Prezes Urzędu Ochrony Danych Osobowych nałożył administracyjną karę pieniężną w wysokości 100 tys. zł na Ministra Sprawiedliwości. Decyzja zapadła po zakończeniu postępowania dotyczącego sprawy określanej w doniesieniach medialnych jako afera hejterska z 2019 r.
Według ustaleń organu nadzorczego dane osobowe sędziów zostały pozyskane przez osoby, które następnie samodzielnie decydowały o celach i sposobach ich przetwarzania, mimo braku odpowiedniego upoważnienia administratora. Postępowanie wykazało również, że administrator nie wdrożył odpowiednich środków technicznych i organizacyjnych, które miały zapobiec niezgodnemu z prawem przetwarzaniu danych.
Kara dla Ministra Sprawiedliwości. Co ustalił UODO?
Sprawa została wszczęta w 2019 r. po publikacjach medialnych opisujących pozyskiwanie informacji o sędziach krytycznie oceniających zmiany w wymiarze sprawiedliwości. W materiałach wskazywano, że zdobyte dane były następnie wykorzystywane do publikowania treści znieważających sędziów.
Na początku postępowania ówczesny Minister Sprawiedliwości informował, że nie stwierdzono incydentu polegającego na wycieku danych osobowych. Równolegle prowadzone było postępowanie karne, jednak przez wiele lat Prezes UODO nie otrzymywał szczegółowych informacji z uwagi na dobro śledztwa. Dopiero w grudniu 2024 r. Prokuratura Regionalna we Wrocławiu przekazała materiał dowodowy, który umożliwił zakończenie postępowania administracyjnego.
UODO wskazał na brak odpowiedniego nadzoru
Z przekazanych materiałów wynikało, że osoby posiadające upoważnienia do dostępu do akt osobowych sędziów wykorzystywały pozyskane informacje do celów prywatnych i politycznych. Dane były przekazywane osobom nieupoważnionym, w tym innym funkcjonariuszom publicznym i dziennikarzom, a część informacji publikowano również w internecie.
Prezes UODO podkreślił, że postępowanie administracyjne dotyczyło odpowiedzialności administratora danych, czyli Ministra Sprawiedliwości, a nie osób, które bezpośrednio dopuściły się nielegalnego udostępniania informacji. W ocenie organu administrator powinien zapewnić odpowiedni nadzór nad procesem przetwarzania danych oraz kontrolę nad sposobem wykorzystywania udzielonych upoważnień.
Dlaczego nałożono karę?
Organ uznał, że naruszenia miały poważny charakter i dotyczyły podstawowych zasad ochrony danych osobowych wynikających z RODO. Wskazano również, że szczególnie istotne jest to, iż administratorem danych był konstytucyjny organ państwa, od którego oczekuje się najwyższych standardów przestrzegania prawa.
Prezes UODO zaznaczył jednocześnie, że decyzja nie wyklucza odpowiedzialności osób, które bezpośrednio przetwarzały dane niezgodnie z prawem. Kara administracyjna mogła jednak zostać nałożona wyłącznie na administratora danych. Organ wskazał również, że administrator może dochodzić odpowiedzialności wobec osób upoważnionych do przetwarzania danych na podstawie innych przepisów prawa.
