Wejście w życie RODO 25 maja 2018 roku dla wszystkich instytucji publicznych i prywatnych oznaczało rewolucyjne zmiany w kwestii ochrony danych osobowych. Nie ominęły one również sądów powszechnych. Organy sądowe nie zdążyły jeszcze wdrożyć nowych procedur, a już 6 lutego 2019 roku weszły dodatkowe przepisy modyfikujące zakres ochrony danych osobowych. Wspomniane akty stanowią odrębne podstawy prawne, które w swej treści mogą prowadzić do problemów interpretacyjnych. Jedną z takich trudności jest kwestia tego, czy w sądach potrzebny jest więcej niż jeden Inspektor Ochrony Danych.
Zarówno art. 37 ust. 1 lit. a RODO, art. 9 ustawy z dnia 10 maja 2018 r. o ochronie danych osobowych, jak i art. 46 ustawy z 14 grudnia 2018 r. o ochronie danych osobowych przetwarzanych w związku z zapobieganiem i zwalczaniem przestępczości nakładają obowiązek wyznaczenia Inspektora Ochrony Danych w sądach. Wobec wskazanych odrębnych podstaw prawnych powstaje pytanie, czy w każdym sądzie powinien być powołany jeden Inspektor Ochrony Danych (dalej IOD), czy należy wskazać ich większą liczbę? Jak wobec tego wygląda proces, w którym wyznaczony zostaje Inspektor Ochrony Danych? Na te pytania odpowiemy w niniejszym artykule.
Zmiany po wejściu w życie ustawy o ochronie danych osobowych przetwarzanych w związku z zapobieganiem i zwalczaniem przestępczości
Ustawa z dnia 14 grudnia 2018 r. o ochronie danych osobowych przetwarzanych w związku z zapobieganiem i zwalczaniem przestępczości weszła w życie 6 lutego 2019 r. w związku z obowiązkiem wdrożenia w Polsce dyrektywy Parlamentu Europejskiego i Rady (UE) 2016/680 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych przez właściwe organy do celów zapobiegania przestępczości, prowadzenia postępowań przygotowawczych, wykrywania i ścigania czynów zabronionych i wykonywania kar, w sprawie swobodnego przepływu takich danych oraz uchylająca decyzję ramową Rady 2008/977/WSiSW, tzw. dyrektywy policyjnej. Na jej podstawie administratorzy danych sądów powszechnych zostali zobowiązani do wyznaczenia IOD mającego realizować zadania uregulowane w niniejszej ustawie.
Poza tym powyższa ustawa znowelizowała art. 175a § 1 i art. 175db ustawy – Prawo o ustroju sądów powszechnych, wskazując na prezesa sądu, dyrektora sądu oraz instytucję sądu jako odrębnych administratorów danych osobowych.
Prezesi i dyrektorzy sądów w zakresie realizowanych przez siebie zadań są administratorami danych osobowych:
-
sędziów i sędziów w stanie spoczynku oraz kandydatów na sędziów;
-
asesorów sądowych;
-
referendarzy sądowych, asystentów sędziów, dyrektorów sądów oraz ich zastępców, kuratorów sądowych, aplikantów aplikacji sądowej, aplikantów kuratorskich, urzędników oraz innych pracowników sądów;
-
biegłych sądowych, lekarzy sądowych, mediatorów oraz ławników.
Z kolei sądy jako instytucje są administratorami danych osobowych przetwarzanych w postępowaniach sądowych w ramach sprawowania wymiaru sprawiedliwości i realizacji zadań z zakresu ochrony prawnej. Dodatkowo sądy są administratorami danych osobowych, wobec których ustalają cele i sposoby przetwarzania, np. gromadzonych w związku z zawieraniem przez sąd umów cywilnoprawnych.
Administratorzy w sądach a Inspektor Ochrony Danych
Wspomniane na wstępie akty prawne zobowiązują prezesa, dyrektora oraz sąd do wyznaczenia IOD. Podstawa prawna do powołania inspektora jest zależna od rodzaju zadań, które są realizowane przez administratora danych.
W związku z faktem, że sąd zobowiązany jest do wyznaczenia IOD na podstawie RODO, ustawy o ochronie danych osobowych oraz ustawy o ochronie danych osobowych przetwarzanych w związku z zapobieganiem i zwalczaniem przestępczości, a prezes i dyrektor sądu na podstawie RODO i ustawy o ochronie danych osobowych, w praktyce w przeważającej większości wypadków prezes i dyrektor wyznaczają ten sam podmiot do pełnienia funkcji IOD. Nic nie stoi również na przeszkodzie, aby wszystkie podmioty pełniące funkcję administratorów w danym sądzie wyznaczyły jednego inspektora. Będzie to zadanie trudniejsze i bardziej złożone, gdyż będzie on musiał działać na podstawie wszystkich aktów prawnych dotyczących ochrony danych osobowych, ale w świetle prawa jest ono dopuszczalne. Taka sytuacja jest możliwa dzięki art. 37 ust. 3 RODO oraz art. 46 ust. 3 ustawy o ochronie danych osobowych przetwarzanych w związku z zapobieganiem i zwalczaniem przestępczości, które pozwalają na wyznaczenie jednego Inspektora Ochrony Danych dla kilku podmiotów publicznych.
Należy przy tym pamiętać, że omawiane ustawodawstwo przewiduje znaczne odrębności w zakresie zadań inspektorów. Między innymi do zadań IOD wynikających z ustawy o ochronie danych osobowych przetwarzanych w związku z zapobieganiem i zwalczaniem przestępczości należy przeprowadzanie na zlecenie Prezesa UODO sprawdzenia stosowania przepisów tej ustawy przez administratora. Trzeba też zwrócić uwagę na to, że osoba pełniąca funkcję inspektora dla wszystkich organów sądu, powinna spełniać wymagania dla IOD przewidziane zarówno w RODO, jak i w dyrektywie policyjnej.
Inspektor Ochrony Danych a zakres działania
Przetwarzanie danych osobowych przez sądy powszechne dotyczy dwóch obszarów działalności:
-
sprawowania wymiaru sprawiedliwości (działalność orzecznicza);
-
obszaru działalności pozaorzeczniczej.
W obu tych obszarach Inspektor Ochrony Danych musi zwracać uwagę na odmienności podstaw i zasad przetwarzania danych.
Działalność orzecznicza sądów powszechnych
W obszarze działalności orzeczniczej sądów powszechnych przetwarzanie danych osobowych ma miejsce w aspekcie tradycyjnym, tj. w trakcie procesów biurowych, jak i w aspekcie informatycznym, m.in. przy obsłudze systemu elektronicznego Currenda.
W przetwarzaniu danych osobowych w postępowaniu sądowym, oprócz wyżej wskazanych aktów prawnych, mają również zastosowanie przepisy ustawy– Kodeks postępowania karnego, ustawy – Kodeks postępowania cywilnego, ustawy – Kodeks rodzinny i opiekuńczy oraz ustawy o księgach wieczystych i hipotece.
Wszystkie te ustawy w sposób precyzyjny i szczegółowy określają procedury oraz cele przetwarzania danych osobowych przez sądy powszechne, określając przy tym zasady dostępu do akt spraw i poszczególnych rejestrów oraz zasady dokonywania zmian w treści akt, np. sprostowania danych. Trzeba przy tym podkreślić, że dostęp do danych osobowych może mieć miejsce wyłącznie na zasadach określonych w przywołanych ustawach, a usuwanie danych z akt jest niedopuszczalne, gdyż sądy obowiązane są do przechowywania akt sądowych i urządzeń ewidencyjnych przez określony czas.
Inspektor Ochrony Danych w pełnieniu swoich funkcji nie podlegają nadzorowi sprawowanemu przez Urząd Ochrony Danych Osobowych. Zgodnie z motywem 20 RODO nadzór w tej kwestii powierzony zostaje na podstawie przepisów prawa krajowego wyznaczonym organom wymiaru sprawiedliwości.
Działalność pozaorzecznicza sądów powszechnych
Dane osobowe w zakresie niezwiązanym z działalnością orzeczniczą sądów powszechnych wykorzystywane są wyłącznie do celów, dla jakich były, są lub będą zbierane i przetwarzane.
W przypadku konieczności udostępnienia dokumentów i danych, wśród których znajdują się dane osobowe niemające bezpośredniego związku z celem udostępnienia, podlegają one anonimizacji.
Obowiązek sądów do poinformowania o wyznaczeniu IOD
O tym, że Inspektor Ochrony Danych został wyznaczony oraz o zakresie i podstawach jego działania administratorzy sądowi powinni poinformować zarówno wszystkie osoby przetwarzające dane osobowe w sądzie, osoby, których dane te dotyczą, jak i organ nadzorczy.
Ustawa o ochronie danych osobowych w art. 11 oraz ustawa o ochronie danych osobowych przetwarzanych w związku z zapobieganiem i zwalczaniem przestępczości w art. 46 ust. 11, zobowiązują administratorów do udostępnienia imion i nazwisk oraz adresów poczty elektronicznej lub numerów telefonów Inspektorów Ochrony Danych na stronie internetowej danego sądu. Jeżeli sąd nie prowadzi własnej strony internetowej, udostępnia informacje o IOD w sposób ogólnie dostępny w miejscu prowadzenia działalności.
Inspektor Ochrony Danych w sądach powszechnych – podsumowanie
Odpowiadając na pytanie, czy wobec istnienia odrębnych podstaw prawnych w każdym sądzie powinien być powołany jeden Inspektor Ochrony Danych, czy powinno się jednak wskazać ich większą liczbę, należy stwierdzić jednoznacznie, że zgodnie z art. 37 ust. 3 RODO oraz art. 46 ust. 3 ustawy o ochronie danych osobowych przetwarzanych w związku z zapobieganiem i zwalczaniem przestępczości, administratorzy sądowi w postaci prezesów, dyrektorów sądów oraz sądów mogą wyznaczyć jednego inspektora.
Nic nie stoi również na przeszkodzie, aby każdy z wyżej wskazanych administratorów wskazał swojego IOD. W związku z tym w sądzie może funkcjonować trzech, dwóch bądź też jeden Inspektor. Wszystko zależy od tego, czy dana osoba pełniąca taką funkcję będzie w stanie płynnie i efektywnie funkcjonować wśród różnorodnych przepisów wszystkich aktów prawnych dotyczących sfery ochrony danych osobowych.