Czy wystarczy jeden IOD w sądzie powszechnym

Jak wynika z art. art. 175a § 1 i art. 175db Prawa o ustroju sądów powszechnych, mamy do czynienia z odrębnymi administratorami danych, którymi są prezes sądu, dyrektor sądu i sąd. Prezesi i dyrektorzy właściwych sądów – każdy w zakresie realizowanych zadań – są administratorami danych osobowych:

• sędziów i sędziów w stanie spoczynku oraz asesorów sądowych,
• referendarzy sądowych, asystentów sędziów, dyrektorów sądów oraz ich zastępców, kuratorów sądowych, aplikantów aplikacji sądowej, aplikantów kuratorskich, urzędników oraz innych pracowników sądów,
• kandydatów na stanowiska wymienione powyżej.
• biegłych sądowych, lekarzy sądowych, mediatorów oraz ławników,

Z kolei sądy są administratorami danych osobowych przetwarzanych w postępowaniach sądowych w ramach sprawowania wymiaru sprawiedliwości albo realizacji zadań z zakresu ochrony prawnej. Co więcej sądy są administratorami innych danych osobowych, wobec których ustalają cele i sposoby przetwarzania (np. gromadzonych w związku 
z zawieraniem przez sąd umów cywilnoprawnych).

Każdy z wyżej administratorów (prezesi i dyrektorzy właściwych sądów oraz sądy) ma obowiązek wyznaczenia IOD. W praktyce jednak zdaniem Prezes UODO dopuszczalne jest wyznaczenie do pełnienia funkcji IOD tej samej osoby – przez wszystkich wskazanych administratorów. Wszak możliwość wyznaczenia tej samej osoby dla kilku podmiotów publicznych przewiduje art. 37 ust. 3 RODO oraz art. 46 ust. 3 ustawy o ochronie danych osobowych przetwarzanych w związku z zapobieganiem i zwalczaniem przestępczości.

Niemniej jednak należy mieć na względzie, że inspektor obsługujący trzech administratorów musi realizować zadania zarówno na podstawie RODO, jak i na podstawie ustawy z 14 grudnia 2018 r. o ochronie danych osobowych przetwarzanych w związku z zapobieganiem i zwalczaniem przestępczości. Tymczasem wskazane akty prawne przewidują pewne odrębności w zakresie zadań inspektorów. Przykładowo do zadań IOD wynikających z ustawy z  14 grudnia 2018 r. należy przeprowadzanie na zlecenie Prezesa UODO sprawdzeń stosowania przepisów tej ustawy przez administratora.

Poza tym z uwagi na ochronę niezawisłości sędziowskiej inspektor ochrony danych nie może zajmować się operacjami przetwarzania danych mieszczącymi się w czynnościach orzeczniczych. Natomiast w zakresie całej pozostałej działalności sądu związanej z przetwarzaniem danych (m.in. realizowania uprawnień osób, których dane dotyczą, prowadzenia rejestrów i wykazów czynności przetwarzania, właściwego zabezpieczania danych osobowych, zgłaszania naruszeń ochrony danych) IOD powinien wspierać kierownictwo i pracowników sądu.

Należy też zwrócić uwagę na różnice w wymogach pełnienia funkcji IOD na podstawie poszczególnych aktów prawnych. Otóż IOD pełniący funkcję zarówno na podstawie RODO, aby jednocześnie pełnić funkcje na podstawie ustawy z 14 grudnia 2018 r., powinien legitymować się pełną zdolnością  do czynności prawnych oraz korzystać z pełni praw publicznych, a także nie być skazanym prawomocnym wyrokiem orzeczonym za przestępstwo lub przestępstwo skarbowe popełnione umyślnie.

Administratorzy, którzy wyznaczyli IOD powinni poinformować o tym fakcie, jak również o zakresie i podstawach jego działania (nie tylko RODO ale też ustawa z 14 grudnia 2018 r.) wszystkie osoby przetwarzające dane osobowe w sądzie, jak i podmioty danych, a także organ nadzorczy. Zarówno art. 11 ustawy o ochronie danych osobowych, jak i art. 46 ust. 11 ustawy z  14 grudnia 2018 r. obligują administratorów do udostępnienia imienia i nazwiska, a także adresu poczty elektronicznej lub numeru telefonu inspektora na swojej stronie internetowej.