Sprawy generalne Rzecznika Praw Obywatelskich

Wystąpienie do Ministra Obrony Narodowej w sprawie wycieku danych osobowych żołnierzy Wojsk Obrony Terytorialnej.

Rzecznik Praw Obywatelskich podjął z urzędu opisaną w mediach sprawę wycieku danych osobowych żołnierzy WOT. Z informacji prasowych wynika, że doszło do nieuprawnionego udostępnienia informacji z rozkazu dziennego w związku z wykonywaniem przez żołnierzy WOT obowiązków służbowych podczas jednej z operacji. Informacje te dotyczyły znacznej grupy osób - 58 żołnierzy, a ich zakres obejmował m.in. stopień wojskowy, imiona i nazwiska żołnierzy, imię ojca oraz PESEL.

W ocenie Rzecznika sygnały te budzą niepokój w kontekście zapewnienia skutecznej ochrony prawa do ochrony danych osobowych, w tym zapewnienia bezpieczeństwa danych i ich poufności, a także z punktu widzenia przestrzegania prawa do prywatności - gwarantowanych odpowiednio w art. 51 i 47 Konstytucji.

RPO zwrócił uwagę, że przetwarzanie danych osobowych żołnierzy, gromadzonych w ramach ewidencji wojskowej, o której mowa w art. 70 ustawy o obronie Ojczyzny należy zaliczyć do sfery bezpieczeństwa narodowego, a zatem nie ma zasadniczo zastosowania w tym obszarze rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE. Nie oznacza to jednak pozbawienia niezbędnych środków ochrony praw i wolności osoby, której dane dotyczą, gwarantowanych przez Konstytucję.

Należy też zauważyć, że zasady udostępnienia danych osobowych gromadzonych w ewidencji wojskowej, okres ich przechowywania, a także warunki przetwarzania danych osobowych przez organy wojskowe określa ustawa o obronie Ojczyzny. Artykuł 10 ust. 2 tej ustawy wskazuje np. na konieczność posiadania zabezpieczeń technicznych i organizacyjnych zapewniających poufność, integralność, dostępność i autentyczność zgromadzonych danych, w przypadku o którym mowa w tym przepisie, tj. udostępniania danych w drodze teletransmisji przez podmioty wskazane w art. 10 ust. 1 ustawy.

W kontekście niniejszej sprawy wątpliwości Rzecznika budzi więc przetwarzanie danych osobowych przez organy wojskowe w sposób zapewniający bezpieczeństwo tych danych, tj. zgodnie z zasadami integralności i poufności.

Rzecznik zwrócił się zatem do Ministra z prośbą o udzielenie informacji w jakich okolicznościach doszło do udostępnienia danych osobowych żołnierzy, jakie zostały podjęte działania w związku z nieuprawnionym udostępnieniem danych osobowych, czy sprawa została zgłoszona do UODO oraz czy zostało zapewnione bezpieczeństwo żołnierzom i ich rodzinom.

 

Wystąpienie dołączone do tego dokumentu:

Data odpowiedzi:

Opis odpowiedzi:

Sekretarz Stanu w Ministerstwie Obrony Narodowej w piśmie z 21 lutego 2023 r. wyjaśnił, że podjęto szereg czynności w sprawie incydentu w zakresie wycieku danych osobowych żołnierzy Wojsk Obrony Terytorialnej. Ustalono m.in., że dane 96 żołnierzy, tj. stopień służbowy, imię i nazwisko, imię ojca oraz nr PESEL zostały udostępnione przez byłego żołnierza w ramach wewnętrznej, zamkniętej grupy działającej na jednym z komunikatorów. Wskazane dane zostały udostępnione przez okres kilku minut, po czym zostały usunięte. Zgodnie z polityką bezpieczeństwa obowiązującą jednostce, natychmiast dokonana została analiza incydentu pod kątem naruszenia praw i wolności osób fizycznych. Niezależnie od powyższego, Sekretarz Stanu zauważył, że bezprawnie ujawniony z treści rozkazu dziennego zakres danych żołnierzy nie obejmuje danych szczególnej kategorii, o których mowa w art. 9 ust. 1 RODO. W rozumieniu RODO numer PESEL nie jest bowiem daną szczególnej kategorii, potocznie określaną jako wrażliwa. Podkreślić również należy, iż zgodnie z art. 4 ust. 7 RODO, administratorem danych jest również osoba fizyczna. Tym samym największe ryzyko przy przetwarzaniu danych osobowych generuje zawsze czynnik ludzki. Pracodawca, mimo wprowadzenia odpowiednich środków technicznych i organizacyjnych do ochrony informacji, w tym danych osobowych, nie ma nigdy całkowitego wpływu na swojego pracownika (żołnierza), który umieszczając określone treści na swoim profilu internetowym, staje się ich administratorem. Taki administrator (osoba fizyczna) ponosi wówczas pełną odpowiedzialność za to jak przetwarza dane osobowe. Ustawodawca krajowy przewidział nawet odpowiedzialność karną za bezprawne przetwarzanie danych osobowych, co odzwierciedla konstrukcja art. 107 ustawy o ochronie danych osobowych.