ABI skazany w sądzie karnym za wykonywanie zadań nie-ABI

Radny sporządza oświadczenie majątkowe i składa je na ręce Przewodniczącego Rady, ten przekazuje oświadczenie Sekretarzowi, który z kolei podaje je dalej swojemu zastępcy – Naczelnikowi Wydziału Organizacyjnego i ABI w jednej osobie, a on następnie oddaje zebrane oświadczenia majątkowe informatykowi celem publikacji w BIP. Informatyk publikuje w BIP oświadczenie Radnego z załącznikiem, w którym są adresy nieruchomości Radnego. Prokurator oskarża, a sąd skazuje K. – pełniącego funkcję ABI.

(Wyrok z uzasadnieniem – zanonimizowany 2017 r.)

W styczniu 2017 r. w orzecznictwie sądownictwa powszechnego pojawił się wyrok wydany przez Sąd Rejonowy – Wydział Karny w brzmieniu: (…) oskarżonego, o to że w okresie (…) pełniąc funkcję Administratora Bezpieczeństwa Informacji w (…) administrując zbiorem danych osobowych i będąc zobowiązanym do ochrony danych osobowych w postaci adresów nieruchomości pokrzywdzonego nieumyślnie udostępnił dostęp do danych osobowych radnego (…) osobom nieuprawnionym poprzez opublikowanie ich w Biuletynie Informacji publicznej, tj. o czyn z art. 51. ust. 2. ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (…) 1. (…) postępowanie karne przeciwko oskarżonemu warunkowo umarza na okres próbny 1 (jednego) roku, 2. (…) orzeka od oskarżonego na rzecz pokrzywdzonego tytułem nawiązki kwotę 500 (pięćset) złotych (…)  Prześledźmy stan faktyczny, który został utrwalony w uzasadnieniu do tego wyroku.

AKTORZY SPRAWY
K. – oskarżony i skazany  Administrator Bezpieczeństwa Informacji (ABI), który pełni tę funkcję w jednej z jednostek samorządu terytorialnego (powiat), jednocześnie zatrudniony na stanowisku zastępcy Naczelnika Wydziału Organizacyjnego.
J. – pokrzywdzony, Radny powiatu, którego dane osobowe zostały udostępnione w BIP
A. – świadek, Przewodniczący Rady Powiatu
S. – świadek, Sekretarz Powiatu
M. – świadek, informatyk, pracownik Wydziału Organizacyjnego, publikujący w BIP oświadczenia majątkowe

 

PRZEBIEG WYDARZEŃ

1. Poszkodowany, Radny J. przed sporządzeniem oświadczenia majątkowego, pyta się Sekretarza Powiatu, jak ma wypełnić oświadczenie, gdy dane nieruchomości nie mieszczą się na wzorze oświadczenia? Sekretarz przekazuje informacje Radnemu, że może poszerzyć rubryki lub załączyć odpowiednio załączniki.

2. Radny J. sporządza oświadczenie majątkowe. Z uwagi na brak wystarczającego miejsca we wzorze oświadczenia majątkowego oraz dużą ilość nieruchomości podlegających ujawnieniu w oświadczeniu, Radny J. sporządza dwa załączniki do swojego oświadczenia:

  • zał. 1 – nazwy nieruchomości i ich powierzchnię

  • zał. 2 – wartości i adresy powyższych nieruchomości.

3. Przewodniczący Rady Powiatu A. weryfikuje merytorycznie oświadczenie pokrzywdzonego Radnego J. i przekazuje je Sekretarzowi Powiatu.

4. Sekretarz przekazuje oświadczenie Radnego J. oskarżonemu K. ABI i zastępcy Naczelnika Wydziału Organizacyjnego w jednej osobie.

5. Oskarżony K. ABI, kompletuje wszystkie oświadczenia majątkowe i przekazuje je informatykowi M. „zastrzegającże publikacji podlega jedynie cześć A oświadczenia.

6. Informatyk – pracownik Wydziału Organizacyjnego M. opracowuje technicznie (zapewne skanuje) oświadczenia i umieszcza je w BIP.  Informatyk M. umieszcza w BIP oświadczenie pokrzywdzonego Radnego J. część A i załączniki nr 1 i nr 2.

7. Oskarżony K. ABI, sprawdza w opublikowane w BIP oświadczenia majątkowe i zauważa, że oświadczenie pokrzywdzonego Radnego J. zostało opublikowane wraz z adresami nieruchomości (zał.2).

8. Oskarżony K. ABI, wydaje polecenie informatykowi M. natychmiastowe usunięcie zał. 2, co ten uczynił.

9. Starosta Powiatu wzywa oskarżonego K. ABI do złożenia wyjaśnień. Oskarżony K. ABI wyjaśnia na piśmie, że załącznik nr 2, w którym były adresy nieruchomości, „nie był przez Radnego oznaczony jako załącznik B.

10. Zał. nr 2 z adresami nieruchomości pokrzywdzonego Radnego J. są dostępne w Internecie przez 36 godzin.

     Jak wynika z treści uzasadnienia, oskarżony K. ABI bronił się tym, że to nie on udostępnił dane osobowe w BIP, tylko informatyk M. Poza tym, do jego obowiązków nie należała weryfikacja poprawności sporządzonych oświadczeń majątkowych (co sąd zauważył), tylko do Przewodniczącego Rady Powiatu. Wydaje się, że sąd pozostał głuchy na argument, że to nie oskarżony K. ABI udostępnił zał. nr 2 w BIP. Za to, sąd stwierdził, że praktyką jest, że to właśnie oskarżony K. ABI był odpowiedzialny za przygotowanie oświadczeń majątkowych do publikacji w BIP, choć nie było to w jego szczegółowym zakresie obowiązków, a jedynie jedno z zadań przypisanych do Wydziału Organizacyjnego, którego Naczelnikiem jest jednocześnie Sekretarz Powiatu, a oskarżony K. ABI jest jego zastępcą.

     Sąd, co do zasady, uznał wyjaśnienia oskarżonego K. ABI za wiarygodne z wyjątkiem jedynie jednej części tj. „oskarżony zaprzecza, jakoby ponosił odpowiedzialność za niewłaściwe opublikowanie oświadczenia majątkowego”. Czyli sąd nie dał wiary zeznaniu oskarżonego K. ABI, które właściwie było jego obroną. Sąd uznał oskarżonego K. (str. 6) pełniącego funkcję ABI, osobą „administrującą zbiorem”, który nieumyślnie „udostępniła dostęp do danych” Radnego J.. Przedziwna to konstrukcja z kilku względów:

1) zadania ABI są określone w art. 36a ust. 2.  Uodo1) nie ma tam mowy o „administrowaniu danymi” czy przekazywaniu oświadczeń majątkowych celem publikacji w BIP,

2) załóżmy jednak,  że oskarżony K. ABI zgodnie z art. 36a ust. 4. Uodo miał powierzone inne zadania, czego sąd, wydaje się, w ogóle nie badał. Zadania inne niż z ust. 2 nie były przypisane do niego, tylko do Wydziału, którym nawet nie kierował, był jedynie zastępcą Naczelnika tego Wydziału,

3) sąd powołał się na postanowienie Sądu Najwyższego z dnia 11 grudnia 2000 roku (sprawa II KKN 438/00). Cytując: „udostępnianie danych oznacza tu z założenia działanie sprawcy, oznacz bowiem czynienie dostępnym, ułatwianie dostępu”. Skoro już sąd zacytował to zdanie, to może wypadało by dokonać pewnej refleksji: co uczynił oskarżony K. ABI i co uczynił świadek M. – informatyk? Który z nich tak naprawdę spowodował, że przez 36 godzin w Internecie były dostępne dane poszkodowanego Radnego J.? Czy oskarżony K. ABI przekazując przedmiotowy zał. nr 2 informatykowi M. do publikacji, czy informatyk M. skanując i publikując zał. nr 2 w BIP – jak się wydaje bez czytania, co publikuje.

      

     Sąd przypisał oskarżonemu K. ABI odpowiedzialność za publikację danych w BIP, nie na podstawie dokumentów, a jedynie na podstawie zeznań trzech światków, którzy potwierdzili pewną praktykę w urzędzie. Sąd w swoim uzasadnieniu, kilkukrotnie podkreślił, że oskarżony K. ABI prowadził sprawy z zakresu ochrony danych osobowych i był zobowiązany do ochrony danych osobowych. To ostatnie było zapisane nawet w jego szczegółowym zakresie obowiązków. Dobrze, że sąd zauważył taki obowiązek ochrony danych, ale chyba nie doczytał i nie zbadał, że każdy kto przetwarza dane osobowe z upoważnienia administratora danych, jest zobowiązany do ich ochrony? Zapewne każdy pracownik starostwa ma taki zapis w szczegółowym zakresie obowiązków albo w Regulaminie organizacyjnym, czy to w Polityce bezpieczeństwa.

Co do zapisu, że oskarżony K. ABI prowadzi sprawy z zakresu ochrony danych osobowych, wydaje się, że oskarżony K. jako ABI powinien zadbać, aby w dokumentacji wewnętrznej urzędu, było zapisane w zakresie jego zadań nie „prowadzenie spraw zakresu ochrony danych osobowych” lecz realizowanie zadań ABI wynikających z art. 36a ust. 2 Uodo. Sprawy z zakresu ochrony danych osobowych, prowadzić powinien przede wszystkim administrator danych – czyli w tym wypadku Starosta. Jeśli oczywiście uznamy, że „sprawy z zakresu ochrony danych osobowych” to np.

a) opracowywanie i wdrażanie Polityki bezpieczeństwa  i Instrukcji zarządzania systemami IT (art. 36);

b) wydawanie upoważnień do przetwarzania danych osobowych (art. 37);

c) zapewnienie kontroli na tym, jakie dane osobowe, kiedy i przez kogo zostały do zbioru wprowadzone oraz komu są przekazywane (art. 38);

d) prowadzenie ewidencji osób upoważnionych do przetwarzania danych osobowych (art. 39);

e) udostępnianie danych osobowych na wniosek uprawnionych podmiotów;

f) zawieranie umów powierzenia przetwarzania danych osobowych (art. 31);

a wszystkie powyższe nie należą do zadań ABI, lecz do jego szefa, czyli administratora danych, Starosty Powiatu w tym przypadku.

 

      Co jest ciekawe, w omawianym wyroku, że sąd dał wiarę dwóm różnym zeznaniom opisującym tę samą sytuację (stan faktyczny) w sposób odmienny. W pierwszym zeznaniu oskarżony K. ABI zeznał, że „zastrzegł, że publikacji podlega jedynie część A oświadczenia” (str. 3). W drugim zeznaniu świadek, informatyk M. zeznał, że „oskarżony przekazując mu oświadczenia majątkowe zwrócił mu uwagę, aby pamiętać o usunięciu z oświadczenia części B, natomiast nie wspominał na temat załączników nr 1 i 2”. Wydaje się, że sąd nie zauważył, że oba te zeznania dotyczą tej samej sytuacji, a jednak w różny sposób opisują stan faktyczny. Tutaj możemy też zapytać o kompetencje zarówno oskarżonego K. jak i informatyka M. Czy polecenie wydane przez oskarżonego K. było jasne i precyzyjne dla informatyka M.? Natomiast czy informatyk M. zna i umie zastosować przepisy dot. publikacji oświadczeń majątkowych? A może informatyk M. nie musi znać tych przepisów, a jedynie wykonywać polecenia dokładnie tak, jak są mu przekazywane? Niestety w uzasadnieniu do omawianego wyroku, zabrakło informacji o szczegółowych zadaniach dla informatyka M. Jest jeszcze wiele innych kwestii, które w przedmiotowej sprawie nie zostały przez sąd przeanalizowane.

 

     Wniosek z lektury uzasadnienia można postawić taki: oskarżony K. ABI został skazany bo „(…) dopuścił do opublikowania w BIP danych osobowych w postaci adresów nieruchomości pokrzywdzonego (…)” str. 12. Czyli sąd uznał, że winny nie jest ten, kto udostępnia dane osobowe lub umożliwia dostęp do nich osobom nieupoważnionym (art. 51. ust. 1 Uodo) lecz ten kto „dopuszcza do udostępnienia”. Skoro tak można interpretować art. 51, stawiam więc tezę, na podstawie uzasadnienia do wyroku Sądu Rejonowego, że  można wskazać także inne osoby współwinne „dopuszczenia do udostępnienia”:

WSPÓŁWINNI
współwinny nr 1. osoba, projektująca wzór oświadczenia majątkowego, która nie przewidziała, że ilość nieruchomości może być tak duża, że się nie zmieści we wzorze oświadczenia (dopuściła możliwość złączania załączników, które nie powinny być publikowane);

współwinny nr 2. pokrzywdzony Radny J. , sporządzający załączniki, nie wpisał na owych załącznikach, że dotyczą części B oświadczenia, czyli dopuścił do udostępnienia przez zaniechanie oznaczenia własnych załączników literą „B”;

współwinny nr 3. Przewodniczący Rady Powiatu, który weryfikując poprawność sporządzenia oświadczenia, nie wskazał pokrzywdzonemu J. że załączniki nr 1 i 2 powinny byś oznaczone, że dotyczą części B oświadczenia majątkowego – czyli dopuścił do udostępnienia poprzez zaniechanie działania polegające na np. zwróceniu oświadczenia radnemu do poprawki poprzez oznakowanie literą „B” załączników;

współwinny nr 4. informatyk M. dopuścił do udostępnienia poprzez (najprawdopodobniej) zeskanowanie oświadczenia i kliknięcie w systemie publikacji plików w BIP, powodującego pojawienie się zał. nr 2 w BIP Dopuścił się dwukrotnie, także przez zaniechanie działania. Najwidoczniej nie przeczytał, ani nawet nie spojrzenia na to, co umieszcza w BIP;

współwinny nr 5. Starosta jako kierownik urzędu, nie przeszkolił, nie opracował procedury, która by mówiła co oskarżony K. ABI i informatyk M. powinni zrobić, przed opublikowaniem oświadczeń majątkowych w BIP, w szczególności co zrobić na wypadek gdy radny będzie miał wiele nieruchomości, a ich spis nie zmieści się na wzorze oświadczenia majątkowego.

 

WNIOSKI

     Oczywiście powyższe dywagacje, iż karze podlega ten do „dopuszcza do udostępnienia”, a nie ten kto „udostępnia”, mają cel refleksyjny i edukacyjny. Chciałem zwrócić szczególną uwagę Czytelniczek i Czytelników na „daleki od doskonałości” wyrok sądu. Już po lekturze pierwszej strony wyroku nasuwa się pytanie: jak można oskarżyć i skazać „osobę pełniącą funkcję Administratora Bezpieczeństwa Informacji, administrującą zbiorem danych osobowych” – ABI przecież w art. 36a ust. 2. Uodo nie ma w swoich zadaniach administrowanie danymi? Można by oskarżać np. osobę na stanowisku Zastępcy Naczelnika Wydziału Organizacyjnego, a nie osobę pełniąca funkcję ABI. I dalej, sąd skazując pisze: „nieumyślnie udostępnił dostęp do danych osobowych radnego (…) osobom nieuprawnionym”. W takim razie pytam się jak można „udostępnić dostęp”? Chyba sądowi chodziło o „udostępnienie danych” lub „umożliwienie dostępu do danych”?

      Link do wyroku z uzasadnieniem załączam do niniejszego artykułu. Uzyskałem go w dniu 13 kwietnia 2017 r. w wyniku mojego wniosku o informację publiczną. Komentując i prezentując niniejszy wyrok, chciałem podkreślić, jaka jest sytuacjach administratorów bezpieczeństwa informacji w Polsce, a w administracji publicznej w szczególności. Z moich obserwacji wynika, że zdecydowana większość ABI w administracji publicznej to dodatek do innych, podstawowych obowiązków służbowych, osoby pełniących także funkcję ABI. Zamiast być ABI, zapewniać przestrzeganie przepisów o ochronie danych osobowych, a następnie (jak zasoby pozwalają) wykonywać inne zadania, ABI wykonuje wszystkie inne zadania, a zadania ustawowe, jak mu czasu starcza.

    W całej sprawie jedna kwestia wydaje się być oczywistą. Opublikowano w Internecie dane osobowe, które nie powinny tam się znaleźć. Osób, które się do tego przyczyniło, w mojej ocenie, jest więcej niż jedna. Gdyby ABI zajmował się przede wszystkim zadaniami ustawowymi z art. 36a ust. 2. Uodo, z pewnością nie siedziałby na ławie oskarżonych. Może byłby świadkiem w powyższej sprawie, lecz nie skazanym. Z potwierdzonego źródła, mam informację że oskarżony K. ABI od wyroku się odwołał. Jeśli będzie dalszy ciąg tej sprawy, z pewnością o tym napiszę.

Aktualizacja: 2017-12-04
Skazany w Sądzie Rejonowym ABI został w drugiej instancji uniewinniony. Szczegóły niedługo.
Tomasz Izydorczyk

1) Uodo – Ustawa z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (t.j. Dz. U. z 2016 r. poz. 922)