Nieprawidłowości zostały ujawnione w związku z naruszeniem ochrony danych, które wystąpiło przy okazji realizacji prawa dostępu do informacji publicznej, gdy sąd udostępnił nadmiarowe dane osobowe, przesyłając wnioskodawcy plik arkusza kalkulacyjnego. Tym razem skończyło się na udzieleniu upomnienia prezesowi i dyrektorowi sądu oraz nakazie wdrożenia odpowiednich środków technicznych i organizacyjnych w celu zminimalizowania ryzyka wiążącego się z przetwarzaniem danych osobowych.

Czytaj: 10 tys. kary dla sądu, bo niedostatecznie chronił dane osobowe>>

Prezes i dyrektor zgłosili naruszenie

Prezes sądu oraz dyrektor sądu zgłosili prezesowi UODO naruszenie ochrony danych osobowych, które nastąpiło w związku z realizacją wniosku o udzielenie dostępu do informacji publicznej. Wniosek obejmował udostępnienie danych sędziów wraz z danymi lekarzy i psychologów, którzy dopuszczali sędziów do wykonywania zawodu. Sąd udzielił informacji publicznej, przesyłając wnioskodawcy plik arkusza kalkulacyjnego zawierający dane osobowe wykraczające poza zakres wniosku o udzielenie informacji, bowiem plik ten zawierał dodatkowe arkusze z danymi o szerszym zakresie. Nadmiarowość udostępnienia danych i zarazem naruszenie ich ochrony sprowadziło się do przesłania informacji o: oznaczeniu wydziału, w którym sędzia pracuje, PESEL, adresach zamieszkania lub pobytu sędziów, a także datach ich urodzenia oraz ich powołania.

Zgłoszenie naruszenia ochrony danych stanowiło - jak poinformował prezes UODO - impuls do zbadania, jak w sądzie przestrzegane są przepisy o ochronie danych osobowych. Skutkowało to przeprowadzeniem kontroli, w rezultacie której wszczęto postępowanie administracyjne z powodu stwierdzonych w toku ww. kontroli nieprawidłowości w zakresie przestrzegania przepisów rozporządzenia ogólnego o ochronie danych osobowych.

Brakowało polityki ochrony danych

W toku kontroli i postępowania prezes UODO ustalił, że w sądzie nie przeprowadzano regularnego testowania, mierzenia i oceniania środków bezpieczeństwa przetwarzania. W wyniku powyższego w sądzie długo nie było wdrożonej polityki ochrony danych odpowiadającej aktualnym wymogom prawnym, tj. przepisom rozporządzenia ogólnego, w tym także procedury udzielania odpowiedzi na wnioski o dostęp do informacji publicznej i anonimizacji takiej informacji. W sądzie wdrożono wprawdzie politykę dotyczącą sfery rachunkowości i kadr, ale nie obejmowała ona zasad ochrony danych osobowych w zakresie odnoszącym się do całokształtu działań sądu, w tym również w zakresie udzielania informacji publicznej.

Jak dodano, wdrożenie polityki ochrony danych o treści odpowiadającej aktualnym wymogom prawnym nastąpiło dopiero na krótko przed wydaniem przez prezesa UODO ostatecznej decyzji.

W toku kontroli prezesa UODO, a następnie postępowania administracyjnego okazało się też, że w sądzie długo nie przeprowadzano analizy ryzyka związanego z przetwarzaniem danych, następnie zaś, po jej przeprowadzeniu, okazało się, że nie spełnia ona wymogów przepisów rozporządzenia ogólnego o ochronie danych osobowych (RODO). W tej sytuacji prezes UODO nakazał w decyzji prezesowi i dyrektorowi sądu dostosowanie operacji przetwarzania do rozporządzenia ogólnego o ochronie danych poprzez regularne testowanie, mierzenie i ocenianie środków służących bezpieczeństwu przetwarzania, a także poprzez przeprowadzenie prawidłowej analizy ryzyka dla przetwarzania danych w sądzie.

Prezes UODO uznał, że ze względu na poczynione starania prezesa i dyrektora sądu w zakresie wdrożonej polityki ochrony danych, a także podjęte działania celem przeprowadzenia analizy ryzyka, wystarczającym środkiem sankcyjnym jest udzielenie prezesowi sądu oraz dyrektorowi sądu upomnień.