Na to pytanie odpowiada Urząd Ochrony Danych Osobowych w najnowszych wyjaśnieniach.

Obowiązek wyznaczenia IOD w sądach powszechnych wynika zarówno z RODO i ustawy o ochronie danych osobowych, jak i z ustawy z dnia 14 grudnia 2018 r. o ochronie danych osobowych przetwarzanych w związku z zapobieganiem i zwalczaniem przestępczości.Obowiązek wyznaczenia IOD w sądach powszechnych wynika zarówno z RODO i ustawy o ochronie danych osobowych, jak i z ustawy z dnia 14 grudnia 2018 r. o ochronie danych osobowych przetwarzanych w związku z zapobieganiem i zwalczaniem przestępczości.

Sądy powszechne już od 25 maja 2018 r., czyli od momentu wejścia do stosowania RODO, były zobowiązane do wyznaczenia inspektora ochrony danych. Obowiązek taki przewidziany został w art. 37 ust. 1 lit a RODO oraz w art. 9 ustawy o ochronie danych osobowych.

Co się zmieniło od 6 lutego 2019 r.?

Od 6 lutego 2019 r. sądy powszechne podlegają też ustawie z dnia 14 grudnia 2018 r. o ochronie danych osobowych przetwarzanych w związku z zapobieganiem i zwalczaniem przestępczości, przyjętej w związku z obowiązkiem wdrożenia w Polsce dyrektywy 2016/680 (tzw. dyrektywy policyjnej). Ustawa ta w art. 46 ust. 1 zobowiązuje administratorów do wyznaczenia inspektora ochrony danych realizującego zadania na jej podstawie.

To nie wszystko. Od 6 lutego – na mocy tej ustawy – weszły w życie zmiany w ustawie z dnia 27 lipca 2001 r. – Prawo o ustroju sądów powszechnych. Artykuły 175a § 1 i art. 175db wskazują obecnie prezesa sądu, dyrektora sądu oraz sąd jako odrębnych administratorów.

Prezesi i dyrektorzy właściwych sądów – każdy w zakresie realizowanych zadań – są administratorami danych osobowych:

1. sędziów i sędziów w stanie spoczynku oraz asesorów sądowych,

2. referendarzy sądowych, asystentów sędziów, dyrektorów sądów oraz ich zastępców, kuratorów sądowych, aplikantów aplikacji sądowej, aplikantów kuratorskich, urzędników oraz innych pracowników sądów,

Autopromocja
CFO Strategy & Innovation Summit 2021

To już IV edycja kongresu dla liderów świata finansów

WEŹ UDZIAŁ

3. biegłych sądowych, lekarzy sądowych, mediatorów oraz ławników,

4. kandydatów na stanowiska wymienione w pkt 1 i 2.

Sądy zaś są administratorami danych osobowych przetwarzanych w postępowaniach sądowych w ramach sprawowania wymiaru sprawiedliwości albo realizacji zadań z zakresu ochrony prawnej. Stosownie do art. 175 dd § 1 Prawa o ustroju sądów powszechnych nadzór nad przetwarzaniem danych osobowych, których administratorami są sądy, zgodnie z art. 175da i art. 175db, wykonują w zakresie działalności sądu rejonowego, okręgowego apelacyjnego właściwe organy. Ponadto sądy są administratorami innych danych osobowych, wobec których ustalają cele i sposoby przetwarzania (np. gromadzonych w związku z zawieraniem przez sąd umów cywilnoprawnych).

Jeden IOD dla trzech administratorów

Każdy z wyżej wskazanych administratorów (prezesi i dyrektorzy właściwych sądów oraz sądy) zobowiązany jest do wyznaczenia IOD. Od rodzaju zadań, które każdy z nich realizuje zależy, czy obowiązek ten wynika z RODO i ustawy o ochronie danych osobowych, czy też - jak w przypadku sądu – zarówno z RODO i ustawy o ochronie danych osobowych, jak i ustawy o ochronie danych osobowych przetwarzanych w związku z zapobieganiem i zwalczaniem przestępczości.

Przekładając to na praktykę, należy przewidywać, że w większości przypadków prezes sądu i dyrektor sądu wyznaczą do pełnienia funkcji IOD tę samą osobę, która pełni tę funkcję dla sądu jako administratora. Przy czym sąd jest administratorem danych przetwarzanych na podstawie RODO i ustawy z dnia 14 grudnia 2018 r. Możliwość wyznaczenia jednej, tej samej osoby, dla kilku podmiotów publicznych przewiduje art. 37 ust. 3 RODO oraz art. 46 ust. 3 ustawy z dnia 14 grudnia 2018 r.

W takim przypadku trzeba pamiętać, że inspektor obsługujący trzech administratorów musi realizować zadania zarówno na podstawie RODO, jak i na podstawie ustawy o ochronie danych osobowych przetwarzanych w związku z zapobieganiem i zwalczaniem przestępczości. Wymienione akty prawne przewidują pewne odrębności w zakresie zadań inspektorów, np. do zadań IOD wynikających z ustawy z dnia 14 grudnia 2018 r. należy przeprowadzanie na zlecenie Prezesa UODO sprawdzeń stosowania przepisów tej ustawy przez administratora.

Ponadto IOD pełniący funkcję zarówno na podstawie RODO, jak i ustawy wdrażającej tzw. dyrektywę policyjną powinien spełniać wymagania dla inspektorów przewidziane w obu aktach prawnych, np. ustawa z dnia 14 grudnia 2018 r. przewiduje dla inspektorów wymóg posiadania pełnej zdolności do czynności prawnych oraz korzystania z pełni praw publicznych, a także braku skazania prawomocnym wyrokiem orzeczonym za przestępstwo lub przestępstwo skarbowe popełnione umyślnie (art. 46 ust. 2 pkt. 1 i 3).

Zakres działania inspektora

W przypadku sądów ze względu na ochronę niezawisłości sędziowskiej z zakresu kompetencji inspektora wyłączone są operacje przetwarzania danych mieszczące się w czynnościach orzeczniczych (sprawowania wymiaru sprawiedliwości). Jednakże w zakresie całej pozostałej działalności sądu związanej z przetwarzaniem danych (np. realizowania uprawnień osób, których dane dotyczą, prowadzenia rejestrów i wykazów czynności przetwarzania, właściwego zabezpieczania danych osobowych, zgłaszania naruszeń ochrony danych) inspektor powinien służyć swoim merytorycznym wsparciem zarówno kierownictwu sądu, jak i jego pracownikom. Oznacza to także, że większość praktyk, procedur, sposobów zabezpieczeń danych osobowych wypracowanych przez sądy na podstawie RODO i ustawy o ochronie danych osobowych powinno być rozwijane i kontynuowane z uwzględnieniem zarówno wymogów RODO, jak i ustawy wdrażającej dyrektywę policyjną.

Poinformowanie o wyznaczeniu IOD osób, których dane dotyczą oraz UODO

O wyznaczeniu inspektora oraz o zakresie i podstawach jego działania (zarówno RODO, jak i ustawa z dnia 14 grudnia 2018 r.) na rzecz trzech administratorów powinni dowiedzieć się zarówno wszystkie osoby przetwarzające dane osobowe w sądzie, jak i osoby, których dane dotyczą oraz organ nadzorczy. Dla osób, których dane dotyczą, oraz dla organu nadzorczego IOD jest bowiem punktem kontaktowym zgodnie z art. 38 ust. 4 i art. 39 ust. 1 lit. e RODO oraz art. 47 ust. 1 pkt 7 i 8 ustawy z dnia 14 grudnia 2018 r.

W związku z tym zarówno ustawa o ochronie danych osobowych (art. 11), jak i ustawa z dnia 14 grudnia 2018 r. (art. 46 ust. 11) zobowiązują administratorów by udostępnili imię i nazwisko oraz adres poczty elektronicznej lub numer telefonu inspektora na swojej stronie internetowej. Jeżeli administrator lub podmiot przetwarzający nie prowadzi własnej strony, udostępnia informacje o IOD w sposób ogólnie dostępny w miejscu prowadzenia działalności.

Dane inspektora w powyższym zakresie muszą być przekazane również Prezesowi UODO. W związku z wieloma pytaniami wskazujemy, że obowiązujące od 6 lutego br. przepisy oznaczają, że prezes sądu i dyrektor sądu jako administratorzy powinni skorzystać w celu powiadomienia nas o wyznaczeniu inspektora z elektronicznej formy zawiadomienia zgodnie z art. 10 ust. ust. 6 ustawy o ochronie danych osobowych (formularz). Zawiadomienie należy opatrzyć kwalifikowanym podpisem elektronicznym albo podpisem zaufanym (pomocne wskazówki dostępne na stronach UODO).

Natomiast zawiadomienie o wyznaczeniu IOD przez sąd jako administratora danych działającego na podstawie ustawy z dnia 14 grudnia 2018 r. powinno również nastąpić w postaci elektronicznej, ale na podstawie art. 46 ust. 9 ustawy z dnia 14 grudnia 2018 r. za pomocą formularza dostępnego pod linkiem https://www.biznes.gov.pl/pl/e-uslugi/00_0931_00 .Więcej informacji na temat wyznaczenia IOD na tej podstawie można znaleźć w serwisie UODO.