Strona korzysta z plików cookies w celu realizacji usług i zgodnie z Polityką Plików Cookies.

Polecamy

Rodo w praktyce – odpowiedzi na 273 najtrudniejsze pytania

Rodo w praktyce – odpowiedzi na 273 najtrudniejsze pytania
 

Bartosz Marcinkowski, Robert Brodzik, Klaudia Czarniecka, Michał Kluska, Katarzyna Kulesza, Olga Legat, Justyna Tyc

Cena: 128,00 zł

Zamów

Jeden podmiot – czterech administratorów

20-09-2019 Autor: Monika Paska

Rozszerzenie katalogu administratorów w sądach zmienia obszary administrowania, wywołuje wątpliwości dotyczące wyznaczania inspektora ochrony danych oraz pełnienia nadzoru nad przetwarzaniem danych w sądach. Jakie będą konsekwencje wprowadzonych zmian?

 

6 lutego 2019 r. weszła w życie ustawa z dnia 14 grudnia 2018 r. o ochronie danych osobowych przetwarzanych w związku z zapobieganiem i zwalczaniem przestępczości (dalej: dodo), która wprowadziła bardzo istotne zmiany w ustawie z dnia 27 lipca 2001 r. Prawo o ustroju sądów powszechnych (dalej: pusp) w zakresie przetwarzania danych osobowych w sądach. Jedną z najistotniejszych jest rozszerzenie katalogu administratorów. Zgodnie z nowym brzmieniem art. 175a pusp administratorami danych osobowych:

  • sędziów i sędziów w stanie spoczynku oraz asesorów sądowych;
  • referendarzy sądowych, asystentów sędziów, dyrektorów sądów oraz ich zastępców, kuratorów sądowych, aplikantów aplikacji sądowej, aplikantów kuratorskich, urzędników oraz innych pracowników sądów;
  • biegłych sądowych, lekarzy sądowych, mediatorów oraz ławników;
  • kandydatów na stanowiska wymienione w pkt 1 i 2

są prezesi i dyrektorzy właściwych sądów oraz Minister Sprawiedliwości w zakresie realizowanych zadań.

Natomiast zgodnie z art. 175db pusp administratorem danych przetwarzanych w postępowaniach sądowych w ramach sprawowania wymiaru sprawiedliwości albo realizacji zadań z zakresu ochrony prawnej są sądy. Te w myśl art. 175d pusp są również administratorami danych osobowych przetwarzanych w systemach teleinformatycznych, w których są:

  • obsługiwane postępowania sądowe;
  • prowadzone rejestry sądowe;
  • prowadzone urządzenia ewidencyjne (sądowe systemy teleinformatyczne).

Administratorami tych samych danych są również prezesi właściwych sądów oraz Minister Sprawiedliwości w ramach realizowanych zadań.

W praktyce oznacza to szereg wątpliwości dotyczących m.in. obszarów administrowania, wyznaczania inspektora ochrony danych czy też pełnienia nadzoru nad przetwarzaniem danych w sądach. Przed wejściem w życie zarówno przedmiotowych zmian, jak i tych wynikających z rodo w sądach był jeden administrator. Zgodnie z § 34 ust. 1 pkt 11 rozporządzenia Ministra Sprawiedliwości z dnia 23 grudnia 2015 r. Regulamin urzędowania sądów powszechnych (dalej: Regulamin) obowiązki administratora danych osobowych wykonywał prezes sądu. W praktyce oznaczało to, że za wszystkie dane przetwarzane w sądzie, bez względu na cel przetwarzania oraz to, kogo dotyczyły, odpowiadał prezes danego sądu. Obecnie mamy zaś czterech administratorów i duży problem w ustaleniu, który z nich za co odpowiada. Długo oczekiwane zmiany zamiast pomóc wprowadziły niemałe zamieszanie.

Prawidłowe określenie administratora

W sytuacji, w której obowiązki administratora wykonywał wyłącznie prezes sądu, nikt nie miał wątpliwości, że odpowiada on za bezpieczeństwo wszystkich danych osobowych przetwarzanych w sądzie. Obecnie należy się zastanowić, który administrator odpowiada za czyje dane. I tu bez większych wątpliwości stwierdzimy, że administratorem danych osobowych przetwarzanych w postępowaniach sądowych jest sąd. Odpowiedź pozornie oczywista.

Ale co rozumiemy przez pojęcie „sąd”? Czy ustawodawca miał na myśli sąd jako podmiot, czyli konkretny sąd rejonowy, okręgowy, apelacyjny czy może jednak sąd wydający wyroki w imieniu Rzeczypospolitej Polskiej, czyli skład orzekający? Wydaje się, że obecnie nie znajdziemy jednoznacznej odpowiedzi na to pytanie. Tym samym nie do końca wiemy, kto dokładnie odpowiada za prawidłowe przetwarzanie danych osobowych w konkretnym postępowaniu sądowym.

Z jednej strony wydaje się, że w omawianym przypadku administratorem będzie skład orzekający, bowiem to on decyduje o celach i środkach przetwarzania danych (w zakresie i w granicach prawa). Niemniej jednak z punktu widzenia praktycznego będzie to bardzo trudne w realizacji, biorąc chociażby pod uwagę szereg obowiązków spoczywających na administratorze. Z drugiej strony jeśli przyjmiemy, że administratorem będzie konkretny sąd, to zasadne byłoby określenie chociażby, przez kogo jest reprezentowany. I tu ponownie można jedynie przypuszczać, że najlepiej byłoby, aby był to prezes danego sądu.

Kolejne wątpliwości przynosi treść art. 175a pusp. Ustawodawca wskazał, że administratorami danych pracowników zajmujących określone stanowiska w sądzie, jak również kandydatów na te stanowiska są prezesi i dyrektorzy właściwych sądów oraz Minister Sprawiedliwości, w zakresie realizowanych zadań. Jak zatem ustalić, który konkretnie administrator odpowiada za dane osobowe danej grupy zawodowej i w jakim zakresie? A może postawione pytanie powinno brzmieć: jakie zadania realizują poszczególni administratorzy, w jakim celu przetwarzają dane osobowe, a nie kogo te dane dotyczą?

Skoro administrator zobowiązany jest na mocy art. 30 rodo do prowadzenia rejestru czynności, w którym to m.in. zamieszcza cel przetwarzania oraz opis kategorii osób, których dane dotyczą, to pytanie drugie zdaje się być pytaniem właściwym. Podpowiedzi powinno się szukać w szczególności w przepisach „resortowych”, gdzie znajdziemy zadania prezesów i dyrektorów sądów, na podstawie których możemy określić administratora. I tak np. w art. 3b ust. 1 ustawy z dnia 18 grudnia 1998 r. o pracownikach sądów i prokuratury czytamy, że dyrektor sądu organizuje, w drodze konkursu, nabór kandydatów na staż urzędniczy. Tym samym powinno się przyjąć, że za dane pozyskane w ramach konkursu na staż odpowiada właśnie dyrektor i jest on administratorem tych danych. Natomiast prezes odpowiadałby za dane pozyskane w ramach konkursu na asystenta sędziego. Zgodnie bowiem z art. 155a § 1 pusp konkurs na asystenta sędziego organizuje właściwy prezes sądu.

W określeniu administratora mogą nam pomóc również § 34 i 35 Regulaminu, gdzie zostały określone czynności odpowiednio prezesa i dyrektora sądu. Powinno to posłużyć jako wskazówka do określenia, kto jest administratorem danych przetwarzanych w związku z rozpoznawaniem skarg czy też udzielaniem informacji publicznej. Ustawodawca wskazał administratorów wyłącznie w zakresie danych dotyczących osób zajmujących poszczególne stanowiska oraz kandydatów na te stanowiska czy też danych przetwarzanych w postępowaniach sądowych. Ale już nie przedstawia, kto będzie administratorem danych kandydatów np. na biegłych sądowych. I w tym przypadku również powinno się szukać punktu wyjścia do określenia, kto jest administratorem w przepisach szczegółowych.

Wyznaczenie inspektora

Kolejna wątpliwość pojawia się w kwestii powołania inspektora. Zgodnie z art. 37 rodo administrator, zawsze gdy przetwarzania dokonuje organ lub podmiot publiczny, wyznacza IOD. Ten obowiązek nie dotyczy sądów. W przypadku gdy administratorem jest sąd, a dane przetwarzane są w zakresie sprawowania wymiaru sprawiedliwości – obowiązek wyznaczenia inspektora nie istnieje.

Powstaje jednak pytanie, czy obowiązek ten nie pojawia się również w sytuacji, w której administratorem jest sąd, ale dane przetwarzane są w ramach realizacji zadań z zakresu ochrony prawnej? Zgodnie z art. 1 § 2 i 3 pusp sądy sprawują wymiar sprawiedliwości oraz wykonują inne zadania z zakresu ochrony prawnej. Kluczowymi pojęciami są tu „wymiar sprawiedliwości” oraz „ochrona prawna”. Jako administratorów danych osobowych zarówno w jednym, jak i w drugim przypadku ustawodawca w art. 175db pusp wskazał sądy.

Skoro sąd nie jest zobowiązany do wyznaczenia IOD wyłącznie w zakresie sprawowania wymiaru sprawiedliwości, czy to oznacza, że nie jest zwolniony z tego obowiązku w przypadku, gdy przetwarza dane w ramach realizacji zadań z zakresu ochrony prawnej? Należy zauważyć, że zgodnie z art. 2 § 2 pusp sądy mogą wykonywać zadania z zakresu ochrony prawnej inne niż wymiar sprawiedliwości. Do zadań tych możemy zaliczyć np. postępowania rejestrowe, postępowanie mediacyjne, egzekucyjne czy wykonawcze. Czy zatem w tym przypadku obowiązek wyznaczenia inspektora istnieje, czy może jest to błędne tłumaczenie rodo, czy może niezamierzony brak spójności rodo z pusp?

 

[...]

 

Autorka jest IOD w Sądzie Okręgowym w Toruniu oraz w sądach rejonowych.

 


Pełna treść artykułu jest dostępna w papierowym wydaniu pisma.

Zapraszamy do składania zamówień na prenumeratę.


 

_____________________________________________________________________________________________________________________________________

Informacje o cookies © 2019 PRESSCOM Sp. z o.o.