Zgodnie z motywem 20 RODO, jego przepisy stosują się także do przetwarzania danych w ramach wymiaru sprawiedliwości, choć państwa członkowskie jak i prawo UE mogą te zasady doprecyzować. W celu ochrony niezawisłości sędziów, przewidziano jednak, że organy nadzorcze (w Polsce jest nim Urząd Ochrony Danych Osobowych) nie są właściwe w przypadku przetwarzania danych osobowych przez sądy w ramach sprawowania wymiaru sprawiedliwości. Jednak czynności niezwiązane z jego sprawowaniem, a wymagające przetwarzania danych osobowych, podlegają już nadzorowi UODO.
Natomiast Prawo o ustroju sądów powszechnych Dz. U .2020 r., poz. 365 ze zm.) przewiduje że nadzór nad przetwarzaniem danych przez sądy sprawują: dla sądów rejonowych – prezesi sądów okręgowych, dla sądów okręgowych – prezesi sądów apelacyjnych, dla sądów apelacyjnych – Krajowa Rada Sądownictwa. KRS sprawuje również nadzór nad przetwarzaniem danych przez Sąd Najwyższy i Naczelny Sąd Administracyjny – którego prezes z kolei nadzoruje przetwarzanie danych przez Wojewódzkie Sądy Administracyjne. Ustawodawca nie przewidział jednak dla tych organów kompetencji do przyjmowania zgłoszeń, oceny naruszeń ani kompetencji do prowadzenia kontroli.
Problem też w tym, że polskie prawo nie definiuje czym jest wymiar sprawiedliwości i jakie dokładnie czynności wiążą się z jego sprawowaniem, a jakie nie. Do Urzędu Ochrony Danych Osobowych zgłaszane są liczne wątpliwości w tej kwestii – każdy sąd, jako administrator danych, musi to bowiem rozstrzygnąć w przypadku incydentu mogącego stanowić naruszenie ochrony danych. Dlatego UODO postanowił wydać specjalny poradnik zawierający praktycznie informacje w tej sprawie – ma on przyczynić się do zapewnienia spójnego stosowania RODO przez sądy w tym zakresie.
W poradniku wskazano przykłady naruszeń które podlegają nadzorowi UODO – zgubie nie przez pracownika sądu nośnika danych z projektami orzeczeń (np. w autobusie) kradzież akt z samochodu takiego pracownika, zgubienie w sądzie akt przeznaczonych do archiwizacji czy zamieszczenie na stronie sądu niezanonimizowanej wokandy. Działanie te nie stanowią bowiem wykonywania wymiaru sprawiedliwości.
Podobnie do właściwości urzędu należy przetwarzanie danych związane z czynnościami administracyjnymi sądu (może on np. wymagać poinformowania u naruszeniu osoby, której dane dotyczą). Można tu wskazać przykłady takie jak zgubienie lub kradzież akt osobowych pracownika sądu, przyznanie dostępu do systemu informatycznego niewłaściwej osobie, zagubienie przez sędziego hasła i loginu, czy też omyłkowe wydanie akt osobie nieuprawnionej.
