RODO w firmie

Obowiązek wyznaczenia IOD w sądach powszechnych wynika zarówno z RODO i ustawyo ochronie danych osobowych, jak i z ustawy z dnia 14 grudnia 2018 r. o ochronie danych osobowych przetwarzanych w związku z zapobieganiem i zwalczaniem przestępczości.

Sądy powszechne już od 25 maja 2018 r., czyli od momentu wejścia do stosowania RODO, były zobowiązane do wyznaczenia inspektora ochrony danych. Obowiązek taki przewidziany został w art. 37 ust. 1 lit a RODO oraz w art. 9 ustawy o ochronie danych osobowych.

Co się zmieniło od 6 lutego 2019 r.?

Od 6 lutego 2019 r. sądy powszechne podlegają też ustawie z dnia 14 grudnia 2018 r. o ochronie danych osobowych przetwarzanych w związku z zapobieganiem i zwalczaniem przestępczości, przyjętej w związku z obowiązkiem wdrożenia w Polsce dyrektywy 2016/680 (tzw. dyrektywy policyjnej). Ustawa ta w art. 46 ust. 1 zobowiązuje administratorów do wyznaczenia inspektora ochrony danych realizującego zadania na jej podstawie.

Ponadto, od 6 lutego – na mocy tej ustawy – weszły w życie zmiany w ustawie z dnia 27 lipca 2001 r. – Prawo o ustroju sądów powszechnych. Artykuły 175a § 1 i art. 175db wskazują obecnie prezesa sądu, dyrektora sądu oraz sąd jako odrębnych administratorów.

Prezesi i dyrektorzy właściwych sądów – każdy w zakresie realizowanych zadań – są administratorami danych osobowych:

1. sędziów i sędziów w stanie spoczynku oraz asesorów sądowych,
2. referendarzy sądowych, asystentów sędziów, dyrektorów sądów oraz ich zastępców, kuratorów sądowych, aplikantów aplikacji sądowej, aplikantów kuratorskich, urzędników oraz innych pracowników sądów,
3. biegłych sądowych, lekarzy sądowych, mediatorów oraz ławników,
4. kandydatów na stanowiska wymienione w pkt 1 i 2.

Sądy zaś są administratorami danych osobowych przetwarzanych w postępowaniach sądowych w ramach sprawowania wymiaru sprawiedliwości albo realizacji zadań z zakresu ochrony prawnej. Stosownie do art. 175 dd § 1 Prawa o ustroju sądów powszechnych nadzór nad przetwarzaniem danych osobowych, których administratorami są sądy, zgodnie z art. 175da i art. 175db, wykonują w zakresie działalności sądu rejonowego, okręgowego apelacyjnego właściwe organy. Ponadto sądy są administratorami innych danych osobowych, wobec których ustalają cele i sposoby przetwarzania (np. gromadzonych w związku 
z zawieraniem przez sąd umów cywilnoprawnych).

Jeden IOD dla trzech administratorów

Każdy z wyżej wskazanych administratorów (prezesi i dyrektorzy właściwych sądów oraz sądy) zobowiązany jest do wyznaczenia IOD. Od rodzaju zadań, które każdy z nich realizuje zależy, czy obowiązek ten wynika z RODO i ustawy o ochronie danych osobowych, czy też - jak w przypadku sądu – zarówno z RODO i ustawy o ochronie danych osobowych, jak i ustawy o ochronie danych osobowych przetwarzanych w związku z zapobieganiem i zwalczaniem przestępczości.

Przekładając to na praktykę, należy przewidywać, że w większości przypadków prezes sądu i dyrektor sądu wyznaczą do pełnienia funkcji IOD tę samą osobę, która pełni tę funkcję dla sądu jako administratora. Przy czym sąd jest administratorem danych przetwarzanych na podstawie RODO i ustawy z dnia 14 grudnia 2018 r. Możliwość wyznaczenia jednej, tej samej osoby, dla kilku podmiotów publicznych przewiduje art. 37 ust. 3 RODO oraz art. 46 ust. 3 ustawy z dnia 14 grudnia 2018 r.

W takim przypadku trzeba pamiętać, że inspektor obsługujący trzech administratorów musi realizować zadania zarówno na podstawie RODO, jak i na podstawie ustawy o ochronie danych osobowych przetwarzanych w związku z zapobieganiem i zwalczaniem przestępczości. Wymienione akty prawne przewidują pewne odrębności w zakresie zadań inspektorów, np. do zadań IOD wynikających z ustawy z dnia 14 grudnia 2018 r. należy przeprowadzanie na zlecenie Prezesa UODO sprawdzeń stosowania przepisów tej ustawy przez administratora. 

Ponadto IOD pełniący funkcję zarówno na podstawie RODO, jak i ustawy wdrażającej tzw. dyrektywę  policyjną powinien spełniać wymagania dla inspektorów przewidziane w obu aktach prawnych, np. ustawa z dnia 14 grudnia 2018 r. przewiduje dla inspektorów wymóg posiadania pełnej zdolności do czynności prawnych oraz korzystania z pełni praw publicznych, a także braku skazania prawomocnym wyrokiem orzeczonym za przestępstwo lub przestępstwo skarbowe popełnione umyślnie (art. 46 ust. 2 pkt. 1 i 3).

Zakres działania inspektora

W przypadku sądów ze względu na ochronę niezawisłości sędziowskiej z zakresu kompetencji inspektora wyłączone są operacje przetwarzania danych mieszczące się w czynnościach orzeczniczych (sprawowania wymiaru sprawiedliwości). Jednakże w zakresie całej pozostałej działalności sądu związanej z przetwarzaniem danych (np. realizowania uprawnień osób, których dane dotyczą, prowadzenia rejestrów i wykazów czynności przetwarzania, właściwego zabezpieczania danych osobowych, zgłaszania naruszeń ochrony danych) inspektor powinien służyć swoim merytorycznym wsparciem zarówno kierownictwu sądu, jak i jego pracownikom. Oznacza to także, że większość praktyk, procedur, sposobów zabezpieczeń danych osobowych wypracowanych przez sądy na podstawie RODO i ustawy o ochronie danych osobowych powinno być rozwijane i kontynuowane z uwzględnieniem zarówno wymogów RODO, jak i ustawy wdrażającej dyrektywę policyjną.

Poinformowanie o wyznaczeniu IOD osób, których dane dotyczą oraz UODO

O wyznaczeniu inspektora oraz o zakresie i podstawach jego działania (zarówno RODO, jak i ustawa z dnia 14 grudnia 2018 r.) na rzecz trzech administratorów powinni dowiedzieć się zarówno wszystkie osoby przetwarzające dane osobowe w sądzie, jak i osoby, których dane dotyczą oraz organ nadzorczy. Dla osób, których dane dotyczą, oraz dla organu nadzorczego IOD jest bowiem punktem kontaktowym zgodnie z art. 38 ust. 4 i 
art. 39 ust. 1 lit. e RODO oraz art. 47 ust. 1 pkt 7 i 8 ustawy z dnia 14 grudnia 2018 r.

W związku z tym zarówno ustawa o ochronie danych osobowych (art. 11), jak i ustawa z dnia 14 grudnia 2018 r. (art. 46 ust. 11) zobowiązują administratorów  by udostępnili imię i nazwisko oraz adres poczty elektronicznej lub numer telefonu inspektora na swojej stronie internetowej. Jeżeli administrator lub podmiot przetwarzający nie prowadzi własnej strony, udostępnia informacje o IOD w sposób ogólnie dostępny w miejscu prowadzenia działalności.

Dane inspektora w powyższym zakresie muszą być przekazane również Prezesowi UODO. W związku z wieloma pytaniami wskazujemy, że obowiązujące od 6 lutego br. przepisy oznaczają, że prezes sądu i dyrektor sądu jako administratorzy powinni skorzystać w celu powiadomienia nas o wyznaczeniu inspektora z elektronicznej formy zawiadomienia zgodnie z art. 10 ust. ust. 6  ustawy o ochronie danych osobowych (formularz dostępny jest tutaj). Zawiadomienie należy opatrzyć kwalifikowanym podpisem elektronicznym albo podpisem zaufanym (pomocne wskazówki dostępne tutaj).

Natomiast zawiadomienie o wyznaczeniu IOD przez sąd jako administratora danych działającego na podstawie ustawy z dnia 14 grudnia 2018 r. powinno również nastąpić w postaci elektronicznej, ale na podstawie art. 46 ust. 9 ustawy z dnia 14 grudnia 2018 r. za pomocą formularza dostępnego pod linkiem https://www.biznes.gov.pl/pl/e-uslugi/00_0931_00 Więcej informacji na temat wyznaczenia IOD na tej podstawie można znaleźć tutaj.