Sądy też mają chronić dane, ale orzecznicze trochę inaczej

Od 25 maja br. w całej Unii Europejskiej obowiązywać będzie Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z 27 kwietnia 2016 r (RODO). Jego uzupełnieniem ma być krajowa ustawa o ochronie danych osobowych, której projekt przyjął w miniony wtorek rząd. Według założeń autorów, ma ona być uchwalona przed 25 maja.

Jednak, jak podkreśla generalny inspektor ochrony danych osobowych dr Edyta Bielak-Jomaa, nawet gdyby ustawa nie została uchwalona na czas, to rozporządzenie i tak obowiązywać będzie wprost. I dodaje, że instytucje publiczne, w tym także sądy, jako podmioty o szczególnym znaczeniu z punktu widzenia funkcjonowania państwa, ale także z punktu widzenia praw obywateli, muszą wejście w życie nowych regulacji potraktować szczególnie poważnie. - Ci administratorzy muszą mieć świadomość odpowiedzialności za prawidłowe przetwarzanie danych osobowych, którymi dysponują - podkreśla GIODO.

Sądy przygotowują się do nowego prawa
Z informacji zebranych w sądach wynika, że jest w nich świadomość tej odpowiedzialności i wyzwań związanych z wejściem w życie nowych przepisów. Jak informuje Dariusz Rzepczyński, administrator bezpieczeństwa informacji w Sądzie Okręgowym Warszawa-Praga, obecnie jest tam prowadzony przegląd dokumentacji w zakresie ochrony danych osobowych i przygotowywana jest aktualizacja dokumentacji uwzględniająca regulacje RODO. - Prowadzony jest również przegląd środków technicznych i organizacyjnych, aby zapewnić stopień bezpieczeństwa ochrony danych odpowiadający temu ryzyku, z uwzględnieniem oceny skutków dla ochrony danych. Trwa dostosowywanie systemu IT do wymogów art. 32 RODO, ponieważ w ubiegłym roku zostało zakupione specjalistyczne oprogramowanie zabezpieczające oraz rozszerzono usługi ochrony IT - mówi.

Także w Sądzie Okręgowym w Olsztynie prowadzona jest obecnie inwentaryzacja przetwarzanych danych osobowych, podstaw prawnych ich przetwarzania, a także celów i zakresów odbiorców danych. - Sprawdzone zostaną też zakresy uprawnień pracowników do pracy w systemach informatycznych, a także uaktualnimy polityki ochrony danych uwzględniające bezpieczeństwo danych osobowych oraz prawa i wolności ich podmiotów - mówi Danuta Hryniewicz, prezes olsztyńskiego Sądu Okręgowego. I dodaje, że w sądzie przeprowadzona zostanie analiza skutków przetwarzania danych oraz oszacowane zostanie ryzyko popełnienia błędów w tej dziedzinie. A jakiś czas po wejściu nowych przepisów w życie zaplanowany jest audyt wewnętrzny w zakresie ich wdrożenia w sądzie.

Konieczność podjęcia w sądach szczególnych działań w tym zakresie potwierdza adwokat Paweł Litwiński z kancelarii Barta Litwiński. - Zasada podejścia opartego na ryzyku wyznaczająca zakres stosowanych środków zabezpieczenia danych zadziała w ten sposób, że zakres danych przetwarzanych w sądach – dane dotyczące skazań, dane o stanie zdrowia, preferencjach seksualnych itp. – wymusi stosowanie zwiększonych środków zabezpieczenia danych. Z dużym prawdopodobieństwem trzeba będzie też przeprowadzić ocenę skutków dla ochrony danych - mówi.

Także adwokat Przemysław Kucharski, partner zarządzający w kancelarii Kucharski & Partners, wskazuje, że RODO ma zastosowanie między innymi do działań sądów i innych organów wymiaru sprawiedliwości, ale z zastrzeżeniem, że właściwość organów nadzorujących ochronę danych osobowych nie powinna dotyczyć przetwarzania danych przez sądy w ramach sprawowania wymiaru sprawiedliwości – tak, by chronić niezawisłość sprawowania wymiaru sprawiedliwości.

Maciej Kawecki, dyrektor Departamentu Zarządzania Danymi w Ministerstwie Cyfryzacji mówi, że przyszły organ nadzorczy nie będzie mógł sprawować kontroli nad tak przetwarzanymi danymi. I stwierdza, że projektowana ustawa wprowadzająca ustawę o ochronie danych osobowych będzie zawierała odrębny mechanizm nadzoru nad przetwarzaniem danych osobowych w sądach.
Więcej>>

Dane procesowe traktowane inaczej
RODO ogranicza obowiązki w zakresie ochrony danych osobowych dla sądów w zakresie sprawowania przez nie wymiaru sprawiedliwości. - Zatem w przypadku Polski wyłączenie obejmuje Sąd Najwyższy, sądy powszechne, administracyjne i wojskowe w zakresie, w jakim sprawują one wymiar sprawiedliwości - mówi adw. Kucharski. - A jak dodaje adw. Litwiński, obowiązek ten jednak w stosunku do sądów został ograniczony w ten sposób (art. 37 ust. 1 pkt a) RODO), że sądy np. mają obowiązek powołania inspektora ochrony danych we wszystkich sprawach, z wyjątkiem zakresu przetwarzania danych wiązanego ze sprawowania przez nie wymiaru sprawiedliwości.

Inspektor potrzebny, ale nie do wszystkich danych
Prawnicy komentujący nowe unijne i projektowane polskie przepisy są zgodni co do tego, że w sądach konieczne będzie powołanie inpektorów ochrony danych osobowych. Zastąpią oni działających obecnie administratorów bezpieczeństwa informacji, chociaż zakres uprawnień i obowiązków inspektorów będzie trochę inny.
W artykule 10 projektu ustawy o ochronie danych osobowych przyjęto, że przez organy i podmioty publiczne obowiązane do wyznaczenia inspektora ochrony danych rozumie się m.in. jednostki sektora finansów publicznych, o których mowa w art. 9 ustawy z 27 sierpnia 2009 r. o finansach publicznych, czyli również sądy i trybunały.

Zdaniem Dariusza Rzepczyńskiego z Sądu Okręgowego Warszawa-Praga, sprawa nie jest jeszcze w pełni jasna, ponieważ nie ma jeszcze nowej ustawy o ochronie danych osobowych. Przyznaje on jednak, że projekt tej ustawy w art. 60 przewiduje, że sądy będą zobowiązane do wyznaczenia inspektora ochrony danych osobowych. - Sądy są podmiotami publicznymi, a podmioty publiczne mają prawny obowiązek powołania inspektora ochrony danych osobowych. Stanowi o tym artykuł 37 RODO, czyli w sądzie powinien być powołany inspektor, ale zakresem jego kompetencji nie może być objęte przetwarzanie danych osobowych związane ze sprawowaniem wymiaru sprawiedliwości - stwierdza adw. Paweł Litwiński. A adw. Kucharski doprecyzowuje, że ten przepis rozporządzenia nie obejmuje wszystkich obszarów działalności sądów, a jedynie obszary dotyczące sprawowania przez sądy wymiaru sprawiedliwości. - Sądy mają zatem obowiązek wyznaczać inspektorów ochrony danych, przy czym spod zakresu ich zadań będą wyłączone operacje przetwarzania danych ściśle mieszczące się w ramach czynności orzeczniczych - mówi.

Prezes Sądu Okręgowego w Olsztynie nie ma wątpliwości, że trzeba powołać inspektora. - W naszym sądzie zostanie wyznaczony inspektor ochrony danych, który będzie podlegał bezpośrednio kierownictwu jednostki - mówi prezes Danuta Hryniewicz. I dodaje, że pracownik ten zostanie włączony do udziału we wszystkich sprawach związanych z przetwarzaniem danych osobowych.
- Należy przyjąć, że sądy mają obowiązek wyznaczania inspektora ochrony danych osobowych na takich samych zasadach jak inne organy lub podmioty publiczne, jednak z zakresu ich kompetencji wyłączone będą operacje przetwarzania danych związanych z czynnościami orzeczniczymi sądów. Mamy tu zatem do czynienia z przedmiotowym (zakresowym) wyłączeniem obowiązku wyznaczania inspektora przez sądy, a nie podmiotowym zwolnieniem sądów z tego obowiązku - wyjaśnia Przemysław Kucharski.

Sprawy orzecznicze i organizacyjne
O ile traktowanie sądu jako organu publicznego, który też ma obowiązek chronić dane osobowe, nie budzi wątpliwości ekspertów, to pojawiają się one przy wyłączeniu obowiązku wyznaczenia inspektora ochrony danych w zakresie sprawowania przez sądy wymiaru sprawiedliwości. - Od strony podmiotowej sądy przetwarzają nie tylko dane związane z ich funkcją jurysdykcyjną, ale również z działalnością organizacyjną. Wyłączenie z art. 37 ust. 1 lit. a rozporządzenia RODO nie obejmuje zatem wszystkich obszarów działalności sądów, a jedynie obszary dotyczące sprawowania przez sądy wymiaru sprawiedliwości. Sądy mają zatem obowiązek wyznaczać inspektorów ochrony danych, przy czym spod zakresu zadań inspektorów będą wyłączone operacje przetwarzania danych ściśle mieszczące się w ramach czynności orzeczniczych - wyjaśnia adwokat Przemysław Kucharski.

Zrozumienie dla tego rozróżnienia deklaruje Dariusz Rzepczyński, obecnie administrator bezpieczeństwa informacji, a w przyszłości być może inspektor ochrony danych osobowych w Sądzie Okręgowym Warszawa-Praga. Jak mówi, przepisy określają także sposób zabezpieczenia danych przetwarzanych w sądach i sądy mają ograniczone możliwości w tym zakresie. Przy okazji dodaje, że w przypadku Sądu Okręgowego Warszawa-Praga, w związku z budową nowej siedziby przy ul. Poligonowej 3, uwzględniono na etapie projektu i budowy przepisy RODO. - W przypadku dotychczasowej siedziby przy al. „Solidarności” 127 wymagałoby to znacznych nakładów finansowych - dodaje.
...........................

Zagadnienia dotyczące RODO w sektorze publicznym, a przede wszystkim w sądach i prokuraturach będą przedmiotem dwóch bezpłatnych szkoleń online, organizowanych przez Wolters Kluwer Polska w dniach 18 i 19 kwietnia o godz. 12.00:

- Wdrożenie RODO w sądach i prokuraturach - 18 kwietnia, godz. 12.00,

- Sąd i prokuratura jako administrator danych osobowych - 19 kwietnia, godz. 12.00.