Dziś, tj. 6 lutego 2019 r., weszła w życie ustawa z 14 grudnia 2018 r. o ochronie danych osobowych przetwarzanych w związku z zapobieganiem i zwalczaniem przestępczości (Dz.U. z 2019 r. poz. 125), wdrażająca do polskiego porządku prawnego dyrektywę 2016/680, zwana często tzw. „dyrektywą policyjną”.
Dyrektywa Parlamentu Europejskiego i Rady (UE) 2016/680 z 27 kwietnia 2016 r. reguluje sferę wyłączoną spod stosowania ogólnego rozporządzenia o ochronie danych (RODO), tj. w zakresie przetwarzania danych osobowych przez właściwe organy do celów zapobiegania przestępczości, prowadzenia postępowań przygotowawczych, wykrywania i ścigania czynów zabronionych lub wykonywania kar, w tym ochrony przed zagrożeniami dla bezpieczeństwa publicznego i zapobiegania takim zagrożeniom.
We wszystkich sprawach, w których przetwarzanie danych osobowych odbywa się w jednym z wymienionych celów, mają zastosowanie przepisy wdrażające dyrektywę. Natomiast w pozostałych sprawach stosuje się przepisy RODO. To oznacza, że te same podmioty w zależności od obszaru przetwarzania danych mogą być zobowiązane do przestrzegania przepisów ustawy z 14 grudnia 2018 r. o ochronie danych osobowych przetwarzanych w związku z zapobieganiem i zwalczaniem przestępczości, bądź RODO.
Jakie przepisy obowiązywały przed 6 lutego 2019 r.?
Do 24 maja 2018 r. ochrona danych przetwarzanych przez właściwe organy do celów zapobiegania przestępczości, prowadzenia postępowań przygotowawczych, wykrywania i ścigania czynów zabronionych lub wykonywania kar była kompleksowo uregulowana przepisami ustawy z 29 sierpnia 1997 r. o ochronie danych osobowych. Od 25 maja 2018 r. do 5 lutego 2019 r. te kwestie były regulowane utrzymanymi w mocy ustawą z 10 maja 2018 r. o ochronie danych osobowych (Dz.U. poz. 1000 ze zm.) przepisami ustawy z 29 sierpnia 1997 r. o ochronie danych osobowych.
Po co powstała ustawa wdrażająca dyrektywę policyjną?
Nowa ustawa wdraża dyrektywę 2016/680, a jej celem jest zapewnienie spójnego, wysokiego stopnia ochrony danych osobowych osób fizycznych oraz ułatwienie wymiany danych osobowych między właściwymi organami państw członkowskich oraz równorzędnego stopnia ochrony praw i wolności osób fizycznych w związku z przetwarzaniem danych osobowych. Z tego powodu wchodzące w życie przepisy ustawy wdrażającej dyrektywę 2016/680 zobowiązują administratora i podmiot przetwarzający do rzetelnego przetwarzania danych osobowych zgodnie z prawem, przy zachowaniu niezbędnych środków technicznych i organizacyjnych oraz do zabezpieczenia danych osobowych przy pomocy najnowszych środków technicznych. Niestety, ustawa nie w pełni wdraża standardy określone dyrektywą 2016/680.
Kogo dotyczy nowa ustawa?
Ustawa z 14 grudnia 2018 r. ustanawia zasady i warunki ochrony danych osobowych przetwarzanych w związku z działalnością organów powołanych do realizacji wskazanych w niej celów. Nie zawiera ona zamkniętego katalogu podmiotów, podlegających jej działaniu. Wynika to z wielości obszarów, których ustawa dotyczy, obejmujących przetwarzanie danych osobowych w związku z szeroko rozumianym zwalczaniem przestępczości, prowadzeniem postępowań karnych, wyrokowanie i wykonywaniem kar.
Ustawa reguluje nie tylko działalność organów ścigania, lecz również jednostek prokuratury oraz sądów w zakresie objętym ustawą. Nadzór nad przetwarzaniem danych osobowych, których administratorem są sądy i są przetwarzane:
- w postępowaniach sądowych w ramach sprawowania wymiaru sprawiedliwości albo realizacji zadań z zakresu ochrony prawnej;
- w ramach sprawowania wymiaru sprawiedliwości albo realizacji zadań z zakresu ochrony prawnej w systemach teleinformatycznych:
- obsługujących postępowania sądowe,
- w których są prowadzone rejestry sądowe,
- w których są prowadzone urządzenia ewidencyjne;
– został powierzony prezesom sądów wyższych instancji i Krajowej Radzie Sądownictwa, tak by chronić niezawisłość sędziów w wykonywaniu ich władzy. W tym zakresie nadzór nad działalnością sądów rejonowych sprawuje prezes sądu okręgowego, nad działalnością sądów okręgowych – prezes sądu apelacyjnego, natomiast nad działalnością sądów apelacyjnych – Krajowa Rada Sądownictwa.
Ponadto ustawy nie stosuje się w sprawach danych przetwarzanych przez:
- Agencję Bezpieczeństwa Wewnętrznego,
- Agencję Wywiadu,
- Służbę Kontrwywiadu Wojskowego,
- Służbę Wywiadu Wojskowego oraz
- Centralne Biuro Antykorupcyjne
– w zakresie zapewnienia bezpieczeństwa narodowego.
Ustawa reguluje zasady ochrony danych osobowych m.in. w odniesieniu do czynności operacyjno-rozpoznawczych, dochodzeniowo-śledczych i administracyjno-porządkowych, które są związane z zapobieganiem i zwalczaniem przestępczości.
Ustawa – niezgodnie z dyrektywą 2016/680 – wyłącza swoje zastosowanie do danych osobowych znajdujących się w aktach spraw lub czynności lub urządzeniach ewidencyjnych prowadzonych w postępowaniach:
- w stosunku do nieletnich,
- karnych, w tym karnych wykonawczych i karnych skarbowych,
- wobec osób z zaburzeniami psychicznymi stwarzającymi zagrożenie dla życia, zdrowia lub wolności seksualnej i innych osób.
Jakie rozwiązania przewiduje nowe prawo?
Wchodząca w życie ustawa z 14 grudnia 2018 r. określa zadania Prezesa Urzędu Ochrony Danych Osobowych związane ze stosowaniem wdrażanej regulacji. Dotyczy to uprawnienia w zakresie przeprowadzania kontroli przetwarzania danych osobowych, a także zasady przetwarzania danych, w tym danych wrażliwych, przesyłanie i udostępnianie danych innym właściwym organom, państwu trzeciemu lub organizacji międzynarodowej. Ustawa określa prawa osób, których dane dotyczą, m.in.:
- prawo do stosownych pouczeń przez administratora danych,
- prawo do informacji dotyczących przetwarzania danych (czy i jakie dane są przetwarzane, w jakim celu, jaka jest podstawa prawna przetwarzania, kto jest odbiorcą danych, jaki jest okres ich przechowywania).
W ustawie uregulowano szczegółowo obowiązki administratora i podmiotu przetwarzającego, w tym wskazano, jakie środki techniczne i organizacyjne powinny być stosowane w celu zapewnienia ochrony danych osobowych.
Ustawodawca odrębnie od RODO określa zasady wyznaczenia inspektora ochrony danych i wskazuje wymogi, które powinien spełniać.
Ustawa przewiduje kary za przetwarzanie danych, gdy do ich przetwarzania podmiot nie jest uprawniony lub gdy udaremnia, lub istotnie utrudnia przeprowadzenie kontroli przez Prezesa UODO. Są nimi: grzywna, kara ograniczenia wolności albo pozbawienie wolności do dwóch lat.
Ustawa wdrażająca dyrektywę 2016/680 tematem szkolenia dla IOD
O zasadach przetwarzania danych w świetle ustawy wdrażającej dyrektywę 2016/680 będziemy informować na bieżąco, a już 12 lutego dyrektywa będzie tematem szkolenia dla inspektorów ochrony danych, które Urząd Ochrony Danych organizuje w Warszawie. Szczegóły wydarzenia są dostępne pod linkiem: