Przetwarzanie danych osobowych przez sądy

11.11.2022

Zgłaszanie naruszeń ochrony danych osobowych przez sądy

UODO przygotował publikację „Przetwarzanie danych osobowych przez sądy w kontekście zgłaszania naruszeń ochrony danych osobowych”, która stanowi odpowiedź na pytanie, czy Prezes UODO jest organem właściwym do przyjmowania zgłoszeń naruszeń ochrony danych osobowych oraz prowadzenia kontroli w przypadku sądów – i w jakim ewentualnie zakresie. W artykule przedstawiono najważniejsze informacje z tej publikacji.

Organy nadzorcze nie są właściwe do nadzorowania operacji przetwarzania, dokonywanych przez sądy, w ramach sprawowania przez nie wymiaru sprawiedliwości – tak stanowi RODO w swoim art. 55. A motyw 20 RODO wskazuje, że właściwość organów nadzorczych nie powinna dotyczyć przetwarzania danych osobowych przez sądy w ramach sprawowania wymiaru sprawiedliwości – tak, by chronić niezawisłość sprawowania wymiaru sprawiedliwości. Rozporządzenie dopuszcza jednak możliwość doprecyzowania przez prawo państwa członkowskiego operacji i procedur przetwarzania danych osobowych przez sądy i inne organy wymiaru sprawiedliwości.

Polski ustawodawca skorzystał z takiej możliwości w ustawie – Prawo ustroju sądów powszechnych. W art. 175db tej ustawy określił, że administratorami danych osobowych przetwarzanych w postępowaniach sądowych w ramach sprawowania wymiaru sprawiedliwości albo realizacji zadań z zakresu ochrony prawnej są sądy.

W przepisach Prawa o ustroju sądów powszechnych nie zostało jednak wprost wskazane, że organy te są również uprawnione do przyjmowania zgłoszeń naruszeń ochrony danych osobowych. W takiej sytuacji należy przyjąć, że co do zasady RODO ma zastosowanie do działań sądów i innych organów wymiaru sprawiedliwości w zakresie zgłaszania naruszeń ochrony danych osobowych, o których mowa w art. 33 RODO. Dlatego też administrator (np. sąd) w każdym przypadku wystąpienia jakiegokolwiek incydentu jest zobowiązany do dokonania oceny, czy konkretny incydent stanowi naruszenie ochrony danych osobowych, a jeżeli tak, to czy naruszenie dotyczyło przetwarzania danych przez sądy w ramach sprawowania wymiaru sprawiedliwości, czy też nie.

Biorąc pod uwagę wątpliwości zgłaszane do organu nadzorczego w tej sprawie, UODO przygotował specjalny poradnik, w którym zaprezentowano pomocne informacje przy ocenie sytuacji związanych z przetwarzaniem danych osobowych przez sądy, z punktu widzenia uznania ich za naruszenie ochrony danych osobowych, wymagające zgłoszenia organowi nadzorczemu. Publikacja ta przyczyni się do zapewnienia spójnego stosowania RODO w zakresie przetwarzania dokonywanego przez sądy.

Przetwarzanie danych osobowych przez sądy w kontekście zgłaszania naruszeń ochrony danych osobowych oraz kontroli w świetle regulacji unijnych i krajowych - problemy praktyczne

Wejście w życie rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) (Dz.Urz. UE L 119 z 4.05.2016, str. 1 oraz Dz. Urz. UE L 119 z 4.05.2016, str. 1, Dz. Urz. UE L 127 z 23.05.2018, str. 2 oraz Dz. Urz. UE L 74 z 4.03.2021, str. 35) zwanego dalej: rozporządzeniem 2016/679, wiązało się z wieloma zmianami, które musiały zostać wprowadzone w systemach prawnych państw członkowskich. Celem tych modyfikacji na poziomie prawa krajowego było ujednolicenie regulacji dotyczących ochrony danych osobowych, umożliwienie sprawnego stosowania przepisów ww. rozporządzenia w sposób bezpośredni oraz implementacja Dyrektywy Parlamentu Europejskiego i Rady (UE) 2016/680 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych przez właściwe organy do celów zapobiegania przestępczości, prowadzenia postępowań przygotowawczych, wykrywania i ścigania czynów zabronionych i wykonywania kar, w sprawie swobodnego przepływu takich danych oraz uchylająca decyzję ramową Rady 2008/977/WSiSW zwanej dalej dyrektywą 2016/680. Jak większość zmian dotyczących wielu państw o odmiennych systemach prawnych, różnorodnych tradycjach oraz modelach władzy, również ta wiązała się z rozmaitymi problemami praktycznymi.

Pojawiły się wątpliwości, które wiązały się między innymi z praktycznymi aspektami sprawowania nadzoru nad przetwarzaniem danych osobowych przez sądy, czy Prezes UODO jest organem właściwym do przyjmowania zgłoszeń naruszeń ochrony danych osobowych oraz prowadzenia kontroli w przypadku sądów.

Z biegiem czasu część wątpliwości udało się wyeliminować poprzez konsekwentne zmiany przepisów lub dzięki stosowaniu metod wykładni prawa zapewniających jak najpełniejsze oddanie celów obowiązywania przepisów unijnych.

Przy zastosowaniu zasady interpretacji prawa krajowego w zgodzie z prawem unijnym oraz kierując się zasadami wykładni celowościowej, a także biorąc pod uwagę całokształt obowiązujących w tym zakresie przepisów, można osiągnąć spójną koncepcję dotyczącą zasad sprawowania nadzoru nad sądami jako administratorami danych osobowych oraz wyjaśnić wątpliwości interpretacyjne.

Nadzór nad przetwarzaniem danych osobowych przez sądy

Przepisy dotyczące nadzoru nad przetwarzaniem danych osobowych przez sądy oraz wyjaśnienie pojęć niezbędne w procesie interpretacji tych przepisów

Odnoszenie się do powyższych wątpliwości dotyczących organu właściwego do przyjmowania zgłoszeń naruszeń ochrony danych osobowych dokonywanych przez sądy oraz do kontrolowania przestrzegania przez nie właściwych przepisów dotyczących ochrony danych, należy rozpocząć od przywołania stosownych przepisów obowiązujących w tym zakresie. I tak motyw 20 rozporządzenia 2016/679 stanowi, że niniejsze rozporządzenie ma zastosowanie między innymi do działań sądów i innych organów wymiaru sprawiedliwości, niemniej prawo Unii lub prawo państwa członkowskiego może doprecyzować operacje i procedury przetwarzania danych osobowych przez sądy i inne organy wymiaru sprawiedliwości. Właściwość organów nadzorczych nie powinna dotyczyć przetwarzania danych osobowych przez sądy w ramach sprawowania wymiaru sprawiedliwości - tak by chronić niezawisłość sprawowania wymiaru sprawiedliwości. Powinna istnieć możliwość powierzenia nadzoru nad takimi operacjami przetwarzania danych specjalnym organom w systemie wymiaru sprawiedliwości państwa członkowskiego, organy te powinny w szczególności zapewnić przestrzeganie przepisów niniejszego rozporządzenia, zwiększać w wymiarze sprawiedliwości wiedzę o jego obowiązkach wynikających z niniejszego rozporządzenia oraz rozpatrywać skargi związane z takim operacjami przetwarzania danych.

W sposób spójny z powyższym została ujęta kwestia nadzoru nad przetwarzaniem danych osobowych przez sądy w motywie 80 dyrektywy 2016/680, zgodnie z którym dyrektywa ta „ma zastosowanie także do działalności sądów krajowych i innych organów wymiaru sprawiedliwości, niemniej właściwość organów nadzorczych nie powinna obejmować przetwarzania danych osobowych przez sądy w ramach sprawowania wymiaru sprawiedliwości, tak by chronić niezawisłość sędziów w wykonywaniu ich zadań sądowych.

Wyjątek ten należy ograniczyć do czynności sądowych w sprawach sądowych i nie powinien on mieć zastosowania do innych czynności, w których sędziowie mogą brać udział zgodnie z prawem państwa członkowskiego. Państwa członkowskie powinny mieć również możliwość przyjęcia, że właściwość organu nadzorczego nie obejmuje przetwarzania danych osobowych przez inne niezależne organy wymiaru sprawiedliwości w toku sprawowania przez nie wymiaru sprawiedliwości, przykładowo przez prokuraturę. Niemniej przestrzeganie przepisów niniejszej dyrektywy przez sądy i inne niezależne organy wymiaru sprawiedliwości zawsze podlega niezależnej kontroli zgodnie z art. 8 ust. 3 Karty”. Ponownie prawodawca unijny podkreślił tu, iż niezawisłość sędziowska jest jedną z podstawowych wartości, której ochrona uzasadnia nawet powołanie odrębnych organów nadzoru właściwych w zakresie przetwarzania danych osobowych przez sądy w ramach wymiaru sprawiedliwości.

Interpretowanie znaczenia powyżej wskazanego fragmentu tekstu rozporządzenia oraz motywu 80 dyrektywy 2016/680 należy rozpocząć od wyjaśnienia, czym jest wymiar sprawiedliwości. Warto tu przede wszystkim przywołać wyrok Trybunału Konstytucyjnego wydany dnia 1 grudnia 2008 roku (sygn. P 54/07): „Zgodnie z dominującym poglądem doktryny prawa wymiar sprawiedliwości stanowi działalność państwa polegającą na sądzeniu, czyli wiążącym rozstrzyganiu sporów o prawo, w których przynajmniej jedną ze stron jest jednostka lub inny podmiot podobny (zob. L. Garlicki, Polskie prawo konstytucyjne. Zarys wykładu, Warszawa 2006, s. 342; Z. Czeszejko-Sochacki, O wymiarze sprawiedliwości w świetle Konstytucji, międzynarodowych standardów i praktyki, „Państwo i Prawo” z. 9/1999, s. 3; S. Włodyka, Ustrój organów ochrony prawnej, Warszawa 1968, s. 16). Tak rozumiany wymiar sprawiedliwości sprawują Sąd Najwyższy, sądy powszechne, sądy administracyjnego oraz sądy wojskowe (art. 175 ust. 1 Konstytucji).

Monopol sądów w sprawowaniu wymiaru sprawiedliwości rodzi konieczność zagwarantowania sądowego rozstrzygnięcia każdej sprawy, której przedmiotem jest spór o prawo, zaś stroną sporu jest jednostka lub inny podmiot podobny”.

Trudno jest jednoznacznie wskazać, czym jest wymiar sprawiedliwości, stąd podawane są różne jego definicje (np. za: www.encyklopedia.pwn.pl - przez wymiar sprawiedliwości, rozumie się „działalność państwa, realizowaną przez niezawisłe sądy, które w formie procesowej rozstrzygają konflikty prawne”). Dlatego za punkt wyjścia powinno się przyjąć przywołany w wyżej cytowanym wyroku Trybunału Konstytucyjnego artykuł 175 ust. 1 Konstytucji Rzeczypospolitej Polskiej z dnia 2 kwietnia 1997 r., zgodnie z którym wymiar sprawiedliwości w Rzeczypospolitej Polskiej sprawują Sąd Najwyższy, sądy powszechne, sądy administracyjne oraz sądy wojskowe. Treść ustawy zasadniczej, mającej najwyższą moc prawną w systemie źródeł prawa w Polsce, przesądza nam, że motyw 20 rozporządzenia 2016/679 oraz motyw 80 dyrektywy 2016/680 mają zastosowanie jedynie wobec sądów i trybunałów, gdyż tylko one, zgodnie z art. 10 ust. 2 Konstytucji Rzeczypospolitej Polskiej, sprawują na terytorium Polski władzę sądowniczą.

W obu wyżej przytoczonych motywach pojawia się również pojęcie niezawisłości. „Niezawisłość organów wymiaru sprawiedliwości (niezawisłość sędziowska) jest jedną z głównych konstytucyjnych cech odróżniających je od innych organów orzekających państwowo i społecznie” (www.encyklopedia.pwn.pl). Niemożność ingerowania w wykonywanie władzy sądowniczej często podkreślana jest w orzecznictwie krajowym.

I tak Trybunał Konstytucyjny w wyroku z dnia 15 stycznia 2009 roku (sygn. K 45/07) stwierdził (odnosząc się również do pojęcia wymiaru sprawiedliwości), że: „Skoro władza sądownicza może być wykonywana wyłącznie przez sądy, to pozostałe władze nie mogą ingerować w jej działania lub w niej uczestniczyć (zob. wyrok TK z 19 lipca 2005 r., sygn. K 28/04, OTK ZU nr 7/A/2005, poz. 81). W wypadku władzy sądowniczej nie może być mowy o takich odstępstwach od zasady podziału i równowagi władzy (np. „przecięcia kompetencyjne"), które są dopuszczalne w relacjach między pozostałymi władzami. Żadna władza nie może ingerować w sprawy struktury, składu lub działania władzy sądowniczej, chyba że wyjątki dotyczą wypadków określonych w Konstytucji. Interpretacja zasady podziału i równowagi władzy w odniesieniu do władzy sądowniczej wymaga podkreślenia, że gwarancją realizacji takiej pozycji władzy sądowniczej jest zasada niezależności sądów i monopol kompetencyjny sądownictwa na sprawowanie władzy sądowniczej, czyli ostateczne rozstrzyganie o prawach i obowiązkach jednostki lub osób prawnych. W wypadku władzy sądowniczej „jądro kompetencyjne" polega na sprawowaniu wymiaru sprawiedliwości w celu realizacji przysługującego każdemu prawa do sądu (por. wyrok z 19 lipca 2005 r., sygn. K 28/04)”.

Z treści motywu 20 rozporządzenia 2016/679 rozpatrywanego na użytek podmiotów stosujących prawo w Polsce wynika po pierwsze, że sądy stosują przy przetwarzaniu danych osobowych zasady określone w tym rozporządzeniu (które to zasady można jedynie w prawie krajowym doprecyzować), po drugie zaś, iż nadzór nad prawidłowym przetwarzaniem danych osobowych przez sądy w ramach sprawowania wymiaru sprawiedliwości (by chronić niezawisłość sprawowania wymiaru sprawiedliwości) powinien być powierzony wyłącznie specjalnym organom w systemie wymiaru sprawiedliwości danego państwa członkowskiego, a więc nie organom nadzorczym, o których mowa w art. 51 rozporządzenia 2016/679.

Warto w tym miejscu podkreślić, że przepisy rozporządzenia regulują również kwestie związane ze zgłaszaniem naruszeń oraz uprawnieniami do egzekwowania stosowania tego rozporządzenia. Podobnie kwestia nadzoru nad przetwarzaniem danych osobowych przez sądy w ramach sprawowania wymiaru sprawiedliwości została uregulowana w motywie 80 dyrektywy 2016/680.

Niezbędne dla wyjaśnienia znaczenia omawianych kwestii jest również wyjaśnienie czym jest nadzór oraz kontrola.

I tak zgodnie z doktryną „Najogólniej rzecz ujmując, pojęcie nadzoru zawiera w sobie dwa elementy: kontroli oraz władztwa. Nadzór jest kompetencją (możność i powinność prawna) do władczego wkroczenia właściwego organu administracji publicznej w działalność podmiotu nadzorowanego w przypadkach przewidzianych przepisami prawa, w celu przywrócenia stanu zgodnego z prawem. Uniwersalne ujęcie nadzoru, pozostające pod wpływem koncepcji sterowania, zaproponował Ernest Knosala. Według niego przez nadzór należy rozumieć takie oddziaływanie jednego podmiotu (nadzorującego) na inny (nadzorowany), które opiera się na szczegółowej kompetencji podmiotu nadzorującego do władczego ingerowania w sferę praw i obowiązków podmiotu nadzorowanego. Korzystanie z przyznanych praw i wolności (w odniesieniu do osób fizycznych i prywatnych osób prawnych) oraz samodzielności (w przypadku korporacji publicznych) wiązać się może z przekroczeniem ram zakreślonych w przepisach prawa. Celem nadzoru jest przywrócenie nadzorowanego układu do stanu równowagi założonej w normach prawnych (tj. do działalności zgodnej z prawem)” - patrz: R. Stasikowski, Funkcja nadzorcza administracji publicznej, FK 2009, nr 11, s. 5-13.

Natomiast „Kontrolę można scharakteryzować jako działanie obejmujące ustalenie stanu faktycznego oraz odniesienie go do wyznaczników, wzorców postępowania i następnie dokonanie oceny ustalonego stanu faktycznego w świetle przyjętych wyznaczników (kryteriów kontroli). Gdy porównanie to wskazuje na rozbieżności, kolejnym etapem jest ustalenie zakresu, przyczyn i skutków tych rozbieżności, a także osób za nie odpowiedzialnych oraz sformułowanie wniosków i zaleceń zmierzających do usunięcia stwierdzonych nieprawidłowości. Ważnym elementem kontroli jest także raportowanie wyników kontroli różnym szczeblom zarządzania (kierownik kontrolowanej jednostki, kierownik jednostki nadrzędnej, organ nadzoru)” - patrz: T. Bolek, M. Dobruk [w:] T. Bolek, M. Dobruk, Ustawa o kontroli w administracji rządowej. Komentarz z wzorami dokumentów, Warszawa 2018, art. 3.

Nadzór ze swej natury wymaga, by podmiot nadzorujący miał pozycję nadrzędną w stosunku do podmiotu nadzorowanego - w odmiennym przypadku nie mógłby doprowadzić do usunięcia nieprawidłowości, ani w żaden sposób wyegzekwować wykonania wydawanych zarządzeń. Takiej pozycji nie ma wobec organów wymiaru sprawiedliwości Prezes UODO w zakresie przetwarzania przez sądy danych osobowych w ramach sprawowania wymiaru sprawiedliwości. Koncepcja niezawisłości sędziowskiej nie pozwala również Prezesowi UODO na dokonywanie wiążącej oceny tego, jakie czynności wchodzą w zakres sprawowania wymiaru sprawiedliwości - oceny tej dokonują niezawiśli sędziowie.

Organy sprawujące nadzór nad przetwarzaniem danych osobowych przez sądy

Prezes UODO jest niezależnym organem publicznym odpowiedzialnym za monitorowanie stosowania rozporządzenia 2016/679 w celu ochrony podstawowych praw i wolności osób fizycznych m.in. w związku z przetwarzaniem danych osobowych (art. 51 ust. 1 ww. rozporządzenia) oraz za monitorowanie stosowania dyrektywy 2016/680 dla ochrony tych praw i wolności (art. 41 ust. 1 ww. dyrektywy), znajdującym się poza strukturami władzy sądowniczej, czyli poza systemem wymiaru sprawiedliwości.

Niestety poza wskazaniem, jakie organy są właściwe do sprawowania wymiaru sprawiedliwości, w polskim porządku prawnym brak norm wyraźnie wskazujących, czym dokładnie jest „wymiar sprawiedliwości” i gdzie przebiegają granice wyznaczające, które czynności wchodzą w zakres wymiaru sprawiedliwości, a które już nie. Nie wolno zapominać, że te aspekty działalności sądów, które nie wchodzą w zakres sprawowania przez nie wymiaru sprawiedliwości również mogą się wiązać z ryzykiem wystąpienia naruszenia ochrony danych osobowych, a te wymagają już zgłoszenia do Prezesa UODO.

Zarysowana w motywie 20 rozporządzenia 2016/679 koncepcja została wyraźnie powtórzona w art. 55 ust. 3 rozporządzenia 2016/679, zgodnie z którym organy nadzorcze nie są właściwe do nadzorowania operacji przetwarzania dokonywanych przez sądy w ramach sprawowania przez nie wymiaru sprawiedliwości. Prawodawca unijny konsekwentnie wskazał też w art. 45 ust. 2 dyrektywy 2016/680, że państwa członkowskie zapewniają, by żaden organ nadzorczy nie był właściwy do nadzorowania operacji przetwarzania dokonywanych przez sądy w toku sprawowania przez nie wymiaru sprawiedliwości oraz że państwa członkowskie mogą postanowić, że organ nadzorczy nie jest właściwy do nadzorowania operacji przetwarzania dokonywanych przez inne niezależne organy wymiaru sprawiedliwości w ramach sprawowania przez nie wymiaru sprawiedliwości.

Ponadto w ustawach normujących działanie sądów uchwalonych przez polskiego ustawodawcę można odnaleźć doprecyzowania dotyczące nadzoru nad przetwarzaniem danych osobowych przez poszczególne sądy w postępowaniach sądowych (jak już wspomniano, w motywie 20 rozporządzenia 2016/679 stwierdzono, że prawo państwa członkowskiego może doprecyzować operacje i procedury przetwarzania danych osobowych przez sądy i inne organy wymiaru sprawiedliwości).

Należy przy tym wyjaśnić, że przez postępowanie sądowe rozumie się postępowanie odbywające się przed niezawisłymi i niezależnymi sądami, w oparciu o odpowiednie przepisy prawa cywilnego, administracyjnego i karnego oraz postępowanie egzekucyjne, postępowanie w sprawach o wykroczenia (każde postępowanie składa się z następujących po sobie ogniw - etapów, tworzących tok procesu - w toku procesu jedynie sąd sprawuje wymiar sprawiedliwości w myśl art. 175 Konstytucji RP).

I tak, zgodnie z art. 175dd § 1 ustawy z dnia 27 lipca 2001 r. Prawo o ustroju sądów powszechnych (Dz. U. z 2020 r., poz. 365, ze zm.), nadzór nad przetwarzaniem danych osobowych, których administratorami są sądy, zgodnie z art. 175da i art. 175db [który stanowi, że administratorami danych osobowych przetwarzanych w postępowaniach sądowych w ramach sprawowania wymiaru sprawiedliwości albo realizacji zadań z zakresu ochrony prawnej są sądy], wykonują w zakresie działalności sądu:

rejonowego - prezes sądu okręgowego;
okręgowego - prezes sądu apelacyjnego;
apelacyjnego - Krajowa Rada Sądownictwa.

Paragraf 2 tego samego artykułu stanowi, że w ramach nadzoru, o którym mowa w § 1, właściwe organy:

rozpatrują skargi osób, których dane osobowe są przetwarzane niezgodnie z prawem;
podejmują działania mające na celu upowszechnianie wśród nadzorowanych administratorów i podmiotów przetwarzających wiedzy o obowiązkach wynikających z rozporządzenia 2016/679 oraz ustawy z dnia 14 grudnia 2018 r. o ochronie danych osobowych przetwarzanych w związku z zapobieganiem i zwalczaniem przestępczości (Dz.U. z 2019 r. poz. 125), zwanej dalej j ustawą grudniową;
współpracują z innymi organami sprawującymi nadzór nad przetwarzaniem danych osobowych w ramach postępowań prowadzonych przez sądy i trybunały oraz z organami nadzorczymi w rozumieniu art. 51 rozporządzenia 2016/679, w tym dzielą się informacjami oraz świadczą wzajemną pomoc, w celu zapewnienia spójnego stosowania rozporządzenia 2016/679 oraz ustawy z dnia 14 grudnia 2018 r. o ochronie danych osobowych przetwarzanych w związku z zapobieganiem i zwalczaniem przestępczości.

Ponadto w paragrafie 3 ww. artykułu wskazano, że organy, o których mowa w § 1, są uprawnione do:

nakazywania administratorowi lub podmiotowi przetwarzającemu albo ich przedstawicielom dostarczenia wszelkich informacji potrzebnych do realizacji zadań tego organu;
zawiadamiania administratora lub podmiotu przetwarzającego o podejrzeniu naruszenia rozporządzenia 2016/679 lub ustawy z dnia 14 grudnia 2018 r. o ochronie danych osobowych przetwarzanych w związku z zapobieganiem i zwalczaniem przestępczości;
uzyskiwania od administratora i podmiotu przetwarzającego dostępu do danych osobowych i informacji niezbędnych organowi nadzorczemu do realizacji swoich zadań;
uzyskiwania dostępu do pomieszczeń administratora i podmiotu przetwarzającego, w tym do sprzętu i środków służących do przetwarzania danych;
wydawania ostrzeżeń administratorowi lub podmiotowi przetwarzającemu dotyczących możliwości naruszenia przepisów rozporządzenia 2016/679 lub ustawy z dnia 14 grudnia 2018 r. o ochronie danych osobowych przetwarzanych w związku z zapobieganiem i zwalczaniem przestępczości;
udzielania upomnień administratorowi lub podmiotowi przetwarzającemu w przypadku naruszenia przepisów rozporządzenia 2016/679 lub ustawy z dnia 14 grudnia 2018 r. o ochronie danych osobowych przetwarzanych w związku z zapobieganiem i zwalczaniem przestępczości;
wzywania administratora lub podmiotu przetwarzającego do dostosowania przetwarzania danych do przepisów rozporządzenia 2016/679 lub ustawy z dnia 14 grudnia 2018 r. o ochronie danych osobowych przetwarzanych w związku z zapobieganiem i zwalczaniem przestępczości.

Bardzo ważna informacja znalazła się również w paragrafie 4 artykułu 175dd ww. ustawy, zgodnie z którym do przyjmowania i rozpatrywania skarg związanych z przetwarzaniem danych osobowych przez sądy w ramach sprawowania wymiaru sprawiedliwości albo realizacji zadań z zakresu ochrony prawnej stosuje się odpowiednio przepisy działu I rozdziału 5a, który to rozdział dotyczy trybu rozpatrywania skarg i wniosków.

Warto podkreślić, że zgodnie z art. 41b § 1 - 3b znajdującym się w tym rozdziale i regulującym właściwość organów, ustawodawca postanowił, że organem właściwym do rozpatrzenia skargi lub wniosku, dotyczących działalności sądu, jest prezes sądu (§ 1). Jeżeli skarga lub wniosek dotyczą działalności sądu okręgowego i sądu rejonowego, organem właściwym do rozpatrzenia jest prezes sądu okręgowego. Jeżeli skarga lub wniosek dotyczą działalności sądu apelacyjnego i sądu okręgowego, organem właściwym do rozpatrzenia jest prezes sądu apelacyjnego (§ 2). Organem właściwym do rozpatrzenia skargi dotyczącej działalności prezesa sądu rejonowego jest prezes sądu okręgowego, działalności prezesa sądu okręgowego - prezes sądu apelacyjnego, a działalności prezesa sądu apelacyjnego - Krajowa Rada Sądownictwa (§ 3). Organem właściwym do rozpatrzenia skargi dotyczącej działalności zastępcy rzecznika dyscyplinarnego sądu apelacyjnego lub zastępcy rzecznika dyscyplinarnego sądu okręgowego jest Rzecznik Dyscyplinarny Sędziów Sądów Powszechnych, a skargi dotyczącej działalności Rzecznika Dyscyplinarnego Sędziów Sądów Powszechnych - Krajowa Rada Sądownictwa (§ 3a), oraz organem właściwym do rozpatrzenia skargi dotyczącej działalności Rzecznika Dyscyplinarnego Ministra Sprawiedliwości jest Minister Sprawiedliwości (§ 3b).

Z kolei zgodnie z art. 6c § 1 ustawy z dnia 21 sierpnia 1997 r. - Prawo o ustroju sądów wojskowych (Dz.U. z 2020 r., poz. 1754) nadzór nad przetwarzaniem danych osobowych w postępowaniach sądowych wykonują:

w zakresie działalności wojskowego sądu garnizonowego - prezes wojskowego sądu okręgowego;
w zakresie działalności wojskowego sądu okręgowego - Krajowa Rada Sądownictwa.

Nadto w paragrafie 2 ww. artykułu stwierdzono, że do nadzoru, o którym mowa w § 1, przepisy art. 175dd § 2 i 3 oraz działu I rozdziału 5a ustawy z dnia 27 lipca 2001 r. - Prawo o ustroju sądów powszechnych stosuje się odpowiednio.

W art. 12b § 1 ustawy z dnia 25 lipca 2002 r. - Prawo o ustroju sądów administracyjnych (Dz.U. z 2019 r., poz. 2167, ze zm.) ustawodawca zadecydował, że nadzór nad przetwarzaniem danych osobowych przez wojewódzkie sądy administracyjne w postępowaniach sądowych sprawuje Prezes Naczelnego Sądu Administracyjnego. Nadzór nad przetwarzaniem danych osobowych przez Naczelny Sąd Administracyjny w postępowaniach sądowych sprawuje Krajowa Rada Sądownictwa (paragraf 2 ww. artykułu). Zgodnie zaś z treścią paragrafu 3 tegoż artykułu, do nadzoru, o którym mowa w § 1 i 2, przepisy art. 175dd § 2 i 3 oraz działu I rozdziału 5a ustawy z dnia 27 lipca 2001 r. - Prawo o ustroju sądów powszechnych stosuje się odpowiednio.

Zgodnie z treścią art. 97a ustawy z dnia 8 grudnia 2017 r. o Sądzie Najwyższym (Dz.U. z 2019 r., poz. 825, ze zm.), nadzór nad przetwarzaniem danych osobowych w postępowaniach sądowych wykonuje Krajowa Rada Sądownictwa (§ 1), a do nadzoru, o którym mowa w § 1, przepisy art. 175dd § 2 i 3 oraz działu I rozdziału 5a ustawy z dnia 27 lipca 2001 r. - Prawo o ustroju sądów powszechnych stosuje się odpowiednio (§ 2).

Naruszenia ochrony danych osobowych przetwarzanych przed sądy

Rozważania dotyczące naruszeń ochrony danych osobowych przetwarzanych przez sądy należy rozpocząć od wyjaśnienia pojęcia takiego naruszenia. Zostało ono zdefiniowane zarówno w art. 4 pkt 12 rozporządzenia 2016/679, jak i w art. 3 pkt 11 dyrektywy 2016/680. Zgodnie ze wskazanymi przepisami „naruszenie ochrony danych osobowych” oznacza naruszenie bezpieczeństwa prowadzące do przypadkowego lub niezgodnego z prawem zniszczenia, utracenia, zmodyfikowania, nieuprawnionego ujawnienia lub nieuprawnionego dostępu do danych osobowych przesyłanych, przechowywanych lub w inny sposób przetwarzanych.

Należy wskazać, że wśród zadań organów nadzorczych określonych w art. 175dd § 2 Prawa o ustroju sądów powszechnych ustawodawca nie wymienił przyjmowania zgłoszeń czy oceny naruszeń ochrony danych osobowych, a także kompetencji do przeprowadzania kontroli. Fakt ten każe założyć, że nie są to zadania związane z wymiarem sprawiedliwości. Jeśli chodzi o naruszenia ochrony danych osobowych takie założenie potwierdza wyżej wskazana definicja naruszenia (naruszenie bezpieczeństwa). Przyjęcie przez ustawodawcę innego rozwiązania prowadzić by mogło do sytuacji, w której zdarzenia wynikające z niezachowania podstawowych zasad bezpieczeństwa np. zagubienie w komunikacji miejskiej nośnika danych z projektami orzeczeń zawierającymi dane osobowe, czy kradzież akt z samochodu pozostawionego bez nadzoru przez pracownika sądu, ocenione zostałoby przez administratora jako zdarzenie związane ze sprawowaniem wymiaru sprawiedliwości, które nie podlega nadzorowi Prezesa UODO.

Przepisy art. 55 ust. 3 rozporządzenia 2016/679 oraz art. 45 ust. 2 dyrektywy 2016/680 wyłączają kompetencje Prezesa UODO do nadzorowania operacji przetwarzania dokonywanych przez sądy jedynie w ramach sprawowania przez nie wymiaru sprawiedliwości, co jednoznacznie wskazuje, że sądy wykonują również inne operacje przetwarzania danych osobowych, które podlegają nadzorowi Prezesa UODO. Za przykłady tych ostatnich (poza wyżej wskazanymi dwoma) można uznać następujące sytuacje:

zagubienie akt sądowych w sądzie, które miały zostać zarchiwizowane,
umieszczenie wokandy na stronie internetowej sądu.

Przetwarzanie danych osobowych przez sądy w ramach ich działalności

Wskazać należy, że poza sferą orzeczniczą, sądy wykonują również działalność administracyjną, której istota sprowadza się do zapewnienia odpowiednich warunków dla wykonywania przez sąd powierzonych mu zadań z zakresu sprawowania wymiaru sprawiedliwości i ochrony prawnej. Zgodnie z art. 8 pkt 1 i 2 ustawy - Prawo o ustroju sądów powszechnych, działalność administracyjna sądów polega na zapewnieniu odpowiednich warunków techniczno-organizacyjnych oraz majątkowych funkcjonowania sądu i wykonywania przez sąd zadań, o których mowa w art. 1 § 2 i 3 ww. ustawy (na podstawie art. 31a § 1 ww. ustawy, czynności te należą do kompetencji dyrektora sądu) oraz zapewnieniu właściwego toku wewnętrznego urzędowania sądu, bezpośrednio związanego z wykonywaniem przez sąd zadań, o których mowa w art. 1 § 2 i 3 (na podstawie art. 22 § 1 ww. ustawy, czynności te należą do prezesa sądu).

Jak wskazuje się w doktrynie prawa, w powyższym przepisie zdefiniowano „działalność administracyjną sądów”, „aby oddzielić ją i odróżnić od działalności orzeczniczej i w rezultacie poddać nadzorowi administracyjnemu. Wyróżnione zostały dwie kategorie działalności. Pierwsza polega na zapewnieniu odpowiednich warunków niezbędnych do wykonywania funkcji orzeczniczych. […] Chodzi tu zwłaszcza o zapewnienie właściwych warunków lokalowych, finansowych, wyposażenia technicznego, poziomu wynagrodzeń oraz zatrudnienie odpowiedniego personelu pomocniczego. Realizacja tych zadań ma należeć przede wszystkim do dyrektora sądu. […] Druga kategoria działalności administracyjnej polega na staraniach o zapewnienie właściwego toku wewnętrznego urzędowania sądu, a więc łączy się bezpośrednio z orzekaniem, a zwłaszcza z zapewnieniem jego sprawności i należy do sfery tzw. wewnętrznego nadzoru. Wykonywanie tego nadzoru należy do prezesów sądów. [...]

W tym zakresie podstawowe znaczenie ma ustalenie w sądach podziału czynności, który obejmuje w szczególności decyzje o przydzieleniu sędziów i referendarzy do konkretnych wydziałów oraz ustalenie zakresu ich obowiązków […].” (Górski Antoni (red.) Prawo o ustroju sądów powszechnych. Komentarz, 30 czerwca 2013 r. LEX 2013). Również w doktrynie wskazuje się, że na czynności administrowania „składają się bezpośrednie zawiadywanie środkami rzeczowymi i sprawami osobowymi sądu w zakresie, jaki jest konieczny dla właściwego i ciągłego funkcjonowania sądu. Należą tu wszelkie czynności i decyzje związane z finansami sądu, księgowością, biurem podawczym, czynnościami sekretariatów, wyposażeniem sądów itp.

Do czynności administracyjnych sensu stricto zalicza się również pewien zakres czynności dotyczących spraw osobowych zarówno sędziów, jak i urzędników sądowych, czynności porządkowe wykonywane w trakcie sądzenia lub bezpośrednio związane z orzekaniem (np. wydawanie odpisów, zaświadczeń)” (Gudowski Jacek (red.), Ereciński Tadeusz, Iwulski Józef, Komentarz do ustawy - Prawo o ustroju sądów powszechnych [w:] Prawo o ustroju sądów powszechnych. Ustawa o Krajowej Radzie Sądownictwa. Komentarz, wyd. II, LexisNexis 2009).

Mając na uwadze powyższe, wskazać należy, że kwestie bezpieczeństwa przetwarzania danych osobowych (podobnie jak bezpieczeństwa informacji, bezpieczeństwa i higieny pracy, zapewnienia bezpieczeństwa obiektu itp.), mają służyć zapewnieniu możliwości wykonywania zadań przez sąd polegających na rozstrzyganiu sporów w ramach sprawowania wymiaru sprawiedliwości i jako sfera administracyjnej działalności sądu, w której przede wszystkim może dojść do naruszenia ochrony danych osobowych, nie powinny stanowić elementu mogącego mieć wpływ na naruszenie niezawisłość sądu.

W tym miejscu wskazać należy na niektóre z kompetencji nadzorczych Prezesa Urzędu Ochrony Danych Osobowych mogących mieć zastosowanie w przypadkach naruszeń ochrony danych osobowych, a także kontroli, które zostały uregulowane w art. 58 ust. 2 lit. d) i e) rozporządzenia 2016/679. Realizacja powyższych kompetencji nie ma wpływu na naruszenie niezawisłości sądu, co jest szczególnie istotne ze względu na wielokrotnie podkreślaną w tym opracowaniu zasadę wyrażoną m.in. w art. 55 ust. 3 rozporządzenia 2016/679. Na mocy powyższych przepisów Prezes Urzędu Ochrony Danych Osobowych może nakazać administratorowi lub podmiotowi przetwarzającemu dostosowanie operacji przetwarzania do przepisów rozporządzenia 2016/679 lub nakazać administratorowi zawiadomienie osoby, której dane dotyczą o naruszeniu ochrony danych.

Powyższe uprawnienia naprawcze Prezesa Urzędu Ochrony Danych Osobowych, co do zasady, powinny być kierowane do organów sądowych w ramach przyznanych kompetencji, stanowiącej o ich odpowiedzialności za bezpieczeństwo przetwarzania danych. Tym samym nie naruszają niezawisłości sędziowskiej, bowiem nie dotyczą kompetencji sędziego w prowadzonym postępowaniu.

Ponadto są uprawnieniami naprawczymi, które ze swej istoty nie mają charakteru mogącego mieć wpływ na toczące się postępowanie (np. nie prowadzą do wstrzymania toczącego się postępowania lub do nakazania usunięcia części zeznań świadka) oraz będą dotyczyły sfery administracyjnej działalności sądu.

Również prowadzona w sądach przez Prezesa Urzędu Ochrony Danych Osobowych kontrola przestrzegania przepisów o ochronie danych osobowych, w szczególności powinna koncentrować się na kwestiach zapewnienia ochrony bezpieczeństwa przetwarzania danych, a więc sprawdzenie, czy dane osobowe są przetwarzane w sposób zapewniający odpowiednie bezpieczeństwo danych osobowych, w tym ochronę przed niedozwolonym lub niezgodnym z prawem przetwarzaniem oraz przypadkową utratą, zniszczeniem lub uszkodzeniem, za pomocą odpowiednich środków technicznych lub organizacyjnych, zgodnie z ogólną zasadą dotyczącą przetwarzania danych, tj. zasadą „integralności i poufności” wyrażoną w art. 5 ust. 1 lit. f) rozporządzenia 2016/679.

Ewentualne stwierdzone nieprawidłowości naruszające zasadę „integralności i poufności” wyrażoną w art. 5 ust. 1 lit. f) rozporządzenia 2016/679, korespondują z uprawnieniami naprawczymi Prezesa Urzędu Ochrony Danych Osobowych, które jak już wyżej wskazano - nie mają wpływu na naruszenie niezawisłości sądu, bowiem polegają jedynie na nakazaniu administratorowi dostosowania operacji przetwarzania do przepisów rozporządzenia 2016/679, co w przypadku naruszenia bezpieczeństwa przetwarzania danych sprowadza się do nakazania administratorowi danych dostosowania operacji przetwarzania zgodnie z m.in. art. 24 i art. 32 rozporządzenia 2016/679, a więc zastosowanie środków technicznych i organizacyjnych zapewniających stopień bezpieczeństwa odpowiednich do występującego ryzyka.

Natomiast naruszenie pozostałych zasad wyrażonych w art. 5 ust. 1 rozporządzenia 2016/679, nie może stanowić przedmiotu kontroli prowadzonej przez Prezesa Urzędu Ochrony Danych Osobowych, bowiem ustalony w wyniku kontroli stan faktyczny musiałby zostać poddany analizie, polegającej na ustaleniu, czy naruszenie przepisów o ochronie danych osobowych wynika z uchybienia przepisom normującym sprawowanie wymiaru sprawiedliwości. Tym samym Prezes Urzędu Ochrony Danych Osobowych poddałby ocenie działalność sądu w ramach sprawowania wymiaru sprawiedliwości, co jest wyłączną kompetencją sądowych organów nadzoru.

W tym miejscu należy podkreślić, że zapewnienie bezpieczeństwa przetwarzania danych jest obowiązkiem administratora danych wynikającym nie tylko z konieczności przestrzegania zasady określonej w art. 5 ust. 1 lit. f) rozporządzenia 2016/679, ale również innych przepisów konkretyzujących powyższą zasadę. W drodze przykładu, wskazać należy na art. 24 ust.1 i art. 32 ust. 1 rozporządzenia 2016/679. Zgodnie z art. 24 ust. 1 rozporządzenia 2016/679, administrator danych, uwzględniając charakter, zakres, kontekst i cele przetwarzania oraz ryzyko naruszenia praw lub wolności osób fizycznych o różnym prawdopodobieństwie i wadze, wdraża odpowiednie środki techniczne i organizacyjne, aby przetwarzanie odbywało się zgodnie z rozporządzeniem 2016/679 i aby móc to wykazać. Środki te są w razie potrzeby poddawane przeglądom i uaktualniane. Natomiast art. 32 rozporządzenia 2016/679 stanowi, że administrator i podmiot przetwarzający uwzględniając stan wiedzy technicznej, koszt wdrożenia oraz charakter zakres, kontekst i cele przetwarzania oraz ryzyko naruszenia praw lub wolności osób fizycznych o różnym prawdopodobieństwie wystąpienia i wadze, wdrażają odpowiednie środki techniczne i organizacyjne, aby zapewnić stopień bezpieczeństwa odpowiadający temu ryzyku.

Przekładając powyższe przepisy na działalność sądów, wskazać należy, że obowiązki te wystąpią w sferze administracyjnej działalności sądów i powinny być realizowane w ramach przyznanych środków i kompetencji właściwym organom sądowym.

Podsumowanie zagadnień związanych z nadzorem nad przetwarzaniem danych osobowych przez sądy

Zaznaczyć należy, że to administrator w każdym przypadku dokonuje oceny, czy naruszenie dotyczyło przetwarzania danych przez sądy w ramach sprawowania wymiaru sprawiedliwości, czy też nie. Ponownego podkreślenia również wymaga to, że przepisy wyżej wskazanych ustaw dotyczących sądów odnoszą się do przetwarzania przez nie danych osobowych w postępowaniach sądowych, co pozwala lepiej uchwycić granicę pomiędzy kompetencjami sądowych organów nadzorczych, a tymi przysługującymi Prezesowi UODO - zdarzenia związane z przetwarzaniem danych osobowych, które mogą pojawić się w związku z działalnością sądów, a niemające związku z prowadzonym postępowaniem, w zdecydowanej większości nie będą też miały nic wspólnego ze sprawowaniem przez nie wymiaru sprawiedliwości. Takimi zdarzeniami mogą być np.:

odział „kadry” sądu zgubił zgłoszenie ubezpieczenia do ZUS-u pracownika,
pracownik odpowiedzialny za przyznawanie uprawnień w systemie informatycznym sądu przyznał uprawnienia niewłaściwej osobie, niezgodnie ze złożonym wnioskiem (pomylił osoby),
sędzia zgubił login i hasło (wraz ze wskazaniem systemu informatycznego) zapisane na kartce, umożliwiającego zdalny dostęp do systemów sądowych,
pracownik kancelarii wydał dokumenty niewłaściwej osobie, niezgodnie z zarządzeniem lub nie sprawdził tożsamości osoby,
akta osobowe pracownika ochrony zatrudnionego w sądzie zostały skradzione.

Analizując wcześniej przytoczone przepisy normujące nadzór nad przetwarzaniem danych osobowych przez - sądy, widać wyraźnie wspólną dla wszystkich organów wymiaru sprawiedliwości w Polsce koncepcję sprawowania tego nadzoru. Kompetencje związane z egzekwowaniem przepisów dotyczących ochrony danych osobowych przetwarzanych w ramach sprawowania wymiaru sprawiedliwości zostały przyznane wskazanym we właściwych ustawach sądowym organom nadzorczym, a nie Prezesowi UODO.

Wspólne w konstrukcji przepisy wyżej wskazanych ustaw - normujące nadzór nad przetwarzaniem danych osobowych przez sądy - świadczą o konsekwencji ustawodawcy w tworzeniu odrębnego, niezależnego od Prezesa UODO systemu nadzoru nad sądami w ramach sprawowania wymiaru sprawiedliwości. Konsekwencję tę ustawodawca wykazał również, dokonując wyłączenia, o którym mowa w art. 1 pkt 3 ustawy grudniowej, który stanowi, że ustawa określa (...) sposób prowadzenia nadzoru nad ochroną danych osobowych przetwarzanych przez właściwe organy w celach, o których mowa w pkt 1, z wyłączeniem danych osobowych przetwarzanych przez prokuraturę i sądy. Wyłączenie poczynione przez ustawodawcę dotyczące sądów pozostaje w zgodzie z dotychczas omawianymi rozwiązaniami systemowymi. Biorąc pod uwagę wyłączenie sformułowane w ten konkretny sposób, należy przyjąć, że kwestie przetwarzania danych osobowych przez sądy związane ze sprawowaniem wymiaru sprawiedliwości rozstrzygane są na podstawie ww. ustawy - poza nadzorem, który zgodnie z tą ustawą sprawowany jest przez Prezesa UODO (art. 44 ust. 1 zdanie pierwsze tej ustawy stanowi, że w przypadku naruszenia ochrony danych osobowych, administrator, bez zbędnej zwłoki, nie później jednak niż w ciągu 72 godzin po stwierdzeniu naruszenia, zgłasza naruszenie Prezesowi Urzędu).

Podsumowując powyższe rozważania, należy stwierdzić, iż to administrator w każdym przypadku dokonuje oceny, czy naruszenie dotyczyło przetwarzania danych przez sądy w ramach sprawowania wymiaru sprawiedliwości, czy też nie. Prezes Urzędu Ochrony Danych Osobowych co do zasady nie ma kompetencji do oceny, czy dane operacje przetwarzania danych wchodzą lub nie wchodzą w zakres sprawowania wymiaru sprawiedliwości (wyjątek może stanowić sytuacja, gdy Prezes Urzędu otrzymuje od osób trzecich - informację, iż mogło zaistnieć naruszenie ochrony danych osobowych, a fakt ten nie został uprzednio notyfikowany do organu nadzorczego; w takiej sytuacji organ nadzorczy dokonuje wstępnej analizy przesłanych informacji nie tylko pod kątem możliwości zaistnienia naruszenia ochrony danych osobowych, ale również pod kątem zbadania swojej właściwości w tej sprawie).

W związku z powyższym, w przypadku przesłania Prezesowi Urzędu zgłoszenia naruszenia przez organy wymiaru sprawiedliwości przyjmuje się, iż organy te przeprowadziły rzetelną ocenę zdarzenia nie tylko pod kątem obowiązku zgłoszenia naruszenia organowi nadzorczemu, ale również przede wszystkim pod kątem wykluczenia tego zdarzenia ze spraw związanych bezpośrednio z tzw. „sprawowaniem wymiaru sprawiedliwości”.

Jeżeli zaś chodzi o kwestię ustalenia właściwości Prezesa Urzędu do przeprowadzenia, zgodnie z jego kompetencjami, czynności kontrolnych w organach wymiaru sprawiedliwości, należy podkreślić, iż kluczowe znaczenie będzie miało tu precyzyjne określenie zakresu kontroli, tak aby nie było wątpliwości, że czynności kontrolne skupiają się wyłącznie na aspektach bezpieczeństwa i nie ingerują w sferę sprawowania wymiaru sprawiedliwości.

Podstawa prawna:

rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) (Dz.Urz. UE L 119 z 4.05.2016, str. 1 oraz Dz.Urz. UE L 119 z 4.05.2016, str. 1, Dz.Urz. UE L 127 z 23.05.2018, str. 2 oraz Dz.Urz. UE L 74 z 4.03.2021, str. 35);
ustawa z dnia 14 grudnia 2018 r. o ochronie danych osobowych przetwarzanych w związku z zapobieganiem i zwalczaniem przestępczości (Dz.U. z 2019 r. poz. 125);
ustawa z dnia 21 sierpnia 1997 r. - Prawo o ustroju sądów wojskowych (Dz.U. z 2020 r., poz. 1754);
ustawa z dnia 8 grudnia 2017 r. o Sądzie Najwyższym (Dz.U. z 2019 r., poz. 825, ze zm.).