Kiedy sąd powinien zgłosić do PUODO naruszenie ochrony danych osobowych?
Ustawa o sądach powszechnych wprowadziła sporo zamieszania poprzez wyróżnienie w sądach kilku administratorów. Dodatkową trudność stanowią przepisy o ochronie danych osobowych, które wyłączają spod nadzoru przetwarznie realizowane przez sądy w ramach sprawowania wymiaru sprawiedliwości. W efekcie pojawia się słuszne pytanie – kiedy i komu sąd powinien zgłaszać naruszenie?
Na szkoleniach często jestem pytana w tym kontekście o zagubienie danych związanych z postępowaniem sądowym (policyjnym, prokuratorskim). Czy takie zdarzenie podlega zgłoszeniu do Prezesa UODO? Przyznaję, że za pierwszym razem, gdy otrzymałam takie pytanie zgłupiałam. W końcu akta sprawy są wyłączone spod przepisów RODO i DODO. Ale z drugiej strony, przecież zdarzenie nie dotyczy samego postępowania, a czynności technicznych związanych z postępowaniem. Często też zwracam uwagę na to, że w przypadku przepisów DODO, art. 3 nie wyłącza całkowicie jego stosowania, a jedynie ogranicza. Zatem tak, zgubienie akt sprawy należy zgłosić do Prezesa UODO. Podobnie jak udostępnienie danych związanych z postępowaniem nieuprawnionej osobie, w związku z niewłaściwym zabezpieczeniem.
W sprawie zabrał ostatnio też głos sam Prezes UODO, publikując opracowanie „Przetwarzanie danych osobowych przez sądy w kontekście zgłaszania naruszeń ochrony danych osobowych”. Jesto ono niestety napisane bardziej jak opinia prawna, niż poradnik. Na szczęście znalazło się tam kilka przykładów, które pomogą Wam ocenić, czy naruszenie wymaga zgłoszenia do Prezesa UODO, a także co zrobić jeśli naruszenie nie podlega zgłoszeniu.
Zgłaszać należy wszystkie zdarzenia, które nie dotyczą bezpośrednio postępowania sądowego, tzn. związane z czynnościami technicznymi lub administracyjnym przy tym postępowaniu, np.
zagubienie akt sądowych, które miały zostać zarchiwizowane,
umieszczenie wokandy na stronie internetowej,
nieskuteczne zniszczenie akt sprawy, których czas przechowywania ustał,
udostępnienie akt z archiwum sądowego nieuprawnionej osobie,
udostępnienie przez sędziego swoich danych do logowania do systemu sądowego innej osobie,
zagubienie lub dostarczenie niewłaściwej osobie dokumenów związanych z postępowaniem przez pocztę.
Oczywiście zgłoszeniu podlegają też naruszenia związane z codzienną pracą i obsługą sądów, jak:
zgubienie zgłoszenia ubezpieczenia do ZUS-u pracownika,
przyznanie uprawnień w systemie informatycznym sądu niewłaściwej osobie,
wydanie dokumentów niewłaściwej osobie,
wysłanie umowy z danymi pracownika w formie niezabezpieczonego załącznika do niewłaściwego odbiorcy.
Jeżeli naruszenie dotyczy bezpośrednio sprawowania wymiaru sprawiedliwości, np.
w aktach znalazły się dane niewłaściwej osoby,
dane są nieaktualne,
w wezwaniu znalazły się dane osób z innego postępowania (w przypadku pracy na jednym dokumencie, w którym poprawia się tylko niektóre informacje),
podczas postępowania ujawniono informacje osobie, która nie była stroną postępowania,
naruszenie należy zgłosić do sądu wyższej instancji, który zgodnie z ustawą o sądach powszechnych odpowiada za nadzór nad sądami w zakresie przetwarzania danych w ramach sprawowania sprawiedliwości.
I ciekawostka: osoba, której dane dotyczą powinna wiedzieć, że skargę na przetwarzanie danych przez sąd w związku ze sprawowaniem wymiaru sprawiedliwości powinna kierować do Prezesa sądu.
Autorką tekstu jest Sylwia Czub-Kiełczewska, specjalista ds. ochrony danych osobowych oraz certyfikowany audytor wewnętrzny ISO 27001 Spodobał Ci się ten wpis? Masz jeszcze jakieś pytania? A może potrzebujesz pomocy przy danych osobowych? Pomogłam już wielu, pomogę i Tobie! Napisz do mnie
Autorką tekstu jest Sylwia Czub-Kiełczewska, specjalista ds. ochrony danych osobowych oraz certyfikowany audytor wewnętrzny ISO 27001
