Jeden nieostrożnie przesłany plik w formacie Excel stał się przyczyną poważnych problemów Sądu Rejonowego Lublin-Zachód oraz interwencji Urzędu Ochrony Danych Osobowych. Prezes UODO, Mirosław Wróblewski, udzielił oficjalnego upomnienia prezesowi i dyrektorowi sądu, nakazując natychmiastowe wdrożenie środków technicznych minimalizujących ryzyko. Sprawa ta stanowi podręcznikowy przykład tego, jak rutynowe działania na bazach danych, pozbawione odpowiedniej weryfikacji i osadzenia w procedurach bezpieczeństwa, mogą doprowadzić do ujawnienia wrażliwych informacji.
Bezpośrednią przyczyną incydentu był błąd popełniony podczas realizacji wniosku o dostęp do informacji publicznej. Pracownicy sądu, chcąc udostępnić dane o sędziach oraz dopuszczających ich do zawodu lekarzach i psychologach, przesłali wnioskodawcy plik arkusza kalkulacyjnego. Dokument ten zawierał jednak znacznie więcej informacji niż zakres wniosku. W pliku znajdowały się dodatkowe arkusze z danymi, które nie powinny trafić do odbiorcy zewnętrznego. W rezultacie ujawniono numery PESEL, adresy zamieszkania, daty urodzenia oraz szczegóły dotyczące powołania sędziów. To klasyczny przykład naruszenia zasady minimalizacji danych, wynikający z braku weryfikacji metadanych i zawartości wysyłanych plików roboczych.
Zgłoszenie tego naruszenia stało się impulsem do głębszej kontroli przeprowadzonej przez UODO, która ujawniła systemowe braki w zarządzaniu bezpieczeństwem informacji w placówce. Postępowanie wykazało, że w sądzie przez długi czas w ogóle nie przeprowadzano analizy ryzyka, a kiedy w końcu to zrobiono, proces ten nie spełniał wymogów RODO. Co więcej, polityka ochrony danych była niekompletna i ograniczała się głównie do kwestii kadrowo-księgowych, pomijając tak kluczowe obszary operacyjne, jak procedura udostępniania informacji publicznej czy anonimizacja danych.
Kluczowym zarzutem organu nadzorczego był brak regularnego testowania, mierzenia i oceniania skuteczności zabezpieczeń. Oznacza to, że nawet jeśli procedury istniały na papierze, nikt nie sprawdzał, czy w praktyce chronią one dane przed wyciekiem. Dopiero interwencja UODO wymusiła na kierownictwu sądu dostosowanie operacji przetwarzania do wymogów rozporządzenia. Prezes Urzędu uznał, że ze względu na podjęte w toku postępowania działania naprawcze, wystarczającą sankcją będzie upomnienie, jednak sprawa ta jest wyraźnym sygnałem dla wszystkich administratorów danych, że bezpieczeństwo to proces ciągły, a nie jednorazowa dokumentacja.