Przepisy regulujące status IOD w sądach
W ujęciu chronologicznym pierwszym przepisem nakładającym obowiązek wyznaczenia przez sądy IOD jest art. 37 ust. 1 lit. a) rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzanie danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (dalej jako Rozporządzenie). Przywołana regulacja przewiduje, że administrator i podmiot przetwarzający wyznaczają IOD, zawsze gdy „przetwarzania dokonują organ lub podmiot publiczny, z wyjątkiem sądów w zakresie sprawowania przez nie wymiaru sprawiedliwości”. Unijny prawodawca w analizowanym przepisie wskazał zarówno na zasadę, jak i wyjątek w kontekście obowiązku powołania IOD w sądownictwie.
Zasadniczo sądy – jako podmioty publiczne w rozumieniu omawianego przepisu Rozporządzenia – są zobligowane do wyznaczenia IOD w zakresie działalności innej niż związana ze sprawowaniem wymiaru sprawiedliwości. Należy mieć na uwadze, że działalność sądów obejmuje szereg innych pól niż realizacja zadań z zakresu ochrony prawnej – wspomnieć należy chociażby o działalności administracyjnej, wykonywaniu obowiązków pracodawcy wobec zatrudnianego personelu czy funkcjonowaniu sądu w obrocie gospodarczym jako strony zobowiązań.
Z kolei wprowadzony wyjątek w postaci sprawowania wymiaru sprawiedliwości motywowany jest oczywistą potrzebą zagwarantowania sądom niezawisłości i niezależności w ramach orzekania.
Drugiej grupy przepisów normujących powołanie IOD w sądach należy doszukiwać się w ustawie z dnia 10 maja 2018 r. o ochronie danych osobowych (dalej jako uodo). Mniejsze znaczenie w tej materii ma art. 8 uodo, który należy rozpatrywać jako swego rodzaju superfluum wobec postanowień art. 37 Rozporządzenia. Dużo istotniejsza jest natomiast treść art. 9 uodo, który nakazuje interpretować pojęcie „organy i podmioty publiczne obowiązane do wyznaczenia inspektora, o których mowa w art. 37 ust. 1 lit. a) Rozporządzenia” m.in. jako jednostki sektora finansów publicznych. W myśl art. 9 pkt 1) ustawy z dnia 27 sierpnia 2009 r. o finansach publicznych „sektor finansów publicznych tworzą organy władzy publicznej (…) oraz sądy i trybunały”.
Wreszcie istotne z punktu widzenia wymiaru sprawiedliwości są regulacje ustawy z dnia 14 grudnia 2018 r. o ochronie danych osobowych przetwarzanych w związku z zapobieganiem i zwalczaniem przestępczości (dalej jako ustawa z dnia 14 grudnia 2018 r.). Wspomniana ustawa, która weszła w życie 6 lutego 2019 r., stanowi odrębną podstawę powołania IOD przez sądy, a także prokuratury oraz wskazane służby, straże i urzędy. Warto w tym miejscu wspomnieć, że dyrektywa Parlamentu Europejskiego i Rady (UE) 2016/680 w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych przez właściwe organy do celów zapobiegania przestępczości, prowadzenia postępowań przygotowawczych, wykrywania i ścigania czynów zabronionych i wykonywania kar, w sprawie swobodnego przepływu takich danych oraz uchylająca decyzję ramową Rady 2008/977/WSiSW, która jest wdrażana do polskiego porządku prawnego ustawą z dnia 14 grudnia 2018 r. daje państwom członkowskim możliwość zwolnienia sądów i innych niezawisłych organów sądowych z obowiązku powołania IOD.
Polski ustawodawca z tej możliwości nie skorzystał. Omawianą ustawą dokonano także nowelizacji przepisów ustawy z dnia 27 lipca 2001 r. – Prawo o ustroju sądów powszechnych, które doprecyzowują kto, w jakim zakresie i w odniesieniu do jakiego kręgu osób jest administratorem danych osobowych. Sytuacja ta jest o tyle szczególna, że w ramach jednej jednostki organizacyjnej administratorem może być: prezes sądu, dyrektor sądu oraz sąd. Każdy z tych podmiotów jest zobligowany do wyznaczenia IOD.
Czy w sądzie może funkcjonować kilku inspektorów ochrony danych?
Mając na uwadze mnogość regulacji normujących status IOD, zróżnicowany zakres zadań stawianych inspektorom oraz wielość administratorów w sądzie powstaje zagadnienie dopuszczalności i zasadności powołania kilku IOD w ramach jednej jednostki organizacyjnej. O ile brak jest podstaw do negowania samej możliwości wyznaczenia IOD przez każdego administratora, o tyle argumenty natury celowościowej i funkcjonalnej przemawiają za wyznaczeniem jednej (tej samej) osoby jako IOD dla sądu, prezesa sądu oraz dyrektora sądu. Podstawę normatywną wyznaczenia jednej osoby dla kilku administratorów można odnaleźć zarówno w Rozporządzeniu (art. 37 ust. 3), jak i ustawie z dnia 14 grudnia 2018 r. (art. 46 ust. 3).
W takim przypadku szczególnej uwagi wymaga jednakże wybór odpowiedniej osoby – kandydat do pełnienia funkcji IOD musi spełniać wymagania określone we wszystkich wskazanych wyżej przepisach. Zwłaszcza ustawa z dnia 14 grudnia 2018 r. przewiduje zaostrzone kryteria wyboru IOD – funkcję tę może sprawować osoba posiadająca pełną zdolność do czynności prawnych oraz korzystająca z pełni praw publicznych, która nie była skaza prawomocnym wyrokiem orzeczonym za przestępstwo lub przestępstwo skarbowe popełnione z winy umyślnej. Nie wystarczy zatem spełnienie przez potencjalnego IOD ogólnie zarysowanych wymagań, przewidzianych w art. 37 ust. 5 Rozporządzenia.
Polecamy: INFORLEX Ekspert
NOWOŚĆ na Infor.pl: Prenumerata elektroniczna Dziennika Gazety Prawnej KUP TERAZ!
Szczególne obowiązki inspektora ochrony danych w sądzie
Specyfika działalności sądu oraz wielopłaszczyznowość regulacji prawnych wiążą się także z szerszym niż w sektorze prywatnym zakresem zadań, działań i obowiązków IOD w jednostkach wymiaru sprawiedliwości. Poza zadaniami określonymi w art. 39 Rozporządzenia do kompetencji IOD w sądzie należą także czynności określone w art. 47 ustawy z dnia 14 grudnia 2018 r. Znacząca ich część pokrywa się z zadaniami wynikającymi z Rozporządzenia, niemniej jednak zwrócić trzeba uwagę m.in. na szczególny obowiązek sporządzenia i przekazywania administratorowi raz w roku sprawozdania z zakresu ochrony i sposobu przetwarzania danych osobowych.
Novum w odniesieniu do regulacji Rozporządzenia stanowi także przepis art. 11 ustawy z dnia 14 grudnia 2018 r. Na jego podstawie Prezes Urzędu Ochrony Danych może zwrócić się bezpośrednio do inspektora ochrony danych o przeprowadzenie sprawdzenia stosowania przepisów ustawy przez administratora, który go wyznaczył, wskazując zakres i termin tego sprawdzenia. Z przeprowadzonego sprawdzenia IOD jest zobowiązany (za pośrednictwem administratora) przedstawić organowi nadzorczemu stosowne sprawozdanie.
Notyfikacja o powołaniu IOD
Wyznaczenie IOD w sądzie wiąże się z obowiązkiem powiadomienia dwóch kategorii podmiotów. Przede wszystkim informacja o IOD oraz jego danych kontaktowych powinna zostać udostępniona osobom, których dane dotyczą. Odbywa się to poprzez zamieszczenie odpowiednich informacji na stronie internetowej, w Biuletynie Informacji Publicznej na stronie podmiotowej właściwego sądu lub w jego siedzibie.
Równie istotne jest zawiadomienie o wyznaczeniu IOD organu nadzorczego. Notyfikacja ta objęta jest szczególną procedurą, która przebiega dwutorowo, w zależności od tego, który administrator dokonuje zgłoszenia. Jeśli administratorem danych jest prezes sądu lub dyrektor sądu, zastosowanie znajduje ścieżka przewidziana w art. 10 ust. 6 uodo.
W przypadku wyznaczenia jednego inspektora przez organy lub podmioty publiczne każdy z tych podmiotów dokonuje zawiadomienia. W przypadku, gdy administratorem jest sąd, zgłoszenia dokonuje się w sposób określony w art. 46 ust. 9 ustawy z dnia 14 grudnia 2018 r. W tym wypadku „administrator zawiadamia Prezesa Urzędu o wyznaczeniu inspektora ochrony danych w terminie 14 dni od dnia wyznaczenia, wskazując imię, nazwisko, adres poczty elektronicznej lub numer telefonu inspektora ochrony danych. Zawiadomienie sporządza się w postaci elektronicznej i opatruje kwalifikowanym podpisem elektronicznym albo podpisem zaufanym (…)”. W obydwu przypadkach dostępne są odpowiednie formularze zgłoszenia.
Adam Szkurłat, adwokat