One Hundred Thousand for Unsupervised Authorizations: A Lesson from the Polish Smear Affair

Wyobraź sobie urzędniczkę, która pewnego popołudnia loguje się do wewnętrznego systemu kadrowego ministerstwa. Ma do tego pełne prawo — jej identyfikator widnieje na liście osób upoważnionych do przetwarzania danych, podpisała wszystkie oświadczenia, przeszła szkolenie. Otwiera akta osobowe sędziego: stan zdrowia, poglądy polityczne, przynależność do stowarzyszeń. Nic w systemie nie pisnęło, żaden alarm się nie odezwał, bo z punktu widzenia maszyny to zwykła, autoryzowana operacja. Tyle że te dane nie posłużą do żadnej sprawy kadrowej. Trafią dalej — do osób, które nie miały prawa ich zobaczyć, w tym do dziennikarzy. A jedno z kont, którymi je rozsyłano, założono z adresu IP przypisanego resortowi sprawiedliwości. Tak, w wielkim uproszczeniu, wyglądał mechanizm tzw. afery hejterskiej. I tak, sześć lat później, wygląda jeden z najważniejszych sygnałów regulacyjnych dla każdej organizacji, która myśli, że wystarczy nadać dostęp i o sprawie zapomnieć.

2 czerwca 2026 roku Prezes Urzędu Ochrony Danych Osobowych Mirosław Wróblewski ogłosił, że nałożył na Ministra Sprawiedliwości administracyjną karę pieniężną — według doniesień prasowych w wysokości stu tysięcy złotych — za nieprawidłowości w przetwarzaniu danych osobowych sędziów ujawnione przy okazji afery z 2019 roku. Kwota nie jest tu najważniejsza, bo nie ona stanowi o wadze decyzji. Najważniejsze jest to, za co ukarano administratora. Nie za wyciek w technicznym sensie, nie za włamanie, nie za podatność w systemie. Za to, że osoby z ważnymi upoważnieniami robiły z danymi coś, czego administrator nie nadzorował — a zgodnie z RODO nadzorować był obowiązany. To jest lekcja, która dotyczy sądu, samorządu, spółki komunalnej i każdej firmy, która kiedykolwiek wydała pracownikowi login i o tym loginie więcej nie pomyślała.

Anatomia decyzji: jedno zdanie, które boli najbardziej

Postępowanie ma długą i niewesołą historię. Wszczął je jeszcze w 2019 roku ówczesny Prezes UODO Jan Nowak, zaraz po pierwszych publikacjach prasowych z sierpnia tamtego roku. Sprawa natychmiast ugrzęzła. Ministerstwo Sprawiedliwości, którego szefem był wtedy Zbigniew Ziobro pełniący równocześnie funkcję Prokuratora Generalnego, utrzymywało w wyjaśnieniach, że do żadnego wycieku danych nie doszło. Prokuratury w Lublinie i Świdnicy, prowadzące wątek karny, odmawiały przekazania organowi materiałów, powołując się na dobro śledztwa. Przełom nastąpił dopiero w grudniu 2024 roku, kiedy odpowiednie dokumenty udostępniła Prokuratura Regionalna we Wrocławiu. Po około szesnastu miesiącach analizy materiału Prezes UODO uznał, że w resorcie doszło do szeregu nieprawidłowości w przetwarzaniu danych osobowych.

W uzasadnieniu pada zdanie, które warto przeczytać dwa razy. Organ wskazał, że za okoliczność obciążającą należy uznać fakt, iż sprawcą naruszenia RODO jest konstytucyjny organ państwa — Minister Sprawiedliwości, pełniący także funkcję Prokuratora Generalnego — który z racji swoich zadań powinien działać z uwzględnieniem i na rzecz interesu osób sprawujących funkcję orzeczniczą. Innymi słowy: im wyższe stanowisko i im większe zaufanie, jakim obdarzono administratora, tym surowiej ocenia się jego zaniedbanie. To samo kryterium, choć w mniej spektakularnej skali, organ zastosuje wobec wójta, prezesa spółki komunalnej czy dyrektora szpitala. Pozycja, która daje dostęp do wrażliwych danych, daje też odpowiedzialność za to, jak ten dostęp jest wykorzystywany.

Co naprawdę się stało: upoważnienie było, nadzoru nie było

Sednem sprawy nie jest to, że ktoś włamał się do systemu. Sednem jest to, że nikt się nie włamywał. Funkcjonariusze publiczni, którzy przetwarzali dane z niejawnych akt osobowych sędziów, mieli ważne upoważnienia dostępu. Korzystali z uprawnień nadanych im legalnie przez administratora. Problem polegał na tym, że rzeczywiste przetwarzanie było rażąco niezgodne z celem i zakresem, dla których te upoważnienia wydano. Dane o stanie zdrowia, poglądach politycznych i przynależności organizacyjnej sędziów — a więc kategorie szczególne, te z art. 9 RODO, objęte najwyższym standardem ochrony — wyciągano z systemów kadrowych nie po to, by prowadzić sprawy pracownicze, lecz po to, by zasilić kampanię dyskredytującą prowadzoną w internecie.

Prezes UODO ujął istotę naruszenia precyzyjnie: administrator, który powinien mieć pełną kontrolę nad procesem przetwarzania danych, nie sprawował nadzoru nad wykorzystaniem udzielonych upoważnień pod kątem ich zgodności z celem i zakresem przetwarzania. To nie jest zarzut techniczny. To zarzut organizacyjny i właściwie filozoficzny: administrator wydał klucze i przestał patrzeć, do których drzwi się nimi wchodzi. Upoważnienie potraktował jako akt jednorazowy — podpis pod oświadczeniem, wpis do rejestru, koniec — zamiast jako początek trwałego obowiązku obserwowania, czy nadany dostęp służy temu, do czego go nadano. W świecie, w którym jeden eksport bazy zajmuje sekundy, a kopia trafia na prywatnego pendrive'a albo na konto w mediach społecznościowych zanim ktokolwiek mrugnie, taka bierność jest zaproszeniem do nadużycia.

Dlaczego ukarano administratora, a nie sprawców

Wielu czytelników w tym miejscu zaprotestuje: przecież to nie minister osobiście wyciągał akta i zakładał konta w serwisie społecznościowym. Robili to konkretni ludzie, działając wbrew swoim obowiązkom, czasem wbrew prawu karnemu. Dlaczego więc karę płaci instytucja, a nie oni? Odpowiedź leży w samej konstrukcji RODO i jest jedną z najważniejszych rzeczy, jakie powinien zrozumieć każdy zarząd. Organ wprost zaznaczył, że zgodnie z przepisami rozporządzenia administracyjną karę pieniężną wymierza się administratorowi danych, a nie osobom przez niego upoważnionym, które naruszyły swoje obowiązki lub przekroczyły uprawnienia.

To jest zasada rozliczalności z art. 5 ust. 2 RODO w czystej, niewygodnej postaci. Administrator nie tylko ma przestrzegać reguł przetwarzania, lecz musi być w stanie wykazać, że je przestrzega — a jeżeli osoby działające z jego upoważnienia robią coś niedozwolonego, to porażką administratora jest fakt, że ich na to puścił, że nie zbudował mechanizmu, który by je powstrzymał albo przynajmniej wcześnie zaalarmował. Odpowiedzialności za bezpieczeństwo danych nie da się scedować na nierzetelnego pracownika tak samo, jak nie da się jej scedować na podwykonawcę bez umowy powierzenia. To zawsze przykleja się do tego, kto faktycznie decyduje o celach i sposobach przetwarzania — czyli do administratora. Pracownik może odpowiadać dyscyplinarnie, cywilnie, czasem karnie, ale przed organem nadzorczym za stan ochrony danych staje instytucja. I to ona płaci.

Upoważnienie to nie zabezpieczenie

Tu dochodzimy do tezy, którą warto powiesić na ścianie w każdym dziale IT i każdym sekretariacie. Upoważnienie do przetwarzania danych nie jest zabezpieczeniem. Jest podstawą prawną dopuszczenia konkretnej osoby do danych — niezbędną, ale samą w sobie pustą, jeśli nie towarzyszy jej kontrola nad tym, co ta osoba z dostępem robi. Artykuł 29 RODO mówi jasno, że każda osoba działająca z upoważnienia administratora, która ma dostęp do danych osobowych, przetwarza je wyłącznie na polecenie administratora. Artykuł 32 ust. 4 dokłada do tego obowiązek po stronie administratora: ma on podjąć działania, by osoby działające z jego upoważnienia przetwarzały dane tylko zgodnie z jego poleceniem. To nie jest poetycki dodatek. To twardy nakaz aktywnego nadzoru, którego zaniechanie kosztowało resort sto tysięcy złotych i — co dla zwykłej organizacji bywa dotkliwsze — reputację.

Różnica między „nadałem dostęp" a „panuję nad dostępem" jest różnicą między formalnością a realnym bezpieczeństwem. Nadanie dostępu to zdarzenie. Panowanie nad dostępem to proces: ktoś musi okresowo sprawdzać, czy dana osoba wciąż potrzebuje swoich uprawnień, czy zakres nie jest zbyt szeroki, czy logi nie pokazują operacji, które nie mają biznesowego sensu. W sprawie afery hejterskiej zabrakło właśnie procesu. Były oświadczenia, były wpisy w rejestrze, była cała papierologia, która w razie kontroli wyglądałaby poprawnie — i nie było ani jednego mechanizmu, który zauważyłby, że ktoś masowo wyciąga akta sędziów do celów, które z kadrami nie mają nic wspólnego. Bezpieczeństwo na papierze zderzyło się z rzeczywistością i przegrało.

Insider threat: największe ryzyko ma własny identyfikator

Branża bezpieczeństwa od lat powtarza prawdę, którą menedżerowie przyjmują niechętnie, bo psuje dobre samopoczucie: najgroźniejszy napastnik bywa już w środku, ma ważny identyfikator i zna procedury. Zagrożenie wewnętrzne — insider threat — nie potrzebuje exploita ani phishingu, bo dostęp dostał oficjalnie. Może być złośliwe, jak w aferze hejterskiej, gdzie uprawnienia świadomie wykorzystano do celów politycznych i prywatnych. Może być przypadkowe, gdy znudzony albo nadgorliwy pracownik zagląda do akt, do których nie powinien, „z ciekawości". W obu wariantach skutek dla podmiotu danych jest ten sam, a dla administratora — tak samo kosztowny.

Obroną przed tym ryzykiem nie jest mur ani kolejny firewall, lecz dyscyplina trzech zasad. Pierwsza to wiedza konieczna — zasada need-to-know, zgodnie z którą człowiek widzi wyłącznie te dane, których realnie potrzebuje do zadania, nic ponadto. Druga to minimalny przywilej — least privilege — czyli uprawnienia przycięte do najwęższego możliwego zakresu i odbierane w chwili, gdy przestają być potrzebne, a nie pół roku po zmianie stanowiska. Trzecia to rozdzielenie obowiązków, dzięki któremu jedna osoba nie skupia w rękach uprawnień pozwalających i wykonać operację, i zatrzeć po niej ślad. Gdyby w resorcie te trzy zasady działały nie na papierze, lecz w konfiguracji systemów i w rutynie przeglądów, masowy dostęp do akt sędziów albo w ogóle by się nie wydarzył, albo zapaliłby czerwoną lampkę w pierwszym tygodniu.

Co mówi RODO: od art. 5 do art. 32

Decyzja UODO jest, jeśli odrzeć ją z politycznej otoczki, podręcznikowym wykładem obowiązków administratora. Punktem wyjścia jest art. 5 ust. 1 lit. b, czyli zasada ograniczenia celu: dane zebrane w jednym celu — tu kadrowym — nie mogą być wykorzystywane w celu z nim niezgodnym, a kampania dyskredytująca sędziów jest podręcznikowym przykładem celu niezgodnego. Tuż obok stoi art. 5 ust. 1 lit. f, zasada integralności i poufności, nakazująca przetwarzać dane w sposób zapewniający ochronę przed niedozwolonym przetwarzaniem. Spinającą całość klamrą jest art. 5 ust. 2 — rozliczalność, która z każdej z tych zasad czyni obowiązek dowodowy administratora.

Od zasad ogólnych RODO schodzi do konkretów. Artykuł 24 wymaga, by administrator wdrożył odpowiednie środki techniczne i organizacyjne oraz poddawał je przeglądom i aktualizacji — to słowo „przegląd" jest tu kluczowe, bo właśnie przeglądu zabrakło. Artykuł 32 nakazuje zapewnić bezpieczeństwo przetwarzania z uwzględnieniem ryzyka, w tym ryzyka nieuprawnionego dostępu i niedozwolonego ujawnienia, a jego ustęp czwarty — przywołany już wyżej — czyni administratora odpowiedzialnym za to, by osoby z jego upoważnienia trzymały się polecenia. Razem te przepisy układają się w jeden komunikat: bezpieczeństwo danych nie kończy się na nadaniu uprawnień i napisaniu polityki. Zaczyna się tam, gdzie ktoś realnie patrzy, czy nadane uprawnienia są wykorzystywane zgodnie z przeznaczeniem. Bez tego patrzenia cała reszta jest dekoracją.

Jak to wygląda w ISO 27001

Organizacja, która chce zamienić tę lekcję w działający system, nie musi wymyślać niczego od zera — wystarczy, że sięgnie po normę ISO/IEC 27001:2022 i jej załącznik A, który problem nadzoru nad dostępem rozkłada na konkretne zabezpieczenia. Zabezpieczenie A.5.15 to kontrola dostępu jako polityka i zasada. A.5.18 to prawa dostępu w pełnym cyklu życia: nadawanie, regularny przegląd i — równie ważne — odbieranie, gdy uprawnienie traci uzasadnienie. A.8.2 obejmuje prawa uprzywilejowane, czyli te najgroźniejsze konta administracyjne i serwisowe, które w aferze hejterskiej dawały wgląd w niejawne akta. A.8.3 to ograniczenie dostępu do informacji w myśl zasady wiedzy koniecznej.

Najciekawsze z perspektywy tej sprawy są jednak dwa zabezpieczenia, które zwykle traktuje się po macoszemu: A.8.15, czyli rejestrowanie zdarzeń, i A.8.16, czyli monitorowanie działań. To one zamieniają martwy log w żywy mechanizm wczesnego ostrzegania. System, który zapisuje, kto, kiedy i do jakich rekordów sięgnął, a do tego potrafi wychwycić anomalię — masowy eksport akt o nietypowej porze, dostęp do kartoteki osoby spoza zakresu zadań, nagły wzrost liczby pobrań — daje administratorowi szansę zareagować w godzinach, a nie dowiedzieć się o wszystkim z mediów po latach. ISO 27001 nie jest przy tym celem samym w sobie ani ozdobnym certyfikatem na ścianę; jest sprawdzoną listą kontrolną tego, czego zabrakło w resorcie, i miarą staranności, do której organ nadzorczy coraz częściej się odwołuje, oceniając, czy administrator zrobił dość.

Logi, których nikt nie czyta

Najczęstsze nieporozumienie w organizacjach, które „mają już bezpieczeństwo ogarnięte", dotyczy właśnie logów. System rejestruje zdarzenia, więc panuje przekonanie, że nadzór jest sprawowany. Tymczasem rejestrowanie i monitorowanie to dwie różne czynności, oddzielone w normie ISO 27001 nie bez powodu — zabezpieczenie A.8.15 mówi o zbieraniu zdarzeń, A.8.16 dopiero o ich analizie. Log, do którego nikt nie zagląda, jest archiwum, nie zabezpieczeniem. Daje co najwyżej możliwość zrekonstruowania nadużycia po fakcie, gdy szkoda już się wydarzyła, dane już krążą, a sprawa już trafiła do mediów. W aferze hejterskiej rekonstrukcja zajęła lata i wymagała materiałów z prokuratury, bo nikt na bieżąco nie patrzył, kto sięga do akt sędziów i po co.

Skuteczny nadzór zaczyna się tam, gdzie log zamienia się w alert. UODO w razie kontroli nie zapyta wyłącznie, czy zdarzenia są rejestrowane — zapyta, czy ktokolwiek je analizuje, jakie reguły wykrywania anomalii zdefiniowano i co dzieje się, gdy reguła się zapali. Sensowne minimum to wskazanie operacji podwyższonego ryzyka — masowy eksport rekordów, dostęp do kartoteki osoby spoza zakresu zadań pracownika, działania o nietypowej porze, gwałtowny wzrost liczby pobrań — oraz przypisanie komuś obowiązku reagowania na nie w określonym czasie. W większych organizacjach robi to system klasy SIEM albo moduł monitorowania wbudowany w aplikację dziedzinową; w mniejszych wystarczy dyscyplina kwartalnego przeglądu krytycznych logów przez wyznaczoną osobę. Wymówka „nie mamy zasobów, żeby czytać logi" jest dziś coraz słabsza, bo automatyzacja wykrywania anomalii staniała i zeszła pod strzechy. A nawet ręczny, prosty przegląd raz na kwartał jest nieskończenie więcej wart niż wyrafinowany system, do którego od wdrożenia nikt nie zalogował się ani razu.

Samorząd, sąd, spółka komunalna: ten sam mechanizm

Łatwo potraktować aferę hejterską jako egzotyczną sprawę wielkiej polityki, która zwykłej organizacji nie dotyczy. To złudzenie. Mechanizm naruszenia jest całkowicie uniwersalny i powtarza się w skali, o której nie piszą gazety, codziennie. W urzędzie gminy pracownik z dostępem do systemu ewidencji ludności sprawdza adres sąsiada, z którym toczy spór o miedzę. W spółce wodociągowej ktoś z biura obsługi klienta przegląda dane o zadłużeniu znajomego. W sądzie pracownik sekretariatu zagląda do akt głośnej sprawy, w której nie orzeka i której nie prowadzi. W przychodni rejestratorka otwiera kartotekę celebryty leczącego się piętro wyżej. W każdym z tych przypadków dostęp jest formalnie ważny, a przetwarzanie — rażąco poza celem. I w każdym odpowiada administrator: wójt, prezes, prezes sądu, dyrektor.

Sektor publiczny i podmioty świadczące usługi kluczowe są tu szczególnie narażone, bo gromadzą dane wrażliwe w skali, o jakiej prywatna firma może tylko pomarzyć, a jednocześnie działają w systemach dziedzinowych, ePUAP, EZD czy platformach BIP, w których uprawnienia narastają latami i prawie nikt ich nie przegląda. Do tego dochodzi nakładający się reżim — RODO mówi o nadzorze nad upoważnieniami, a znowelizowana ustawa o krajowym systemie cyberbezpieczeństwa, wdrażająca dyrektywę NIS-2, wymaga od podmiotów kluczowych i ważnych wdrożenia systemu zarządzania bezpieczeństwem informacji, w którym kontrola dostępu jest jednym z filarów. Te dwa porządki nie są wobec siebie konkurencyjne; opisują to samo zaniedbanie z dwóch stron. Organizacja, która uporządkuje upoważnienia i przeglądy dostępu, odhacza jednocześnie obowiązek z RODO i obowiązek z ustawy o KSC. Ta, która tego nie zrobi, jest podwójnie odsłonięta.

Pięć pytań, które ujawniają lukę

Zanim sięgniesz po budżet i harmonogram, zacznij od krótkiej, niewygodnej autodiagnozy. Pytanie pierwsze: czy wiesz, ile osób ma dziś w Twojej organizacji dostęp do danych wrażliwych i kiedy ostatnio ta lista była weryfikowana — nie „kiedyś podpisali upoważnienia", lecz kiedy ktoś świadomie sprawdził, czy wszystkie te dostępy są wciąż potrzebne. Pytanie drugie: czy gdyby pracownik jutro masowo wyeksportował dane osobowe poza zakresem swoich zadań, dowiedziałbyś się o tym z systemu monitorowania, czy dopiero wtedy, gdy zrobi się z tego sprawa. Pytanie trzecie: czy uprawnienia osób, które zmieniły stanowisko lub odeszły z pracy w ostatnim półroczu, zostały faktycznie odebrane, czy wciąż żyją w systemach własnym życiem.

Pytanie czwarte: czy logi dostępu do najwrażliwszych zasobów w ogóle istnieją, czy ktokolwiek do nich zagląda i czy przetrwałyby konfrontację z kontrolą UODO jako dowód sprawowania nadzoru. Pytanie piąte: czy w razie postępowania jesteś w stanie wykazać — dokumentami, nie deklaracjami — że nadzorujesz wykorzystanie nadanych upoważnień zgodnie z art. 32 ust. 4 RODO. Jeżeli choć przy jednym pytaniu poczułeś niepokój, masz dokładnie tę samą lukę, którą organ wytknął resortowi sprawiedliwości. Dobra wiadomość jest taka, że tę lukę da się zamknąć w tygodnie, a nie lata — pod warunkiem że potraktujesz ją jako problem do rozwiązania dziś, a nie ryzyko do przemilczenia.

Dlaczego z Fib.Code: nadzór nad dostępem i upoważnieniami

Fib.Code zajmuje się bezpieczeństwem informacji, ochroną danych osobowych i zgodnością z RODO, ISO 27001 oraz ustawą o KSC od strony, która w tej sprawie okazała się decydująca — od strony realnej kontroli nad tym, kto i do czego ma dostęp. Pracujemy z samorządami, sądami, spółkami komunalnymi i firmami sektora MŚP, czyli z organizacjami, w których upoważnienia narastały latami, a przeglądów dostępu nikt nie robił, bo „zawsze tak było". Wiemy, jak wygląda różnica między dokumentacją, która ładnie prezentuje się w segregatorze, a dokumentacją, która naprawdę zabezpiecza.

Działamy według trzech zasad. Po pierwsze, sprawdzamy stan faktyczny, a nie deklarowany — inwentaryzujemy realne uprawnienia w systemach, a nie listę oświadczeń w rejestrze. Po drugie, tłumaczymy język przepisu na język konfiguracji: art. 32 ust. 4 RODO i zabezpieczenia A.5.18, A.8.2, A.8.15 czy A.8.16 z ISO 27001 zamieniamy na konkretne ustawienia, procedury przeglądu i mechanizmy monitorowania, które działają w Twoim środowisku. Po trzecie, zostawiamy organizację z systemem, który sam się utrzymuje — z cyklem przeglądów, z odpowiedzialnościami przypisanymi do osób i z dowodami nadzoru gotowymi na kontrolę. Efektem jest nie kolejny raport do szuflady, lecz sprawny mechanizm kontroli dostępu, audyt upoważnień oraz — gdy trzeba — outsourcing funkcji IOD i Pełnomocnika ds. bezpieczeństwa informacji, czyli ktoś, kto faktycznie patrzy na logi, zamiast czekać, aż zrobią to media.

Co zrobić w ten tydzień: audyt upoważnień i przeglądów dostępu

Nie odkładaj tego na „po wakacjach". Zwołaj w tym tygodniu jedno krótkie spotkanie z osobą odpowiedzialną za IT, IOD i kierownikiem komórki, która przetwarza najwięcej danych wrażliwych. Postaw jeden punkt agendy: inwentaryzacja realnych uprawnień do danych osobowych i wskazanie, kto, kiedy i jak przegląda ich wykorzystanie. Z tego spotkania powinny wyjść trzy decyzje — kto odpowiada za okresowy przegląd dostępu, w jakim cyklu ten przegląd będzie się odbywał i czy logi dostępu do wrażliwych zasobów w ogóle są zbierane i analizowane. Jeśli odpowiedź na to ostatnie pytanie brzmi „nie", masz pierwsze zadanie na najbliższe dni.

Afera hejterska dojrzewała do kary blisko siedem lat i potrzebowała splotu polityki, prokuratur i medialnej burzy. Twoja organizacja nie ma tyle czasu ani tyle szczęścia — zwykłe nadużycie dostępu kończy się skargą do UODO w kilka tygodni, a postępowanie nie pyta o intencje, tylko o to, czy nadzorowałeś. Lukę w nadzorze nad upoważnieniami da się zamknąć w jeden kwartał, jeśli zacząć od dziś.

Zapraszamy do kontaktu: l.grabowski@fibcode.com | fibcode.com/pl/kontakt. Bezpośrednio powiązane materiały: kara UODO dla DPD i nieskuteczne upoważnienia pracowników, przewodnik po ISO 27001 i kontroli dostępu, outsourcing Pełnomocnika ds. bezpieczeństwa informacji — razem składają się na mapę odpowiedzialności, która zaczyna się od upoważnienia, a kończy na dowodzie sprawowanego nadzoru.