Ochrona danych osobowych w sądach powszechnych – wybrane zagadnienia.


Od 25 maja 2018 r. zasady przetwarzania danych osobowych w Rzeczypospolitej Polskiej reguluje rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (Dz.U.UE.L. z 2016 r., Nr 119. s. 1) – określane dalej skrótem „RODO”. Regulacje uzupełniające zawiera ustawa z dnia 10 maja 2018 r. o ochronie danych osobowych (Dz. U. poz. 1000).
Określone w nich zasady przetwarzania danych osobowych znajdują zastosowanie także do sądów powszechnych, przy czym dotyczy ono dwóch obszarów działalności sądów:

  1. sprawowania wymiaru sprawiedliwości,
  2. obszaru działalności pozaorzeczniczej.

Na mocy RODO Sąd Rejonowy w Wołominie jest zobowiązany zachować właściwą ochronę danych osobowych osób fizycznych przetwarzanych przez komórki organizacyjne Sądu. Jednak w zakresie sprawowanego przez sąd wymiaru sprawiedliwości niektóre regulacje RODO, w tym w zakresie informacyjnym, z mocy art. 23 ust. 1 i art. 9 ust. 2 RODO w zw. z art. 3 - 6 ustawy o ochronie danych osobowych, zostały wyłączone, a w ich miejsce obowiązują procedury określone w ustawie – Prawo o ustroju sądów powszechnych i przepisach podustawowych, a także procedury zawarte w przepisach szczegółowych m.in. kodeks postępowania cywilnego, kodeks postępowania karnego itp. Chodzi w szczególności o przetwarzanie danych stron postępowania sądowego, w tym uczestników będących osobami fizycznymi, na potrzeby postępowania sądowego oraz dostęp do akt sprawy. Przetwarzanie to odbywa się celu realizacji obowiązków prawnych i w zakresie, w jakim związane jest ze sprawowaniem wymiaru sprawiedliwości, nie podlega nadzorowi organu nadzorczego (Prezesa Urzędu Ochrony Danych Osobowych).
W pozostałych obszarach działania Sądu, niedotyczących sprawowanego wymiaru sprawiedliwości, przepisy RODO obowiązują w pełnym zakresie.
Przepisy europejskiego rozporządzenia o ochronie danych osobowych nakładają szereg nowych wymagań oraz obowiązków na administratorów danych osobowych, a w szczególności:

  • nowe podejście do ochrony danych osobowych – RODO nie określa niezbędnych warunków organizacyjnych i technicznych służących przetwarzaniu danych osobowych (jest technologicznie neutralne). Administratorzy danych zyskali więc swobodę w określaniu tych warunków, jednakże przy uwzględnieniu konieczności zapewnienia adekwatnego poziomu zabezpieczeń - nie przestała bowiem obowiązywać potrzeba zgodnego z przepisami przetwarzania danych osobowych i ich skutecznego zabezpieczania przed przypadkowym lub niezgodnym z prawem utraceniem, zniszczeniem, modyfikacją, nieuprawnionym dostępem, przetwarzaniem lub ujawnieniem;
  • w nowym ujęciu ochrona danych osobowych oparta jest o analizę ryzyka uwzględniającą charakter, zakres, kontekst i cele przetwarzania oraz związane z tym przetwarzaniem ryzyko naruszenia praw i wolności osób fizycznych. Na tej podstawie każdy administrator rozpoczynając lub kontynuując przetwarzanie, samodzielnie decyduje o rodzaju i zakresie wdrażanych procedur i technicznych rozwiązań obiegu informacji oraz o rodzaju wybranych zabezpieczeń. Przyjęta konstrukcja prawna gwarantuje zawsze aktualne dopasowanie stosowanych zabezpieczeń danych osobowych do bieżącego rozwoju technologii oraz dopasowanie do odrębnej specyfiki przetwarzania danych np. w różnych obszarach działalności gospodarczej;
  • zgodnie z RODO, każda czynność związana z przetwarzaniem danych osobowych z założenia ma być dla tych danych bezpieczna. Począwszy od planowania nowych usług lub działań, a także w trakcie ich realizacji - konieczna jest dbałość o przestrzeganie zasad wynikających z nowych przepisów prawa (takie podejście nazywane jest privacy by design);
  • jeżeli w procesie przetwarzania danych osobowych są wykorzystywane narzędzia teleinformatyczne to ich podstawowe (domyślne) ustawienia muszą być z założenia ustawieniami zapewniającymi bezpieczeństwo przetwarzanych informacji. Realizuje się to nie tylko poprzez wprowadzanie skomplikowanych haseł i szyfrowanie danych, ale także poprzez konfigurację urządzeń i programów tak, aby możliwe było przetwarzanie przy ich użyciu tylko niezbędnego i zgodnego z celem zakresu danych (taki sposób korzystania z narzędzi IT jest spełnieniem zasady privacy by default);
  • podejście oparte na ryzyku stanowi uzasadnienie dla zaprojektowanych i wprowadzanych w życie środków organizacyjnych i technicznych zapewniających zgodność z RODO. Udokumentowanie tego procesu spełnia zasadę rozliczalności zawartą w nowych przepisach. Zasada ta wymaga, aby każdy administrator danych mógł udowodnić, że spełnia wymagania RODO;
  • kolejną grupą zmian w RODO jest obszerny katalog uprawnień dla osób wobec swoich danych osobowych. Poza dotychczas obowiązującymi uprawnieniami, od wejścia w życie RODO osoby fizyczne mają prawo do przenoszenia swoich danych. W przypadku przetwarzania danych w sposób zautomatyzowany na podstawie umowy lub zgody, ich właściciel ma prawo do otrzymania tych danych w ustrukturyzowanym formacie nadającym się do odczytu maszynowego. Może także zażądać przekazania tych danych innemu administratorowi;
  • nowym uprawnieniem jest także tzw. prawo do bycia zapomnianym (faktycznie: prawo do usunięcia danych). Właściciele danych w określonych przypadkach mogą zażądać od administratora niezwłocznego usunięcia swoich danych osobowych. Prawo to ma zastosowanie, gdy właściciel cofnie zgodę na przetwarzanie danych lub znajdzie się szczególnej sytuacji uzasadniającej skorzystanie z tego uprawnienia. Innym uzasadnieniem do skorzystania z prawa do bycia zapomnianym mogą być sytuacje, gdy przetwarzanie będzie niezgodne z prawem lub cel przetwarzania danych zostanie osiągnięty;
  • modyfikacji uległa forma prawna wyrażenia zgody na przetwarzanie danych osobowych. Od wejścia w życie RODO taką zgodę stanowi dobrowolne, konkretne, świadome i jednoznaczne okazanie woli w formie oświadczenia woli lub działania przyzwalającego do przetwarzania danych;
  • zmiany wynikające z wejścia w życie RODO dotknęły także sfery samej dokumentacji przetwarzania danych osobowych w organizacji. Ich skutkiem jest koniec obowiązku prowadzenia polityki bezpieczeństwa informacji i instrukcji zarządzania systemem informatycznym, a także związanych z nimi rejestrów i ewidencji. Oczywiście nie oznacza to, że organizacje nie będą prowadziły żadnych dokumentacji związanych z ochroną danych osobowych. Wymaga tego chociażby konieczność spełnienia wspomnianej już zasady rozliczalności, czy choćby zasada tzw. dobrych praktyk, na mocy której dotychczas obowiązująca, niejednokrotnie kompletna dokumentacja przetwarzania danych osobowych w organizacji może stanowić fundament nowej sprawnej, efektywnej ochrony danych w zakresie wymagań RODO;
  • dokumenty związane z analizą ryzyka, oceną skutków przetwarzania i jej bieżącą oceną, a także wprost wymienione w RODO dokumentacje naruszeń bezpieczeństwa stanowią podstawę do uzasadnienia przyjętych na potrzeby ochrony danych osobowych rozwiązań organizacyjnych i technicznych;
  • rozporządzenie (RODO) nakłada na większość administratorów obowiązek prowadzenia rejestru czynności przetwarzania danych osobowych. Zakres zawartych w nim informacji jest zbliżony do zakresu prowadzonego rejestru zbiorów danych osobowych. Rejestr czynności zawiera: dane o administratorze i współadministratorach, celu przetwarzania, opis kategorii osób, których dane dotyczą, oraz kategorii danych osobowych, kategorii odbiorców, którym dane były lub będą ujawniane, informacji o przekazywaniu danych do państwa trzeciego, a także - jeżeli to możliwe - opis technicznych i organizacyjnych środków bezpieczeństwa oraz wskazanie, jeśli to możliwe, planowanego terminu zakończenia przetwarzania;
  • kolejnym obowiązkiem wszystkich administratorów jest konieczność informowania organu nadzorczego o naruszeniach ochrony danych. Oznacza to, że zawsze gdy w organizacji dojdzie do naruszenia bezpieczeństwa będącego przypadkowym lub niezgodnym z prawem: utraceniem, ujawnieniem, zniszczeniem, dostępem lub zmodyfikowaniem danych będzie trzeba o tym fakcie poinformować organ nadzorczy. Natomiast w przypadku, gdy incydent będzie zagrażał prawom i wolnościom właścicieli danych, konieczne będzie także poinformowanie ich o możliwych zagrożeniach związanych z danym incydentem;
  • rozszerzone zostały także zasady powierzania danych osobowych. Czynności tej można dokonać na podstawie umowy powierzenia danych lub innego instrumentu prawnego. Nałożono także obowiązek na administratora danych osobowych, aby powierzał przetwarzanie danych jedynie takim podmiotom, które zapewniają spełnienie wszystkich wymagań RODO