W kwietniu ubiegłego roku z Krajowej Szkoły Sądownictwa i Prokuratury (KSSiP) wyciekły dane osobowe ponad 50 tys. osób, zgromadzone na platformie szkoleniowej tej placówki. Były to dane sędziów, asesorów sądowych, prokuratorów i asesorów prokuratury, referendarzy sądowych. Środowisko sędziowskie było oburzone. Stowarzyszenie „Iustitia” domagało się dymisji dyrektor KSSiP Małgorzaty Manowskiej i ministra sprawiedliwości Zbigniewa Ziobry, któremu szkoła podlega.
Sprawa miała też inny wymiar. Małgorzata Manowska w tym czasie była typowana na funkcję Pierwszego Prezesa Sąd Najwyższego, a wyciek newralgicznych danych mógł zaszkodzić tej kandydaturze.
Szybka akcja
KSSiP jako podmiot pokrzywdzony 7 kwietnia skierował do prokuratury zawiadomienie o podejrzeniu popełnienia przestępstwa nieuprawnionego dostępu do danych osobowych zgromadzonych na platformie szkoleniowej. Dyrektor szkoły w komunikacie opublikowanym tydzień później napisała, że prawdopodobne jest, że do wycieku danych osobowych doszło na skutek zaniedbania jednej z firm wybranych w przetargu. W tym kierunku skierowało się też ostrze organów ścigania.
Po kolejnym tygodniu Policjanci z Wydziału do walki z Cyberprzestępczością Komendy Wojewódzkiej Policji w Lublinie w związku z postępowaniem prowadzonym przez Prokuraturę Regionalną w Lublinie pochwalili się „skutecznością” i „szybkim sukcesem”. Zatrzymali młodego informatyka warszawskiej spółki Etop. Policja, wspierana była m.in. przez funkcjonariuszy ABW, którzy uczestniczyli w czynnościach w firmie i pełnili rolę doradczą.
„Przeprowadzone czynności pozwoliły na ustalenie okoliczności wycieku danych i osoby za wyciek odpowiedzialnej“ – informowała w maju ABW.
„Wyrażamy uznanie dla determinacji i zaangażowania Prokuratury Krajowej, Prokuratury Regionalnej w Lublinie, policji i innych służb, dzięki którym możliwe było tak szybkie ustalenie osoby podejrzanej” – napisała w komunikacie po zatrzymaniu Małgorzata Manowska.
Kozioł ofiarny?
Podejrzanemu postawiono zarzut udostępnienia danych umożliwiających nieuprawniony dostęp do informacji przechowywanych w systemie informatycznym KSSiP, za co grozi do pięciu lat pozbawienia wolności.
Etop to działająca od ponad 20 lat firma IT. Specjalizuje się w konsultingu teleinformatycznym, budowie i eksploatacji sieci światłowodowych, centrach danych, usługach hostingowych czy rozwiązaniach chmurowych. W gronie klientów ma wiele dużych firm i instytucji publicznych. W 2019 r. wygrała przetarg na hosting czterech serwerów dedykowanych KSSiP. Nie była jednak jedyną firmą IT obsługującą szkołę. W 2019 r. przetarg na zaprojektowanie, opracowanie, wdrożenie i wsparcie techniczne informatycznego narzędzia o strukturze systemu zarządzania wiedzą platformy e-KSSiP wygrała spółka OPGK Rzeszów. To jednak warszawska spółka musiała się zmagać z ciężarem oskarżeń, a jej pracownik wożony był po komisariatach.
Milczenie stróżów prawa
Błyskawiczne zatrzymanie i skierowanie podejrzeń o wyciek na informatyka warszawskiej spółki odwróciło uwagę od dyrekcji szkoły i działań KSSiP.
W maju prezydent Andrzej Duda powołał Małgorzatę Manowską na stanowisko Pierwszego Prezesa Sądu Najwyższego.
W przeciwieństwie do szybkiej akcji organów ścigania Urząd Ochrony Danych Osobowych (UODO) badał sprawę wycieku danych przez 10 miesięcy. Jej akta liczą blisko tysiąc stron. W wydanej właśnie decyzji stwierdził liczne uchybienia po stronie KSSiP i nałożył na szkołę 100 tys. zł kary za niezrealizowanie ciążących na niej obowiązków administratora. To maksymalna wysokość administracyjnej kary pieniężnej, jaką można nałożyć na jednostkę sektora finansów publicznych za naruszenie przepisów dotyczących ochrony danych osobowych.
UODO nie znalazł podstaw do zarzucenia warszawskiej spółce naruszenia obowiązku. W konsekwencji umorzył wobec niej postępowanie.
Zapytaliśmy lubelską Policję, Prokuraturę Regionalną w Lublinie, Prokuraturę Krajową i ABW, dlaczego dokonane w trakcie śledztwa ustalenia diametralnie różnią się od tych dokonanych przez UODO. Policja i Prokuratura Krajowa odesłały nas do Prokuratury Regionalnej w Lublinie, która do czasu publikacji artykułu nie odpowiedziała na nasze pytania. Podobnie jak ABW.
KSSiP poinformowała, że analizuje treść decyzji. Rozważa wniesienie odwołania zarówno co do stwierdzonych w decyzji naruszeń, jak i wysokości wymierzonej kary.