Zima 2020 r. – zapewne ciepła, mamy w końcu postępujące ocieplenie klimatu; Zgierz, miasto nad Bzurą. Kurator sądowy gubi nośnik typu pendrive, niezabezpieczony hasłem, z danymi osobowymi 400 osób objętych nadzorem kuratorskim. W efekcie, Prezes Sądu Rejonowego w Zgierzu został ukarany karą 10.000 zł. przez Prezesa Urzędu Ochrony Danych Osobowych. Lato 2020 r. – zapewne ciepłe, mamy w końcu postępujące ocieplenie klimatu; Szczecin, czyli nad morze już niedaleko. I w takich oto okolicznościach przyrody giną 3 nośniki typu pendrive, niezabezpieczone hasłem, na których znajdowały się projekty orzeczeń i uzasadnień powstałe w ostatnich 16 (!) latach. Kto je zgubił, tego nie wiemy, w końcu mamy ochronę danych osobowych; nie wiemy też, dlaczego ktoś na pendrive trzymał dokumenty służbowe z 16 lat pracy – dość powiedzieć, że Sąd Rejonowy Szczecin-Centrum został w związku z tym ukarany karą 30.000 zł. przez Prezesa UODO. Oczywiście nie muszę dodawać, że kary płatne z budżetu ukaranych sądów do budżetu Państwa. A to tylko dwa przykłady skrajnej niefrasobliwości osób przetwarzających dane osobowe w sądach, zakończone nałożeniem kary finansowej przez Prezesa UODO – a przecież jakże niebezpieczny i także zakończony karą wyciek danych osobowych z Krajowej Szkoły Sądownictwa i Prokuratury też obciąża władzę sądowniczą.
Czytaj więcej
Urząd Ochrony Danych Osobowych nałożył na Sąd Rejonowy Szczecin-Centrum w Szczecinie administracyjną karę pieniężną w wysokości 30 tys. zł za niewdrożenie przez administratora środków bezpieczeństwa adekwatnych do zagrożeń, które mogą się pojawić przy przetwarzaniu danych przy użyciu przenośnych pamięci.
Obowiązujące w naszym kraju przepisy o ochronie danych osobowych obejmują także sądy i dane przetwarzane w związku ze sprawowaniem wymiaru sprawiedliwości. Nie jest to regulacja jednolita, bo słynne RODO nie znajduje zastosowania do (w pewnym uproszczeniu) danych przetwarzanych w związku z postępowaniami karnymi, gdzie z kolei stosuje się przepisy ustawy o ochronie danych osobowych przetwarzanych w związku z zapobieganiem i zwalczaniem przestępczości. Tym niemniej system prawa ochrony danych osobowych dostrzega to, że w sądach przetwarzane są dane osobowe, często o ogromnym ciężarze gatunkowym: rozwody, przemoc domowa, długi, dobra osobiste to tylko niektóre przykłady spraw, w których informacje zawarte w aktach spraw charakteryzują się ponadprzeciętną wrażliwością, przez co są łakomym kąskiem nie tylko dla mediów, ale i dla obcych służb.
Wynoszenie akt z sądu to standard
Jak więc chroni się dane osobowe przetwarzane w sądach? Cóż… Zacznijmy może od drobnego szczegółu: otóż zgodnie z § 137 Regulaminu urzędowania sądów powszechnych, sędzia – referent może wynieść akta sprawy poza siedzibę sądu, poza aktami rejestrowymi i księgami wieczystymi. „Wynieść poza siedzibę sądu”, czyli po prostu zabrać np. do domu. W sytuacji, gdy powszechną praktyką w sektorze prywatnym jest absolutny zakaz wynoszenia danych osobowych do domu przez pracowników, nasz prawodawca nie ma z tym problemu w stosunku do sędziów. Powiedzmy to jeszcze raz: sędzia – referent może zabrać do domu akta sprawy np. rozwodowej znanego polityka, czy sprawy o zapłatę przeciwko osobie publicznej i nie muszę chyba mówić, jak to wpływa na bezpieczeństwo danych zawartych w tych aktach. Za wyjątkiem sądów administracyjnych, akta spraw nie są też digitalizowane – a gdyby były, nie byłoby potrzeby wynoszenia ich w formie papierowej.
W sytuacji, gdy powszechną praktyką – także w sektorze publicznym – jest upoważnianie konkretnych pracowników do przetwarzania konkretnych danych osobowych, sędziowie nie są w żaden sposób upoważniani do przetwarzania danych osobowych zawartych w aktach spraw. Przyjmuje się bowiem, w ślad za wyrokiem NSA z 21.12.2006 r. (I OSK 1279/05) wydanym w odniesieniu do prokuratorów, że sędziowie z racji sprawowanego urzędu są upoważnieni do dostępu do danych osobowych i nie muszą „mieć odrębnego upoważnienia do dostępu do danych osobowych”. Oczywiście przepisy o ochronie danych osobowych nie mogą być wykorzystywane do tego, żeby nadając sędziemu i ew. odbierając mu (albo grożąc odebraniem) uprawnienie do dostępu do danych osobowych wpływać na możliwość sprawowania urzędu przez tego sędziego – bo przecież bez dostępu do akt sądzić się nie da. Tym niemniej wydaje się, że brak jakiejkolwiek kontroli nad przetwarzaniem danych osobowych przez sędziów w związku ze sprawowaniem przez nich wymiaru sprawiedliwości także nie jest sytuacją pożądaną.
