Sąd Rejonowy w Zwoleniu Zarządzenie nr Adm. 021 – 39 / 2023 Prezesa Sądu Rejonowego w Zwoleniu i Dyrektora Sądu Okręgowego w Radomiu z dnia 27 grudnia 2023 roku w sprawie wdrożenia „Zasad współadministrowania” w Sądzie Rejonowym w Zwoleniu - Aktualności -

Zarządzenie nr Adm. 021 – 39 / 2023

Prezesa Sądu Rejonowego w Zwoleniu i Dyrektora Sądu Okręgowego w Radomiu

z dnia 27 grudnia 2023 roku

w sprawie wdrożenia „Zasad współadministrowania”

w Sądzie Rejonowym w Zwoleniu

 

Na podstawie art. 22 § 1 pkt 1 lit a oraz odpowiednio art. 31a § 1 pkt 1 ustawy z dnia 27 lipca 2001 r. Prawo o ustroju sądów powszechnych (Dz. U. z 2023 r. poz. 217 z późn. zm.), w ramach realizacji obowiązku wynikającego z art. 26 ust. 1 i 2 rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (Dz. Urz. UE.L z 2016 r. nr 119 s. 1), dalej zwanym „Rozporządzeniem 2016/679”, zarządza się, co następuje:

 

§ 1

Sąd Rejonowy w Zwoleniu akceptuje postanowienia zawarte w dokumencie „Zasady współadministrowania”, stanowiącym załącznik nr 1 do niniejszego zarządzenia, będące rezultatem wspólnych uzgodnień współadministratorów - sądów powszechnych z obszaru całego kraju oraz Ministra Sprawiedliwości - dokonanych zgodnie z wymogami art. 26 ust.1 i 2 Rozporządzenia 2016/679 w związku ze wspólnym przetwarzaniem danych osobowych w sądowych systemach teleinformatycznych. 

§ 2

1. W związku z wejściem w życie  z dniem 1 stycznia 2024 r. art. 2  pkt 1 ustawy z dnia 7 lipca 2023 r. o zmianie ustawy - Kodeks postępowania cywilnego, ustawy - Prawo o ustroju sądów powszechnych, ustawy - Kodeks postępowania karnego oraz niektórych innych ustaw (Dz. U. z 2023 r. poz. 1860), dalej zwaną „ustawą zmieniającą”, z dniem 1 stycznia 2024 r. przyjmuje się do stosowania w Sądzie Rejonowym w Zwoleniu postanowienia zebrane w dokumencie „Zasady wpóładministrowania” w zakresie dotyczącym realizacji zadań, o których mowa w art. 2  pkt 1 ustawy zmieniającej.
2. Z dniem 14 marca 2024 r., w związku z wejściem w życie przepisu art. 2 pkt 15 ustawy zmieniającej, postanowienia zebrane w dokumencie „Zasady wpóładministrowania” przyjmuje się do stosowania w Sądzie Rejonowym w Zwoleniu w pełnym zakresie.

§ 3

Niniejsze zarządzenie wraz z załącznikiem nr 1 podlega publikacji na stronie BIP Sądu Rejonowego w Zwoleniu (www.zwolen.sr.gov.pl).

§ 4

Zarządzenie wchodzi w życie z dniem podpisania.

 

Dyrektor Sądu Okręgowego

w Radomiu

Monika Maciąg

 

 

Prezes Sądu Rejonowego

w Zwoleniu

                           Piotr Chudzio

 

 

                                                                      

 

Zał. nr 1

 

 

ZASADY WSPÓŁADMINISTROWANIA

 

 

 

Preambuła 

 

1. 1. Administratorzy danych osobowych, identyfikowani jako Współadministratorzy danych przetwarzanych w sądowych systemach teleinformatycznych (zwani dalej również: Stronami), kierując się potrzebą określenia odpowiednich zakresów swojej odpowiedzialności dotyczącej wypełniania obowiązków wynikających z art. 26 Rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych; RODO) oraz dążeniem do zapewnienia najwyższych gwarancji ochrony danych osobowych w sądowych systemach teleinformatycznych, w wyniku wspólnych uzgodnień wypracowali niniejszy dokument (zwany dalej: Zasadami współadministrowania).
   2. Niniejszy dokument odzwierciedla odpowiednie zakresy obowiązków i odpowiedzialności Współadministratorów oraz relacje pomiędzy nimi a podmiotami, których dane przetwarzane są w sądowych systemach teleinformatycznych.
   3. Zasadnicza treść uzgodnień będzie udostępniana podmiotom, których dane przetwarzane są w sądowych systemach teleinformatycznych. Udostępnienie nastąpi w formie publikacji na stronach podmiotowych BIP  sądów oraz Ministerstwa Sprawiedliwości.
   4. Niniejsze uzgodnienia stanowią podstawę do wypracowania wspólnych uzgodnień pomiędzy Współadministratorami danych identyfikowanymi w procesach przetwarzania danych osobowych realizowanych na obszarze właściwości poszczególnych sądów apelacyjnych i nie stoją na przeszkodzie bardziej szczegółowemu uregulowaniu tych zasad współadministrowania pomiędzy nimi, a wynikających ze specyfiki tych jednostek i możliwości organizacyjno-technicznych. 
   5. Realizacja postanowień niniejszego dokumentu nie może naruszać niezawisłości sędziowskiej oraz konstytucyjnej zasady trójpodziału władzy.

 

• 1.

Podstawa prawna

 

Współadministratorzy, przetwarzając dane osobowe, regulują zasady dotyczące tego przetwarzania tak, aby odpowiadały one w pełni przepisom:

1. 1. Zarządzenia Ministra Sprawiedliwości z dnia 29 lipca 2022 roku w sprawie powierzenia sądom apelacyjnym wykonywania czynności związanych z projektowaniem, wdrażaniem i utrzymywaniem systemów teleinformatycznych (Dz. Urz. MS z 2022 r. poz. 155 z uwzględnieniem aktów zastępujących albo zmieniających uregulowany w zarządzeniu zakres; zwane dalej: Zarządzeniem);
   2. Rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679   z dnia 27 kwietnia 2016 roku w sprawie ochrony osób fizycznych w związku   z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych; zwane dalej: RODO);
   3. Ustawy z dnia 10 maja 2018 roku o ochronie danych osobowych (Dz. U z 2018 r. poz. 1000, tj. Dz. U z 2019 r. poz. 1781);
   4. Ustawy z dnia 14 grudnia 2018 roku o ochronie danych osobowych przetwarzanych w związku z zapobieganiem i zwalczaniem przestępczości (Dz. U. z 2019 r. poz.125, tj. Dz. U z 2023 r. poz. 206; zwana dalej: uDODO);
   5. Ustawy z dnia 27 lipca 2001 r. - Prawo o ustroju sądów powszechnych (Dz. U z 2001 r. poz. 1070, tj. Dz. U z 2023 poz. 217 z późn. zm.; zwana dalej: PUSP);
   6. Ustawy z dnia 5 lipca 2018 r. o krajowym systemie cyberbezpieczeństwa (t.j. Dz.U. z 2023 r. poz. 913) z późn. zm.; zwana dalej: UCyber);
   7. oraz innych przepisów w zakresie ochrony danych osobowych,

a także by spełniały wymagania bezpieczeństwa informacji i cyberbezpieczeństwa przewidziane dla tego typu systemów teleinformatycznych oraz uwzględniały zalecenia i rekomendacje wydawane przez właściwe w tym obszarze podmioty i instytucje.

 

• 2.

Cele przetwarzania

 

Poszczególni Współadministratorzy identyfikują następujące cele przetwarzania:

1. realizacja ustawowo określonych kompetencji w zakresie informatyzacji sądownictwa i współdziałanie w tym obszarze poprzez centralizację sądowych systemów teleinformatycznych i zasobów teleinformatycznych zmierzającą do budowy jednolitego scentralizowanego środowiska teleinformatycznego służącego do bezpiecznego przetwarzania danych, w tym w szczególności danych osobowych; 
2. współdziałanie przy realizacji zadań i obowiązków dotyczących utrzymania i rozwoju sądowych systemów teleinformatycznych oraz infrastruktury niezbędnej do zapewnienia właściwego funkcjonowania tych systemów, w szczególności tych, o których mowa w Zarządzeniu;
3. współdziałanie w zakresie dostępu do danych, w tym danych osobowych, w zakresie niezbędnym do wykonywania czynności służbowych przez administratorów systemów teleinformatycznych;
4. współdziałanie w zakresie informatyzacji sądownictwa mające na celu optymalizację kosztów funkcjonowania resortu sprawiedliwości;
5. zapewnienie jednolitego poziomu świadczonych usług, obsługi sądowych systemów teleinformatycznych i zapewnienia bezpieczeństwa informacji i ochrony danych osobowych przetwarzanych w tych systemach;
6. dążenie do uregulowania zasad dotyczących funkcjonowania, utrzymania i korzystania z sądowych systemów teleinformatycznych, aby odpowiadały one w pełni przepisom o ochronie danych osobowych, a także by spełniały wymagania bezpieczeństwa informacji i cyberbezpieczeństwa przewidziane dla tego typu systemów oraz uwzględniały zalecenia i rekomendacje wydawane przez właściwe w tym obszarze podmioty i instytucje.

 

• 3.

Współadministratorzy

 

1. Na potrzeby niniejszego dokumentu identyfikuje się administratorów danych dokonujących:

1. przetwarzania podstawowego lub merytorycznego (tzw. administratorzy merytoryczni) – realizowanego w oparciu o kompetencje regulowane właściwymi przepisami prawa przez odpowiednio Ministra Sprawiedliwości oraz poszczególne sądy korzystające z sądowych systemów teleinformatycznych (np. sprawowanie wymiaru sprawiedliwości, działalność administracyjna, czynności kadrowo – finansowe, itp.) ; 
2. przetwarzania pomocniczego lub technicznego (tzw. administratorzy techniczni) – realizowanego przez dyrektorów sądów apelacyjnych i odpowiednio Ministra Sprawiedliwości w ramach ustawowych i powierzonych zadań związanych z informatyzacją sądownictwa lub obsługą informatyczną sądów; administrator techniczny realizuje zadania związane z informatyzacją sądownictwa, w tym zapewnia bezpieczne i zgodne z prawem przetwarzanie danych osobowych w sądowych systemach teleinformatycznych.

2. Administratorzy ci wspólnie identyfikowani są jako Współadministratorzy  danych osobowych przetwarzanych w sądowych systemach teleinformatycznych.

 

 

• 4.  

Sądowe systemy teleinformatyczne

 

1. Na potrzeby niniejszego dokumentu identyfikuje się sądowe systemy teleinformatyczne, dla których zastosowanie mają poczynione w niniejszym dokumencie wspólne uzgodnienia Współadministratorów:
   1. sądowe systemy teleinformatyczne o zasięgu ogólnokrajowym, wdrażane i utrzymywane przez Ministra Sprawiedliwości na podstawie art. 175da § 1 PUSP lub powierzone do utrzymania dyrektorom właściwych sądów apelacyjnych na podstawie art. 175da § 7 PUSP, udostępniane do korzystania wszystkim sądom powszechnym z obszaru całego kraju (tzw. systemy centralne);
   2. sądowe systemy teleinformatyczne centralizowane na obszarze apelacji – utrzymywane i administrowane w ustalony na obszarze apelacji sposób przez dyrektora sądu apelacyjnego w oparciu o art. 31a § 1a PUSP;
   3. sądowe systemy teleinformatyczne lokalne, dla których określono, że dyrektor sądu apelacyjnego zapewnia utrzymanie lub obsługę informatyczną w oparciu o art. 31a § 1a PUSP.
2. Administratorzy przetwarzający dane w sądowych systemach teleinformatycznych określonych w ust. 1 wspólnie identyfikowani są jako Współadministratorzy dla tych danych osobowych.
3. Strony współużytkują sądowe systemy teleinformatyczne. Systemy,  o których mowa w ust. 1 pkt 1 powyżej  wskazane zostały w Załączniku nr 1 do niniejszego dokumentu – „Wykaz sądowych systemów teleinformatycznych (centralnych)”.
4. Dyrektorzy sądów apelacyjnych tworzą wykazy systemów, o których mowa w ust. 1 pkt 2 i 3 powyżej, użytkowanych na obszarze danej apelacji.

 

• 5.

Oświadczenia Współadministratorów

 

1. 1. Współadministratorzy wspólnie ustalają cele oraz sposoby przetwarzania danych w sądowych systemach teleinformatycznych na zasadach współadministrowania w rozumieniu art. 26 RODO i art. 33 uDODO.
   2. Strony oświadczają, że dołożą wszelkich starań, aby współpraca podjęta w ramach czynności regulowanych niniejszym dokumentem skutkowała podniesieniem poziomu bezpieczeństwa sądowych systemów teleinformatycznych i zgromadzonych w nich danych osobowych.
   3. Każdy ze Współadministratorów wyznaczył inspektora ochrony danych osobowych, którego dane kontaktowe umieszczone są na stronach podmiotowych BIP sądów oraz Ministerstwa Sprawiedliwości.

 

• 6.

Opis przetwarzania oraz podział obowiązków pomiędzy Współadministratorów

 

1. Na warunkach określonych niniejszym dokumentem, Współadministratorzy przetwarzają dane osobowe wprowadzone do sądowych systemów teleinformatycznych.
2. Współadministratorzy wykonują prawa administratora danych w sądowych systemach teleinformatycznych w rozumieniu RODO tylko w zakresie operacji i czynności na danych osobowych, za które odpowiadają, zaś charakter i cel przetwarzania określony jest rolą, jaką Współadministratorom przyznaje się w sądowych systemach teleinformatycznych na potrzeby realizacji przypisanych zadań, tj. administratora merytorycznego lub administratora technicznego.
3. Współadministratorzy przetwarzając dane osobowe w sądowych systemach teleinformatycznych  zobowiązani są do:

1. wdrożenia i stosowania odpowiednich środków technicznych i organizacyjnych w celu zapewnienia bezpieczeństwa danych osobowych we wdrażanych, utrzymywanych i użytkowanych sądowych systemach teleinformatycznych, spełniających wszystkie wymogi zapisów RODO, uDODO i pozostałych przepisów w zakresie ochrony danych osobowych, a także wymagania przewidziane dla bezpieczeństwa informacji i  UCyber;
2. zagwarantowania zdolności do ciągłego zapewnienia poufności, integralności, dostępności i odporności sądowych systemów teleinformatycznych, a także zdolności do szybkiego przywrócenia dostępności danych osobowych w razie incydentu lub naruszenia ochrony danych osobowych;
3. regularnego testowania, mierzenia i oceniania skuteczności środków technicznych i organizacyjnych mających zapewnić bezpieczeństwo przetwarzania, uwzględniając przy tym stan wiedzy technicznej, koszty oraz charakter, zakres, kontekst i cele przetwarzania danych osobowych oraz ryzyko naruszenia praw lub wolności osób fizycznych o różnym prawdopodobieństwie wystąpienia i wadze;
4. wzajemnego, niezwłocznego informowania się o zidentyfikowanych ryzykach, bądź podatnościach mających wpływ na przetwarzanie danych w użytkowanych sądowych systemach teleinformatycznych.

4. Każdy ze Współadministratorów jest zobowiązany do wdrożenia środków organizacyjnych, a także  mechanizmów uwierzytelniania oraz nadzoru działań w sądowych systemach teleinformatycznych, w szczególności przez:

1. zabezpieczenie danych osobowych przed ich udostępnieniem osobom nieupoważnionym, zabraniem przez osobę nieuprawnioną, przetwarzaniem z naruszeniem RODO, zmianą, utratą, uszkodzeniem lub zniszczeniem;
2. przeszkolenie w zakresie przepisów dot. ochrony danych osobowych oraz zasad ochrony danych osobowych obowiązujących u danego Współadministratora przed dopuszczeniem do pracy każdej osoby, której właściwy Współadministrator nadaje uprawnienia dostępowe do danych osobowych;
3. stosowanie procedur nadawania,  odbierania i modyfikowania uprawnień dostępowych, z uwzględnieniem zapisów § 9,  w tym zapewnienie, że dostęp do danych osobowych posiadają wyłącznie osoby upoważnione do ich przetwarzania;
4. zapewnienie kontroli nad prawidłowością przetwarzania danych osobowych;
5. dochowanie szczególnej staranności aby osoby upoważnione do przetwarzania danych osobowych zachowały te dane oraz sposoby ich zabezpieczenia w tajemnicy, również po zakończeniu powierzonych do realizacji czynności;
6. prowadzenie dokumentacji opisującej sposób przetwarzania danych osobowych oraz zastosowanych środków technicznych i organizacyjnych zapewniających ochronę informacji w sądowych systemach teleinformatycznych.

5. Właściwi administratorzy techniczni odpowiadają, za zapewnienie odpowiednich obiektów, instalacji lub urządzeń infrastruktury telekomunikacyjnej wraz z odpowiednią przestrzenią dyskową (zapewniają w szczególności: (1) bezpieczeństwo fizyczne obiektu z posadowioną infrastrukturą techniczną; (2) serwery z oprogramowaniem i konfiguracją służącą do prawidłowego działania sądowego systemu teleinformatycznego; (3) infrastrukturę zasilającą i sieciową; (4) wykonanie kopii zapasowych, a także odpowiednią obsługę administratorską - realizowaną w przypadku Ministra Sprawiedliwości samodzielnie lub przez dyrektora sądu apelacyjnego wskazanego w Zarządzeniu - gwarantującą zachowanie wszystkich funkcjonalności sądowych systemów teleinformatycznych oraz zapewniającą wydajność, bezpieczeństwo, dostępność, integralność i niezawodność.
6. W zakresie sądowych systemów teleinformatycznych, o których mowa w Zarządzeniu, za czynności opisane w ustępie powyżej odpowiada, zgodnie z Zarządzeniem:

1. Minister Sprawiedliwości dla systemów centralnych, dla których w załączniku nr 1 do niniejszych Zasad został wskazany jako administrator techniczny, z wyłączeniem czynności administrowania systemem w przypadku tych systemów, dla których w załączniku nr 1 jako odpowiedzialny za administrowanie wskazany został dyrektor danego sądu apelacyjnego;
2. dyrektor sądu apelacyjnego dla systemów centralnych, dla których w załączniku nr 1 do niniejszych Zasad został wskazany jako administrator techniczny oraz dla systemów teleinformatycznych scentralizowanych w danej apelacji; rodzaj i zakres czynności realizowanych  w lokalnych systemach teleinformatycznych zostanie określony na obszarze danej apelacji.

7. Minister Sprawiedliwości w odniesieniu do administrowanych systemów centralnych i odpowiednio dyrektor sądu apelacyjnego, któremu na podstawie Zarządzenia powierzono administrowanie w systemach centralnych uprawniony jest do inicjowania działań zmierzających do podnoszenia standardów bezpieczeństwa w tych systemach oraz dokumentowania tego procesu, ponadto zobowiązany jest do opracowywania, wdrażania, udostępniania i przechowywania dokumentacji bezpieczeństwa informacji związanej z administrowaniem systemem centralnym.
8. Dyrektorom sądów apelacyjnych w odniesieniu do systemów centralizowanych na obszarze apelacji przysługują kompetencje analogiczne, jak opisane w ustępie powyżej. Dokumentacja ta opracowywana jest sukcesywnie i w zakresie uzasadnionym potrzebami, okolicznościami i warunkami organizacyjno-technicznymi.
9. Każdy z identyfikowanych podmiotów odpowiedzialnych za administrowanie systemami centralnymi wskazanymi w załączniku nr 1 do niniejszych Zasad zobowiązany jest uzupełnić dokumentację, o której mowa w ust. 7 w terminie 1 roku od daty wejścia w życie niniejszych Zasad.
10. Współadministratorzy danych, identyfikowani w procesach przetwarzania danych w sądowych systemach teleinformatycznych scentralizowanych na obszarze danej apelacji, uprawnieni są do powoływania zespołów administratorów, inspektorów ochrony danych oraz innych według identyfikowanych potrzeb i możliwości organizacyjnych.
11. Współadministratorzy realizują obowiązki wynikające z niniejszego dokumentu kierując się dokumentacją, o której mowa w ust. 7 i 8 oraz własną wewnętrzną dokumentacją, w tym politykami, procedurami regulującymi ochronę informacji i danych osobowych.
12. Współadministratorzy zapewniają, że wszyscy pracownicy są regularnie szkoleni z zakresu ochrony danych osobowych, w szczególności w zakresie procedur ich zabezpieczania i przetwarzania zgodnie z zapisami niniejszego dokumentu i regulacjami wewnętrznymi danego Współadministratora.
13. Zmiany wprowadzane w dokumentacji o której mowa w ust. 7 i 8 poprzedza się w miarę możliwości konsultacjami z pozostałymi Współadministratorami, w szczególności jeśli te zmiany mogłyby wpłynąć na bezpieczeństwo wykonywanego przez nich przetwarzania danych osobowych, a także aby zapewnić spójność z obowiązującą u nich dokumentacją.

 

• 7.

Zachowanie poufności

 

1. 1. Współadministratorzy zobowiązani są do zachowania w tajemnicy wszelkich informacji uzyskanych w związku z przetwarzaniem danych osobowych w sądowych systemach teleinformatycznych oraz sposobów ich zabezpieczenia i bezpieczeństwa związanych z nimi pozostałych usług.
   2. Współadministratorzy są odpowiedzialni za zobowiązanie swoich pracowników, współpracowników, przedstawicieli lub podwykonawców do przestrzegania zasad poufności określonych w niniejszym dokumencie.
   3. Obowiązki Współadministratorów do zachowania poufności danych osobowych, sposobów ich zabezpieczenia i bezpieczeństwa związanych z nimi usług pozostają w mocy bezterminowo.

 

• 8.

Obsługa incydentów i naruszeń ochrony danych przetwarzanych w sądowych systemach teleinformatycznych

 

1. 1. Współadministratorzy zobowiązują się niezwłocznie informować Współadministratorów (których skutki zdarzenia mogą dotknąć lub których udział jest niezbędny w zapobieżeniu dalszym negatywnym skutkom, współpracy lub ocenie zdarzenia) o podejrzeniu wystąpienia zdarzenia w sądowych systemach teleinformatycznych, które może wywoływać negatywne skutki dla podmiotów danych przetwarzanych w tych systemach, o ile to możliwe, w ciągu 24 godzin od powzięcia wiedzy o takim zdarzeniu, z zastrzeżeniem ust. 6.
   2. Współadministratorzy, o których mowa w ust. 1 podejmą niezwłocznie działania w celu ustalenia miejsca i zakresu zdarzenia, ustalenia przyczyn zaistniałego zdarzenia oraz wszystkich sądów powszechnych dotkniętych skutkami zdarzenia. Ustalenia powyższe odbywają się z udziałem inspektorów ochrony danych tych sądów powszechnych dotkniętych skutkami zdarzenia i administratorów systemu właściwych dla danego sądowego systemu teleinformatycznego, którego dotyczy zdarzenie.
   3. W przypadku, gdy zdarzenie skutkuje naruszeniem ochrony danych osobowych, Współadministratorzy, o których mowa w ust. 1 uzgadniają odpowiedzialnego za wywiązanie się z obowiązków, o których mowa w art. 33 RODO (w tym odpowiedniego dokonania zgłoszenia naruszenia ochrony danych organowi nadzorczemu) oraz art. 34 RODO (poinformowania o zaistniałym naruszeniu podmiotów danych), przy czym obowiązek poinformowania wynikający z art. 34 RODO będzie realizował każdorazowo ten ze Współadministratorów (wykonujący przetwarzanie merytoryczne), który wprowadził dane do sądowego systemu teleinformatycznego. 
   4. Współadministratorzy, o których mowa w ust. 3 zobowiązują się do informowania wzajemnego o realizacji obowiązków określonych w tym ustępie.
   5. Współadministratorzy, o których mowa w ust. 1 współpracują ze sobą w celu ustalenia wszystkich faktów niezbędnych do udokumentowania i dokonania zgłoszenia, o którym mowa w art. 33 RODO i realizacji obowiązku wynikającego z art. 34 RODO oraz ograniczenia lub eliminacji negatywnych skutków oraz wyeliminowania ryzyka ponownego wystąpienia zdarzenia w przyszłości.
   6. Jeżeli zdarzenie stanowi incydent bezpieczeństwa lub naruszenie ochrony danych osobowych zaistniałe w wyniku błędu pracownika sądu dokonującego przetwarzania merytorycznego lub technicznego i zdarzenie to ma charakter lokalny nie ma konieczności informowania pozostałych Współadministratorów. Na potrzeby niniejszego dokumentu uznaje się,  że charakter lokalny mają zdarzenia nie mające wpływu na bezpieczeństwo sądowego systemu teleinformatycznego i pozostałych danych osobowych przetwarzanych w tym systemie, związane z nieprawidłowym usunięciem, udostępnieniem, przesłaniem lub zmianą danych osobowych wprowadzonych do systemu przez Współadministratora merytorycznego, a skutki tego zdarzenia mogą być usunięte lub ograniczone przez tego Współadministratora.

 

• 9.  

Upoważnienia do przetwarzania danych osobowych w sądowych systemach teleinformatycznych

 

1. Administrator, który realizuje przypisany mu proces przetwarzania danych osobowych, upoważnia do przetwarzania danych osobowych wszystkie osoby, które pod jego nadzorem wykonują  operacje przetwarzania danych składające się na realizowany proces - tj.:
   1. Administrator merytoryczny (sądy i właściwe ich organy) – upoważnia osoby do przetwarzania danych osobowych, które kieruje do wykonywania czynności w ramach przetwarzania merytorycznego (w szczególności pracowników lub osoby  wykonujące zadania w oparciu o inną podstawę prawną - np. umowę cywilno-prawną - na zasadach jak pracownicy);
   2. Administrator techniczny (dyrektor sądu apelacyjnego lub Minister Sprawiedliwości) – upoważnia osoby do przetwarzania danych osobowych, które kieruje do wykonywania czynności w ramach przetwarzania technicznego (w szczególności pracowników lub osoby  wykonujące zadania w oparciu o inną podstawę prawną - np. umowę cywilno-prawną – na zasadach jak pracownicy), tj. odpowiednio informatyzacji sądownictwa, obsługi informatycznej z uwzględnieniem odstępstw i ograniczeń wynikających z przepisów prawa (m.in. zasady trójpodziału władzy, ustawowego zakazu dostępu do akt postępowań) oraz z przyjętej odmiennej struktury systemu, np. Krajowy Rejestr Karny albo odmiennych warunków organizacyjno- technicznych przyjętych w danej apelacji.
2. Administrator, który upoważnił osobę do przetwarzania danych osobowych, organizuje pracę tej osoby, powierza czynności służbowe i rozlicza z ich wykonania oraz wyciąga ewentualne konsekwencje służbowe. Tym samym uznaje się, że dopuszczenie kadry informatycznej sądu apelacyjnego do realizacji zadań z zakresu informatyzacji sądownictwa i obsługi informatycznej w pozostałych sądach powszechnych z obszaru właściwości tego sądu apelacyjnego nie wymaga nadawania dodatkowego upoważnienia do przetwarzania danych osobowych przez dyrektora czy prezesa tego sądu.  
3. Forma upoważnienia do przetwarzania danych osobowych nie jest zastrzeżona w przepisach, Współadministratorzy nie zastrzegają jej również w niniejszym dokumencie. Celem Współadministratorów jest, aby forma ta zapewniała rozliczalność celu i zakresu przetwarzanych danych osobowych.
4. Za  równoważne papierowej postaci upoważnienia (które może przyjąć formę zarządzenia, dokumentu upoważnienia, zakresu obowiązków, itp.) uważa się elektroniczną jego postać. Za równoważne nadaniu upoważnienia uważa się w szczególności nadanie ról (i odpowiednich uprawnień) w Systemie Zarządzania Tożsamością – dalej SZT (poprzez proces wnioskowania tzw. workflow SZT) lub systemie równoważnym (np. e-wniosek), bowiem proces ten pozwala określić zakres ról (i odpowiednio przypisanych uprawnień) w sądowych systemach teleinformatycznych, zapewnia, że właściwe organy sądu lub upoważnione przez nie osoby wnioskują i zatwierdzają wniosek.
5. Nadawanie ról (i odpowiednich uprawnień) kadrze informatycznej sądu apelacyjnego (zatrudnianej po dniu 1 stycznia 2024 r.) do sądowych systemów teleinformatycznych pozostałych sądów powszechnych z obszaru danej apelacji, w celu realizacji zadań z zakresu informatyzacji sądownictwa lub obsługi informatycznej, będzie się odbywało przez workflow SZT. Proces workflow  SZT zapewni, że kierownictwo sądu będzie informowane o fakcie wyznaczenia pracownika do obsługi informatycznej tego sądu. Proces ten inicjowany jest przez sąd apelacyjny (dyrektora sądu apelacyjnego na podstawie PUSP lub inną wyznaczoną do tego celu osobę).
6. Administrator merytoryczny odpowiada za zarządzanie dostępami pozostałych pracowników upoważnianych do realizacji czynności w ramach przetwarzania merytorycznego w ramach tej jednostki, a także za ograniczenie dostępu do sądowych systemów teleinformatycznych wyłącznie do osób, dla których dostęp taki jest niezbędny w celu realizacji przypisanych im obowiązków służbowych lub innych zleconych do realizacji zadań.
7. Proces upoważniania do przetwarzania danych osobowych w ramach przetwarzania merytorycznego inicjuje właściwy przełożony (w imieniu administratora merytorycznego) tego pracownika lub inna upoważniona do tego osoba.
8.  Złożenie wniosku o nadanie ról (i odpowiednich uprawnień) i jego zaakceptowanie w workflow SZT jest tożsame z wydaniem upoważnienia.
9. Role (i odpowiednie uprawnienia) w sądowych systemach teleinformatycznych lub procesach przetwarzania danych osobowych, które nie są zintegrowane lub obsługiwane w ramach workflow SZT, nadawane mogą być zgodnie z obowiązującą dotychczas w sądach procedurą. W przypadku, w którym procesu nadawania ról (i odpowiednio uprawnień) nie realizuje się przez workflow SZT lub inny równoważny system, administratorzy prowadzą elektroniczną ewidencję uprawnień w przyjęty w sądzie sposób, która powinna być odpowiednio archiwizowana. Formę i wzór upoważnienia pozostawia się w takim wypadku do decyzji poszczególnych administratorów, pod warunkiem, że jest zgodny z obowiązującymi w jednostkach wewnętrznymi procedurami.
10. Nadanie upoważnienia do przetwarzania danych osobowych powinno zostać poprzedzone odebraniem zobowiązania do zachowania poufności i zapoznania się z właściwą dokumentacją bezpieczeństwa obowiązującą u administratora danych, który nadaje upoważnienie. O ile proces ten obsługiwany jest w SZT, nie wymaga dodatkowych oświadczeń i realizowany jest wyłącznie w tym systemie.
11. Proces upoważniania w Ministerstwie Sprawiedliwości nie jest regulowany niniejszym dokumentem i odbywa się na zasadach przyjętych w tej jednostce.

 

• 10.

Obowiązki informacyjne Współadministratorów

 

1. Administrator merytoryczny odpowiada za zgodne z prawem zbieranie i utrwalanie danych osobowych, a także wykonywanie dalszych operacji na danych osobowych swojej jednostki wprowadzonych do sądowych systemów teleinformatycznych. Administrator merytoryczny zarządza danymi osobowymi swojej jednostki wprowadzonymi do sądowych systemów teleinformatycznych, w tym odpowiada za realizację zasady minimalizacji tych danych, ograniczenia przetwarzania oraz za ich prawidłowość i rzetelność.
2. Administrator merytoryczny odpowiada za realizację obowiązków informacyjnych przewidzianych w art. 13 i 14 RODO w odniesieniu do podmiotów danych, których dane wprowadza do sądowych systemów teleinformatycznych.
3. Na administratorze merytorycznym spoczywa obowiązek odpowiadania na żądania osoby, której dane wprowadza i przetwarza w sądowych systemach teleinformatycznych w zakresie wykonywania jej praw określonych w rozdziale III RODO, a administrator techniczny zobowiązuje się udzielać pomocy administratorowi merytorycznemu przy realizacji tych praw w sytuacji, gdy pomoc taka okaże się niezbędna.
4. Współadministratorzy będą współpracowali przy zapewnieniu realizacji obowiązków wynikających z art. 32–36 RODO.
5. Współadministratorzy zobowiązują się udzielać sobie nawzajem wszelkich informacji niezbędnych dla wykazania wywiązania się z obowiązków określonych w RODO, uDODO, a także zobowiązani są, bez zbędnej zwłoki, powiadomić właściwych pozostałych Współadministratorów o  wszelkich skargach, pismach, kontrolach organu nadzorczego, o postępowaniach sądowych i administracyjnych pozostających w związku z realizacją zasad współadministrwania oraz udostępnić na wniosek drugiego Współadministratora  wszelką dokumentację z tym związaną, o ile nie istnieją ku temu przeszkody natury prawnej.
6. Każdy ze Współadministratorów zobowiązuje się do współpracy i wzajemnego wsparcia w razie postępowania przed organem nadzorczym lub sporu sądowego z podmiotem danych, którego dane przetwarzane są w oparciu o zasady współadministrowania.
7. Każdy ze Współadministratorów odpowiada za szkody spowodowane swoim działaniem w związku z niedopełnieniem obowiązków, które RODO, uDODO nakłada bezpośrednio na administratora, jak i za szkody spowodowane niezastosowaniem adekwatnych środków bezpieczeństwa.
8. Każdy ze Współadministratorów  odpowiada za działanie i zaniechanie osób, przy pomocy których będzie dokonywał przetwarzania danych osobowych w sądowych systemach teleinformatycznych, jak za działanie lub zaniechanie własne.

 

• 11.

Powierzenie przetwarzania danych osobowych

 

1. 1. Współadministratorzy, w celu realizacji przypisanych im ustawowo zadań (przetwarzania merytorycznego lub przetwarzania technicznego), mogą powierzyć przetwarzanie danych osobowych w sądowych systemach teleinformatycznych – co do którego identyfikowani są jako administratorzy - w drodze umowy zawartej w formie pisemnej, w tym elektronicznej lub odpowiednio przyjętych klauzul umownych innym podmiotom przetwarzającym, na co pozostali Współadministratorzy niniejszym wyrażają zgodę. Każdy ze Współadministratorów może powierzyć przetwarzanie danych osobowych tylko w zakresie, w jakim przetwarzanie to przysługuje temu Współadministratorowi.
   2. Dokonując powierzenia, Współadministratorzy stosują w szczególności art. 28 ust. 4 i art. 32 ust. 2 i 4 RODO oraz odpowiednio inne przepisy o ochronie danych osobowych.
   3. Strona powierzająca przetwarzanie danych osobowych ma obowiązek zobowiązać podmiot przetwarzający do realizacji obowiązków w zakresie ochrony danych osobowych i bezpieczeństwa informacji wynikających z powszechnie obowiązujących przepisów, polityk i instrukcji obowiązujących u strony powierzającej, a udostępnionych podmiotowi przetwarzającemu oraz innych dokumentów, o ile dotyczą tego przetwarzania ze względu na naturę konkretnego powierzenia lub obowiązku.
   4. Współadministratorzy nie przewidują powierzenia danych osobowych podmiotowi przetwarzającemu z państwa trzeciego (tj. spoza Unii Europejskiej/Europejskiego Obszaru Gospodarczego) bez wcześniejszej analizy ewentualnych ryzyk z tym związanych i zastosowania adekwatnych do tych ryzyk zabezpieczeń techniczno-organizacyjnych i prawnych.
   5. W przypadku zlecenia przez jednego ze Współadministratorów czynności podmiotowi przetwarzającemu z państwa trzeciego (tj. spoza Unii Europejskiej/Europejskiego Obszaru Gospodarczego), strona powierzająca stosuje mechanizmy przesyłania danych zgodnie z art. 44 i następnymi RODO. W szczególności strona powierzająca w wystarczający sposób zabezpiecza wdrożenie odpowiednich środków technicznych i organizacyjnych, aby przetwarzanie danych spełniało wymagania RODO, zapewnia ochronę praw osób, których dane dotyczą oraz dysponuje dokumentacją stosownych zabezpieczeń.
   6. Jeżeli podmiot przetwarzający nie wywiąże się ze spoczywających na nim obowiązków, pełna odpowiedzialność za działania i zaniechania tego podmiotu spoczywa na tym Współadministratorze, który powierzył mu przetwarzanie danych osobowych.
   7. Współadministratorzy, w przyjęty między nimi sposób, informują się o podmiotach, którym powierzono przetwarzanie danych osobowych.
   8. Strona powierzająca ma obowiązek nadzorować i rozliczać podmiot przetwarzający z realizowanych przez niego czynności.
   9. Współadministratorzy ustalają, że w razie konieczności będą współpracowali w określony miedzy nimi sposób przy realizacji umowy powierzenia przetwarzania danych osobowych.

 

• 12.

Postanowienia końcowe

 

1. 1. Niniejszy dokument zaczyna obowiązywać z dniem 1 stycznia 2024 r. w zakresie zadań określonych w art. 31a  § 1a PUSP, w pozostałym zakresie z dniem 14 marca 2024 r.
   2. Postanowienia niniejszego dokumentu wygasają w przypadku i w zakresie, w jakim realizacja jego postanowień zostanie odpowiednio uregulowana w prawie krajowym lub unijnym.
   3. Integralną część niniejszego dokumentu stanowi załącznik nr 1 – Wykaz sądowych systemów teleinformatycznych (systemów centralnych). Zmiana treści tego załącznika nie stanowi  zmiany postanowień niniejszego dokumentu i może wynikać wyłącznie ze zmian Zarządzenia. Zmiana załącznika wymaga jedynie poinformowania wszystkich Współadministratorów.
   4. Niniejsze Zasady zastępują wszelkie umowy powierzenia przetwarzania danych osobowych zawarte miedzy Współadministratorami, które z dniem wejścia w życie niniejszych Zasad przestają obowiązywać. Niniejsze zasady zobowiązują do przeglądu wszelkich porozumień i innych uzgodnień w zakresie przetwarzania danych osobowych w sądowych systemach teleinformatycznych i ich dostosowania do obowiązujących przepisów prawa powszechnego i niniejszych Zasad.
   5. Każdy ze Współadministratorów ma prawo zgłoszenia propozycji zmian postanowień zawartych w niniejszym dokumencie. Wymagane jest aby projekt zmian poprzedzony był konsultacjami z pozostałymi Współadministratorami. Konsultacje przeprowadza Współadministrator wnioskujący o zmianę. Uzgodnioną zmianę wnioskujący przekazuje - za pośrednictwem właściwego dla niego Dyrektora Sądu Apelacyjnego - Ministrowi Sprawiedliwości  celem implementacji w niniejszych Zasadach.