Prezes Urzędu Ochrony Danych Osobowych Mirosław Wróblewski nałożył na Ministra Sprawiedliwości administracyjną karę pieniężną w wysokości 100 tys. zł. Decyzja zapadła po postępowaniu dotyczącym sprawy znanej z doniesień medialnych jako tzw. afera hejterska z 2019 r.
Według UODO doszło do naruszenia przepisów o ochronie danych osobowych sędziów. Dane pozyskane z zasobów kadrowych Ministerstwa Sprawiedliwości miały być wykorzystywane niezgodnie z prawem, w tym do celów politycznych i prywatnych. Organ nadzorczy uznał, że administrator danych, czyli Minister Sprawiedliwości, nie zapewnił odpowiednich środków technicznych i organizacyjnych, które zapobiegłyby takim działaniom.
Sprawa znana jako „afera hejterska”
Sprawa naruszenia danych osobowych w Ministerstwie Sprawiedliwości została po raz pierwszy szerzej opisana w mediach w sierpniu 2019 r. Publikacje dotyczyły działań wymierzonych w sędziów krytycznych wobec zmian w wymiarze sprawiedliwości.
Według opisów medialnych oraz późniejszych ustaleń, informacje o sędziach miały być wykorzystywane do przygotowywania i rozpowszechniania treści o charakterze znieważającym lub dyskredytującym. W efekcie sędziowie stali się celem ataków publicznych.
UODO wszczął postępowanie administracyjne jeszcze w 2019 r., po zapoznaniu się z doniesieniami prasowymi. Ówczesny Minister Sprawiedliwości informował jednak, że w wyniku wewnętrznego postępowania wyjaśniającego nie stwierdzono incydentu o charakterze wycieku danych osobowych.
Prokuratura przekazała materiały dopiero w 2024 r.
Równolegle prowadzone było postępowanie karne w sprawie możliwego przekroczenia uprawnień przez funkcjonariuszy publicznych. Jak wskazuje UODO, przez wiele lat organ nadzorczy bezskutecznie próbował uzyskać szczegółowe informacje o ustaleniach prokuratury.
Postępowanie prowadziły kolejno jednostki prokuratury w Lublinie i w Świdnicy. W odpowiedzi na pisma Prezesa UODO wskazywano, że ze względu na dobro śledztwa nie można przekazać bliższych informacji.
Dopiero w grudniu 2024 r. Prokuratura Regionalna we Wrocławiu udostępniła Prezesowi UODO materiał dowodowy z postępowania przygotowawczego. Zdaniem organu nadzorczego zgromadzony materiał był wystarczający do wydania decyzji administracyjnej.
Dane sędziów miały być używane poza zakresem upoważnień
Z ustaleń UODO wynika, że osoby mające dostęp do informacji z akt osobowych sędziów wykorzystywały te dane w sposób niezgodny z zakresem udzielonych upoważnień. Dane miały być przekazywane osobom nieupoważnionym, w tym innym funkcjonariuszom publicznym oraz dziennikarzom.
Organ wskazuje również, że część informacji była nielegalnie udostępniana w internecie, m.in. na platformie Twitter, obecnie X. Według ustaleń konto wykorzystywane do tych działań miało zostać założone za pośrednictwem adresu IP pochodzącego z puli przypisanej Ministerstwu Sprawiedliwości.
UODO podkreśla, że sprawa dotyczyła nie tylko zwykłych danych osobowych. Przedmiotem naruszeń miały być także dane szczególnej kategorii, w tym informacje dotyczące stanu zdrowia sędziów, ich poglądów politycznych oraz przynależności organizacyjnej.
Odpowiedzialność administratora danych
Prezes UODO zaznaczył, że decyzja administracyjna nie rozstrzyga o odpowiedzialności prawnej konkretnych osób, które faktycznie dokonały bezprawnego udostępnienia danych. Postępowanie prowadzone przez organ nadzorczy koncentrowało się na odpowiedzialności administratora danych, czyli Ministra Sprawiedliwości.
Zgodnie z RODO administrator musi wdrożyć odpowiednie środki techniczne i organizacyjne, które zapewnią zgodne z prawem przetwarzanie danych osobowych. Musi również zadbać o to, aby osoby mające dostęp do danych przetwarzały je wyłącznie na jego polecenie i w granicach udzielonych upoważnień.
W ocenie UODO w Ministerstwie Sprawiedliwości zabrakło skutecznego nadzoru nad tym, jak pracownicy i osoby upoważnione korzystają z dostępu do danych. Administrator nie miał zapewnić odpowiedniej kontroli nad procesem przetwarzania, co umożliwiło późniejsze nielegalne wykorzystanie informacji.
Naruszenia miały poważny charakter
UODO uznał, że naruszenia miały poważny charakter, ponieważ dotyczyły podstawowych zasad ochrony danych osobowych. Chodziło przede wszystkim o brak nadzoru nad wykorzystaniem udzielonych upoważnień oraz brak skutecznych mechanizmów zapobiegających przetwarzaniu danych w celach niezgodnych z prawem.
Organ nadzorczy wskazał również na szczególną rolę Ministra Sprawiedliwości jako konstytucyjnego organu państwa. Zdaniem UODO podmiot publiczny odpowiedzialny za obszar wymiaru sprawiedliwości powinien zapewniać najwyższy standard przestrzegania prawa, w tym ochrony danych osobowych.
W decyzji zwrócono uwagę, że Minister Sprawiedliwości, pełniąc istotną funkcję w systemie państwa, powinien dawać gwarancję poszanowania praw i wolności osób, których dane są przetwarzane. Dodatkowo sprawa dotyczyła sędziów, czyli osób wykonujących funkcję orzeczniczą.
UODO: kara była nieunikniona
Prezes UODO uznał, że nałożenie administracyjnej kary pieniężnej było w tej sprawie konieczne. W ocenie organu tylko kara finansowa może spełnić funkcję prewencyjną i przyczynić się do przestrzegania przepisów RODO przez administratora.
Na niekorzyść Ministra Sprawiedliwości przemawiało także zachowanie na początkowym etapie postępowania. W 2019 r. administrator poinformował, że nie doszło do wycieku danych z jego zbiorów. UODO wskazuje, że było to sprzeczne z późniejszymi ustaleniami prokuratury i utrudniło sprawne oraz wnikliwe przeprowadzenie postępowania.
Kara wyniosła 100 tys. zł. Zgodnie z RODO została wymierzona administratorowi danych osobowych, a nie konkretnym osobom, które mogły bezprawnie wykorzystywać dostęp do danych.
Możliwa odpowiedzialność osób upoważnionych
UODO przypomina, że przepisy o ochronie danych osobowych pozwalają ukarać administratora danych, jeżeli to on nie zapewnił odpowiednich warunków legalnego i bezpiecznego przetwarzania. Nie oznacza to jednak, że osoby bezpośrednio zaangażowane w naruszenia nie mogą ponieść odpowiedzialności na podstawie innych przepisów.
Administrator może dochodzić roszczeń wobec osób upoważnionych do przetwarzania danych m.in. na gruncie prawa pracy lub prawa cywilnego. W grę może wchodzić odpowiedzialność służbowa, odszkodowawcza lub regresowa.
Decyzja Prezesa UODO zamyka administracyjny etap sprawy po stronie organu ochrony danych, ale nie wyklucza dalszych konsekwencji wobec osób, które faktycznie uczestniczyły w nielegalnym pozyskiwaniu, przekazywaniu lub publikowaniu informacji o sędziach.
