Decyzja DKN.5112.63.2024

Na podstawie art. 104 § 1 ustawy z dnia 14 czerwca 1960 r. – Kodeks postępowania administracyjnego (Dz. U. z 2025 r. poz. 1691) w związku z art. 7 ust. 1 i 2, art. 60 oraz art. 90 ustawy z dnia 10 maja 2018 r. o ochronie danych osobowych (Dz. U. z 2019 r. poz. 1781), a także art. 57 ust. 1 lit. a) i h) oraz art. 58 ust. 2 lit. b) i d) w związku z art. 5 ust. 1 lit. f), art. 5 ust. 2, art. 24 ust. 1 i ust. 2 oraz art. 32 ust. 1 i ust. 2 rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) (Dz. Urz. UE L 119 z 04.05.2016, str. 1, ze zm.), zwanego dalej „rozporządzeniem 2016/679”,

po przeprowadzeniu wszczętego z urzędu postępowania administracyjnego w sprawie naruszenia przepisów o ochronie danych osobowych przez Prezesa Sądu Rejonowego U. i Dyrektora Sądu Rejonowego U., Prezes Urzędu Ochrony Danych Osobowych,

I.

stwierdzając naruszenie przez Prezesa Sądu Rejonowego U. z siedzibą przy ul. (…) w U. (dalej także „Prezes Sądu”) przepisów:

a)

art. 24 ust. 1 i ust. 2 oraz art. 32 ust. 1 lit. d) rozporządzenia 2016/679, polegające na niezapewnieniu regularnego testowania, mierzenia i oceniania skuteczności środków organizacyjnych mających zapewnić bezpieczeństwo przetwarzania, w rezultacie czego nie był aktualizowany dokument pełniący funkcję polityki ochrony danych w Sądzie Rejonowym U. z siedzibą przy ul. (…) w U. (dalej „Sąd”),

b)

art. 32 ust. 1 i ust. 2 rozporządzenia 2016/679, polegające na niewdrożeniu odpowiednich środków technicznych i organizacyjnych w celu zminimalizowania ryzyka wiążącego się z przetwarzaniem danych osobowych, w szczególności wynikającego z przypadkowego lub niezgodnego z prawem zniszczenia, utraty, modyfikacji, nieuprawnionego ujawnienia lub nieuprawnionego dostępu do danych osobowych przesyłanych, przechowywanych lub w inny sposób przetwarzanych, na podstawie analizy ryzyka przetwarzania danych osobowych, uwzględniającej stan wiedzy technicznej, koszt wdrożenia oraz charakter, zakres, kontekst i cele przetwarzania oraz ryzyko naruszenia praw lub wolności osób fizycznych,

co stanowiło także naruszenie zasady poufności, o której mowa w art. 5 ust. 1 lit. f) rozporządzenia 2016/679 oraz zasady rozliczalności uregulowanej w art. 5 ust. 2 rozporządzenia 2016/679,

1)

nakazuje Prezesowi Sądu dostosowanie operacji przetwarzania do przepisów rozporządzenia 2016/679, poprzez wdrożenie odpowiednich środków technicznych i organizacyjnych w celu zminimalizowania ryzyka wiążącego się z przetwarzaniem danych osobowych, w szczególności wynikającego z przypadkowego lub niezgodnego z prawem zniszczenia, utraty, modyfikacji, nieuprawnionego ujawnienia lub nieuprawnionego dostępu do danych osobowych przesyłanych, przechowywanych lub w inny sposób przetwarzanych, na podstawie analizy ryzyka przetwarzania danych osobowych, uwzględniającej stan wiedzy technicznej, koszt wdrożenia oraz charakter, zakres, kontekst i cele przetwarzania oraz ryzyko naruszenia praw lub wolności osób fizycznych, w terminie 60 dni od dnia doręczenia niniejszej decyzji,

2)

udziela Prezesowi Sądu upomnienia.

II.

stwierdzając naruszenie przez Dyrektora Sądu Rejonowego U. z siedzibą przy ul. (…) w U. (dalej także „Dyrektor Sądu”) przepisów:

a)

art. 24 ust. 1 i ust. 2 oraz art. 32 ust. 1 lit. d) rozporządzenia 2016/679, polegające na niezapewnieniu regularnego testowania, mierzenia i oceniania skuteczności środków organizacyjnych mających zapewnić bezpieczeństwo przetwarzania, w rezultacie czego nie był aktualizowany dokument pełniący funkcję polityki ochrony danych w Sądzie,

b)

art. 32 ust. 1 i ust. 2 rozporządzenia 2016/679, polegające na niewdrożeniu odpowiednich środków technicznych i organizacyjnych w celu zminimalizowania ryzyka wiążącego się z przetwarzaniem danych osobowych, w szczególności wynikającego z przypadkowego lub niezgodnego z prawem zniszczenia, utraty, modyfikacji, nieuprawnionego ujawnienia lub nieuprawnionego dostępu do danych osobowych przesyłanych, przechowywanych lub w inny sposób przetwarzanych, na podstawie analizy ryzyka przetwarzania danych osobowych, uwzględniającej stan wiedzy technicznej, koszt wdrożenia oraz charakter, zakres, kontekst i cele przetwarzania oraz ryzyko naruszenia praw lub wolności osób fizycznych,

co stanowiło także naruszenie zasady poufności, o której mowa w art. 5 ust. 1 lit. f) rozporządzenia 2016/679 oraz zasady rozliczalności uregulowanej w art. 5 ust. 2 rozporządzenia 2016/679,

1)

nakazuje Dyrektorowi Sądu dostosowanie operacji przetwarzania do przepisów rozporządzenia 2016/679, poprzez wdrożenie odpowiednich środków technicznych i organizacyjnych w celu zminimalizowania ryzyka wiążącego się z przetwarzaniem danych osobowych, w szczególności wynikającego z przypadkowego lub niezgodnego z prawem zniszczenia, utraty, modyfikacji, nieuprawnionego ujawnienia lub nieuprawnionego dostępu do danych osobowych przesyłanych, przechowywanych lub w inny sposób przetwarzanych, na podstawie analizy ryzyka przetwarzania danych osobowych, uwzględniającej stan wiedzy technicznej, koszt wdrożenia oraz charakter, zakres, kontekst i cele przetwarzania oraz ryzyko naruszenia praw lub wolności osób fizycznych, w terminie 60 dni od dnia doręczenia niniejszej decyzji,

2)

udziela Dyrektorowi Sądu upomnienia.

Uzasadnienie

1.

Na podstawie art. 33 ust. 1 rozporządzenia 2016/679, do Prezesa Urzędu Ochrony Danych Osobowych, zwanego dalej także „Prezesem UODO” lub „organem nadzorczym”, zostało skierowane przez Prezesa Sądu oraz Dyrektora Sądu zgłoszenie naruszenia ochrony danych osobowych, zarejestrowane pod sygnaturą DKN.5130.6854.2024, którego opis zamieszczono w pkt 4 uzasadnienia decyzji. Ww. zgłoszenie wpłynęło do Prezesa UODO 17 czerwca 2024 r.

2.

W związku z powyższym, na podstawie art. 78 ust. 1, art. 79 ust. 1 oraz art. 84 ust. 1 pkt 1-4 ustawy z dnia 10 maja 2018 r. o ochronie danych osobowych (Dz. U. z 2019 r. poz. 1781) w związku z art. 57 ust. 1 lit. a) i h) oraz art. 58 ust. 1 lit. b), e) i f) rozporządzenia 2016/679, w celu kontroli zgodności przetwarzania danych osobowych z przepisami o ochronie danych osobowych, kontrolujący upoważnieni przez Prezesa UODO przeprowadzili w dniach (…) 2024 r. czynności kontrolne w Sądzie. W toku kontroli odebrano od pracowników Sądu ustne wyjaśnienia, a także przeprowadzono oględziny urządzeń i systemów informatycznych wykorzystywanych przez Sąd do przetwarzania danych osobowych. Ponadto, kontrolujący pozyskali kopie dokumentów mających znaczenie dla przedmiotu kontroli, stanowiące załączniki do protokołu kontroli.

3.

Zakresem kontroli objęto przetwarzanie przez Prezesa Sądu danych osobowych sędziów, w szczególności zaś sposób zabezpieczenia tych danych w związku z udostępnianiem informacji publicznej, m.in. w następującym zakresie:

1)

sposób i cel przetwarzania danych osobowych.

2)

wdrożenie odpowiednich środków technicznych i organizacyjnych, aby zapewnić odpowiedni stopień bezpieczeństwa danych objętych ochroną, a w szczególności ustalenie kiedy i w jaki sposób, administrator dokonywał regularnego testowania, mierzenia i oceniania skuteczności środków technicznych i organizacyjnych mających zapewnić bezpieczeństwo przetwarzanych danych osobowych (art. 32 ust. 1 rozporządzenia 2016/679),

3)

przeprowadzenie oceny skutków dla ochrony danych (art. 35 rozporządzenia 2016/679).

4)

przeprowadzenie analizy ryzyka dla operacji przetwarzania danych osobowych (art. 24 ust. 1 i art. 32 ust. 2 rozporządzenia 2016/679).

I. Ustalenia stanu faktycznego dokonane w ramach kontroli Prezesa UODO

4.

W toku ww. kontroli ustalono, że zgłoszone przez Prezesa Sądu naruszenie ochrony danych osobowych polegało na udzieleniu przez Prezesa Sądu informacji publicznej w zakresie przekraczającym treść złożonego wniosku o jej udzielenie. Wniosek o udzielenie informacji publicznej obejmował udostępnienie danych sędziów wraz z danymi lekarzy i psychologów, którzy dopuszczali tych sędziów do wykonywania zawodu. Prezes Sądu udzielił informacji publicznej, przesyłając wnioskodawcy plik (…), zawierający ww. dane. Po udzieleniu informacji publicznej stwierdzono jednak, że ww. plik (…) zawierał dodatkowe arkusze z danymi o szerszym zakresie niż obejmował wniosek o udostępnienie informacji publicznej, tj. imię, nazwisko, oznaczenie wydziału, nr PESEL, adres zamieszkania lub pobytu, datę urodzenia oraz datę powołania.

5.

W Sądzie nie zostały opracowane odrębne procedury dotyczące udzielania odpowiedzi na wnioski o dostęp do informacji publicznej i anonimizacji takich informacji. W ww. zakresie w Sądzie stosowano przepisy powszechnie obowiązujących aktów prawnych, tj. ustawę z dnia 6 września 2001 r. o dostępie do informacji publicznej (Dz. U z 2022 r. poz. 902) oraz rozporządzenie Ministra Sprawiedliwości z dnia 18 czerwca 2019 r. – Regulamin urzędowania sądów powszechnych (Dz. U. z 2024 poz. 867). Dodatkowo w Sądzie przy anonimizacji dokumentów pomocniczo wykorzystywane jest też opracowanie do systemu (…).

6.

W toku kontroli stwierdzono, że w Sądzie w zakresie środków organizacyjnych służących do zabezpieczenia danych osobowych obowiązuje System (…) (V.). Na system ten składają się Polityka (…), Polityka (…) Sądu Rejonowego U., Polityka (…) oraz Regulamin (…). Dokumenty te zostały wdrożone zarządzeniem nr (…) Prezesa Sądu Rejonowego U. z dnia (…) 2017 r.

7.

Jak wynika ponadto z materiału dowodowego zgromadzonego w toku kontroli, w Sądzie w zakresie środków organizacyjnych służących do zabezpieczenia danych osobowych sędziów została wdrożona Polityka (…) (G.) wprowadzona zarządzeniem (…) Prezesa i Dyrektora Sądu Rejonowego U. z (…) 2023 r. Jest to polityka wprowadzona z rekomendacji Ministerstwa Sprawiedliwości pochodzącej z 2022 r., wchodząca w skład Systemu (…) (V.). G. stanowi jedynie część systemów działających w Sądzie i nie dotyczy całości zadań wykonywanych przez Sąd, a jedynie czynności związanych z prowadzeniem rachunkowości oraz zarządzaniem kadrami w Sądzie. W rezultacie powyższego, ww. Polityka (…) nie dotyczy zasad ochrony danych osobowych w Sądzie w zakresie dotyczącym udzielania przez Prezesa Sądu i Dyrektora Sądu dostępu do informacji publicznej.

8.

Ww. dokumenty nie zostały zaktualizowane w związku ze zmianą w przepisach, które zostały wprowadzone przez rozporządzenie 2016/679 oraz ustawę o ochronie danych osobowych, w szczególności w zakresie podstaw prawnych przetwarzania danych, zakresu działania inspektora ochrony danych (poprzednio administratora bezpieczeństwa informacji), używanych pojęć i ich definicji wynikających ze znowelizowanych przepisów.

9.

Prezes Sądu w toku kontroli wskazał, że przeglądy środków organizacyjnych mających na celu zabezpieczenie danych osobowych są przeprowadzane nie rzadziej niż raz w ciągu roku kalendarzowego. Ostatniego przeglądu polityk dokonano w trzecim kwartale 2024 r. W razie ujawnienia potrzeb dotyczących konkretnych problemów, czynności analityczne są realizowane na bieżąco. Odnosząc się do problemu aktualizacji Polityki (…), Polityki (…), Polityki (…) i Regulaminu (…), Prezes Sądu wskazał, że przed 2021 rokiem kierownictwo Sądu podejmowało próby opracowania aktualnych polityk dotyczących ochrony danych osobowych, jednak z uwagi na szereg przyczyn (m.in. stan epidemii w 2020 r.) działania w tym zakresie zostały wstrzymane. Ponadto, Prezes Sądu wskazał, że w Sądzie są wykorzystywane specyficzne systemy teleinformatyczne (np. system obsługujący elektroniczne postępowanie upominawcze i systemy z nim powiązane), które nie funkcjonują w innych sądach albo są w nich wykorzystywane w niewielkim zakresie. Administratorami tych systemów są inne podmioty (np. Ministerstwo Sprawiedliwości).

10.

Pracownikom Sądu zostały nadane upoważnienia do przetwarzania danych osobowych, w których jako podstawę podano nieobowiązujące już przepisy o ochronie danych osobowych, przy czym Prezes Sądu zaktualizował upoważnienia w ww. względzie po kontroli Prezesa UODO, tj. (…) 2024 r. nadał nowe upoważnienia do przetwarzania danych osobowych na podstawie obowiązujących regulacji. Przed dopuszczeniem do pracy pracownicy Sądu przechodzą szkolenie z ochrony danych osobowych w systemie informatycznym w portalu wewnętrznym. W Sądzie prowadzone były też szkolenia dla pracowników w przedmiocie zasad ochrony danych osobowych. Szkolenia te były prowadzone przez podmiot zewnętrzny jak i organizowane przez Ministerstwo Sprawiedliwości.

11.

W toku kontroli przedłożono dokument „Analiza (…)”. Dokument ten jednak nie został opatrzony opisem wskazującym kiedy został opracowany i wdrożony. Ponadto, z załączonej do ww. Analizy metodyki jej przeprowadzenia wynika, że analiza ryzyka powinna być przeprowadzona w oparciu m.in. o zidentyfikowane czynności przetwarzania lub czynności przetwarzania wraz z zasobami biorącymi udział w przetwarzaniu. Z metodyki wynika również, że każdą zidentyfikowaną czynność przetwarzania, należy rozważyć w kontekście wystąpienia wskazanych w metodyce zagrożeń oraz (w zależności od rodzaju, charakteru realizowanych zadań) m.in. na podstawie dotychczasowych incydentów przetwarzania danych osobowych w organizacji lub w organizacjach podobnych.

12.

Dokument przekazany w czasie kontroli w wersji sporządzonej (…) 2024 r. ma służyć m.in. do identyfikowania zachodzących w Sądzie procesów i czynności przetwarzania danych osobowych mogących prowadzić do naruszenia ochrony danych osobowych oraz podejmowania decyzji o stosowanych w sądzie środkach technicznych i organizacyjnych minimalizujących możliwość wystąpienia naruszeń ochrony danych osobowych. Nie wydano zarządzenia o wdrożeniu tego dokumentu. Czynność polegająca na udzielaniu informacji publicznej, jak wskazano w toku kontroli, jest w analizie ryzyka uwzględniona jako „Sporządzanie kopii danych na zewnętrzne nośniki danych w sytuacjach nie przewidzianych przepisami prawa lub wewnętrzną procedurą”. Dla wskazanej czynności przetwarzania danych zidentyfikowane zostały następujące zasoby: człowiek, sprzęt, aplikacja, procedura, nośnik informacji, kanały komunikacyjne, podmioty zewnętrzne. W zakresie udzielania informacji publicznej zostały zidentyfikowane następujące zagrożenia: udzielenie informacji publicznej niezgodnie z wnioskiem, przesłanie informacji publicznej do niewłaściwego adresata, przesłanie odpowiedzi na informację publiczną z pominięciem anonimizacji danych niebędących informacją publiczną, udzielenie informacji publicznej w zakresie szerszym niż wnioskowanym, ujawnienie danych niebędących informacją publiczną.

13.

Ponadto, w trakcie kontroli w Sądzie nie przedstawiono dowodów potwierdzających przeprowadzanie analizy ryzyka przed dniem (…) 2024 r., tj. przed datą przedstawionego w toku kontroli dokumentu „Analiza (…)” opatrzonego datą (…) 2024 r.

14.

Dla systemu D. G. analizę ryzyka przeprowadzało Ministerstwo Sprawiedliwości dla wszystkich organów wymiaru sprawiedliwości (analizy tej Sąd nie posiada). Oceny skutków dla ochrony danych w systemie D. G. również w Sądzie nie przeprowadzano. W Sądzie nie przeprowadzono do dnia kontroli analizy dla przetwarzania w innych, niż związane z systemem D. G., procesach.

15.

Po stwierdzeniu naruszenia ochrony danych w Sądzie przeprowadzono indywidualne szkolenie przypominające z zakresu ochrony danych osobowych dla pracowników uczestniczących w zdarzeniach związanych z ww. naruszeniem.

II. Wyjaśnienia pokontrolne Prezesa Sądu i Dyrektora Sądu i wszczęcie postępowania administracyjnego.

16.

Należy wyjaśnić, że ilekroć w treści niniejszej decyzji jest mowa o wyjaśnieniach składanych przez Prezesa Sądu w sprawie, przez powyższe należy rozumieć także wyjaśnienia składane przez Dyrektora Sądu łącznie z Prezesem Sądu.

17.

Biorąc pod uwagę powyższe ustalenia stanu faktycznego, Prezes UODO stwierdził naruszenie przez Prezesa Sądu przepisów art. 5 ust. 1 lit. f), art. 5 ust. 2, art. 24 ust. 1 i ust. 2 oraz art. 32 ust. 1 i ust. 2 rozporządzenia 2016/679. W związku z powyższym, Prezes UODO, pismem z 24 lipca 2025 r. (znak: DKN.5112.63.2024), wszczął z urzędu postępowanie administracyjne w przedmiocie stwierdzonych w trakcie kontroli naruszeń przepisów o ochronie danych osobowych.

18.

W odpowiedzi na pismo Prezesa UODO z 24 lipca 2025 r. (znak: DKN.5112.63.2024), Prezes Sądu skierował do Prezesa UODO pismo z 8 sierpnia 2025 r. (znak: (…)) zawierające wyjaśnienia odnośnie do postawionych przez Prezesa UODO zarzutów. Jak wyjaśniono w ww. piśmie, opóźnienie w aktualizacji dokumentów składających się na politykę ochrony danych w Sądzie wynikało z wielu czynników, w tym – o charakterze zewnętrznym. Jak podniósł Prezes Sądu, dotychczas obowiązujące w Sądzie zarządzenia wprowadzające Polityki (…) Sądu Rejonowego U. zostały wydane na podstawie przepisów zarządzenia Ministra Sprawiedliwości z dnia 27 czerwca 2012 roku w sprawie wprowadzenia Polityki (…) Ministerstwa Sprawiedliwości i sądów powszechnych (Dz. Urz. MS 2012, poz. 93), zgodnie z którym na podstawie § 2 sądy powszechne były zobowiązane do wdrożenia Polityki (…) Ministerstwa Sprawiedliwości i sądów powszechnych w terminie 6 miesięcy od dnia wejścia w życie powołanego zarządzenia, zgodnie z dołączonymi do niego wzorami dokumentów.

19.

Ponadto, jak wskazał Prezes Sądu, po wejściu w życie przepisów rozporządzenia 2016/679, spodziewał się wydania przez Ministra Sprawiedliwości nowego aktu prawnego, tj. wydania zarządzenia odnoszącego się do wszystkich jednostek sądownictwa, z uaktualnionymi i ujednoliconymi dla tych jednostek wzorami nowych polityk bezpieczeństwa, z uwzględnieniem zasad wynikających z rozporządzenia 2016/679. Kolejne Zarządzenie Ministra Sprawiedliwości z dnia 27 marca 2019 r. wprowadzało Politykę (…) Ministerstwa Sprawiedliwości, ale z pominięciem sądów powszechnych, a więc także Sądu.

20.

Prezes Sądu wyjaśnił następnie, że Polityka (…), Polityka (…) Sądu Rejonowego U., Polityka (…) oraz Regulamin (…) stanowią elementy Systemu (…) (dalej „V.”), który funkcjonuje w Sądzie. Zarządzeniem Prezesa i Dyrektora Sądu Rejonowego U. nr (…) z dnia (…).2023 r. wdrożona została Polityka (…) (dalej „G.”), na którą składają się: Regulamin (…), Regulamin (…), Procedura (…) oraz słownik pojęć używanych w dokumentach Polityki (…).

21.

Prezes Sądu wskazał również, że zarządzanie bezpieczeństwem informacji w Sądzie odbywa się w oparciu o analizę ryzyka, która zgodnie z punktem (…) Polityki (…) Sądu Rejonowego U. prowadzona jest zgodnie z procedurą zarządzania ryzykiem w kontroli zarządczej. Celem oceny ryzyka jest eliminacja ryzyk o maksymalnej wartości. Na podstawie wyników analizy ryzyka opracowywane są kierunki postępowania z ryzykiem dla zagrożeń o ryzyku większym niż ustalony poziom ryzyka akceptowalnego. Prezes Sądu oświadczył także, iż analiza ryzyka jest przeprowadzana regularnie, nie rzadziej niż raz na kwartał.

22.

Prezes Sądu podniósł także, że wbrew treści pisma Prezesa UODO skierowanego do Prezesa Sądu i Dyrektora Sądu o wszczęciu postępowania, w Sądzie Rejonowym U. nie została naruszona zasada poufności, mimo niezaktualizowania obowiązujących Polityk odnoszących się do ochrony danych osobowych. Według Prezesa Sądu sam fakt, że funkcjonujące procedury ochrony danych (polityki bezpieczeństwa) nie zostały dostosowane do zmienionych przepisów nie oznacza jeszcze, że doszło do naruszenia zasady poufności, a do naruszenia takiego doszłoby dopiero wówczas, jeżeli w wyniku niezaktualizowania procedur wewnętrznych (Polityk ochrony danych) dane osobowe nie byłyby chronione w sposób zapewniający ich bezpieczeństwo (poufność, dostępność i integralność). Prezes Sądu wskazał, że w Sądzie funkcjonowały „w praktyce” wszystkie wymagane przez przepisy rozporządzenia 2016/679 zasady ochrony danych osobowych, przeprowadzana była na bieżąco analiza ryzyka, i że jego zdaniem stosowane środki techniczne i organizacyjne zapewniały i gwarantowały poufność danych, mimo braku formalnego zaktualizowania obowiązujących polityk.

23.

Dodatkowe wyjaśnienia Prezes Sądu złożył także w piśmie skierowanym do Prezesa UODO z (…) 2025 r. (znak: (…)), w którym poinformował o wydaniu zarządzenia z (…) 2025 r. wdrażającego w Sądzie do stosowania Politykę (…) i Regulamin (…).

24.

Następnie pismem z 15 października 2025 r. (znak: DKN.5112.63.2024.PP) Prezes UODO zwrócił się ponownie do Prezesa Sądu o wyjaśnienia, czy Prezes Sądu wdrożył, zgodnie z deklaracją złożoną na str. 4 pisma z 8 sierpnia 2025 r. (znak: (…)) środki organizacyjne służące zapewnieniu bezpieczeństwa przetwarzania danych w postaci dokumentów składających się na System (…), a w szczególności Politykę (…), Instrukcję (…), Politykę (…) i Regulamin (…).

25.

W odpowiedzi na powyższe pismo Prezesa UODO, Prezes Sądu udzielił kolejnych wyjaśnień pismem z 20 października 2025 r. (znak: (…)). Prezes Sądu wskazał w ww. piśmie, że w Sądzie w ramach funkcjonującego Systemu (…) zostały wprowadzone do stosowania: Polityka (…) oraz Regulamin (…). Dokumenty te zostały wprowadzone do stosowania Zarządzeniem Prezesa i Dyrektora Sądu Rejonowego U. nr (…) z (…) 2025 r. Do ww. pisma zostały załączone kopie dokumentów wymienionych w jego treści.

26.

Ponadto, Prezes Sądu oraz Dyrektor Sądu, pismem z 2 grudnia 2025 r. (znak: (…)) poinformowali Prezesa UODO, że w Sądzie, w ramach funkcjonującego Systemu (…), został wdrożony kolejny środek organizacyjny służący bezpieczeństwu przetwarzania, w postaci dokumentu pn. „Instrukcja (…)” wraz z załącznikami. Zgodnie ze złożonymi wyjaśnieniami, dokument ten został wdrożony zarządzeniem Prezesa i Dyrektora Sądu Rejonowego U. nr (…) z (…) 2025 r. Do pisma została dołączona kopia przedmiotowego zarządzenia wraz kopią Instrukcji (…).

27.

Następnie, pismem z 3 grudnia 2025 r. (znak: (…)), Prezes Sądu i Dyrektor Sądu poinformowali Prezesa UODO, że w Sądzie została wprowadzona do stosowania Polityka (…) z załącznikami. Ww. dokument został wdrożony do stosowania zarządzeniem Prezesa i Dyrektora Sądu Rejonowego U. nr (…) z dnia (…) 2025 r. Do pisma dołączono kopię ww. zarządzenia.

III. Ocena prawna stanu faktycznego ustalonego na podstawie zebranego materiału dowodowego

1. Właściwość Prezesa UODO

28.

Przepisami prawa regulującymi status i kompetencje polskich sądów powszechnych są: ustawa z dnia 27 lipca 2001 r. Prawo o ustroju sądów powszechnych (Dz. U. z 2024 r. poz. 334) oraz rozporządzenie Ministra Sprawiedliwości z dnia 18 czerwca 2019 r. Regulamin urzędowania sądów powszechnych (Dz. U. z 2024 r. poz. 867).

29.

W motywie 20 rozporządzenia 2016/679 stanowi się, że rozporządzenie 2016/679 ma zastosowanie między innymi do działań sądów i innych organów wymiaru sprawiedliwości, niemniej jednak prawo Unii Europejskiej lub prawo państwa członkowskiego może doprecyzować operacje i procedury przetwarzania danych osobowych przez sądy i inne organy wymiaru sprawiedliwości. Z kolei w art. 55 ust. 3 rozporządzenia 2016/679 stanowi się, że organy nadzorcze nie są właściwe do nadzorowania operacji przetwarzania dokonywanych przez sądy w ramach sprawowania przez nie wymiaru sprawiedliwości. Innymi słowy, właściwość organów nadzorczych nie powinna dotyczyć przetwarzania danych osobowych przez sądy w ramach sprawowania przez nie wymiaru sprawiedliwości, tak, by chronić niezawisłość sądów w wydawaniu przez nie orzeczeń. Wyjątek ten ogranicza się do czynności sądowych w sprawach sądowych i nie ma on zastosowania do innych czynności, w których sędziowie mogą brać udział zgodnie z prawem państwa członkowskiego.

30.

Wskazać bowiem należy, że poza wykonywaniem zadań w sferze sprawowania wymiaru sprawiedliwości, sądy wykonują również działalność administracyjną, której istota sprowadza się do zapewnienia odpowiednich warunków dla wykonywania przez sąd powierzonych mu zadań z zakresu sprawowania wymiaru sprawiedliwości i ochrony prawnej. Zgodnie z art. 8 pkt 1 i 2 ustawy Prawo o ustroju sądów powszechnych, działalność administracyjna sądów polega na zapewnieniu odpowiednich warunków techniczno-organizacyjnych oraz majątkowych funkcjonowania sądu i wykonywania przez sąd zadań, o których mowa w art. 1 § 2 i 3 ww. ustawy (na podstawie art. 31a § 1 ww. ustawy, czynności te należą do kompetencji dyrektora sądu) oraz zapewnieniu właściwego toku wewnętrznego urzędowania sądu, bezpośrednio związanego z wykonywaniem przez sąd zadań, o których mowa w art. 1 § 2 i 3 (na podstawie art. 22 § 1 ww. ustawy, czynności te należą do prezesa sądu).

31.

Jak wskazuje się w doktrynie prawa, w powyższym przepisie zdefiniowano „działalność administracyjną sądów” „aby oddzielić ją i odróżnić od działalności orzeczniczej i w rezultacie poddać nadzorowi administracyjnemu. Wyróżnione zostały dwie kategorie działalności. Pierwsza polega na zapewnieniu odpowiednich warunków niezbędnych do wykonywania funkcji orzeczniczych. Chodzi tu zwłaszcza o zapewnienie właściwych warunków lokalowych, finansowych, wyposażenia technicznego, poziomu wynagrodzeń oraz zatrudnienie odpowiedniego personelu pomocniczego. Realizacja tych zadań ma należeć przede wszystkim do dyrektora sądu. Druga kategoria działalności administracyjnej polega na staraniach o zapewnienie właściwego toku wewnętrznego urzędowania sądu, a więc łączy się bezpośrednio z orzekaniem, a zwłaszcza z zapewnieniem jego sprawności i należy do sfery tzw. wewnętrznego nadzoru. Wykonywanie tego nadzoru należy do prezesów sądów. W tym zakresie podstawowe znaczenie ma ustalenie w sądach podziału czynności, który obejmuje w szczególności decyzje o przydzieleniu sędziów i referendarzy do konkretnych wydziałów oraz ustalenie zakresu ich obowiązków”^[1].

32.

Do czynności administracyjnych sensu stricto zalicza się również pewien zakres czynności dotyczących spraw osobowych zarówno sędziów, jak i urzędników sądowych, czynności porządkowe wykonywane w trakcie sądzenia lub bezpośrednio związane z orzekaniem (np. wydawanie odpisów, zaświadczeń)^[2]. Do zakresu tego, w ocenie Prezesa UODO, bez wątpienia należy także udzielanie przez Prezesa Sądu z pomocą Dyrektora Sądu dostępu do informacji publicznej, w związku z którym doszło w Sądzie do naruszenia ochrony danych osobowych, a w następstwie powyższego, do przeprowadzenia przez Prezesa UODO kontroli w Sądzie i wszczęcia postępowania administracyjnego.

33.

Uprawnienia Prezesa UODO w zakresie jego kompetencji nadzorczych, związanych z monitorowaniem przestrzegania przepisów rozporządzenia 2016/679 przez administratorów w przedmiotowej sprawie przez Prezesa Sądu i Dyrektora Sądu), nie naruszają niezawisłości sędziowskiej, bowiem nie dotyczą kompetencji sędziego w postępowaniu sądowym i nie wpływają na treść orzeczeń wydawanych przez sądy (Sąd). Udzielenie upomnienia ze swej istoty nie ma wpływu na toczące się postępowanie sądowe (np. nie prowadzi do wstrzymania toczącego się postępowania lub do nakazania usunięcia zeznań świadka) i dotyczy wyłącznie sfery administracyjnej działalności sądu.

34.

Nieprawidłowości stwierdzone przez Prezesa UODO, naruszające między innymi zasadę integralności i poufności wyrażoną w art. 5 ust. 1 lit. f) rozporządzenia 2016/679, korespondują z jego uprawnieniami, które nie mają wpływu na naruszenie niezawisłości sądu, bowiem polegają one jedynie na upomnieniu administratora, celem nakłonienia go do przestrzegania w przyszłości przepisów rozporządzenia 2016/679. Wobec powyższego wywodu należy stwierdzić, że w przedmiotowej sprawie Prezes UODO ma kompetencję do jej rozpatrzenia w drodze postępowania administracyjnego i rozstrzygnięcia w niniejszej decyzji.

2. Ustalenie administratorów danych osobowych przetwarzanych w związku z udzielaniem przez Sąd dostępu do informacji publicznej

35.

Zgodnie z art. 175a § 1 ustawy z dnia 27 lipca 2001 r. Prawo o ustroju sądów powszechnych administratorami danych osobowych:

1)

sędziów i sędziów w stanie spoczynku oraz asesorów sądowych,

2)

referendarzy sądowych, asystentów sędziów, dyrektorów sądów oraz ich zastępców, kuratorów sądowych, aplikantów aplikacji sądowej, aplikantów kuratorskich, urzędników oraz innych pracowników sądów,

3)

biegłych sądowych, lekarzy sądowych, mediatorów oraz ławników,

4)

kandydatów na stanowiska wymienione w pkt 1 i 2 – są prezesi i dyrektorzy właściwych sądów oraz Minister Sprawiedliwości, w ramach realizowanych zadań. Ponadto, w myśl art. 175a § 4 ww. ustawy, administratorami danych osobowych przetwarzanych w związku z działalnością administracyjną sądów są prezesi właściwych sądów, dyrektorzy właściwych sądów oraz Minister Sprawiedliwości w ramach realizowanych zadań.

36.

W związku z powyższym, biorąc pod uwagę fakt, że przeprowadzona w Sądzie kontrola Prezesa UODO a następnie postępowanie administracyjne i postawione w nim zarzuty odnoszą się do przetwarzania danych w związku z czynnością udzielania przez Sąd dostępu do informacji publicznej, której realizacja należy zarówno do Prezesa Sądu jak i Dyrektora Sądu, za administratorów danych przetwarzanych w związku z powyższym procesem należy uznać oba ww. organy Sądu. W konsekwencji powyższego, stronami postępowania prowadzonego przez Prezesa UODO są zatem Prezes Sądu oraz Dyrektor Sądu. Postępowanie nie objęło natomiast jako strony Ministra Sprawiedliwości, bowiem nie dotyczy ono przetwarzania danych przez Sąd w zakresie, w jakim jest on ich administratorem, a więc przetwarzania związanego z systemami teleinformatycznymi, do których dostęp Sądowi zapewnia Minister Sprawiedliwości i których jest on administratorem.

37.

Podział zadań mających charakter administracyjny pomiędzy Dyrektorem Sądu a Prezesem Sądu wynika z treści art. 21 § 1 ustawy Prawo o ustroju sądów powszechnych. Kompetencje Prezesa Sądu zostały m.in. określone w nim jako kierowanie sądem i reprezentowanie sądu na zewnątrz, kierowanie działalnością administracyjną sądu, w zakresie czynności z zakresu wymiaru sprawiedliwości i ochrony prawnej, które zostały powierzone w drodze ustaw lub przez prawo międzynarodowe. Prezes Sądu jest też zwierzchnikiem służbowym sędziów, asesorów sądowych, referendarzy sądowych, asystentów sędziów danego sądu oraz kierownika i specjalistów opiniodawczego zespołu sądowych specjalistów.

38.

Natomiast Dyrektor Sądu jest zobowiązany do zapewnienia odpowiednich warunków techniczno-organizacyjnych oraz majątkowych funkcjonowania sądu. Ponadto, wykonuje zadania przypisane, na podstawie odrębnych przepisów, kierownikowi jednostki w zakresie finansowym, gospodarczym, kontroli finansowej, gospodarowania mieniem Skarbu Państwa oraz audytu wewnętrznego w tych obszarach. Jest również zwierzchnikiem służbowym i dokonuje czynności z zakresu prawa pracy oraz reprezentuje sąd w tym zakresie wobec pracowników sądu, z wyłączeniem sędziów, asesorów sądowych, referendarzy sądowych, kuratorów zawodowych, asystentów sędziów oraz kierowników i specjalistów opiniodawczych zespołów sądowych specjalistów. Dyrektor Sądu reprezentuje także Skarb Państwa w zakresie powierzonego mienia i zadań Sądu.

39.

Doprecyzowanie zakresu zadań i kompetencji Prezesa Sądu określonych w ustawie Prawo o ustroju sądów powszechnych zawarte jest w treści przepisów rozporządzenia Ministra Sprawiedliwości w sprawie Regulaminu urzędowania sądów powszechnych. W myśl § 31 ust. 1 pkt 9 i 10 ww. rozporządzenia, prezes sądu udziela informacji w odpowiedzi na wnioski kierowane w trybie ustawy z dnia 6 września 2001 r. o dostępie do informacji publicznej i jest administratorem danych osobowych zgodnie z przepisami o ochronie danych osobowych.

40.

Zadaniami Dyrektora Sądu, w myśl § 31 ust. 2 i ust. 3 ww. rozporządzenia, są m in.: nadzorowanie pracy komórek organizacyjnych sądu niezwiązanych bezpośrednio z działalnością orzeczniczą oraz zapewnienie przestrzegania zasad ochrony bezpieczeństwa informacji. Ponadto, Dyrektor Sądu jest administratorem danych osobowych zgodnie z przepisami o ochronie danych osobowych. W związku z powyższym należy stwierdzić, że administratorem danych osobowych pracowników sądów, którzy dokonują czynności bezpośrednio związanych z wymiarem sprawiedliwości, np. sędziów jest prezes sądu, natomiast administratorem danych osobowych pracowników administracyjnych sądów są dyrektorzy sądów.

41.

W przywołanych powyżej przepisach dotyczących zadań i kompetencji nie określono dokładnie zakresu przedmiotowego pełnienia funkcji administratora danych w przypadku dyrektora sądu i prezesa sądu. Jednak wobec stwierdzonego w niniejszej sprawie stanu faktycznego dotyczącego ujawnienia danych sędziów w zakresie ich numerów PESEL oraz adresów zamieszkania, należy stwierdzić, że odpowiedzialność za stwierdzone w sprawie naruszenia przepisów odpowiedzialni są obaj administratorzy, tj. zarówno Prezes Sądu jak i Dyrektor Sądu.

42.

Powyższe wynika z zakresu odpowiedzialności obu organów Sądu za wykonywanie obowiązków w zakresie ochrony danych osobowych. Bez wątpienia Dyrektor Sądu, zgodnie z ww. przepisami odpowiada za organizację ochrony danych osobowych, zabezpieczenia fizyczne i informatyczne. Świadczy przede wszystkim o tym treść przepisów Regulaminu urzędowania sądów powszechnych, w którym wskazano dyrektora jako odpowiedzialnego za zapewnienie przestrzegania zasad ochrony bezpieczeństwa informacji. Prezes Sądu natomiast, ze względu na ujęte w przepisach zwierzchnictwo służbowe nad sędziami i innymi pracownikami sądu pełniącymi funkcje z zakresu wymiaru sprawiedliwości, jest administratorem danych tych osób.

43.

W związku z powyższym, Prezes Sądu jest odpowiedzialny za bezpieczeństwo ich danych osobowych w pełnym zakresie, również związane z zabezpieczeniami technicznymi i organizacyjnymi faktycznie funkcjonującymi w Sądzie, jak również z całą dokumentacją dotyczącą przetwarzania danych osobowych pracowników wykonujących zadania w sferze wymiaru sprawiedliwości. Prezes Sądu wraz z Dyrektorem Sądu są jako administratorzy danych również odpowiedzialni za dokonanie oceny ryzyka związanego z przetwarzaniem danych, a także wdrożenie aktualnych środków służących bezpieczeństwu przetwarzania, takich jak polityka ochrony danych.

3. Naruszenie art. 24 ust. 1 i ust. 2, art. 32 ust. 1 lit. d), art. 5 ust. 1 lit. f) oraz art. 5 ust. 2 rozporządzenia 2016/679 – niewdrożenie polityki ochrony danych

44.

Zgodnie z treścią art. 32 ust. 1 lit. d) rozporządzenia 2016/679, uwzględniając stan wiedzy technicznej, koszt wdrażania oraz charakter, zakres, kontekst i cele przetwarzania oraz ryzyko naruszenia praw lub wolności osób fizycznych o różnym prawdopodobieństwie wystąpienia i wadze zagrożenia, administrator i podmiot przetwarzający wdrażają odpowiednie środki techniczne i organizacyjne, aby zapewnić stopień bezpieczeństwa odpowiadający temu ryzyku, w tym między innymi w stosownym przypadku: d) regularne testowanie, mierzenie i ocenianie skuteczności środków technicznych i organizacyjnych mających zapewnić bezpieczeństwo przetwarzania.

45.

Ponadto, w myśl art. 24 ust. 1 rozporządzenia 2016/679, uwzględniając charakter, zakres, kontekst i cele przetwarzania oraz ryzyko naruszenia praw lub wolności osób fizycznych o różnym prawdopodobieństwie i wadze zagrożenia, administrator wdraża odpowiednie środki techniczne i organizacyjne, aby przetwarzanie odbywało się zgodnie z rozporządzeniem 2016/679 i aby móc to wykazać. Środki te są w razie potrzeby poddawane przeglądom i uaktualniane. Zgodnie zaś z treścią art. 24 ust. 2 rozporządzenia 2016/679, jeżeli jest to proporcjonalne w stosunku do czynności przetwarzania, środki, o których mowa w ust. 1, obejmują wdrożenie przez administratora odpowiednich polityk ochrony danych.

46.

W świetle art. 5 ust. 1 lit. f) rozporządzenia 2016/679, dane osobowe muszą być przetwarzane w sposób zapewniający odpowiednie bezpieczeństwo danych osobowych, w tym ochronę przed niedozwolonym lub niezgodnym z prawem przetwarzaniem oraz przypadkową utratą, zniszczeniem lub uszkodzeniem, za pomocą odpowiednich środków technicznych lub organizacyjnych („integralność i poufność”). W art. 5 ust. 2 rozporządzenia 2016/679 stanowi się z kolei zasadę rozliczalności, wedle której administrator jest odpowiedzialny za przestrzeganie przepisów ust. 1 i musi być w stanie wykazać ich przestrzeganie.

47.

Ze zgromadzonego w toku kontroli materiału dowodowego nie wynika, by Prezes Sądu i Dyrektor Sądu dokonywali regularnego testowania, mierzenia i oceniania skuteczności środków technicznych i organizacyjnych mających zapewnić bezpieczeństwo przetwarzania danych osobowych pracowników sądów, w tym sędziów. Dokumentacja sporządzona w oparciu o przepisy nieobowiązującej od 25 maja 2018 r. ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (Dz. U. z 2016 r. poz. 922 ze zm.) nie spełnia wymogu zawartego w treści przepisu art. 24 ust. 1 i ust. 2 oraz art. 32 ust. 1 lit. d) w związku z art. 5 ust. 1 lit. f) oraz ust. 2 rozporządzenia 2016/679.

48.

Skoro zgodnie z art. 24 ust. 2 rozporządzenia 2016/679 obowiązkiem administratora jest wdrożenie odpowiednich polityk ochrony danych, jeżeli jest to proporcjonalne w stosunku do czynności przetwarzania, to należy stwierdzić, że przypadku przetwarzania danych przez Prezesa Sądu i Dyrektora Sądu, z uwagi na cel, kontekst, skalę oraz rodzaj tego przetwarzania, bez wątpienia należy uznać, że wdrożenie przez nich polityki ochrony danych jest „proporcjonalne w stosunku do czynności przetwarzania”. Prezes Sądu oraz Dyrektor Sądu przetwarzają dane szczególne, jak dotyczące chociażby zdrowia czy przynależności do związków zawodowych, czynią to na dużą skalę, a kontekst tego przetwarzania niesie ze sobą szczególne ryzyka dla praw lub wolności osób, których dane dotyczą (np. w wyrokach wydanych w sprawach karnych). Wobec powyższego, w ocenie Prezesa UODO, nie ulega wątpliwości, że Prezes Sądu i Dyrektor Sądu powinni byli wdrożyć w Sądzie stosowną, aktualną, tj. dostosowaną m.in. do wymogów przepisów rozporządzenia 2016/679 politykę ochrony danych.

49.

Obowiązek aktualizacji wdrożonych przez administratora środków mających zapewniać bezpieczeństwo przetwarzania danych, wynika wprost z treści art. 24 ust. 1 rozporządzenia 2016/679 (zdanie drugie). Z przepisu tego wynika także obowiązek poddawania wdrożonych środków przeglądom. Z kolei z treści art. 32 ust. 1 lit. d) rozporządzenia 2016/679 wynika, że administrator ma obowiązek regularnego testowania, mierzenia i oceniania skuteczności środków technicznych i organizacyjnych mających zapewnić bezpieczeństwo przetwarzania. Należy podkreślić, że takim przeglądom, tj. testowaniu i ocenie, podlegają nie tylko środki techniczne, ale również środki organizacyjne służące do zapewnienia bezpieczeństwa przetwarzania danych. Zatem, przeglądom takim bez wątpienia podlega także środek organizacyjny w postaci polityki ochrony danych.

50.

Z całokształtu zebranego w sprawie materiału dowodowego wynika, że Prezes Sądu oraz Dyrektor Sądu nie wdrożyli w Sądzie do dnia (…) 2025 r. aktualnej, odpowiadającej bieżącemu stanowi prawnemu polityki ochrony danych i jednocześnie nie przeprowadzali regularnego testowania i oceniania (przeglądów) ww. dokumentacji jako środka organizacyjnego służącego w Sądzie zapewnieniu bezpieczeństwa przetwarzania. W ten sposób naruszyli oni art. 24 ust. 1 i ust. 2 oraz art. 32 ust. 1 lit. d) rozporządzenia 2026/679.

51.

Zgodnie z zasadą rozliczalności wymienioną w art. 5 ust. 2 rozporządzenia 2016/679, Prezes Sądu i Dyrektor Sądu mieli obowiązek wykazać przed Prezesem UODO, że faktycznie dokonują ww. czynności. W toku czynności kontrolnych oraz postępowania administracyjnego nie przedstawili oni jednak żadnego miarodajnego dowodu wskazującego na regularne poddawanie przeglądom (ocenianiu i testowaniu) treści dokumentacji wskazanej w toku kontroli przez ww. administratorów jako polityki ochrony danych wdrożonej do stosowania w Sądzie.

52.

Dodatkowe potwierdzenie słuszności powyższego zarzutu stanowi fakt, że przedłożona w toku kontroli przez Prezesa Sądu i Dyrektora Sądu dokumentacja mająca stanowić politykę ochrony danych wdrożoną w Sądzie (zarządzenie nr (…) Prezesa Sądu Rejonowego U. z dnia (…) 2017 r. wprowadzające Politykę (…), Politykę (…), Politykę (…) wraz z Polityką (…) oraz Regulamin Użytkowania Systemów Informatycznych), zawierała w treści wyraźne odniesienie do przepisów nieobowiązującej od 25 maja 2018 r. ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (Dz. U. z 2016 r. poz. 922 ze zm.). Należy bowiem domniemywać, że jeżeli w Sądzie rzeczywiście dokonywano by rzetelnie i regularnie czynności testowania i oceniania polityki ochrony danych, niezaktualizowana dokumentacja o treści, jak wyżej wymieniona, nie miałaby w Sądzie nadal zastosowania.

53.

Trzeba przy tym na marginesie wyraźnie wskazać, że wbrew twierdzeniom Prezesa Sądu zawartym w jego piśmie skierowanym do Prezesa UODO z 8 sierpnia 2025 r. dokumentacji, której treść zawiera zasady opracowane na podstawie i w odniesieniu do nieobowiązujących od dawna przepisów prawa, w żadnym razie nie można uznać za poddaną aktualizacji. Z istoty diametralnej zmiany podejścia do ochrony danych osobowych, która nastąpiła wraz z wejściem w życie przepisów rozporządzenia 2016/679 i wdrożonych tym samym całkowicie nowych zasad tej ochrony, siłą rzeczy, stosując zasadę logicznego myślenia, treść ww. dokumentacji nie może spełniać wymogów przedmiotowego rozporządzenia. Należy także pamiętać, że zgodnie z treścią art. 32 ust. 1 rozporządzenia 2016/679, „uwzględniając stan wiedzy technicznej, koszt wdrażania oraz charakter, zakres, kontekst i cele przetwarzania oraz ryzyko naruszenia praw lub wolności osób fizycznych o różnym prawdopodobieństwie wystąpienia i wadze zagrożenia, administrator i podmiot przetwarzający wdrażają odpowiednie środki techniczne i organizacyjne, aby zapewnić stopień bezpieczeństwa odpowiadający temu ryzyku (…)”. W ww. kwestii wypowiedział się także Wojewódzki Sąd Administracyjny w Warszawie w wyroku z 27 lutego 2024 r., sygn. akt II SA/Wa 1404/23, w którym stwierdził, że „(…) uwzględnienie stanu wiedzy technicznej powinno skłaniać administratora do rezygnacji z rozwiązań przestarzałych, o niewielkiej skuteczności, czy też takich, co do których wiadomo, że nie zapewniają należytej ochrony danych”. Za takie „przestarzałe” rozwiązanie, o którym wspomniał w ww. wyroku Wojewódzki Sąd Administracyjny w Warszawie, należy uznać przedstawioną w toku kontroli Prezesowi UODO przez Prezesa Sądu i Dyrektora Sądu dokumentację składającą się na ówcześnie obowiązującą politykę ochrony danych.

54.

Jak wskazano w komentarzu do art. 24 rozporządzenia 2016/679^[3], „W rozporządzeniu 2016/679 (…) nie zostały przewidziane szczegółowe wymogi dotyczące zarówno zakresu merytorycznego, jak i formy dokumentacji ochrony danych. W tym zakresie prawodawca europejski pozostawia administratorowi swobodę podjęcia decyzji, podkreślając jedynie, że dokumenty te służyć mogą do realizacji zasady rozliczalności, a zatem wykazania przez administratora spełniania wymogów wynikających z rozporządzenia 2016/679. Polityki te mogą sięgać natomiast do standardów i norm w zakresie bezpieczeństwa, stanowić element wdrożonego u administratora systemu compliance, a także dotychczasowych rozwiązań formalnych po ich odpowiednim dostosowaniu do zasad wynikających z rozporządzenia. Dodatkowo mogą lub nawet powinny uwzględniać elementy wskazane jako zadania inspektora ochrony danych w art. 39 ust. 1 lit. b, do którego należy m.in. monitorowanie polityk administratora lub podmiotu przetwarzającego w dziedzinie ochrony danych osobowych, w tym dotyczących podziału obowiązków, działań zwiększających świadomość, szkoleń personelu uczestniczącego w operacjach przetwarzania oraz powiązanych z tym audytów”.

55.

W ww. komentarzu wskazuje się także, iż

„

warto zwrócić uwagę, że niezależnie od regulacji art. 24 ust. 2 w rozporządzeniu 2016/679 wprowadzono szereg innych obowiązków dokumentacyjnych:

1)

prowadzenie przez administratorów rejestru czynności przetwarzania, zaś przez procesorów – rejestru kategorii przetwarzania (art. 30 ust. 1 i 2);

2)

prowadzenie dokumentacji wszelkich naruszeń ochrony danych osobowych, w tym okoliczności naruszenia ochrony danych osobowych, skutków naruszenia oraz podjętych działań zaradczych (art. 33 ust. 5), oraz realizacja powiązanego z tym obowiązku notyfikacyjnego naruszenia ochrony danych osobowych organowi nadzorczemu o zakresie informacyjnym określonym w art. 33 ust. 3;

3)

zawiadamianie osób, których dane dotyczą, o naruszeniu ochrony danych o zakresie informacyjnym określonym w art. 34 ust. 3;

4)

prowadzenie dokumentacji oceny skutków dla ochrony danych (art. 35 ust. 7);

5)

prowadzenie dokumentacji uprzednich konsultacji z organem nadzorczym (art. 36 ust. 3).

Przy ocenie zasadności opracowania i określenia zakresu przedmiotowego polityk ochrony danych należy wziąć pod uwagę także ww. obowiązki w celu analizy zasadności stworzenia kompleksowej dokumentacji ochrony danych obowiązującej u administratora. Może to w konsekwencji ułatwić także wykazanie realizacji obowiązków nałożonych przepisami rozporządzenia 2016/679, w szczególności zasad przetwarzania (art. 5 ust. 1 i 2).”

56.

Biorąc powyższe pod uwagę oraz wyjaśnienia złożone przez Prezesa Sądu i Dyrektora Sądu w pismach skierowanych do Prezesa UODO z 8 sierpnia, 20 października, 2 grudnia 2025 r. oraz 3 grudnia 2025 r. stwierdzić należy, że do dnia (…) 2025 r. dokumentacja obowiązująca w Sądzie nie spełniała ww. zaleceń i wymogów, przez co również nie można jej uznać za politykę ochrony danych spełniającą wymogi art. 24 ust. 1 i ust. 2 rozporządzenia 2016/679. Z dniem (…) 2025 r. wydane zostało zarządzenie nr (…) Prezesa i Dyrektora Sądu Rejonowego U., wprowadzające w życie Politykę (…) oraz Regulamin (…). Następnie, z dniem (…) 2025 r. wydane zostało zarządzenie Prezesa i Dyrektora Sądu Rejonowego U. nr (…) z dnia (…) 2025 r. wprowadzające Instrukcję (…) wraz z załącznikami, a z dniem (…) 2025 r. zarządzeniem Prezesa i Dyrektora Sądu Rejonowego U. nr (…) z dnia (…) 2025 r. została wdrożona do stosowania Polityka (…) z załącznikami.

57.

Ww. regulacje, w szczególności po wydaniu zarządzeń z (…) 2025 r., obejmują kompleksowo zagadnienia istotne dla ochrony danych przetwarzanych w Sądzie, odnosząc się do najważniejszych kwestii mających dla tej ochrony znaczenie, Prezes UODO uznał, że można im nadać walor równoznaczny z kompleksową polityką ochrony danych w rozumieniu art. 24 ust. 2 rozporządzenia 2016/679. W konsekwencji powyższego, Prezes UODO uznał, że na dzień wydania decyzji, Prezes Sądu i Dyrektor Sądu wdrożyli do stosowania politykę ochrony danych o zakresie treści odpowiadającym specyfice przetwarzania danych w Sądzie. Z tego też względu, w niniejszej decyzji nie został wydany wobec ww. organów Sądu nakaz dostosowania operacji przetwarzania do rozporządzenia 2016/679, bowiem Prezes UODO uznał, że na dzień wydania decyzji, Prezes Sądu i Dyrektor Sądu usunęli stan naruszenia przepisów rozporządzenia 2016/679 związany z niewdrożeniem aktualnej polityki ochrony danych oraz brakiem regularnego testowania, mierzenia i oceniania przez ww. organy Sądu środków służących bezpieczeństwu przetwarzania.

58.

W toku kontroli, organy Sądu przedstawiły aktualną politykę ochrony danych osobowych w Sądzie jedynie w części ograniczonej do systemu G.. Należy jednak podkreślić, że polityka dotycząca systemu G. zawiera zasady przetwarzania danych wyłącznie w tym systemie i dotyczy stosunkowo małej części procesów przetwarzania danych zachodzących w Sądzie. W związku z powyższym nie obejmuje ona wszystkich czynności, celów i kontekstów przetwarzania danych osobowych oraz zastosowanych środków technicznych i organizacyjnych służących do zabezpieczenia przetwarzania. Należy zauważyć, że przetwarzanie danych, którego skutkiem było również naruszenie ich ochrony, odbywało się nie tylko w systemie G., w którym wygenerowano raport zawierający dane osobowe, ale jego zawartość przeniesiono do programu (…), który składnikiem systemu G. nie był. Wszystkie dane zawarte w programie (…) pracownik Sądu przeniósł z kolei do systemu EZD, w celu finalnego zrealizowania czynności jaką było udostępnienie informacji publicznej. Skoro zatem czynność przetwarzania danych i ich anonimizacji w celu udostępnienia informacji publicznej odbywała się z wykorzystaniem co najmniej trzech różnych narzędzi – systemu G., programu (…) oraz systemu obiegu korespondencji EZD, cała dokumentacja dotycząca ochrony danych osobowych powinna być sporządzona z uwzględnieniem wszystkich narzędzi, w których przetwarza się dane osobowe. Powyższe potwierdza zatem ponownie fakt niewdrożenia przed (…) 2025 r. kompleksowej, obejmującej całokształt działalności Sądu polityki ochrony danych z jednej strony, z drugiej zaś fakt nieregularnego testowania i oceniania środków zabezpieczających przetwarzanie, a konsekwencji powyższego niewdrożenia w Sądzie aktualnej polityki ochrony danych przez Prezesa Sądu i Dyrektora Sądu, którzy naruszyli w ten sposób art. 24 ust. 1 i ust. 2 oraz art. 32 ust. 1 lit. d) rozporządzenia 2016/679.

59.

Naruszenie przez Prezesa Sądu i Dyrektora Sądu art. 24 ust. 1 i ust. 2, a także art. 32 ust. 1 lit. d) rozporządzenia 2016/679, stanowiło jednocześnie naruszenie art. 5 ust. 1 lit. f) i wynikającej z niego zasady poufności i integralności, bowiem niewdrożenie aktualnej polityki ochrony danych przez ww. organy Sądu w odniesieniu do całokształtu wykonywanych przez Sąd zadań, stanowiło realne zagrożenie dla bezpieczeństwa przetwarzania. Należy pamiętać, że polityka ochrony danych stanowi jeden z podstawowych środków organizacyjnych służących bezpieczeństwu przetwarzania i formalizuje w organizacji danego administratora wszelkie reguły niezbędne dla bezpieczeństwa przetwarzania danych osobowych.

60.

Brak regularnych przeglądów (testowania i oceniania) polityki ochrony danych i w rezultacie tego niezastosowanie środka w postaci aktualnej polityki ochrony danych, nie spełniało warunku przetwarzania „w sposób zapewniający odpowiednie bezpieczeństwo danych osobowych, w tym ochronę przed niedozwolonym lub niezgodnym z prawem przetwarzaniem oraz przypadkową utratą, zniszczeniem lub uszkodzeniem, za pomocą odpowiednich środków technicznych lub organizacyjnych”. Należy zwrócić uwagę na fakt, że brak regularnego testowania, mierzenia i oceniania (przeglądów) stosowanych przez administratora środków służących zapewnieniu bezpieczeństwa przetwarzania, stanowi duże zagrożenie dla poufności i integralności danych. Zaniechanie administratora w zakresie ww. testowania powoduje, że nie jest on w stanie właściwie ocenić stopnia adekwatności zastosowanych przez niego środków do występujących zagrożeń dla przetwarzania danych. Administrator w ten sposób pozbawia się więc możliwości rzetelnej oceny ryzyk związanych z przetwarzaniem przez niego danych, a w konsekwencji powyższego, pozbawia się też możliwości świadomego wdrożenia adekwatnych środków bezpieczeństwa. Takiej postawy, w ocenie Prezesa UODO, nie można ocenić jako przetwarzanie „w sposób zapewniający odpowiednie bezpieczeństwo danych osobowych”.

61.

Wobec powyższego, naruszając art. 24 ust. 1 i ust. 2, a także art. 32 ust. 1 lit. d) rozporządzenia 2016/679 i nie wykazując w ten sposób przed Prezesem UODO ich przestrzegania oraz zasady poufności i integralności, o której mowa w art. 5 ust. 1 lit. f) rozporządzenia 2016/679, Prezes Sądu wraz z Dyrektorem Sądu naruszyli tym samym także art. 5 ust. 2 rozporządzenia 2016/679 i wynikającą z niego zasadę rozliczalności. W art. 5 ust. 2 rozporządzenia 2016/679 europejski prawodawca wskazał, że administrator jest odpowiedzialny za przestrzeganie przepisów art. 5 ust. 1 rozporządzenia 2016/679 i musi być w stanie wykazać ich przestrzeganie ("rozliczalność"). Nie precyzuje przy tym, w jaki sposób respektowanie zasad przetwarzania danych ma być wykazane. Jednym ze sposobów wykazania przestrzegania zasad przetwarzania określonych w art. 5 ust. 1 rozporządzenia 2016/679 jest wdrożona przez administratora aktualna dokumentacja dotycząca przetwarzania danych w organizacji, w tym polityki ochrony danych osobowych. Jak podkreśla się w orzecznictwie, „stwierdzenie, że administrator powinien być w stanie wykazać przestrzeganie zasad, odczytywać można jako nałożenie na administratora ciężaru dowodowego w zakresie przestrzegania zasad przetwarzania danych”^[4].

4. Naruszenie art. 32 ust. 1 i ust. 2, art. 5 ust. 1 lit. f) oraz art. 5 ust. 2 rozporządzenia 2016/679 – nieprzeprowadzenie analizy ryzyka związanego z przetwarzaniem danych.

62.

Zgodnie z treścią art. 32 ust. 1 rozporządzenia 2016/679, uwzględniając stan wiedzy technicznej, koszt wdrażania oraz charakter, zakres, kontekst i cele przetwarzania oraz ryzyko naruszenia praw lub wolności osób fizycznych o różnym prawdopodobieństwie wystąpienia i wadze zagrożenia, administrator i podmiot przetwarzający wdrażają odpowiednie środki techniczne i organizacyjne, aby zapewnić stopień bezpieczeństwa odpowiadający temu ryzyku, w tym między innymi w stosownym przypadku: a) pseudonimizację i szyfrowanie danych osobowych; b)zdolność do ciągłego zapewnienia poufności, integralności, dostępności i odporności systemów i usług przetwarzania; c) zdolność do szybkiego przywrócenia dostępności danych osobowych i dostępu do nich w razie incydentu fizycznego lub technicznego; d) regularne testowanie, mierzenie i ocenianie skuteczności środków technicznych i organizacyjnych mających zapewnić bezpieczeństwo przetwarzania.

63.

Z kolei w myśl art. 32 ust. 2 rozporządzenia 2016/679, oceniając, czy stopień bezpieczeństwa jest odpowiedni, uwzględnia się w szczególności ryzyko wiążące się z przetwarzaniem, w szczególności wynikające z przypadkowego lub niezgodnego z prawem zniszczenia, utraty, modyfikacji, nieuprawnionego ujawnienia lub nieuprawnionego dostępu do danych osobowych przesyłanych, przechowywanych lub w inny sposób przetwarzanych.

64.

Prezes Sądu i Dyrektor Sądu oświadczyli, że w Sądzie nie przeprowadzono przed (…) 2024 r. analizy ryzyka związanego z przetwarzaniem danych osobowych. Ponadto, w ocenie Prezesa UODO, zarówno przedstawiony w toku kontroli dokument o nazwie „Metodyka (…)”, jak również tabela (…), którą Prezes Sądu załączył do pisma skierowanego do Prezesa UODO z 8 sierpnia 2025 r., dotycząca kontroli zarządczej, nie stanowią dowodu dokonania miarodajnej i właściwej oceny ryzyka.

65.

Uwzględniając regulację art. 32 ust. 1 i ust. 2 rozporządzenia 2016/679, należy stwierdzić, że podmiot, który przetwarza dane osobowe, zobligowany jest do zapewnienia ciągłości monitorowania poziomu zagrożeń oraz zapewnienia rozliczalności w zakresie poziomu oraz adekwatności wprowadzonych przez niego zabezpieczeń przetwarzania. Oznacza to, że koniecznością staje się możliwość udowodnienia przed organem nadzorczym, że wprowadzone rozwiązania, mające na celu zapewnienie bezpieczeństwa danych osobowych, są adekwatne do poziomu ryzyka, jak również uwzględniają charakter danej organizacji oraz wykorzystywanych sposobów przetwarzania danych osobowych. Aby móc powyższe wykazać, administrator musi przeprowadzić analizę prowadzonych procesów przetwarzania danych i dokonać oceny związanego z nimi ryzyka, a następnie zastosować takie środki zapewniające bezpieczeństwo przetwarzania, które będą adekwatne do oszacowanego ryzyka. Konsekwencją powyższego jest rezygnacja z list wymagań, w zakresie bezpieczeństwa narzuconych przez prawodawcę, na rzecz samodzielnego doboru zabezpieczeń w oparciu o analizę zagrożeń. Administratorom nie wskazuje się zatem konkretnych środków i procedur w zakresie bezpieczeństwa.

66.

Ww. adekwatność środków należy oceniać ze względu na sposób i cel, w jakim dane osobowe są przetwarzane, ale też należy brać pod uwagę ryzyko związane z przetwarzaniem tych danych osobowych.

67.

Jak orzekł Wojewódzki Sąd Administracyjny w Warszawie, „Przyjęte środki mają mieć charakter skuteczny. Niektóre środki będą musiały niwelować niskie ryzyko, inne – muszą niwelować ryzyko wysokie, ważne jednak jest, aby były one adekwatne i proporcjonalne do stopnia ryzyka”, zaś „czynności o charakterze techniczno-organizacyjnym leżą w gestii administratora danych osobowych, ale nie mogą być dobierane w sposób całkowicie swobodny i dobrowolny, bez uwzględnienia stopnia ryzyka oraz charakteru chronionych danych osobowych” (wyrok WSA w Warszawie z 26 sierpnia 2020 r., sygn. akt II SA/Wa 2826/19). Powyżej cytowane orzeczenie Wojewódzkiego Sądu Administracyjnego w Warszawie zostało podtrzymane przez Naczelny Sąd Administracyjny wyrokiem z 28 lutego 2024 r. (sygn. akt II OSK 3839/21).

68.

W świetle powyższego wskazać należy, że przeprowadzona analiza ryzyka powinna zostać udokumentowana oraz uzasadniona na podstawie przede wszystkim określenia stanu faktycznego, istniejącego w momencie jej przeprowadzania. Należy wziąć pod uwagę w szczególności charakterystykę zachodzących procesów, zasoby, podatności, zagrożenia oraz istniejące zabezpieczenia, w ramach zachodzących procesów przetwarzania danych osobowych. Nie można również w trakcie tego procesu pominąć zakresu oraz charakteru danych osobowych przetwarzanych w toku realizowanych czynności, albowiem w zależności właśnie od zakresu oraz charakteru ujawnionych danych zależeć będą potencjalne negatywne skutki dla osoby fizycznej w przypadku wystąpienia naruszenia ochrony jej danych osobowych. Aby analiza ryzyka została przeprowadzona w sposób właściwy, dla każdego z zasobów powinny być również zdefiniowane zagrożenia mogące wystąpić w procesach przetwarzania danych.

69.

Zgodnie z normą ISO/IEC 27000 podatność jest określana jako słabość bądź luka w zabezpieczeniach, która wykorzystana przez dane zagrożenie może zakłócać funkcjonowanie, a także może prowadzić do incydentów bądź naruszeń ochrony danych osobowych. Identyfikowanie zagrożeń polega na określaniu, jakie zagrożenia i z jakiego kierunku (powodu) mogą się pojawić. Metodą przeprowadzenia analizy ryzyka jest np. zdefiniowanie poziomu ryzyka jako iloczynu prawdopodobieństwa i skutków wystąpienia danego incydentu. Zazwyczaj wykorzystuje się macierz ryzyka, która pozwala zobrazować poziomy ryzyka w sposób wizualny, przedstawiając poziomy ryzyka, dla których organizacja definiuje odpowiednie działania.

70.

Mając powyższe na uwadze podkreślić należy, że ocena ryzyka, powinna być również procesem ciągłym i być przeprowadzana cyklicznie, biorąc pod uwagę zmieniające się okoliczności oraz istniejące i mogące się pojawić w przyszłości podatności i zagrożenia dla praw i wolności osób fizycznych, co jest realizacją obowiązków wynikających art. 32 ust. 1 i ust. 2 rozporządzenia 2016/679.

71.

Jednocześnie należy wskazać, że administrator powinien udokumentować i być w stanie wykazać czynności podejmowane w ramach tego procesu, zgodnie z zasadą wyrażoną w art. 5 ust. 2 rozporządzenia 2016/679.

72.

Zgodnie z motywem 75 preambuły do rozporządzenia 2016/679, ryzyko naruszenia praw lub wolności osób fizycznych o różnym prawdopodobieństwie i wadze może wynikać z przetwarzania danych osobowych mogącego prowadzić do uszczerbku fizycznego lub szkód majątkowych lub niemajątkowych, w szczególności: jeżeli przetwarzanie może poskutkować dyskryminacją, kradzieżą tożsamości lub oszustwem dotyczącym tożsamości, stratą finansową, naruszeniem dobrego imienia, naruszeniem poufności danych osobowych chronionych tajemnicą zawodową, nieuprawnionym odwróceniem pseudonimizacji lub wszelką inną znaczną szkodą gospodarczą lub społeczną; jeżeli osoby, których dane dotyczą mogą zostać pozbawione przysługujących im praw i wolności lub możliwości sprawowania kontroli nad swoimi danymi osobowymi; jeżeli przetwarzane są dane osobowe ujawniające pochodzenie rasowe lub etniczne, poglądy polityczne, wyznanie lub przekonania światopoglądowe, lub przynależność do związków zawodowych oraz jeżeli przetwarzane są dane genetyczne, dane dotyczące zdrowia lub dane dotyczące seksualności lub wyroków skazujących i czynów zabronionych lub związanych z tym środków bezpieczeństwa; jeżeli oceniane są czynniki osobowe, w szczególności analizowane lub prognozowane aspekty dotyczące efektów pracy, sytuacji ekonomicznej, zdrowia, osobistych preferencji lub zainteresowań, wiarygodności lub zachowania, lokalizacji lub przemieszczania się – w celu tworzenia lub wykorzystywania profili osobistych; lub jeżeli przetwarzane są dane osób wymagających szczególnej opieki, w szczególności dzieci oraz jeżeli przetwarzanie dotyczy dużej ilości danych osobowych i wpływa na dużą liczbę osób, których dane dotyczą.

73.

Prawodawca europejski wskazuje w treści motywu 76 preambuły do rozporządzenia 2016/679, że prawdopodobieństwo i powagę ryzyka naruszenia praw lub wolności osoby, której dane dotyczą, należy określić poprzez odniesienie się do charakteru, zakresu, kontekstu i celów przetwarzania danych. Ryzyko należy oszacować na podstawie obiektywnej oceny, w ramach której stwierdza się, czy z operacjami przetwarzania danych wiąże się ryzyko lub wysokie ryzyko.

74.

W treści motywu 83 preambuły do rozporządzenia 2016/679 wskazuje się natomiast, że w celu zachowania bezpieczeństwa i zapobiegania przetwarzaniu niezgodnemu z rozporządzeniem 2016/679 administrator powinien oszacować ryzyko właściwe dla przetwarzania oraz wdrożyć środki – takie jak szyfrowanie – minimalizujące to ryzyko. Oceniając ryzyko w zakresie bezpieczeństwa danych, należy wziąć pod uwagę ryzyko związane z przetwarzaniem danych osobowych – takie jak przypadkowe lub niezgodne z prawem zniszczenie, utracenie, zmodyfikowanie, nieuprawnione ujawnienie lub nieuprawniony dostęp do danych osobowych przesyłanych, przechowywanych lub w inny sposób przetwarzanych – i mogące w szczególności prowadzić do uszczerbku fizycznego, szkód majątkowych lub niemajątkowych.

75.

Wyżej przedstawione postanowienia oraz motywy rozporządzenia 2016/679 były również przedmiotem wykładni sądów krajowych. W licznych orzeczeniach sądy wskazywały, że w celu zachowania bezpieczeństwa i zapobiegania przetwarzaniu niezgodnemu z ww. rozporządzeniem administrator lub podmiot przetwarzający powinni zapewnić odpowiedni poziom bezpieczeństwa, w tym poufność, oraz uwzględniać stan wiedzy technicznej oraz koszty ich wdrożenia w stosunku do ryzyka i charakteru danych osobowych podlegających ochronie. Jak podkreślił Wojewódzki Sąd Administracyjny w Warszawie w wyrokach z 13 maja 2021 r. (sygn. akt II SA/Wa 2129/20) oraz z 5 października 2023 r. (sygn. akt II SA/Wa 502/23), „administrator danych powinien zatem przeprowadzić analizę ryzyka i ocenić, z jakimi zagrożeniami ma do czynienia”. Podobnie Sąd ten orzekł w wyroku z 10 kwietnia 2025 r., sygn. II SA/Wa 1266/24, wskazując, że „(…) administrator danych osobowych jest zobowiązany wdrożyć środki techniczne i organizacyjne, które odpowiadają ustalonemu stopniowi ryzyka naruszenia praw i wolności osób fizycznych. Aby zatem przyjęte środki techniczne i organizacyjne były adekwatne, konieczne jest w pierwszej kolejności prawidłowe ustalenie przez administratora stopnia ryzyka.”

76.

Oceniając ryzyko w zakresie bezpieczeństwa danych, o którym mowa w art. 32 ust. 2 rozporządzenia 2016/679, należy wziąć pod uwagę ryzyko związane z przetwarzaniem danych osobowych – takie jak przypadkowe lub niezgodne z prawem zniszczenie, utracenie, zmodyfikowanie, nieuprawnione ujawnienie lub nieuprawniony dostęp do danych osobowych przesyłanych, przechowywanych lub w inny sposób przetwarzanych – i mogące w szczególności prowadzić do uszczerbku fizycznego, szkód majątkowych lub niemajątkowych.

77.

Biorąc zatem pod uwagę zebrany w toku kontroli materiał dowodowy (akapity 4-15 uzasadnienia decyzji) oraz przedstawione przez Prezesa Sądu wyjaśnienia pokontrolne (akapity 16-27 uzasadnienia decyzji) należy stwierdzić, że nieprzeprowadzenie przed dniem (…) 2024 r. analizy ryzyka przetwarzania danych osobowych w odniesieniu do wszystkich procesów przetwarzania zachodzących w Sądzie (z wyjątkiem przetwarzania w systemie G.), a następnie sporządzenie z ww. dniem analizy w sposób nieodpowiadający wymogom opisu metodologii jej przeprowadzania, a także bez należytego uwzględnienia w jej treści czynności przetwarzania związanej z udzielaniem dostępu do informacji publicznej, o czym dalszej części uzasadnienia niniejszej decyzji, stanowiło naruszenie art. 32 ust. 1 i ust. 2 rozporządzenia 2016/679.

78.

Niezależnie bowiem od faktu nieprzeprowadzenia przed dniem (…) 2024 r. przez Prezesa Sądu i Dyrektora Sądu analizy ryzyka przetwarzania danych osobowych w odniesieniu do wszystkich procesów przetwarzania zachodzących w Sądzie, Prezesowi UODO w toku kontroli został przedstawiony przez Prezesa Sądu i Dyrektora Sądu dokument pod nazwą „Analiza (…)”, mający stanowić aktualną na dzień kontroli analizę ryzyka.

79.

Po zapoznaniu się z treścią „Analizy (…)”, Prezes UODO uznał, że analiza ta została przeprowadzona niezgodnie z art. 32 ust. 1 i ust. 2 rozporządzenia, w tym także z założeniami zawartymi w treści samej analizy, do których Prezes Sądu i Dyrektor Sądu powinni stosować się, skoro ich zamiarem było wdrożenie tych założeń do stosowania w Sądzie. Według treści ww. dokumentu i jego założeń, ocenę ryzyka w Sądzie należy przeprowadzić w oparciu o zidentyfikowane czynności przetwarzania, które wymienione zostały w aktualnym rejestrze czynności przetwarzania, wszystkie zasoby zaangażowane w przetwarzanie danych oraz zidentyfikowane zasoby bezpośrednio powiązane z czynnościami przetwarzania. Zagrożenia zidentyfikowano jako: zniszczenie, utrata, zmodyfikowanie, ujawnienie, nieuprawniony dostęp do danych przesyłanych i przechowywanych, nieuprawnione przetwarzanie danych (brak podstawy prawnej). Jako podstawę rozpoznania wszystkich zagrożeń wskazano: historię dotychczasowych incydentów, konsultacje z osobami zaangażowanymi w organizacji Sądu w ochronę danych osobowych, między innymi, prawnikami i osobami odpowiedzialnymi za bezpieczeństwo, informatykami i audytorami oraz katalog przykładowych zagrożeń.

80.

Integralną część metodyki stanowi tabela z dokonaną oceną. W tabeli wyodrębniono 7 kolumn opisanych jako: kategorie naruszenia, rodzaj zagrożenia (incydentu) – scenariusz ryzyka, ocenę prawdopodobieństwa obejmującą skalę od 1 do 5, gdzie 5 jest wartością „prawie pewne”, ocenę skutku naruszenia, również w pięciopunktowej skali oraz reakcję na ryzyko w wersji opisowej i identyfikację zasobu, w którym występuje zagrożenie. Zasoby określono m.in. jako sprzęt, aplikacja, procedura. Biorąc pod uwagę treść metodyki i przeprowadzoną w formie tabeli ocenę ryzyka należy stwierdzić, że tabela ta nie została sporządzona zgodnie z założeniami metodyki, a więc treść całego ww. dokumentu jest niespójna, a przez to niezgodna z wymogiem art. 32 ust. 1 i ust. 2 rozporządzenia 2016/679.

81.

Należy też zwrócić uwagę na okoliczność wykazaną w toku kontroli, że czynność polegająca na udzielaniu informacji publicznej jest – według wyjaśnień pracowników Sądu – uwzględniona w analizie ryzyka jako „Sporządzanie kopii danych na zewnętrzne nośniki danych w sytuacjach nie przewidzianych przepisami prawa lub wewnętrzną procedurą”. Należy zatem stwierdzić, że utożsamienie w analizie ryzyka czynności przetwarzania dotyczącej udostępniania informacji publicznej jedynie ze „sporządzaniem kopii danych” jest zbyt daleko idącym uproszczeniem, które oddaje jedynie w minimalnej części całą techniczną i organizacyjną istotę procesu udzielania ww. informacji. W ten sposób Prezes Sądu i Dyrektor Sądu nie potraktowali czynności udzielania dostępu do informacji publicznej całościowo jako procesu związanego między innymi ze wszystkimi działaniami inicjującymi udzielenie tego dostępu (przyjęcie złożonego wniosku), działaniami decyzyjnymi (rozpatrzenie wniosku, określenie zakresu udzielonego dostępu do informacji), działaniami kontrolno-weryfikacyjnymi (weryfikacja prawidłowości udzielonego dostępu do informacji ze względu na jego zakres i przedmiot informacji) itd.

82.

W konsekwencji Prezes Sądu i Dyrektor Sądu zredukowali czynność udzielania dostępu do informacji publicznej, w treści przedstawionej przez nich analizy ryzyka, do samej czynności o charakterze technicznym (sporządzania kopii danych), tak jakby cały jej charakter sprowadzał się jedynie do sporządzenia tej kopii. W ten sposób ocena ryzyk związanych z jej realizacją została wykonana w sposób fragmentaryczny, co w konsekwencji nie pozwoliło ww. administratorom na identyfikację wszystkich realnych ryzyk związanych z przetwarzaniem danych przy udzielaniu dostępu do informacji publicznej, a także ich poziomu (stopnia). Powyższe z kolei siłą rzeczy uniemożliwiło Prezesowi Sądu i Dyrektorowi Sądu przeprowadzenie, zgodnie z art. 32 ust. 1 i ust. 2 rozporządzenia 2016/679, miarodajnej oceny odnośnie doboru adekwatnych – odpowiadających zidentyfikowanym ryzykom i ich poziomowi – środków zapewniających bezpieczeństwo przetwarzania danych osobowych w ramach czynności polegającej na udzielaniu dostępu do informacji publicznej w Sądzie.

83.

W metodyce wskazano, że ocenę ryzyka dokonuje się w oparciu o zidentyfikowane czynności przetwarzania. Czynność, której dotyczy przetwarzanie danych w ramach udzielania informacji publicznej, została uwzględniona w treści prowadzonego w Sądzie rejestru czynności przetwarzania. Tym bardziej zatem niezrozumiałe jest jej ujęcie w dokumencie „Analizy (…)” jako „Sporządzanie kopii danych na zewnętrzne nośniki danych w sytuacjach nie przewidzianych przepisami prawa lub wewnętrzną procedurą”.

84.

Kolejnym brakiem w przeprowadzonej ocenie ryzyka i niezgodnym z przedstawioną metodyką oceny jest brak kolumny w tabeli dotyczącej zidentyfikowania zasobów, w których przetwarza się dane osobowe. Na przykład, dla czynności przetwarzania danych polegającej na udostępnianiu informacji publicznej, ocena ryzyka powinna identyfikować w oddzielnej kolumnie zasoby wykorzystywane w czasie tego procesu. Zasoby, które muszą być wymienione to przede wszystkim narzędzia wykorzystywane w całym procesie udostępnienia informacji publicznej, zarówno te sprzętowe, jak i informatyczne. W toku kontroli pozyskano informacje, na podstawie których można wyodrębnić w procesie udostępnienia informacji publicznej co najmniej trzy zasoby informatyczne – program (…), system EZD i system G.. W zakresie zasobów sprzętowych w opisie powinny zostać wymienione co najmniej stacje robocze.

85.

Należy zatem stwierdzić, że opisy w kolumnie dotyczącej identyfikacji zasobu są zbyt ogólnikowe. Wyodrębnienie takich zasobów jak „sprzęt”, czy „aplikacja”, nie jest prawidłowe przede wszystkim dlatego, że np. różnego rodzaju sprzęt może służyć innym rodzajom czynności przetwarzania. Ponadto każda aplikacja, program, czy system posiada specyficzne zabezpieczenia i funkcjonalności, co determinuje prawidłowe określenie podatności tych narzędzi na zagrożenia i rodzaje zagrożeń występujących w związku z ich użytkowaniem. W konsekwencji prawidłowym określeniem zasobów jest precyzyjne wskazanie narzędzia służącego do dokonanej czynności przetwarzania poprzez wskazanie jego nazwy lub wykorzystywanej funkcjonalności danego systemu, jeśli czynność przetwarzania odbywa się tylko z udziałem tej funkcjonalności.

86.

Kolejnym uchybieniem w sporządzonej ocenie ryzyka jest brak przyporządkowania zidentyfikowanych zagrożeń do czynności przetwarzania. Brak takiego odniesienia powoduje, że ocena ryzyka jest nieskuteczna i iluzoryczna, bowiem w konsekwencji administrator nie jest w stanie osiągnąć celu oceny, tj. zastosować odpowiednich zabezpieczeń przetwarzania w przypadku konkretnej czynności. Podatność na zagrożenia oraz ich rodzaj musi być więc oceniana zawsze w kontekście konkretnej czynności przetwarzania oraz zasobów służących do przetwarzania danych. Tylko w ten sposób można zidentyfikować prawidłowo zagrożenie dla przetwarzania danych osobowych. Dopiero dokonanie takiej oceny z wykorzystaniem wszystkich wymienionych kryteriów oceny może dać pożądany skutek i zrealizować cel dokonania takiej oceny – dostosowania metod, narzędzi i procesów przetwarzania do zagrożeń i zastosowanie adekwatnych środków ochrony danych do tych zagrożeń, co w rezultacie będzie stanowiło wypełnienie obowiązku administratora, o którym mowa w art. 32 ust. 1 i ust. 2 rozporządzenia 2016/679. W przedstawionej przez Prezesa Sądu i Dyrektora Sądu tabeli zawierającej opis analizy ryzyka, brak jest również konkluzji dla zidentyfikowanych zagrożeń w postaci wyszczególnienia zastosowanych przez administratora środków technicznych i organizacyjnych, które pozwolą na zminimalizowanie lub wyeliminowanie ryzyka.

87.

Odnosząc się do dokumentu załączonego do pisma z dnia 8 sierpnia 2025 r. opisanego jako tabela opisowa ryzyka z 2024 r. należy wskazać, że również ten dokument nie odpowiada wymogom art. 32 ust. 2 rozporządzenia 2016/679. W zakresie ryzyk, które mogą dotyczyć ochrony danych osobowych wyszczególniono w tabeli awarie systemu teleinformatycznego i urządzeń, nieprawidłowości w systemach informatycznych, nieprawidłowe administrowanie siecią komputerową i danymi, nieuprawniony dostęp do danych i informacji oraz utrata informacji, w tym danych i dokumentów. Do tych ryzyk przyporządkowano czynniki ryzyka takie jak: błędy w oprogramowaniu, brak systemu przechowywania kopii zapasowych, przerwy w łączności telekomunikacyjnej. W tabeli określono również dla wymienionych ryzyk mechanizmy kontroli np. procedury bezpieczeństwa informacji oraz określono również właściciela ryzyka.

88.

Analizując treść i budowę tabeli Prezes UODO stwierdził, że nie spełnia ona podstawowych zasad tworzenia oceny ryzyka, co oznacza, że to narzędzie nie może stanowić skutecznego instrumentu ochrony danych osobowych. Powodem zajęcia takiego stanowiska jest brak wyszczególnienia w tabeli czynności przetwarzania. Jak wspomniano wyżej, czynności przetwarzania stanowią podstawę dokonywania oceny ryzyka. Każdy element oceny ryzyka, taki jak zasoby biorące udział w danej czynności, czy zidentyfikowane zagrożenia, musi być określony wyłącznie w odniesieniu do danej czynności przetwarzania. Konkretyzacja czynników ryzyka, zagrożeń i zasobów w kontekście danej czynności pozwala bowiem na precyzyjne określenie skutecznych mechanizmów zapobiegających wystąpieniu incydentu bezpieczeństwa. Zatem, odniesienie oceny ryzyka do zidentyfikowanych u danego administratora czynności przetwarzania, jest niezbędne do spełnienia wymogów zawartych w treści art. 32 ust. 2 rozporządzenia. Tak jak i w przypadku wyżej zaprezentowanej analizy dokumentu „Analiza (…)”, należy wskazać, że w ww. tabeli brak jest kolejnych niezbędnych elementów oceny ryzyka, tj. określenia zasobów, przy pomocy których przetwarzanie danych jest realizowane i rodzajów zagrożeń związanych z przetwarzaniem danych w ramach konkretnego procesu przetwarzania.

89.

Reasumując, przeprowadzając analizę ryzyka zgodnie z art. 32 ust. 2 rozporządzenia 2016/679, Prezes Sądu oraz Dyrektor Sądu powinni byli uwzględnić ryzyko wiążące się z przetwarzaniem, wynikające z przypadkowego lub niezgodnego z prawem udostępnienia danych i w oparciu o kryteria określone w art. 32 ust. 1 rozporządzenia 2016/679, w tym uwzględniając charakter i cel przetwarzania danych osobowych, określić i zastosować odpowiednie środki techniczne i organizacyjne mające na celu odpowiednie zabezpieczenie przetwarzania danych w celu zapewnienia ich ochrony, dbając – zgodnie z wymogiem art. 32 ust. 1 lit. b) i lit. c) rozporządzenia 2016/679 – o zdolność do ciągłego zapewnienia poufności danych, integralności, dostępności i odporności systemów i usług przetwarzania oraz zdolność do szybkiego przywrócenia dostępności danych osobowych i dostępu do nich w razie incydentu fizycznego lub technicznego. Tak więc, w przypadku udostępniania informacji publicznej, Prezes Sądu i Dyrektor Sądu powinni byli przeprowadzić w odniesieniu do tej czynności stosowną analizę ryzyka, a następnie wdrożyć środki służące bezpieczeństwu przetwarzania, aby zyskać maksimum pewności, iż informacje przekazywane w trybie dostępu do informacji publicznej nie będą zawierać danych osobowych albo będą je zawierać tylko w zakresie uzasadnionym treścią wniosku o udostępnienie tych informacji.

90.

Należy podkreślić, że Prezes Sądu i Dyrektor Sądu nie wykazali przy tym, że ww. dokument pod nazwą „Analiza (…)” został faktycznie wdrożony do stosowania w Sądzie, a więc nie przedłożyli Prezesowi UODO dokumentu w rodzaju zarządzenia Prezesa lub Dyrektora wprowadzającego ten dokument w życie, dokumentu potwierdzającego faktyczne zapoznanie się z treścią analizy ryzyka przez osoby odpowiedzialne za bezpieczeństwo przetwarzania danych Sądzie itp.

91.

Należy przy tym zaznaczyć, że przez „wdrożenie” określonego środka organizacyjnego lub technicznego służącego bezpieczeństwu przetwarzania, o którym jest mowa w treści art. 32 ust. 1 rozporządzenia 2016/679, należy rozumieć takie działanie, dzięki któremu środek ten jest realnie stosowany. Zgodnie z definicją Słownika Języka Polskiego PWN^[5] pojęcia „wdrożyć”, oznacza ono: 1. «ćwiczeniem wyrobić w kimś jakąś umiejętność lub jakiś nawyk», 2. «podjąć jakieś działania», 3. «zacząć stosować coś w praktyce». W przedmiotowej sprawie trudno zatem przyjąć, że przedłożenie w toku kontroli Prezesa UODO dokumentu mającego pełnić rolę analizy ryzyka, co do którego nie ma jasności w kwestii daty, od której on obowiązuje, a także w kwestii zapoznania z jego treścią pracowników Sądu, mogło stanowić spełnienie wymogu ww. przepisu.

92.

Wobec powyższego nie można uznać, że dokument „Analiza (…)” był stosowany w praktyce, skoro Prezes Sądu i Dyrektor Sądu nie wykazali, że jego treść była znana pracownikom Sądu odpowiedzialnym na bezpieczeństwo przetwarzania i że zaczął obowiązywać w konkretnej dacie. Samo przedłożenie Prezesowi UODO tekstu dokumentu bez wykazania okoliczności wskazujących na jego realną znajomość i stosowanie przez organy Sądu jako administratorów i pracowników Sądu, nie jest wystarczające do uznania, że ww. dokument został „wdrożony” w rozumieniu art. 32 ust. 1 i ust. 2 rozporządzenia 2016/679. Przedkładając w toku kontroli tekst ww. dokumentu organy Sądu wykazały co najwyżej, że podjęły działania celem jego zredagowania, nie zaś wdrożenia, czyli stosowania w praktyce.

93.

W tej sytuacji, stwierdzony w toku kontroli brak daty na dokumencie stanowiącym analizę ryzyka, według oświadczenia strony, pochodzącym z dnia (…) 2024 r. naraża administratora na zarzut braku wykazania dokonywania oceny ryzyka cyklicznie albo w określonych terminach, stale lub okresowo, co w konsekwencji stanowi o naruszeniu obowiązków z art. 32 ust. 1 w związku z art. 5 ust. 2 rozporządzenia 2016/679 statuującym zasadę rozliczalności. Zebrany materiał dowodowy pozwala więc na stwierdzenie, że organy Sądu nie podjęły działań mających na celu zapewnienie monitorowania poziomu zagrożeń oraz rozliczalności w tym zakresie, a także adekwatności wprowadzonych zabezpieczeń przetwarzania. W związku z powyższym zasadny jest zarzut naruszenia w tym zakresie art. 32 ust. 1 i ust. 2 rozporządzenia 2016/679 w związku z art. 5 ust. 1 lit. f) oraz art. 5 ust. 2 rozporządzenia 2016/679.

94.

Należy również wyjaśnić, że, wbrew stanowisku organów Sądu zaprezentowanemu w piśmie z 14 lutego 2025 r. skierowanym do Prezesa UODO, przedmiotem postępowania administracyjnego jest naruszenie przepisów o ochronie danych osobowych w postaci naruszenia, między innymi, art. 32 ust. 1 i ust. 2 rozporządzenia 2016/679, a nie dochodzenie przyczyn wystąpienia naruszenia ochrony danych osobowych i wynikająca z nich ewentualna odpowiedzialność administratorów.

95.

Wystąpienie naruszenia ochrony danych osobowych sędziów zatrudnionych w Sądzie, stanowiło jedynie przyczynek do podjęcia postępowania wyjaśniającego wobec Prezesa Sądu i Dyrektora Sądu w związku z wątpliwościami co do zapewnienia przez nich jako administratorów odpowiedniego poziomu bezpieczeństwa przetwarzania danych osobowych. Ponadto, wskazać należy, że Prezes UODO uprawniony jest do stwierdzenia naruszenia przepisów o ochronie danych osobowych niezależnie od faktu wystąpienia bądź niewystąpienia naruszenia ochrony danych osobowych. Sankcji administracyjnej podlega administrator nie za to, że doszło w jego organizacji do naruszenia ochrony danych osobowych, ale za to, że nie zapewnił adekwatnego standardu bezpieczeństwa przetwarzanym danym osobowym. Powyższe potwierdził Wojewódzki Sąd Administracyjny, między innymi, w wyroku z 10 kwietnia 2025 r. (sygn. akt II SA/Wa 1266/24), stwierdzając, że „(…) organ w rozpoznawanej sprawie nie nałożył (…) kary za wystąpienie zdarzenia w postaci ataku hakerskiego, lecz za wyżej opisane nieprawidłowości w procesie przetwarzania danych osobowych, które wskutek tego incydentu zostały ujawnione.” Do tej kwestii odniósł się również Naczelny Sąd Administracyjny w wyroku z 9 lutego 2023 r. (sygn. akt: III OSK 3945/21), w którym wskazał, że „sankcji administracyjnej za naruszenie obowiązków wskazanych w art. 32 RODO podlega nie ten, kto jako administrator albo podmiot przetwarzający dopuścił do nieuprawnionego przetwarzania danych osobowych, a tylko podmiot, który nie dochował odpowiedniego, w danych okolicznościach, standardu środków bezpieczeństwa. Karze nie podlega jednostka za nielegalne działanie osoby trzeciej (np. hakera), polegające na nieuprawnionym dostępie do danych przezeń przetwarzanych, a za dopuszczenie do tego dostępu w związku z nieodpowiednim poziomem stosowanych zabezpieczeń. O naruszeniu powołanego przepisu nie przesądza sama okoliczność nieuprawnionego dostępu do danych, ponieważ taki stan rzeczy jest potencjalnie możliwy do zaistnienia również przy dochowaniu najwyższego poziomu zabezpieczeń. Wykładnię tę wzmacnia treść motywu 76 RODO, w którym wskazuje się, że "[r]yzyko należy oszacować na podstawie obiektywnej oceny, w ramach której stwierdza się, czy z operacjami przetwarzania danych wiąże się ryzyko lub wysokie ryzyko". Mając powyższe na uwadze, bezspornie "odpowiednie" na gruncie art. 32 ust. 1 RODO środki techniczne i organizacyjne, to nie środki skuteczne w każdym przypadku, a takie, których dochowanie mogło być w dacie i okolicznościach dostępu do danych osobowych, obiektywnie wymagane od danego podmiotu (administratora albo podmiotu przetwarzającego). Kwestia ta ma kluczowe znaczenie w rozpatrywanej sprawie, ponieważ kara pieniężna z tytułu naruszenia art. 32 RODO nie ma charakteru automatycznego, tj. sankcji za nieuprawniony dostęp do danych osobowych na skutek czynu zabronionego popełnionego przez osobę trzecią.”

96.

Konsekwencją naruszenia ww. przepisów rozporządzenia 2016/679 było też naruszenie przez Prezesa Sądu i Dyrektora Sądu art. 5 ust. 1 lit. f) i art. 5 ust. 2 rozporządzenia 2016/679 wynikających z tych przepisów zasad poufności i integralności oraz rozliczalności. Organy Sądu – wbrew ich wyjaśnieniom zawartym w ich piśmie z 8 sierpnia 2025 r. – nie przeprowadzając zgodnie z ww. przepisami analizy ryzyka związanego z przetwarzaniem danych osobowych w Sądzie i pozbawiając się w ten sposób możliwości rzetelnego i miarodajnego określenia rodzajów i poziomów ryzyk, a następnie doboru adekwatnych środków zabezpieczających przetwarzanie, naruszyli bez wątpienia zasadę poufności i integralności. Ww. zaniechania naruszające art. 32 ust. 1 i ust. 2 rozporządzenia 2016/679 miały bezpośredni wpływ na możliwość wywiązania się przez Prezesa Sądu oraz Dyrektora Sądu jako administratorów z obowiązków wynikających z tej zasady. Obowiązki te sprowadzają się do konieczności zapewnienia, aby dane były przetwarzane w sposób zapewniający odpowiednie bezpieczeństwo danych osobowych, w tym ochronę przed niedozwolonym lub niezgodnym z prawem przetwarzaniem oraz przypadkową utratą, zniszczeniem lub uszkodzeniem, za pomocą odpowiednich środków technicznych lub organizacyjnych.

97.

Analiza ryzyka stanowi jedno z podstawowych narzędzi, przy pomocy których administrator może świadomie i kompleksowo zarządzać bezpieczeństwem przetwarzania, a więc i zapewnić maksimum ochrony przed niedozwolonym lub niezgodnym z prawem przetwarzaniem oraz przypadkową utratą, zniszczeniem lub uszkodzeniem. Dzięki rzetelnie przeprowadzonej analizie ryzyka, administrator może świadomie dobrać adekwatne środki zapewniające bezpieczeństwo przetwarzania, a w konsekwencji zapewnić ww. ochronę. Zaniechanie przeprowadzenia analizy ryzyka siłą rzeczy jest zatem równoznaczne z naruszeniem zasady poufności i integralności danych, a więc naruszeniem wyrażającego ją art. 5 ust. 1 lit. f) rozporządzenia 2016/679.

98.

Należy przy tym wskazać, że, jak orzekł Wojewódzki Sąd Administracyjny w wyroku z 10 kwietnia 2025 r. (sygn. akt II SA/Wa 1266/24), „Prezes Urzędu Ochrony Danych Osobowych, jako organ nadzorczy w zakresie przestrzegania przepisów o ochronie danych osobowych, jest uprawniony i kompetentny do dokonania oceny przyjętego w analizie ryzyka stopnia ryzyka i może uznać, (…), że efekt końcowy dokonanej (…) analizy ryzyka pomija okoliczności istotne z punktu widzenia prawdopodobieństwa wystąpienia naruszenia, co skutkuje istotnym zaniżeniem występującego ryzyka. Tę ocenę organu Sąd rozpoznający niniejszą sprawę w całości podziela.”

99.

Jednocześnie należy uznać, że Prezes Sądu i Dyrektor Sądu także w tym przypadku naruszyli art. 5 ust. 2 rozporządzenia 2016/679 i uregulowaną nim zasadę rozliczalności w ten sposób, że nie wykazali, iż dokument „Analiza (…)” faktycznie został wdrożony do stosowania (brak stosownego zarządzenia, poświadczeń zapoznania się z jego treścią przez właściwych pracowników itp.). Ponadto ww. przepis i zasada zostały naruszone w ten sposób, że organy Sądu nie wykazały przed Prezesem UODO, że przestrzegają zasadę poufności i integralności w zakresie obowiązku uwzględnienia ryzyk przy przetwarzaniu danych i doborze środków służących jego bezpieczeństwu. Należy przy tym wskazać, że twierdzenie przez Prezesa Sądu i Dyrektora Sądu, jakoby przeprowadzali oni wcześniej analizę ryzyka w stosunku do procesów przetwarzania i odwoływanie się przez nich w tym kontekście do analiz prowadzonych ze względu na wymogi kontroli zarządczej w Sądzie, nie stanowi argumentu na poparcie tego twierdzenia.

100.

Należy zauważyć, że przedmiot i metodologia kontroli zarządczej zasadniczo różnią się od przedmiotu i metodologii analizy ryzyka przeprowadzanej w wyrazie przestrzegania art. 32 ust. 1 i ust. 2 rozporządzenia 2016/679. Z tego względu analiz, na które powołują się Prezes i Dyrektor Sądu w piśmie z 8 sierpnia 2025 r., nie można utożsamiać z analizą ryzyka przetwarzania wykonaną z uwzględnieniem warunków wymienionych powyżej w uzasadnieniu niniejszej decyzji. Tak więc ww. wyjaśnienia Prezesa Sądu i Dyrektora Sądu nie mogą być uwzględnione przy ocenie ich działań dotyczących przeprowadzenia wymaganej w art. 32 ust. 1 i ust. 2 rozporządzenia 2016/679 analizy ryzyka.

101.

Z uwagi na okoliczność, że na dzień wydania niniejszej decyzji występował stan naruszenia ww. przepisów rozporządzenia w związku z niewdrożeniem w Sądzie do stosowania analizy ryzyka o treści spełniającej ich wymogi, koniecznym było wydanie przez Prezesa UODO wobec Prezesa Sądu i Dyrektora Sądu nakazu dostosowania operacji przetwarzania do przepisów rozporządzenia 2016/679, poprzez wdrożenie odpowiednich środków technicznych i organizacyjnych służących uwzględnieniu ryzyka naruszenia praw lub wolności osób fizycznych przy przetwarzaniu danych.

IV. Uzasadnienie udzielenia upomnień

102.

Wobec zebranego w sprawie materiału dowodowego Prezes UODO stwierdził nieprawidłowości stanowiące naruszenie przez Prezesa Sądu i Dyrektora Sądu przepisów rozporządzenia 2016/679, o których mowa powyżej w treści decyzji. Naruszenie przez Prezesa Sądu oraz Dyrektora Sądu przepisów rozporządzenia 2016/679 stwierdzone w niniejszej decyzji skutkuje z kolei nałożeniem przez Prezesa UODO na ww. administratorów stosownych, przewidzianych nimi sankcji.

103.

W związku z powyższym, działając na podstawie art. 58 ust. 2 lit. b) rozporządzenia 2016/679, zgodnie z którym każdemu organowi nadzorczemu przysługuje w zakresie prowadzonych postępowań uprawnienie do udzielania upomnienia administratorowi, w przypadku naruszenia przepisów niniejszego rozporządzenia przez operacje przetwarzania, Prezes UODO uznaje za uzasadnione udzielenie Prezesowi Sądu oraz Dyrektorowi Sądu upomnień w zakresie stwierdzonych naruszeń przepisów art. 5 ust. 1 lit. f), art. 5 ust. 2, art. 24 ust. 1 i 2 oraz art. 32 ust. 1 i 2 rozporządzenia 2016/679.

104.

Motyw 148 rozporządzenia 2016/679 stanowi, że aby egzekwowanie przepisów rozporządzenia było skuteczniejsze, należy za jego naruszenie nakładać sankcje, w tym administracyjne kary pieniężne – oprócz lub zamiast odpowiednich środków nakładanych na mocy niniejszego rozporządzenia przez organ nadzorczy. Jeżeli naruszenie jest niewielkie, karę pieniężną można zastąpić upomnieniem. Powinno się jednak zwrócić należytą uwagę na charakter, wagę oraz czas trwania naruszenia, na to, czy naruszenie nie było umyślne, na działania podjęte dla zminimalizowania szkody, na stopień odpowiedzialności lub wszelkie mające znaczenie wcześniejsze naruszenia, na sposób, w jaki organ nadzorczy dowiedział się o naruszeniu, na przestrzeganie środków nałożonych na administratora lub podmiot przetwarzający, na stosowanie kodeksów postępowania oraz wszelkie inne czynniki obciążające lub łagodzące.

105.

Prezes UODO uznał, że w ustalonych okolicznościach niniejszej sprawy, wystarczającym środkiem sankcyjnym jest udzielenie Prezesowi Sądu oraz Dyrektorowi Sądu upomnień. Za okoliczność łagodzącą, która między innymi za tym przemawia, Prezes UODO uznał, że Prezes Sądu oraz Dyrektor Sądu wykazali, że do dnia wydania decyzji podjęli działania zmierzające do zapewnienia stanu przestrzegania przepisów rozporządzenia 2016/679.

106.

Na uwagę przede wszystkim zasługuje fakt, że po (…) 2024 r. Prezes Sądu i Dyrektor Sądu przeprowadzili analizę ryzyka przetwarzania danych osobowych w odniesieniu do wszystkich procesów przetwarzania zachodzących w Sądzie. Co prawda, analiza ta nie została przeprowadzona w sposób zapewniający pełną zgodność z art. 32 ust. 1 i 2 rozporządzenia 2016/679 oraz także z założeniami zawartymi w treści samej analizy, niemniej jednak Prezes Sądu i Dyrektor Sądu wykazali, że ich wolą jest naprawienie zaistniałego stanu naruszenia ww. przepisów rozporządzenia 2016/679, co jednoznacznie wskazuje na ich wolę współpracy z Prezesem UODO celem usunięcia tego naruszenia, a to z kolei musi znaleźć swoje odzwierciedlenie w zastosowaniu wobec ww. administratorów łagodniejszej sankcji, niż np. administracyjna kara pieniężna.

107.

Podobnie należy ocenić działania Prezesa Sądu oraz Dyrektora Sądu w zakresie wdrożenia do stosowania przepisów stanowiących politykę ochrony danych obowiązującą w Sądzie. Z dniem (…) 2025 r. wydane zostało zarządzenie nr (…) Prezesa i Dyrektora Sądu Rejonowego U., wprowadzające w życie Politykę (…) oraz Regulamin (…), a następnie, z dniem (…) 2025 r., zostało wydane zarządzenie Prezesa i Dyrektora Sądu Rejonowego U. nr (…) wprowadzające Instrukcję (…) wraz z załącznikami. Z kolei, (…) 2025 r. (znak: (…)) zarządzeniem Prezesa i Dyrektora Sądu Rejonowego U. nr (…) z dnia (…) 2025 r. została wdrożona do stosowania Polityka (…) z załącznikami.

108.

Jak już wskazano w akapicie 57 niniejszej decyzji, ww. regulacje obejmują całościowo zagadnienia dotyczące ochrony danych przetwarzanych w Sądzie w stopniu odpowiadającym specyfice przetwarzania danych w Sądzie i odnoszą się do najistotniejszych kwestii mających dla tej ochrony znaczenie. W tej sytuacji, Prezes UODO uznał, że można je ocenić jako kompleksową politykę ochrony danych w rozumieniu art. 24 ust. 2 rozporządzenia 2016/679. Prezes UODO uznał również, że w związku z powyższym, na dzień wydania decyzji, Prezes Sądu i Dyrektor Sądu usunęli stan naruszenia przepisów rozporządzenia 2016/679 związany z brakiem regularnego testowania, mierzenia i oceniania przez ww. organy Sądu środków służących bezpieczeństwu przetwarzania. Wyraźna wola Prezesa Sądu i Dyrektora Sądu naprawienia zaistniałego stanu naruszenia przepisów rozporządzenia 2016/679 także w tym przypadku musiała być przez Prezesa UODO uwzględniona na korzyść administratorów przy nałożeniu na nich sankcji. Innymi słowy, współdziałanie Prezesa Sądu i Dyrektora Sądu z Prezesem UODO przy wyjaśnianiu stanu faktycznego sprawy, należy ocenić jako właściwe i zasługujące na aprobatę.

109.

Na fakt nałożenia na Prezesa Sądu oraz Dyrektora Sądu łagodnej sankcji miała również wpływ ta okoliczność, że ww. administratorzy prowadzą działalność związaną z wykonywaniem doniosłych zadań z punktu widzenia właściwego działania państwa polskiego. Działalność ta nie jest ponadto związana z osiąganiem korzyści finansowych, a okoliczności popełnienia naruszeń przepisów rozporządzenia 2016/679 wskazują na nieumyślne działanie administratorów. Ponadto, biorąc pod uwagę okoliczności przedmiotowej sprawy i ustalenia w niej poczynione, brak jest również podstaw do uznania, że osoby, których dane dotyczą, poniosły szkodę na skutek naruszenia przez Prezesa Sądu i Dyrektora Sądu ww. przepisów rozporządzenia 2016/679.

110.

Powyższe okoliczności uzasadniają zatem udzielenie Prezesowi Sądu oraz Dyrektorowi Sądu jedynie upomnień za stwierdzone naruszenia przepisów rozporządzenia 2016/679 popełnione w różnych okresach, o których mowa w decyzji, mając na względzie możliwość uniknięcia podobnych zdarzeń w przyszłości. Należy zauważyć, że w przypadku zaistnienia podobnego zdarzenia w przyszłości, każde upomnienie wydane przez Prezesa UODO wobec Prezesa Sądu lub Dyrektora Sądu będzie brane pod uwagę przy ocenie przesłanek ewentualnego wymierzenia kary administracyjnej, zgodnie z zasadami określonymi w art. 83 ust. 2 rozporządzenia 2016/679. Wobec powyższego, Prezes UODO orzekł, jak w sentencji niniejszej decyzji.