Data wydarzenia: 30-07-21

w przedmiocie uzupełnienia oceny skutków dla ochrony danych osobowych przez podmioty nadzorowane przez Krajową Radę Sądownictwa

 

Krajowa Rada Sądownictwa na podstawie art. 3 ust 2 pkt 10 ustawy z dnia 12 maja 2011 r. o Krajowej Radzie Sądownictwa (t.j. Dz. U. z 2021 r. poz. 269) i art. 35 ust. 1 – 7 i 11 Rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) (Dz. U. UE. L. z 2016 r. Nr 119, str. 1 z późn. zm.) (dalej RODO) i art. 6c § 1 pkt 2 ustawy z dnia 21 sierpnia 1997 r. Prawo o ustroju sądów wojskowych (t.j. Dz. U. z 2020 r. poz. 1754) i art. 175dd §2 pkt 2 ustawy z dnia 27 lipca 2001 r. Prawo o ustroju sądów powszechnych (t.j. Dz. U. z 2020 r. poz. 2072) rekomenduje nadzorowanym podmiotom jako administratorom danych: Trybunałowi Konstytucyjnemu, Sądowi Najwyższemu, Naczelnemu Sądowi Administracyjnemu, sądom apelacyjnym oraz wojskowym sądom okręgowym uzupełnienie oceny skutków dla ochrony danych w odniesieniu do stosowanych programów komputerowych przeznaczonych do anonimizacji orzeczeń poprzez ustalenie, czy usunięcie danych osobowych w wyniku dokonanej anonimizacji orzeczenia lub innego dokumentu w postępowaniu sądowym przy zastosowaniu dedykowanego programu komputerowego jest odwracalne w sytuacji przeniesienia danych z dokumentu elektronicznego utworzonego w danym formacie do dokumentu elektronicznego utworzonego w innym formacie lub w sytuacji przekształcenia formatu dokumentu elektronicznego.

Krajowa Rada Sądownictwa na podstawie art. 33 ust. 1 RODO informuje nadzorowane podmioty, iż wymaga zgłoszenia Krajowej Radzie Sądownictwa jako organowi nadzoru naruszenie ochrony danych osobowych w odniesieniu do danych osobowych ujętych w orzeczeniach lub w innych dokumentach w postępowaniach sądowych, w sytuacji stwierdzenia odwracalności anonimizacji w konkretnych orzeczeniach i dokumentach, jeżeli nie jest mało prawdopodobne, że naruszenie ochrony danych skutkowało ryzykiem naruszenia praw lub wolności osób fizycznych, w tym szczególności osób pokrzywdzonych przestępstwem, małoletnich uczestników postępowań lub świadków podlegających szczególnej ochronie.

Krajowa Rada Sądownictwa, niezależnie od obowiązku zgłaszania naruszeń ochrony danych osobowych przez administratorów, zobowiązuje nadzorowane podmioty do przedstawienia w terminie 2 (dwóch) miesięcy informacji o wynikach uzupełnionych ocen skutków dla ochrony danych, w tym zestawienia orzeczeń w odniesieniu do których stwierdzono odwracalność dokonanej anonimizacji.

 

Uzasadnienie

Decyzją Prezesa Urzędu Ochrony Danych Osobowych z dnia 25 maja 2021 r. DS. 523.1010.2021 A.Z.I./124798 stwierdzono naruszenie ochrony danych osobowych w odniesieniu do skarżącego polegającą na ujawnieniu jego danych adresowych w wyniku nieprawidłowej anonimizacji  oświadczenia majątkowego. Nieprawidłowość polegała na zastosowaniu do anonimizacji programu komputerowego, w wyniku pracy którego anonimizacja dokumentów wydawanych w formie elektronicznym była odwracalna, przy zastosowaniu procedury przeniesienia danych z dokumentu zanonimizowanego do dokumentu elektronicznego o innym formacie.

Program komputerowy zastosowany w Sądzie Apelacyjnym w Poznaniu mógł być stosowany przez inne nadzorowane podmioty w prowadzonych postępowaniach sądowych w odniesieniu do orzeczeń i innych dokumentów. Rodzi to konieczność wydania uchwały sygnalizacyjnej, rekomendującej uzupełnienie oceny skutków dla ochrony danych osobowych w odniesieniu do stosowanych programów komputerowych przeznaczonych do anonimizacji orzeczeń poprzez ustalenie, czy usunięcie danych w wyniku dokonanej anonimizacji orzeczenia lub innego dokumentu w postępowaniu sądowym przy zastosowaniu dedykowanego programu komputerowego jest odwracalne w sytuacji przeniesienia danych z dokumentu elektronicznego utworzonego w danym formacie do dokumentu elektronicznego utworzonego w innym formacie lub w sytuacji przekształcenia formatu dokumentu elektronicznego.

Podmioty nadzorowane jako administratorzy danych są obowiązani na podstawie art. 35 ust. 1 – 7 i 11 RODO do dokonania oceny skutków dla ochrony danych osobowych (DPIA) przed przystąpieniem do przetwarzania tych danych, ocena ta dokonywana jest zwykle w ramach szerszego badania ryzyka bezpieczeństwa danych i cyberbezpieczeństwa. Ujawnienie naruszenia ochrony danych osobowych, stwierdzone w przywołanej decyzji PUODO uzasadnia uzupełnienie tej oceny.

Stwierdzenie zastosowania błędnego programu do anonimizacji (incydent bezpieczeństwa) nie prowadzi automatycznie do wystąpienia naruszenia ochrony danych osobowych. W rozumieniu art. 33 ust. 1 RODO naruszenie ochrony danych osobowych występuje w sytuacji, w której incydent bezpieczeństwa skutkuje ryzykiem naruszenia praw lub wolności osób fizycznych, w tym szczególności osób pokrzywdzonych przestępstwem, małoletnich uczestników postępowań lub świadków podlegających szczególnej ochronie. Z tych przyczyn nie ma podstaw zgłoszenia incydentu bezpieczeństwa organowi nadzoru w przypadku braku ryzyka naruszenia praw lub wolności osób fizycznych. W ocenie ryzyka powinny znaleźć zastosowanie „Wytyczne dotyczące oceny skutków dla ochrony danych oraz pomagające ustalić, czy przetwarzanie „może powodować wysokie ryzyko” do celów rozporządzenia 2016/679 Przyjęte w dniu 4 kwietnia 2017 r. Grupy art. 29.

Uzyskanie informacji zbiorczych przez Krajową Radę Sądownictwa w ramach prowadzonego nadzoru nad przetwarzaniem danych osobowych pozwoli na przyjęcie rekomendacji co do dalszego stosowania programów służących do automatycznej anonimizacji danych (art. 175dd §2 pkt 2 stawy z dnia 27 lipca 2001 r. Prawo o ustroju sądów powszechnych (t.j. Dz. U. z 2020 r. poz. 2072).