiński, adwokat, partner w Barta Litwiński Kancelaria Radców Prawnych i Adwokatów sp.p.
