A skoro tematem tygodnia jest podsłuch stosowany przez władzę w celach politycznych, dziś czas na kilka zdań o tym, że każda czynność sprawdzenia danych w rejestrze PESEL poprzez aplikację „ŹRÓDŁO” powinna mieć wyraźne uzasadnienie — tym bardziej, skoro były już przekręty (wyrok Naczelnego Sądu Administracyjnego z 3 grudnia 2021 r. III OSK 590/21).
Sprawa zaczęła się przeprowadzonej przez GIODO kontroli przetwarzania danych osobowych w rejestrze PESEL, w czasie której stwierdzono liczne uchybienia po stronie Ministerstwa Cyfryzacji (m.in. brak określenia procedur po zgłoszeniu incydentu, brak wymogu podania uzasadnienia dla sprawdzenia danych w rejestrze poprzez aplikację „ŹRÓDŁO”, niewdrożenie oprogramowania służącego do analizy logów systemowych i operacji dokonywanych przez użytkowników).
(Warto dodać, że genezą kontroli były nieprawidłowości w korzystaniu z danych przez komorników sądowych, co pozwala przypuszczać, iż była ona konsekwencją upublicznionych nieprawidłowości — „Śledztwo w sprawie nieuprawnionego wykorzystywania danych PESEL przez komorników sądowych”.)
Zdaniem Ministra Cyfryzacji decyzja była o tyle niewłaściwa, że wszystkie podmioty uzyskują dostęp do danych z rejestru PESEL „w zakresie niezbędnym do realizacji ich ustawowych zadań”, zatem zatem wymóg każdorazowego podania uzasadnienia i dodanie pola „uzasadnienie/sygnatura sprawy” jest sprzeczny z prawem.
Odnosząc się do wniesionej przez ministerstwo skargi WSA stwierdził, że przepisy o ewidencji ludności nakazują wdrożyć po stronie podmiotów uzyskujących dostęp do danych z rejestru PESEL odpowiednie zabezpieczenia. Oznacza to, że organ miał prawo ocenić, iż brak dodatkowej funkcji pozwalającej odnotować uzasadnienie dla sprawdzenia danych w rejestrze PESEL (a przez to uniemożliwić lub chociaż utrudnić wykorzystanie danych w sposób sprzeczny z celem) stanowi naruszenie wymogów przetwarzania danych osobowych. Udostępniając podmiotom uprawnionym odpowiednią aplikację Minister Cyfryzacji powinien zadbać, by jej działanie odpowiadało wszystkim wymogom prawa, także w zakresie zabezpieczeń technicznych i organizacyjnych (wyrok WSA w Warszawie z 19 lipca 2018 r., II SA/Wa 2168/17).
z ustawy o ewidencji ludności
art. 46 ust. 1 pkt 3
Dane z rejestru PESEL oraz rejestrów mieszkańców w zakresie niezbędnym do realizacji ich ustawowych zadań udostępnia się następującym podmiotom:
3) komornikom sądowym — wyłącznie w zakresie niezbędnym do prowadzenia przez nich postępowania egzekucyjnego lub zabezpieczającego albo wykonywania postanowienia o zabezpieczeniu spadku lub sporządzania spisu inwentarza;
art. 48 ust. 1 pkt 2
Podmiotom, o których mowa w art. 46 ust. 1, dane z rejestru PESEL i rejestru mieszkańców udostępnia się za pomocą urządzeń teletransmisji danych po złożeniu jednorazowego, uproszczonego wniosku i wyrażeniu przez właściwy organ zgody (…) jeżeli spełnią łącznie następujące warunki:
2) posiadają zabezpieczenia techniczne i organizacyjne właściwe dla przetwarzania danych osobowych, w szczególności uniemożliwiające dostęp osób nieuprawnionych do przetwarzania danych osobowych i wykorzystanie danych niezgodnie z celem ich uzyskania;
W skardze kasacyjnej MC podtrzymał wcześniejsze stanowisko: przepisy nie nakazują podawać uzasadnienia dla dostępu do danych zgromadzonych w rejestrze, więc wystarczy, że podmiot jest upoważniony do wglądu w zasoby, a udostępnienie ma związek z realizacją jego ustawowych zadań. Natomiast przepis, na który powołał się organ jest adresowany do podmiotów, a nie do administratora rejestru PESEL, zatem nie można na jego podstawie nakazać modyfikacji aplikacji „ŹRÓDŁO”.
Naczelny Sąd Administracyjny nie podzielił tych zarzutów: nawet skarga kasacyjna nie kwestionuje, iż wdrożenie dodatkowego zabezpieczenia spowoduje zwiększenie bezpieczeństwa przetwarzanych danych osobowych — zwłaszcza w kontekście „zidentyfikowanego już zagrożenia” w postaci nieuprawnionego wykorzystywania danych z systemu PESEL przez komorników.
Jednym z warunków uzyskania dostępu do danych zgromadzonych w rejestrze PESEL jest wdrożenie zabezpieczeń organizacyjnych właściwych dla przetwarzania danych osobowych. Środkiem zwiększającym poziom zabezpieczenia może być także rozbudowa aplikacji „ŹRÓDŁO” o wymóg podania uzasadnienia dla dokonywanego sprawdzenia. Rzeczywiście nie oznacza to, iżby na Ministerstwie Cyfryzacji spoczywał obowiązek dostosowania oprogramowania (bo to nie ministerstwo uzyskuje dostęp do danych) — ale to ministerstwo powinno, wydając decyzję o udzielenie dostępu w trybie teletransmisji, jako administrator danych osobowych sprawdzić czy podmiot wdrożył stosowne zabezpieczenia (dziś taki wymóg wynika z art. 24 RODO i art. 32 RODO, ówcześnie był to art. 36 d.uodo). Skoro więc organ ochrony danych osobowych stwierdził taką nieprawidłowość, to istniała podstawa do nakazania takiej modyfikacji oprogramowania, by ryzyko nieuprawnionego dostępu zminimalizować — bo taki ma cel wymóg podawania uzasadnienia dla weryfikacji danych w rejstrze.
Z tego względu NSA uznał, że chociaż uzasadnienie wyroku jest nieco błędne, jego konkluzja odpowiada prawu, zatem wniesiona przez MC skarga kasacyjna została oddalona.