Szum związany z wejściem w życie unijnego rozporządzenia dotyczącego ochrony danych osobowych (RODO) przyćmił wprowadzenie dyrektywy unijnej 2016/680 z dnia 27 kwietnia 2016 roku traktującej o ochronie osób fizycznych w związku z przetwarzaniem ochrony danych osobowych przez właściwe organy do celów zapobiegania przestępczości.
Powyższa dyrektywa zobowiązała polskiego ustawodawcę do wdrożenia przepisów dotyczących przetwarzania danych osobowych w związku z zapobieganiem i zwalczaniem przestępczości do swojego systemu prawnego. Na jej podstawie powstała ustawa z dnia 14 grudnia 2018 roku o ochronie danych osobowych w związku z zapobieganiem i zwalczaniem przestępczości (DODO). Weszła ona w życie 6 lutego 2019 roku.
Omawiana ustawa określa zasady i warunki ochrony danych osobowych przetwarzanych przez właściwe organy w celu rozpoznawania, zapobiegania, wykrywania i zwalczania czynów zabronionych, w tym zagrożeń dla bezpieczeństwa i porządku publicznego, a także wykonywania tymczasowego aresztowania, kar, kar porządkowych i środków przymusu skutkujących pozbawieniem wolności.
Należy zauważyć, że ustawa nie zawiera katalogu podmiotów, które są zobowiązane do jej stosowania. W celu jednak jednoznacznego stwierdzenia czy dany podmiot zobowiązany jest do stosowania omawianej ustawy niezbędne będzie przeanalizowanie, czy zadania wykonywane przez ten podmiot pokrywają się z zadaniami określonymi w art. 1 pkt 1 ustawy DODO. Prezes Urzędu Ochrony Danych Osobowych (będącym organem nadzorczym) wylicza następujący katalog podmiotów podlegających ustawie1 :
- Policja
- Straż Graniczna
- Służba Więzienna
- Żandarmeria Wojskowa
- Służba Ochrony Państwa
- Generalny Inspektor Informacji Finansowej
- Inspektor Nadzoru Wewnętrznego (Biura Nadzoru Wewnętrznego MSWiA)
- Krajowa Administracja Skarbowa
- straż gminna / miejska
- Inspekcja Drogowa
- Straż Ochrony Kolei
- Minister Środowiska
- Główny Inspektor Ochrony Środowiska
- Straż Rybacka
- Główny Inspektor Straży Leśnej
- Państwowa Straż Łowiecka
- Urząd Żeglugi Śródlądowej
- urzędy morskie
- Państwowa Inspekcja Sanitarna
- podmioty odpowiedzialne za bezpieczeństwo imprez masowych
- przewoźnicy lotniczy (dane PNR)
Warto podkreślić w tym miejscu wprowadzenie wyłączeń – ustawa nie może być bowiem stosowana do danych przetwarzanych w związku z zapewnieniem bezpieczeństwa narodowego, w tym w ramach realizacji zadań ustawowych służb takich jak: Agencji Bezpieczeństwa Wewnętrznego, Agencji
Wywiadu, Służby Kontrwywiadu Wojskowego, Służby Wywiadu Wojskowego i Centralnego Biura Antykorupcyjnego.
Na przepisy omawianej ustawy nie będziemy mogli się powołać w sytuacji, gdy nasze dane znajdują się w aktach spraw lub przetwarzane są z wykorzystaniem technik informatycznych na podstawie ustawy o postępowaniu w sprawach nieletnich, kodeksu karnego wykonawczego, kodeksu postępowania karnego, kodeksu karnego skarbowego, kodeksu postępowania w sprawach o wykroczenia, prawo o prokuraturze oraz w przypadku postępowań wobec zaburzeniami psychicznymi zagrożenie życia, zdrowia lub wolności seksualnej innych osób.
Dane osobowe na podstawie niniejszej ustawy powinny być przetwarzane wyłącznie w zakresie niezbędnym do zrealizowania uprawnień i spełnienia obowiązków wynikających z przepisów prawa i realizowanych przez określone organy. Ustawa dopuszcza przetwarzanie danych w innych celach, jeśli odrębne przepisy na to pozwalają oraz w przypadku, gdy jest to niezbędne i proporcjonalne w innym celu.
Magdalena Komosa
Ustawa określa katalog danych wrażliwych. Zalicza się do nich dane ujawniające pochodzenie rasowe, etniczne, poglądy polityczne, przekonania religijne, światopoglądowe, przynależności do związków zawodowych, a także dane genetyczne, biometryczne, dotyczące zdrowia oraz seksualności i orientacji seksualnej. Na mocy omawianej ustawy ich przetwarzanie jest niedopuszczalne z wyjątkiem sytuacji, gdy przepisy prawa zezwalają na ich przetwarzanie oraz gdy jest to niezbędne dla ochrony życia, zdrowia lub interesów osoby, której dane dotyczą lub innej osoby, a także sytuacji, kiedy osoba sama udostępniła te dane.
Ustawa DODO nakłada na Administratora (którym, w tym przypadku jest właściwy organ) obowiązek realizacji praw osób, których dane dotyczą. Na gruncie omawianej ustawy wyróżnia się:
- prawo do uzyskania informacji o przetwarzaniu danych osobowych,
- prawo dostępu do danych oraz uzyskania kopii lub wyciągu z danych,
- prawo do uzupełnienia, uaktualnienia lub sprostowania danych osobowych,
- prawo do usunięcia danych osobowych.
Osoba, której dane dotyczą ma także prawo do wniesienia skargi do organu nadzorczego.
Ważnym elementem jest także obowiązek informacyjny, który występuje również na podstawie ustawy DODO. Zgodnie z art. 22 omawianego aktu administrator będzie musiał spełnić obowiązek informacyjny w następujących sytuacjach:
- jako tzw. publiczny obowiązek informacyjny (art. 22 ust. 1 i ust. 2 ),
- w celu przekazania informacji w konkretnych przypadkach, aby umożliwić osobie, której dane są przetwarzane wykonanie przysługujących jej praw (art. 22 ust. 3),
- w celu zrealizowania obowiązku informacyjnego na wniosek podmiotu danych (art. 22 ust. 4).
Należy zaznaczyć, że treść klauzul informacyjnych realizujących obowiązek wynikający z przepisów DODO nie jest tożsama z wymaganymi na podstawie unijnego rozporządzenia RODO oraz wymaga każdorazowej weryfikacji.
W myśl ustawy nadzór nad przetwarzaniem danych, o czym wspomniano wcześniej, sprawuje Prezes Urzędu Ochrony Danych Osobowych. Ma on możliwość monitorowania i egzekwowania stosowania przepisów ustawy, przeprowadzania kontroli przetwarzania danych osobowych, a także rozpatrywania zażaleń osób, których dane osobowe są przetwarzane niezgodnie z prawem oraz prowadzenia postępowań w tym zakresie. Zasady i zakres przeprowadzania kontroli są tożsame z tymi wskazanymi w ustawie o ochronie danych osobowych. Zastosowano bowiem odesłanie do przepisów 9 Rozdziału ustawy o ochronie danych osobowych z dnia 10 maja 2018 r.
Kolejnym istotnym obowiązkiem administratora wynikającym z omawianej ustawy jest wyznaczenie inspektora ochrony danych osobowych. W tym przypadku- w odróżnieniu do RODO- taki obowiązek spoczywa na każdym administratorze, który zobowiązany jest do stosowania przepisów ustawy DODO. Stanowi o tym artykuł 46 tej ustawy.
Magdalena Komosa
Przepisy wynikające z rozporządzenia RODO oraz ustawy DODO są niezależnymi od siebie regulacjami obejmującymi materie ochrony danych osobowych, które pomimo posiadania cech wspólnych różnią się zakresem zastosowania. Zobowiązanie do stosowania DODO nie anuluje obowiązku przestrzegania przepisów rozporządzenia o ochronie danych osobowych. Mogą bowiem zdarzyć się sytuacje, gdzie organ będzie zobowiązany do przestrzegania także przepisów RODO, np. w stosunku do swoich pracowników.
1 https://uodo.gov.pl/pl/190/698- materiały dotyczące szkolenia dla IOD prowadzonego przez Urząd Ochrony Danych Osobowych
Zachęcamy również do przeczytania artykułu naszych ekspertów na temat ,,danych wrażliwych”
