Wyciek danych osobowych żołnierzy WOT. Odpowiedź MON na interwencję Rzecznika
- W mediach ujawniono wyciek danych żołnierzy WOT służących w rejonie granicy z Białorusią - obawiają się oni, że ich personalia trafią do białoruskich służb
- Wątpliwości Rzecznika Praw Obywatelskich budzi w tym kontekście przetwarzanie danych osobowych przez wojsko w sposób zapewniający ich bezpieczeństwo
- Marcin Wiącek prosi o wyjaśnienia w tej sprawie wicepremiera, ministra obrony narodowej Mariusza Błaszczaka
- AKTUALIZACJA: Żołnierze nie korzystają z komunikatorów publicznych podczas wykonywania zadań służbowych. Opisana sytuacja jest przykładem działania pojedynczego żołnierza, wobec którego wyciągnięto konsekwencje służbowe (zwolnienie za służby) - odpisało MON
Rzecznik podjął z urzędu opisaną w mediach sprawę wycieku danych osobowych żołnierzy WOT. Z informacji prasowych wynika, że doszło do nieuprawnionego udostępnienia informacji z rozkazu dziennego w związku z wykonywaniem przez żołnierzy WOT obowiązków służbowych podczas operacji „Gryf”. Chodziło o 58 żołnierzy. Zakres ich ujawnionych danych obejmował m. in. stopień wojskowy, imiona i nazwiska, imię ojca oraz PESEL.
Naruszenie bezpieczeństwa tak szczegółowych danych osobowych, w tym numeru PESEL osób wskazanych z imienia i nazwiska może skutkować wkroczeniem w ich życie prywatne. Niepokojące są informacje prasowe, że „wiadomość o wycieku jest ogólnodostępna i nikt z tym nic nie robi (...) Są tam nasze dane osobowe, nasze PESELE oraz imiona naszych rodziców, obawiamy się, że służby białoruskie mogą nas namierzyć i skrzywdzić nas lub nasze rodziny".
Sygnały te budzą niepokój z punktu zapewnienia skutecznej ochrony prawa do ochrony danych osobowych, w tym bezpieczeństwa danych i ich poufności, a także z punktu widzenia przestrzegania prawa do prywatności - gwarantowanych w art. 51 i 47 Konstytucji RP.
Zgodnie z art. 51 Konstytucji prawo do ochrony danych osobowych jest jednym z przejawów prawa do ochrony prywatności (art. 47 Konstytucji). Art. 51 Konstytucji reguluje autonomię informacyjną jednostki, czyli wolność w zakresie udostępniania informacji jej dotyczących, dopuszczalność ingerencji w tę wolność przez władze publiczne oraz prawa przysługujące na wypadek jej naruszenia, którymi są prawo dostępu do urzędowych dokumentów i zbiorów danych dotyczących danej osoby, prawo żądania sprostowania pewnych informacji oraz prawo żądania usunięcia pewnych informacji. Art. 51 ust. 4 Konstytucji przewiduje nakaz ustawowego rozstrzygnięcia podstawowych zagadnień związanych z ochroną danych osobowych, tj. zasad i trybu gromadzenia oraz udostępniania informacji.
Przetwarzanie danych osobowych żołnierzy, gromadzonych w ramach ewidencji wojskowej, o której mowa w art. 70 ustawy o obronie Ojczyzny, należy zaliczyć do sfery bezpieczeństwa narodowego, a zatem zasadniczo zastosowania w tym obszarze nie ma rozporządzenie RODO. Nie oznacza to jednak pozbawienia niezbędnych środków ochrony praw i wolności osoby, której dane dotyczą, gwarantowanych przez Konstytucję.
Ustawa o obronie Ojczyzny wskazuje na konieczność zabezpieczeń technicznych i organizacyjnych zapewniających poufność, integralność, dostępność i autentyczność zgromadzonych danych, w m.in. w przypadku udostępniania danych w drodze teletransmisji.
W kontekście tej sprawy wątpliwości Rzecznika budzi przetwarzanie danych osobowych przez organy wojskowe w sposób zapewniający bezpieczeństwo tych danych, tj. zgodnie z zasadami integralności i poufności.
W związku z podejrzeniem naruszenia ochrony danych osobowych przetwarzanych przez organy wojskowe, które wiąże się z ryzykiem ingerencji w życie prywatne żołnierzy, RPO prosi MON o wyjaśnienia, zwłaszcza o informacje:
- na temat okoliczności udostępniania danych osobowych żołnierzy, w tym dokładnej liczby i kategorii osób, dotkniętych naruszeniem, a także kwestii możliwości korzystania przez żołnierzy i dowódców z komunikatorów publicznych przy wykonywaniu zadań służbowych; proszę także o informacje, czy osoby odpowiedzialne, w tym dowódcy, zostali pociągnięci do odpowiedzialności za te działania bądź zaniechania;
- jakie podjęto działania w związku z nieuprawnionym udostępnieniem danych osobowych, w szczególności czy zostały usunięte z publicznego komunikatora; czy i jakie środki naprawcze zostały zastosowane (na podstawie jakich regulacji wewnętrznych/procedur/ innej dokumentacji);
- czy sprawa została zgłoszona organowi nadzorczemu właściwemu w sprawie ochrony danych, a jeśli tak to na jakiej podstawie prawnej;
- jakie są możliwe konsekwencje naruszenia,
- czy w związku z udostępnieniem tak szczegółowych danych żołnierzy zapewniono bezpieczeństwo żołnierzom i ich rodzinom,
- czy w związku z podejrzeniem naruszenia bezpieczeństwa publicznego naruszenie zostało zgłoszone odpowiednim organom właściwym w zakresie ochrony bezpieczeństwa narodowego.
Odpowiedź Wojciecha Skurkiewicza, sekretarz stanu w MON
Na wstępie pragnę poinformować, iż zgodnie z art. 4 pkt 7 RODO tj. rozporządzenia Parlamentu Europejskiego i Rady (UE) z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych), Minister Obrony Narodowej jako organ administracji publicznej ustala cele i sposoby przetwarzania danych osobowych w resorcie obrony narodowej, w części w jakiej dane te przetwarza Ministerstwo Obrony Narodowej. W pozostałej części, w ramach resortu obrony narodowej administratorami danych są, każda we własnym, określonym zakresie - jednostki organizacyjne resortu obrony narodowej. Potwierdza to art. 10 ust. 4 ustawy z dnia 11 marca 2022 r. o obronie Ojczyzny (Dz. U. z 2022 r. poz. 2305 tj.). Zakres kompetencji dla Ministra, jako administratora wyznaczają przepisy prawa, przyznające mu określone zadania, przy realizacji których odbywa się przetwarzanie danych osobowych. Będą to wspomniana ustawa o obronie Ojczyzny, jak również ustawa z dnia 14 grudnia 1995 r. o urzędzie Ministra Obrony Narodowej (Dz. U. z 2022 r. poz. 1438 t.j.).
Mimo, że Minister Obrony Narodowej jest osobnym, odrębnym administratorem danych, opracował liczne wytyczne, wskazówki i zalecenia, co do stosowania przepisów o ochronie danych osobowych, które mogą być wykorzystywane przez poszczególnych administratorów w resorcie obrony narodowej, którzy w zakresie przetwarzania danych posiadają całkowitą autonomię. Cel przetwarzania danych dla każdego z administratorów określają bowiem przepisy prawa, a sposób realizacji tego celu tj. sposób przetwarzania danych, w tym ich zabezpieczania, zależy od każdego z nich z osobna.
Jak słusznie Pan Rzecznik zauważył, do przetwarzania danych osobowych, które jest realizowane dla zapewnienia bezpieczeństwa narodowego - przepisów rozporządzenia RODO nie stosuje się. Wynika to bowiem wprost z art. 2 ust. 2 lit. a RODO, w związku z motywem 16 preambuły do RODO. Mimo to, w ramach należytej staranności i dobrej praktyki przenosi się do zagadnień związanych z bezpieczeństwem narodowym zasady zgodnego z prawem przetwarzania danych osobowych oraz najważniejsze instytucje, jakie są uregulowane przepisami RODO, choć nie artykułuje się tego w sposób bezpośredni. Minister Obrony Narodowej ma bowiem na względzie prawa i wolności osób fizycznych, w tym żołnierzy.
Odnosząc się do incydentu w zakresie wycieku danych osobowych żołnierzy Wojsk Obrony Terytorialnej i prośby o wyjaśnienie przedmiotowego zdarzenia, podjęto szereg czynności, w wyniku których ustalono, że:
1. Dane 96 żołnierzy 6. Mazowieckiej Brygady Obrony Terytorialnej (6. MBOT) tj. stopień służbowy, imię i nazwisko, imię ojca oraz nr PESEL zostały udostępnione przez byłego żołnierza 6. MBOT w ramach wewnętrznej, zamkniętej grupy działającej na komunikatorze WhatsApp. Wskazane dane zostały udostępnione przez okres kilku minut, po czym zostały usunięte.
Żołnierze 6. MBOT nie korzystają z komunikatorów publicznych podczas wykonywania zadań służbowych. Opisana sytuacja jest przykładem działania pojedynczego żołnierza, wobec którego zostały wyciągnięte konsekwencje służbowe (zwolnienie za służby). Podkreślenia wymaga fakt, iż przedmiotowa grupa na komunikatorze WhatsApp powstała bez wiedzy i akceptacji Dowództwa 6. MBOT.
2. Zgodnie z polityką bezpieczeństwa obowiązującą w 6. MBOT, dokonana została analiza incydentu pod kątem naruszenia praw i wolności osób fizycznych. W dniu, w którym Dowódca 6. MBOT otrzymał informację o naruszeniu danych osobowych żołnierzy, niezwłocznie dokonał zgłoszenia incydentu do organu nadzorczego tj. Urzędu Ochrony Danych Osobowych w Warszawie. Zainteresowane osoby zostały powiadomione o naruszeniu ich danych osobowych, zarówno drogą e-mailową jak i listownie na adres zamieszkania. W ramach 6. MBOT wdrożony został cykl dodatkowych szkoleń z zakresu ochrony danych osobowych dla wszystkich żołnierzy (w tym żołnierzy niezawodowych) oraz pracowników resortu obrony narodowej. Został również wydany rozkaz bezwzględnego zakazu używania publicznych komunikatorów do realizacji zadań służbowych.
3. Niezwłocznie po otrzymaniu informacji o naruszeniu danych osobowych żołnierzy 6. MBOT, zostało złożone zawiadomienie do Placówki Żandarmerii Wojskowej w Radomiu o możliwości popełnienia przestępstwa tj. o popełnienia czynu zabronionego w trybie art. 107 ustawy z dnia 10 maja 2018 roku o ochronie danych osobowych (Dz. U. z 2019 r. poz. 1781 t.j.). Sprawa została również przekazana do Służby Kontrwywiadu Wojskowego. W trybie natychmiastowym zostało zorganizowane spotkanie żołnierzy 6. MBOT z oficerem Służby Kontrwywiadu Wojskowego (SKW), dotyczące bezpieczeństwa żołnierzy w aspekcie zaistniałej sytuacji. Do chwili obecnej, każdy z żołnierzy ma zagwarantowane wsparcie zarówno od stron psychologicznej i prawnej jak i właściwych służb (w tym możliwość bezpośredniego kontaktu z oficerem SKW).
Niezależnie od powyższego warto zauważyć, że bezprawnie ujawniony z treści rozkazu dziennego zakres danych żołnierzy, nie obejmuje danych szczególnej kategorii o których mowa w art. 9 ust. 1 RODO. W rozumieniu RODO numer PESEL nie jest bowiem daną szczególnej kategorii, potocznie określaną jako wrażliwa.
Podkreślić również należy, iż zgodnie z przytoczonym na wstępie art. 4 ust. 7 RODO, administratorem danych jest również osoba fizyczna. Tym samym największe ryzyko przy przetwarzaniu danych osobowych generuje zawsze czynnik ludzki. Pracodawca, mimo wprowadzenia odpowiednich środków technicznych i organizacyjnych do ochrony informacji, w tym danych osobowych, nie ma nigdy całkowitego wpływu na swojego pracownika (żołnierza), który umieszczając określone treści na swoim profilu internetowym, staje się ich administratorem. Taki administrator (osoba fizyczna) ponosi wówczas pełną odpowiedzialność za to jak przetwarza dane osobowe. Ustawodawca krajowy przewidział nawet odpowiedzialność karną za bezprawne przetwarzanie danych osobowych, co odzwierciedla konstrukcja art. 107 przytoczonej powyżej ustawy z dnia 10 maja 2018 r. o ochronie danych osobowych.
VII.501.142.2022