WSA: prawidło Prezes UODO ukarał karą prawie 24 000 zł Izbę Dyscyplinarną
Na pewno pamiętają Państwo decyzję Prezesa UODO wydaną wobec dość oryginalnego adresata tj. Izby Dyscyplinarnej pewnej zawodowej profesji.
Mniej oryginalny był przedmiot naruszenie ochrony danych osobowych, który stał się przyczółkiem postępowania tj. wysłanie niezaszyfrowanego pendriva zawierającego nagranie audio (co ważne nie video) za pomocą usług Poczty Polskiej, które doprowadziła do zagubienia nie samej przesyłki, ale jej zawartości w postaci pendriva.
Izba Dyscyplinarna zgłosiła powyższą sytuację jako naruszenie ochrony danych wskazując, że:
Rzecznik Dyscyplinarny jako organ Izby Adwokackiej posiada wspólną infrastrukturę informatyczną z Okręgową Radą Adwokacką w […]. W tym zakresie obowiązuje (wdrożona przed zaistniałym zdarzeniem) Instrukcja Zarządzania Systemami Informatycznymi (dalej: “IZSI”) przyjęta w dniu 7 sierpnia 2019 r., której opisano zasady bezpieczeństwa nośników danych. Ponadto Administrator posiada wdrożoną Politykę Bezpieczeństwa Danych Osobowych określającą zasady ochrony danych osobowych wynikające z RODO oraz procedury, takie jak procedura zgłaszania naruszeń ochrony danych osobowych.
plik znajdujący się na zagubionym nośniku, tak samo jak i nośnik, nie został zaszyfrowany. Wyjaśnił również, że nośnik należał do obrońcy obwinionego w postępowaniu prowadzonym przed Rzecznikiem Dyscyplinarnym. Nośnik danych został dostarczony do kancelarii Rzecznika celem udostępnienia nagrania rozprawy rozwodowej dostarczonego przez jedną z osób uczestniczących w rozprawie.
Prezes UODO w dniu […] maja 2022 r. wszczął z urzędu postępowanie administracyjne w zakresie możliwości naruszenia przez Rzecznika Dyscyplinarnego, jako administratora danych, obowiązków wynikających z art. 5 ust. 1 lit. f, art. 5 ust. 2, art. 24 ust. 1, art. 25 ust. 1, art. 32 ust. 1 i 2 RODO w związku z naruszeniem ochrony danych osobowych osób, których dane znajdowały się na nagraniu rozprawy rozwodowej, zamieszczonym na zagubionym, zewnętrznym nośniku danych.
W dniu […] czerwca 2022 r. Rzecznik Dyscyplinarny, w odpowiedzi na wezwanie organu, przekazał brakujące dokumenty, tj. IZSI oraz analizę ryzyka przeprowadzoną w związku z zaistniałym naruszeniem.
Prezes UODO decyzją z kwietnia 2023 r. :
1) nałożył na Rzecznika Dyscyplinarnego – za naruszenie art. 5 ust. 1 lit. f, art. 5 ust. 2, art. 25 ust. 1 oraz art. 32 ust. 1 i 2 RODO – administracyjną karę pieniężną w kwocie 23 580 złotych,
2) nakazał Rzecznikowi Dyscyplinarnemu dostosowanie operacji przetwarzania do przepisów RODO poprzez:
a) wdrożenie odpowiednich środków technicznych i organizacyjnych w celu zminimalizowania ryzyka wiążącego się z przetwarzaniem danych osobowych za pomocą zewnętrznych nośników danych, w szczególności wynikającego z przypadkowego lub niezgodnego z prawem zniszczenia, utraty, modyfikacji, nieuprawnionego ujawnienia lub nieuprawnionego dostępu do danych osobowych przesyłanych, przechowywanych lub w inny sposób przetwarzanych, za pomocą zewnętrznych nośników danych, po uprzednim przeprowadzeniu analizy ryzyka, uwzględniającej stan wiedzy technicznej, koszt wdrożenia, charakter, zakres, kontekst i cele przetwarzania oraz ryzyko naruszenia praw lub wolności osób fizycznych, w tym zagrożenia związane z przetwarzaniem danych osobowych za pomocą zewnętrznych nośników danych, uwzględniając kradzież oraz zagubienie tych nośników,
2) wdrożenie odpowiednich środków technicznych i organizacyjnych w celu zapewnienia regularnego testowania, mierzenia i oceniania skuteczności środków technicznych i organizacyjnych mających zapewnić bezpieczeństwo przetwarzania
Taka decyzja związana była ze stwierdzeniem, że podmiot ten naruszył przepisy art. 5 ust. 1 lit. f, art. 5 ust. 2, art. 24 ust. 1, art. 25 ust. 1 oraz art. 32 ust. 1 i 2 RODO polegające na niewdrożeniu przez Rzecznika Dyscyplinarnego:
a) odpowiednich środków technicznych i organizacyjnych zapewniających stopień bezpieczeństwa odpowiadający ryzyku przetwarzania danych przy użyciu zewnętrznych nośników danych, w celu ochrony zapisanych tam danych osobowych, w tym ich ochrony przed przypadkową utratą, zniszczeniem lub uszkodzeniem oraz ujawnieniem osobom nieuprawnionym,
b) odpowiednich środków technicznych i organizacyjnych w celu zapewnienia regularnego testowania, mierzenia i oceniania skuteczności środków technicznych i organizacyjnych mających zapewnić bezpieczeństwo przetwarzania, co skutkowało naruszeniem zasady poufności danych oraz zasady rozliczalności
WSA w Warszawie oddalił skargę wskazując, że:
W ocenie Sądu w sprawie niniejszej mamy do czynienia z sytuacją, gdy status Rzecznika Dyscyplinarnego – jako administratora danych – wynika pośrednio z przepisów prawa. Rzecznik, na gruncie ustawy z dnia 26 maja 1982 r. Prawo o adwokaturze, jest bowiem zobowiązany do realizacji określonych zadań publicznych, których nie można wypełnić bez przetwarzania danych. Mianowicie, zgodnie z art. 51a u.p.o.a. do zakresu działania rzecznika dyscyplinarnego (organu izby adwokackiej – art. 39 pkt 3a) należą czynności w postępowaniu dyscyplinarnym, określone w ustawie i przepisach wydanych na jej podstawie, m.in. w Regulaminie działania rzeczników dyscyplinarnych i zastępców rzeczników dyscyplinarnych oraz trybu i sposobu ich wyboru (uchwała Naczelnej Rady Adwokackiej nr 50/2018 z dnia 24 listopada 2018 r.).
W świetle powyższego trafne jest stanowisko Prezesa UODO, iż Rzecznik Dyscyplinarny jest administratorem danych przetwarzanych w związku z ww. czynnościami podejmowanymi w ramach prowadzonych postępowań dyscyplinarnych. Biorąc pod uwagę przedmiot i zakres tych czynności oraz przypisaną Rzecznikowi samodzielność w realizacji nałożonych na niego obowiązków to właśnie Rzecznik jest podmiotem ustalającym – na potrzeby określonych postępowań dyscyplinarnych (i podejmowanych w ramach tych postępowań czynności) – cele i sposoby przetwarzania danych.
Co istotne, przedmiotowego zgłoszenia naruszenia ochrony danych osobowych w dniu […] czerwca 2021 r. dokonał Rzecznik Dyscyplinarny Izby Adwokackiej w […] jako administrator danych (k. 7 akt admin.), a naruszenie zostało stwierdzone przez Inspektora Ochrony Danych Rzecznika Dyscyplinarnego Izby Dyscyplinarnej w […], o którym to naruszeniu Rzecznik – jako administrator – w trybie art. 34 RODO zawiadomił osoby, których danych naruszenie to mogło dotyczyć (k. 10 – 33 akt admin.).
Dodatkowo wskazać należy, że brak po stronie Rzecznika osobowości prawnej nie ma wpływu na jego zdolność występowania przed sądem administracyjnym jako strony postępowania (art. 25 p.p.s.a.). Rzecznik posiada bowiem podmiotowość administracyjnoprawną, której istotą jest omówiona wyżej możliwość nałożenia na niego obowiązków wynikających z obowiązujących przepisów dotyczących ochrony danych osobowych.
Nadto Sąd wskazał, że:
W toku postępowania wykazane zostało, że administrator nie podjął stosownych działań zapewniających właściwy poziom ochrony danych poprzez wdrożenie odpowiednich środków technicznych lub organizacyjnych mających zapewnić bezpieczeństwo przetwarzanych danych. Niezastosowanie odpowiednich środków bezpieczeństwa wynikało z niedostatecznego (błędnego) oszacowania ryzyka, czego konsekwencją było zmaterializowanie się ryzyka dostępu osób nieuprawnionych do danych zawartych w niezaszyfrowanym pliku znajdującym się na również niezaszyfrowanym nośniku danych (pendrivie).
Jak prawidłowo ustalił organ, Rzecznik Dyscyplinarny, określając cele i sposoby przetwarzania danych osobowych osób biorących udział w postępowaniach dyscyplinarnych, staje się administratorem tych danych. I jakkolwiek za prawidłowe doręczenie przesyłki odpowiada operator pocztowy wybrany przez administratora, który ma obowiązek zachowania należytej staranności przy zabezpieczaniu urządzeń i obiektów wykorzystywanych przy świadczeniu usług pocztowych oraz zbiorów danych przed ujawnieniem tajemnicy pocztowej (art. 41 ust. 1 i ust. 6 ustawy z dnia 23 listopada 2012 r. Prawo Pocztowe – Dz.U. z 2022 poz. 896), to jednak w momencie nadania przesyłki nie ustaje cel przetwarzania, a co za tym idzie nadawca (strona skarżąca) nie traci statusu administratora.
Abstrahując od tego, że organ kilkakrotnie w decyzji wskazał jakie dane zwierało nagranie (dane 8 osób w zakresie imienia, nazwiska, szczegółów dotyczących życia rodzinnego, relacji stron i podejrzeń o niewierność małżeńską), prawidłowo skoncentrował się na zastosowanych (bądź nie) przez administratora środkach bezpieczeństwa mających zapewnić ochronę przetwarzanych przy użyciu tego nośnika danych osobowych, zaś stwierdzając w tym zakresie nieprawidłowości – podjął przedmiotowe rozstrzygnięcie.
Na marginesie Sąd zauważa, że organ nie ustrzegł się omyłki wskazując na s. 17 zaskarżonej decyzji, że na administratora została nałożona administracyjna kara pieniężna w wysokości 28 296 złotych. Jednakże wobec jednoznacznego określenia w sentencji decyzji wysokości kary w kwocie 23 580 złotych oraz szczegółowego i prawidłowego sposobu jej wyliczenia (5000 euro = 23 580 złotych według średniego kursu euro z dnia 30 stycznia 2023 r.; 1 euro = 4,7106 złotych) w uzasadnieniu zaskarżonej decyzji (s. 22), Sąd uznał, że ta okoliczność nie może mieć wpływu na ocenę prawidłowości podjętego rozstrzygnięcia.
