KRS stwierdziła naruszenie ochrony danych osobowych

14.11.2021

Jako pierwsi publikujemy pełną treść Uchwały Krajowej Rady Sądownictwa z października 2021 r. dotyczącą naruszenia ochrony danych osobowych.

Podstawą wydawania przedmiotowej uchwały przez KRS jest zarówno ustawa o KRS (art. 3 ust. 2 pkt. 10) jak i Prawo ustroju o sądach powszechnych (art. 175dd § 1 pkt 3 oraz art. 175dd § 3 pkt 6).

Zgodnie z treścią Uchwały KRS przeprowadził postępowanie w przedmiocie przetwarzania danych osobowych przez pewien Sąd Apelacyjny i stwierdził:

“naruszenie w dniach od 14 do 21 października 2021 r. przez Sąd Apelacyjny w Gdańsku jako administratora danych osobowych przepisów art. 5 ust. 1 lit. a) lit. b) lit. c), art. 6 ust. 1 lit. e) i ust. 3, art. 9 ust. 1, art. 25 ust. 2 i art. 33 ust. 1 rozporządzenia Parlamentu Europejskiego i Rady UE 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) (Dz. Urz. UE L 119 z 04.05.2016, str. 1 ze zm.), zwanego dalej RODO w zw. z art. 175db USP i art. l75a § 1 pkt 1 USP polegające na:

1) naruszeniu ochrony danych osobowych przez nieuprawnione przetwarzanie i nieuprawnione ujawnianie danych osobowych X.Z. i Y.W.

2) zaniechaniu wykonania obowiązku administratora zgłoszenia naruszenia danych osobowych Krajowej Radzie Sądownictwa jako organowi nadzorczemu”

Zanim jednak przejdziemy do stanu faktycznego, który według KRS doprowadził do powyżej opisanego naruszenia warto wskazać rozważania tego podmiotu w zakresie samego uprawnienia do wydania takiej uchwały.

Krajowa Rada Sądownictwa zauważa, że:

“Krajowa Rada Sądownictwa w oparciu o przepis art. 3 ust. 2 pkt. 10 ustawy z dnia 12 maja 2011 r. o Krajowej Radzie Sądownictwa oraz art. 175dd § 1 pkt 3 UPS sprawuje nadzór nad przetwarzaniem danych osobowych przez sądy apelacyjne w ramach prowadzonych przez nie postępowań. Zgodnie z art. 50 ust. 3 RODO organy nadzorcze nie są właściwe do nadzorowania operacji przetwarzania danych dokonywanych przez sądy w ramach sprawowania przez niego wymiaru sprawiedliwości. Przepis ten powinien być rozumiany zgodnie z motywem 20 RODO, w którym zaznaczono, że właściwość organów nadzorczych nie powinna dotyczyć przetwarzania danych osobowych przez sądy w ramach sprawowania wymiaru sprawiedliwości. Powinna istnieć możliwość powierzenia nadzoru nad takimi operacjami przetwarzania danych specjalnym organom systemie wymiaru sprawiedliwości państwa członkowskiego. Prezes Urzędu Ochrony danych osobowych nie jest właściwy do nadzorowania operacji przetwarzania danych osobowych przez sądy apelacyjne w ramach prowadzonych przez sądy apelacyjne postępowań mieszczących się w sprawowaniu wymiaru sprawiedliwości”

Jednak co ważniejsze to KRS widzi regulację USP wskazujące na to, że jest organem, o którym mowa w zdaniu drugim motywu 20 RODO, które stanowi:

“Powinna istnieć możliwość powierzenia nadzoru nad takimi operacjami przetwarzania danych specjalnym organom w systemie wymiaru sprawiedliwości państwa członkowskiego, organy te powinny w szczególności zapewnić przestrzeganie przepisów niniejszego rozporządzenia, zwiększać w wymiarze sprawiedliwości wiedzę o jego obowiązkach wynikających z niniejszego rozporządzenia oraz rozpatrywać skargi związane z takim operacjami przetwarzania danych”.

W związku z tym KRS w Uchwale wskazuję, że: 

“Krajowa Rada sądownictwa jako organ system wymiaru sprawiedliwości, któremu powierzono sprawowanie nadzoru nad operacjami przetwarzania danych osobowych stosuje następujące środki stanowiące sankcje za naruszenie przez administratora lub podmiot przetwarzający przepisów RODO: ostrzeżenie (art. 175dd § 3 pkt 5 USP), wezwanie administratora do dostosowania przetwarzania danych osobowych do obowiązujących przepisów (art. 175dd § 3 pkt 7 USP) oraz upomnienie (art. 175dd § 3 pkt 6 USP)”.

Wracając do samego naruszenia ochrony danych osobowych polegało ono zdaniem KRS’u na nie przekazaniu przez Sąd Apelacyjny w Gdańsku wniosku podlegającego wyłącznej właściwości Izby Kontroli i SPraw Publicznych Sądu Najwyższego:

“Sąd rozpoznający sprawę przekazuje niezwłocznie wniosek prezesowi Izby Kontroli nadzwyczajnej i spraw publicznych celem nadanie mu dalszego biegu na zasadach określonych w odrębnych przepisach. Przepis ten określa właściwość Izby Kontroli nadzwyczajnej i spraw publicznych Sądu Najwyższego, jak również definitywnie wyłącza z właściwości innych sądów rozpoznawanie przedmiotowych wniosków lub oświadczeń. w polskim porządku prawnym brak jest jakichkolwiek odmiennej podstawy prawnej pozwalającej na procedowanie innego organu, w tym przetwarzania danych osobowych, we własnym zakresie w sytuacji faktycznej lub prawnej niemożności rozpoznania sprawy przez Sąd Najwyższy”.

“Przetwarzanie danych osobowych przez sąd Apelacyjny w Gdańsku było zatem nieuprawnione, nie znajdowało bowiem podstaw w art. 6 ust. 1 lit e) RODO, naruszało zasadę legalności – art. 5 ust. 1 lit a) RODO, zasadę ograniczenia celu – art. 5 ust. 1 lit. b) RODO, zasadę minimalizacji danych – art. 5 ust. 1 lit c) RODO. Stanowiło przy tym naruszenie art. 190 ust. 1 Konstytucji RP przez niezastosowanie wyroku Trybunału Konstytucyjnego z 14 lipca 2021 r. (P 7/20, Dz. U. 2021.1309 z dnia 2021.07.16, OTK-A 2021, nr 49), art. 175db USP zakreślającym ramy przetwarzania danych osobowych do sprawowania wymiaru sprawiedliwości wyłącznie w sprawach, w których dany sąd jest uprawniony do prowadzenia sprawy.

Naruszenie ochrony danych osobowych było działaniem zamierzonym wewnętrznym, o charakterze naruszenia poufności danych. dotyczyło danych osobowych identyfikacyjnych, jak również danych osobowych o charakterze szczególnie osobistym, jak utrzymywanie kontaktów towarzyskich, powierzone i wykonywane zadania pracownicze, kompetencje zawodowe i związany z nim dorobek”.

Nadto zdaniem organu system wymiaru sprawiedliwości, któremu powierzono nadzór nad przestrzeganiem zgodności z prawem pewnych operacji przetwarzania danych osobowych zaniechanie administratora polegało także na:

“Sąd Apelacyjny w Gdańsku nie wypełnił obowiązku przewidzianego w art. 33 ust. 1 RODO, zgodnie z którym w przypadku naruszenia ochrony danych osobowych, jako administrator był zobowiązany bez zbędnej zwłoki – w miarę możliwości, nie później niż w terminie 72 godzin po stwierdzeniu naruszenia – zgłosić i organowi nadzorczemu Krajowej Radzie Sądownictwa”

oraz 

“Kontekst przetwarzania danych z pogwałceniem przepisów rangi konstytucyjnej, świadomym i celowym pominięciem wyroku Trybunału Konstytucyjnego, naruszeniem kompetencji Krajowej Rady Sądownictwa i prezydenta Rzeczypospolitej Polskiej do przetwarzania danych kandydatów na urząd sędziego, właściwości Sądu Najwyższego do rozpoznania sprawy, charakter naruszenia danych osobowych stanowiących niedopuszczalne przetwarzanie danych w rozumieniu art. 107 ust. 1 ustawy z dnia 10 maja 2018 r. o ochronie danych osobowych (t.j. Dz.U. z 2019 r. poz. 1781), a tym samym wyczerpującego znamiona przedmiotowe przestępstwa w tym ogólnego przestępstwa urzędniczego art. 231 Kodeksu karnego, stanowi o rażąco wysokim naruszeniu ochrony danych osobowych”.

Przedstawiona sprawa kończy się dla administratora tj. Sądu Apelacyjnego w Gdańsku upomnieniem, choć mam wrażenie, że ostatni akapit jest zapowiedzią dalszych kroków Krajowej Rady Sądownictwa.