PESEL, adresy i daty urodzenia sędziów ujawnione. Sąd z upomnieniem od UODO

Prezes UODO Mirosław Wróblewski udzielił upomnienia prezesowi i dyrektorowi sądu Rejonowego Lublin-Zachód. Sąd przypadkiem udostępnił adresy, daty urodzenia i powołania oraz numery PESEL wszystkich pracujących w nim sędziów podczas udzielania informacji publicznej. PUODO nakazał kierownictwu sądu wdrożyć odpowiednie środki techniczne i organizacyjne w celu zminimalizowania ryzyka wiążącego się z przetwarzaniem danych osobowych.

Ujawnienie danych osobowych sędziów. Sąd zgłosił naruszenie do UODO
Postępowanie Prezesa UODO w sprawie naruszenia RODO w sądzie
Decyzja Prezesa UODO: upomnienie i obowiązek wdrożenia środków ochrony danych

Chodzi o sytuację, w której obywatel złożył wniosek o udostępnienie w trybie informacji publicznej danych sędziów wraz z danymi lekarzy i psychologów, którzy dopuszczali sędziów do wykonywania zawodu.

Sąd udzielił informacji publicznej, przesyłając wnioskodawcy plik arkusza kalkulacyjnego, zawierający dane osobowe wykraczające poza zakres wniosku. Przesłany plik Excel zawierał dodatkowe arkusze z danymi takimi jak wydział, w którym sędziowie pracują, ich numery PESEL, adresy zamieszkania lub pobytu, a także daty ich urodzenia oraz powołania.

Ujawnienie danych osobowych sędziów. Sąd zgłosił naruszenie do UODO

Prezes sądu oraz dyrektor sądu zgłosili Prezesowi UODO naruszenie ochrony danych osobowych, które nastąpiło w związku z realizacją wniosku o udzielenie dostępu do informacji publicznej.

W związku ze zgłoszeniem prezes UODO zbadał, jak w sądzie przestrzegane są przepisy o ochronie danych osobowych. W trakcie kontroli wszczęto postępowanie administracyjne z powodu stwierdzonych nieprawidłowości w zakresie przestrzegania przepisów rozporządzenia ogólnego o ochronie danych osobowych.

Postępowanie Prezesa UODO w sprawie naruszenia RODO w sądzie

Prezes UODO ustalił, że w sądzie nie przeprowadzano regularnego testowania, mierzenia i oceniania środków bezpieczeństwa przetwarzania. „W sądzie długo nie było wdrożonej polityki ochrony danych odpowiadającej aktualnym wymogom prawnym, tj. przepisom rozporządzenia ogólnego, w tym także procedury udzielania odpowiedzi na wnioski o dostęp do informacji publicznej i anonimizacji takiej informacji” – informuje Urząd.

W sądzie wdrożono politykę dotyczącą sfery rachunkowości i kadr, ale nie obejmowała ona zasad ochrony danych osobowych w zakresie odnoszącym się do całokształtu działań sądu, w tym również w zakresie udzielania informacji publicznej.

Wdrożenie polityki ochrony danych odpowiadającej aktualnym wymogom prawnym nastąpiło dopiero na krótko przed wydaniem przez prezesa UODO ostatecznej decyzji.

W toku kontroli Prezesa UODO, a następnie postępowania administracyjnego, okazało się też, że w sądzie długo nie przeprowadzano analizy ryzyka związanego z przetwarzaniem danych, następnie zaś, po jej przeprowadzeniu, okazało się, że nie spełnia ona wymogów przepisów rozporządzenia ogólnego o ochronie danych osobowych (RODO).

Decyzja Prezesa UODO: upomnienie i obowiązek wdrożenia środków ochrony danych

W tej sytuacji prezes UODO nakazał w decyzji prezesowi i dyrektorowi sądu dostosowanie operacji przetwarzania do rozporządzenia ogólnego o ochronie danych poprzez regularne testowanie, mierzenie i ocenianie środków służących bezpieczeństwu przetwarzania, a także poprzez przeprowadzenie prawidłowo analizy ryzyka dla przetwarzania danych w sądzie.

Prezes UODO uznał także w decyzji, że ze względu na poczynione starania prezesa i dyrektora sądu w zakresie wdrożonej polityki ochrony danych, a także podjęte działania w celu przeprowadzenia analizy ryzyka, wystarczającym środkiem sankcyjnym jest udzielenie prezesowi sądu oraz dyrektorowi sądu upomnień.