Zaczęło się od zgubionego pendrive’a. Skończyło na karze od UODO i wyroku NSA
Zgubił pendrive’a - miał szyfrowany, ale korzystał z prywatnych. Dane tysięcy osób - w tym informacje o zdrowiu - mogły trafić w niepowołane ręce. Po niemal trzech latach od incydentu, Naczelny Sąd Administracyjny mówi jasno: kara była słuszna. I to nie symboliczna, bo wynosząca 30 tysięcy złotych.
Zaczęło się od czegoś, co mogło przydarzyć się każdemu - zagubienia pendrive’a. Tyle że ten nośnik nie należał do przypadkowego użytkownika, lecz do sędziego. Jego zawartość nie była błaha, gdyż były to tysiące dokumentów, w tym dane osobowe i wrażliwe, nie trafiły do akt archiwum, lecz na niezabezpieczony nośnik. Teraz, po niemal trzech latach, Naczelny Sąd Administracyjny wydał decyzję ws. kary od UODO. To ważny wyrok nie tylko dla sądów, ale dla każdej instytucji przetwarzającej dane osobowe.
To był zwyczajny poranek. Sędzia Sądu Rejonowego Szczecin-Centrum wychodzi z domu i orientuje się, że nie ma przy sobie jednego z nośników danych. Nie ma pewności, czy chodzi o jeden pendrive, czy kilka - wiemy tylko, że co najmniej trzy urządzenia zniknęły bez śladu. Problem w tym, że nie były puste. Zawierały między innymi projekty orzeczeń i uzasadnień - niektóre sprzed wielu lat, inne niedawne. Dane stron postępowań, świadków, biegłych. Czasem tylko imię i nazwisko, czasem adres, informacje o zdrowiu, pracy, relacjach rodzinnych.
Nośniki - jak ustalono - były prywatne. Dane służbowe kopiowane były z sądowego systemu na prywatne pendrive’y bez szyfrowania, bez kontroli dostępu, bez ewidencji.
Jak się okazało, sama instytucja - Sąd Rejonowy - nie była zaskoczona tym, że dane trafiały na prywatne nośniki. Od kilku lat istniały wewnętrzne dokumenty, które zakazywały takich praktyk. Były też rekomendacje: wdrożenie szyfrowania, blokowanie portów USB, ograniczenie kopiowania danych. Analizy ryzyka wskazywały na możliwość incydentu związanego z nieuprawnionym dostępem do danych osobowych.
UODO ustalił jednak, że na rekomendacjach się skończyło. Sąd nie podjął faktycznych działań, by zminimalizować ryzyko. Nie wprowadzono systemowych zabezpieczeń. Nikt nie weryfikował, czy dane są kopiowane zgodnie z procedurami. Dane - choć objęte tajemnicą służbową i przepisami o ochronie danych - były przenoszone na nośniki, których bezpieczeństwo trudno było realnie ocenić.
Po analizie sprawy Prezes UODO stwierdził jednoznacznie: doszło do poważnego naruszenia ochrony danych osobowych. Decyzja wskazywała, że winy nie należy szukać tylko w samym zgubieniu nośnika, ale przede wszystkim w braku odpowiednich zabezpieczeń technicznych i organizacyjnych.
UODO podkreślił, że administrator danych nie może ograniczać się do wydawania wewnętrznych zakazów. Musi egzekwować ich przestrzeganie i stosować środki adekwatne do skali ryzyka. W ocenie organu nadzorczego doszło do naruszenia obowiązków wynikających z art. 5 ust. 1 lit. f, art. 24 ust. 1 oraz art. 32 ust. 1 i 2 RODO. W rezultacie nałożono administracyjną karę pieniężną w wysokości 30 000 zł.
Sąd Rejonowy zaskarżył decyzję UODO, wskazując, że incydent miał charakter jednostkowy, był wynikiem pomyłki konkretnego pracownika (sędziego), a nie systemowego zaniedbania. Argumentowano, że nie ma dowodów na to, iż ktokolwiek nieuprawniony uzyskał dostęp do danych. Wskazywano również, że część dokumentów mogła nie zawierać danych osobowych w rozumieniu RODO.
WSA w Warszawie nie podzielił tej argumentacji. W wyroku z 2024 roku sąd stwierdził, że do incydentu doszło w kontekście wieloletniej praktyki kopiowania danych na prywatne nośniki, bez wdrożonych zabezpieczeń. Oceniono, że organizacja pracy w sądzie umożliwiała przenoszenie danych bez nadzoru i nie zapewniała ich odpowiedniej ochrony. Nie chodziło więc o incydentalny błąd - lecz o zaniedbanie obowiązków administratora danych.
UODO oficjalnie poinformował, że Naczelny Sąd Administracyjny oddala skargę kasacyjną, potwierdzając, że decyzja UODO została wydana prawidłowo, a kara była adekwatna do charakteru naruszenia. W ustnym uzasadnieniu NSA wskazuje, że odstąpienie od kary mogłoby mieć miejsce jedynie w przypadku naruszenia o niewielkim znaczeniu. W tej sprawie doszło jednak do poważnego uchybienia - zarówno technicznego, jak i organizacyjnego.
Sąd podkreślił również, że: "Brak możliwości jednoznacznego określenia zakresu danych, jakie znajdowały się na zgubionych nośnikach, sam w sobie jest dowodem na brak kontroli nad przetwarzaniem danych". Wyrok NSA zamyka sprawę, ale otwiera szerszą dyskusję o tym, jak realnie wygląda ochrona danych w instytucjach publicznych.
Ten wyrok to przestroga nie tylko dla sądów. To sygnał dla wszystkich instytucji publicznych, które przetwarzają dane osobowe: szkoły, urzędy, uczelnie, szpitale. Obowiązki administratora danych nie kończą się na przygotowaniu polityk i procedur. Liczy się to, czy są one wdrażane, monitorowane i egzekwowane w praktyce.
W omawianej sprawie:
- istniał formalny zakaz korzystania z prywatnych nośników - ale nikt nie weryfikował jego przestrzegania,
- były rekomendacje dotyczące zabezpieczeń - ale nie wprowadzono ich w życie,
- prowadzono analizy ryzyka - ale nie przełożyły się one na konkretne działania.
NSA nie miał wątpliwości - taka sytuacja oznacza odpowiedzialność administratora danych. Niezależnie od tego, czy doszło do faktycznego wycieku, czy jedynie utraty kontroli nad nośnikami.
Wyrok NSA nie należy do tych, które wywołują medialną burzę. Jednak jego znaczenie dla praktyki ochrony danych osobowych - zwłaszcza w sektorze publicznym - jest duże. Potwierdza on, że administrator ponosi odpowiedzialność nie tylko za skutki naruszenia, ale także za jego potencjalne ryzyko, jeśli wynika ono z braku realnych zabezpieczeń.
Zaufanie obywateli do instytucji publicznych opiera się na przekonaniu, że ich dane są bezpieczne. Ten wyrok przypomina, że ochrona danych to nie formalność - to konkretne działania, których brak może mieć bardzo realne konsekwencje.
Agata Siwek
