BEZPŁATNY E-BOOK KSeF w usługach prawnych - pytania i odpowiedzi
Zmień język strony
Zmień język strony
Prawo.pl

Prezes UODO nakłada karę na ministra sprawiedliwości za tzw. aferę hejterską

Patrycja Rojek-Socha
Patrycja Rojek-Socha
Wymiar sprawiedliwości
Sędziowie
Aktualności

Prezes UODO Mirosław Wróblewski nałożył administracyjną karę pieniężną na ministra sprawiedliwości po przeprowadzeniu postępowania w tzw. aferze hejterskiej. Dane osobowe sędziów - według prezesa UODO - zostały pozyskane przez osoby, które następnie, wbrew lub mimo braku upoważnienia administratora, samodzielnie decydowały o celach i sposobach ich przetwarzania. Postępowanie wykazało równocześnie, że minister nie wdrożył odpowiednich środków bezpieczeństwa, które uniemożliwiłyby niezgodne z prawem przetwarzanie danych osobowych pozyskanych z zasobów kadrowych MS - poinformował w specjalnym komunikacie UODO.

ministerstwo sprawiedliwosci ms gov pl
Źródło: ms.gov.pl

Stwierdzono również, że administrator nie sprawował należytego nadzoru nad upoważnieniami udzielonymi pracownikom, którzy pozyskane niezgodnie z prawem dane osobowe wykorzystywali do celów politycznych i prywatnych.

 Według doniesień medialnych Onetu z sierpnia 2019, ówczesny wiceszef resortu sprawiedliwości, Łukasz Piebiak, miał należeć do grupy, która prowadziła akcje dyskredytowania sędziów krytykujących zmiany wprowadzane przez rządzącą większość w wymiarze sprawiedliwości. Piebiak podał się wtedy do dymisji, co oznaczało zakończenie delegacji do resortu i powrót do pracy w sądzie, z którego był delegowany. Nie wrócił jednak do pełnienia obowiązków i do 6 czerwca przebywał na "usprawiedliwionej nieobecności". Postępowanie administracyjne zostało wszczęte przez organ nadzorczy w 2019 r., bezpośrednio po zapoznaniu się z doniesieniami medialnymi. Na wezwanie do złożenia wyjaśnień ówczesny minister sprawiedliwości odpowiedział, że „wskutek przeprowadzonego postępowania wyjaśniającego nie stwierdzono wystąpienia” incydentu o charakterze wycieku danych osobowych. Prokuratura wszczęła postępowanie karne w sprawie przekroczenia uprawnień przez funkcjonariuszy publicznych. - Prezes UODO przez wiele lat bezskutecznie usiłował dowiedzieć się, jakie są jej konkretne ustalenia w sprawie. Postępowanie było prowadzone kolejno przez prokuraturę w Lublinie i w Świdnicy, które w odpowiedzi na pisma informowały Prezesa UODO, że „z uwagi na dobro śledztwa” nie jest możliwe przekazanie bliższych informacji dotyczących ich ustaleń - wskazano w komunikacie.

Czytaj: Sejm wybrał 15 sędziów-kandydatów do KRS, w tle zabezpieczenie TK>>

Ustalenia prokuratury

Dopiero w grudniu 2024 r. - jak dodano - Prokuratura Regionalna we Wrocławiu przekazała Prezesowi UODO materiał dowodowy z postępowania przygotowawczego, który okazał się wystarczający do wydania decyzji administracyjnej przez organ nadzorczy. Przekazane informacje potwierdziły, że doszło do naruszenia danych osobowych sędziów przez funkcjonariuszy publicznych. Analiza materiału dowodowego - jak poinformowano - wykazała, że przyczyną naruszenia był przede wszystkim brak wprowadzenia odpowiednich środków technicznych i organizacyjnych przez administratora. Przedmiotem badania legalności przetwarzania danych osobowych przez organ nadzorczy, zgodnie z RODO, mogą być wydarzenia od 25 maja 2018 r. – przed tą datą administrator podjął działania będące źródłem późniejszych operacji przetwarzania danych i mających miejsce już po tej dacie.

Materiał dowodowy udostępniony przez prokuraturę pozwolił Prezesowi UODO określić szczegółowy obraz nieprawidłowości mających miejsce w sprawie tzw. afery hejterskiej.

- Nielegalne działania podejmowane przez funkcjonariuszy publicznych polegały m.in. na korzystaniu z upoważnienia dostępu do informacji z niejawnych akt osobowych sędziów, które następnie przetwarzali w celach osobistych i politycznych. Dane osobowe sędziów przekazywane były osobom nieupoważnionym (innym funkcjonariuszom publicznym, dziennikarzom). Wrażliwe informacje nielegalnie udostępniano również w internecie – na Twitterze (obecnie X) – służyło temu konto, które zostało założone za pośrednictwem adresu IP pochodzącego z puli przypisanej Ministerstwu Sprawiedliwości - czytamy w komunikacie UODO.

 

Prezes UODO stwierdził szereg nieprawidłowości

Prezes Urzędu Ochrony Danych Osobowych zaznaczył, że rozstrzygnięcie organu nadzorczego nie przesądza o braku odpowiedzialności prawnej osób, które faktycznie i bezprawnie dokonały udostępnienia danych osobowych sędziów na rzecz osób nieupoważnionych. W związku z powyższym postępowanie administracyjne prowadzone przez organ nadzorczy objęło przede wszystkim kwestię zapewnienia bezpieczeństwa przetwarzania danych osobowych przez administratora – Ministra Sprawiedliwości.

I przypomina, że zgodnie z RODO administrator jest zobowiązany do wdrożenia odpowiednich środków technicznych i organizacyjnych oraz zapewnienia, że przetwarzanie danych osobowych będzie odbywało się zgodnie z zasadami i literą prawa. Administrator oraz podmiot przetwarzający są oprócz tego zobowiązani do podejmowania działań w celu zapewnienia, że każda osoba, która ma dostęp do danych osobowych, będzie przetwarzała je wyłącznie na polecenie administratora. Jak wykazało postępowanie administracyjne w niniejszej sprawie – doszło do szeregu nieprawidłowości.

- Z materiału dowodowego zebranego w sprawie wynika, że dochodziło do przetwarzania danych osobowych w celu atakowania sędziów wyrażających sprzeciw wobec wprowadzanych przez ówczesny rząd reform w wymiarze sprawiedliwości. Wykazano, że działania dokonywane w ramach operacji przetwarzania były nielegalne – sprawcy naruszeń przetwarzali dane w sposób niezgodny z zakresem pierwotnego upoważnienia. Nie zwalnia to jednak z odpowiedzialności administratora – ministra sprawiedliwości, który odpowiada za kolejne operacje przetwarzania danych osobowych przez upoważnione przez siebie podmioty przetwarzające. Administrator musi bowiem mieć pełną kontrolę nad procesem przetwarzania danych – aby zapobiegać narażaniu na udostępnianie danych osobowych osobom nieupoważnionym [por. wyrok NSA z 4 kwietnia 2003 r. o sygn. II SA 2935/02]. Trybunał Sprawiedliwości w wyroku z 5 grudnia 2023 o sygn. akt C-683/21 wskazał, że administrator jest odpowiedzialny nie tylko za każde przetwarzanie danych, którego sam dokonuje, lecz również za przetwarzanie dokonywane w jego imieniu. Skutkiem zaniechań administratora był szereg naruszeń przepisów RODO. Należy podkreślić, że przedmiotem działań sprawców naruszeń stały się również dane szczególnej kategorii – dotyczące stanu zdrowia sędziów, poglądów politycznych oraz ich przynależności organizacyjnej - uzasadniono.

Administracyjna kara pieniężna

Prezes UODO ocenił również, że za okoliczność o charakterze obciążającym należy uznać fakt, iż sprawcą naruszeń RODO jest konstytucyjny organ państwa: minister sprawiedliwości, podmiot publiczny, który w systemie RP pełni także funkcję prokuratora generalnego, a jako minister odpowiada za szeroki zakres spraw.

Minister sprawiedliwości powinien odznaczać się nie tylko najwyższą znajomością prawa, ale również stać na straży praworządności i dawać gwarancję poszanowania praw oraz wolności osób. Naganność zachowania przypisanego ministrowi sprawiedliwości wzmaga fakt, że organ ten, z racji swoich zadań, powinien działać z uwzględnieniem i na rzecz interesu osób sprawujących funkcję orzeczniczą. Administrator nie przyczynił się w istotnym stopniu do ustalenia stanu faktycznego sprawy. Na wczesnym etapie postępowania wyjaśniającego w 2019 r. minister poinformował, że żaden wyciek danych z jego zbiorów nie nastąpił, co pozostaje w sprzeczności z późniejszymi ustaleniami prokuratury. Postępowanie administratora na początkowym etapie utrudniło Prezesowi UODO przeprowadzenie postępowania w sposób wnikliwy i sprawny - wskazano.

Zdaniem Prezesa UODO wymierzenie w niniejszej sprawie administracyjnej kary pieniężnej było nieuniknione. W ocenie organu nadzorczego jedynie administracyjna kara pieniężna może przyczynić się do przestrzegania przepisów RODO.

Zgodnie z RODO kara może być wymierzona jedynie względem administratora danych osobowych, nie zaś w odniesieniu do osób upoważnionych przez administratora danych osobowych do przetwarzania danych osobowych, a którzy np. naruszyli swoje obowiązki lub uprawnienia. Ukarany administrator może natomiast, w trybie innych przepisów (np. przepisów prawa pracy lub prawa cywilnego), dochodzić względem osób przez niego upoważnionych do przetwarzania danych odpowiedzialności prawnej, w tym np. odpowiedzialności służbowej czy odpowiedzialności odszkodowawczej (regresowej).

 

Autor:
Patrycja Rojek-Socha

Polecamy książki prawnicze

Przejdź do: Oznaczenie stron w sprawach cywilnych, Marcin Dziurda - otwiera się w nowym oknie
NowośćBestseller
Oznaczenie stron DZIURDA rgb
10% Rabatu
Sprawdź
Cena promocyjna: 134,10 zł | Cena regularna: 149,00 zł
Najniższa cena w ostatnich 30 dniach: 119,20 zł
Przejdź do: Kodeks postępowania karnego. Komentarz, Dariusz Świecki - otwiera się w nowym oknie
NowośćBestseller
KPK w7 SWIECKI rgb
10% Rabatu
Sprawdź
Cena promocyjna: 404,10 zł | Cena regularna: 449,00 zł
Najniższa cena w ostatnich 30 dniach: 359,21 zł
Przejdź do: Meritum adwokata i adwokatki, Katarzyna Gajowniczek-Pruszyńska - otwiera się w nowym oknie
NowośćBestseller
meritum aadwokata rgb
10% Rabatu
Sprawdź
Cena promocyjna: 260,11 zł | Cena regularna: 289,00 zł
Najniższa cena w ostatnich 30 dniach: 231,20 zł
Przejdź do: Kodeks cywilny. Komentarz, Małgorzata Balwicka-Szczyrba, Anna Sylwestrzak - otwiera się w nowym oknie
Nowość
KC w2 Sylwestrzak rgb
10% Rabatu
Sprawdź
Cena promocyjna: 341,09 zł | Cena regularna: 379,00 zł
Najniższa cena w ostatnich 30 dniach: 303,20 zł
Przejdź do: Zmiany w prawie spadkowym. Komentarz, Elżbieta Skowrońska-Bocian - otwiera się w nowym oknie
Nowość
Zmiany w prawie spadkowym BOCIAN rgb
0% Rabatu
Sprawdź
Cena regularna: 199,00 zł
Najniższa cena w ostatnich 30 dniach: 139,29 zł