Tryb i sposób działania inspektora ochrony danych w obszarze przetwarzania danych w związku z zapobieganiem i zwalczaniem przestępczości

A A A


W lutym 2019 r. Ministerstwo Spraw Wewnętrznych i Administracji skierowało do konsultacji międzyresortowych projekt rozporządzenia Prezesa Rady Ministrów w sprawie trybu i sposobu realizacji zadań przez inspektora ochrony danych. Do wydania takiego rozporządzenia obliguje art. 47 ust. 4 ustawy z 14.12.2018 r. o ochronie danych osobowych przetwarzanych w związku z zapobieganiem i zwalczaniem przestępczości (Dz.U. z 2019 r. poz. 125; dalej: ustawa). Przepis ten stanowi, że Prezes Rady Ministrów określi tryb i sposób realizacji zadań przez inspektora ochrony danych, uwzględniając konieczność zapewnienia prawidłowości realizacji zadań inspektora oraz niezależności i organizacyjnej odrębności w wykonywaniu przez niego zadań.


Dyrektywa policyjna

Ustawa stanowi kolejny element w polskim porządku prawnym, w zakresie ochrony danych osobowych osób fizycznych. Uchwalona została w celu wdrożenia Dyrektywy Parlamentu Europejskiego i Rady (UE) 2016/680 z 27.4.2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych przez właściwe organy do celów zapobiegania przestępczości, prowadzenia postępowań przygotowawczych, wykrywania i ścigania czynów zabronionych i wykonywania kar, w sprawie swobodnego przepływu takich danych oraz uchylająca decyzję ramową Rady 2008/977/WSiSW (Dz.Urz. UE L Nr 119, s. 89−131; dalej: dyrektywa ­policyjna).

W tym miejscu zastanowić się można nad celowością wydania dyrektywy policyjnej w sytuacji, gdy kompleksowe – jak się może zdawać – regulacje na temat ochrony osób fizycznych zawarte zostały w rozporządzeniu Parlamentu Europejskiego i Rady (UE) 2016/679 z 27.4.2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) (Dz.Urz. UE L Nr 119, s. 1−88; dalej: RODO).

Otóż państwa członkowskie Unii Europejskiej uznały – co wynika z motywu 10 preambuły do dyrektywy policyjnej – współpracę wymiarów sprawiedliwości w sprawach karnych i współpracę policyjną za dziedziny na tyle szczególne, że „konieczne może okazać się przyjęcie (…) szczególnych przepisów o ochronie danych osobowych i swobodnym przepływie danych osobowych w tych dziedzinach”1. W związku z tym (jak wynika z motywu 11 preambuły dyrektywy policyjnej) należało odnieść się do tych dziedzin w odrębnym akcie prawnym, który zawierał będzie szczególne przepisy o ochronie osób fizycznych w związku z przetwarzaniem danych osobowych przez właściwe organy do celów zapobiegania przestępczości, prowadzenia postępowań przygotowawczych, wykrywania i ścigania czynów zabronionych i wykonywania kar, w tym do celów ochrony przed zagrożeniami dla bezpieczeństwa publicznego i zapobiegania takim zagrożeniom, z zachowaniem szczególnego charakteru takich czynności.

Stanowisko celowości wydania odrębnej regulacji zawarte jest również w samym RODO (motyw 19 preambuły RODO).


 

Ważne

Zarówno RODO, jak i dyrektywa policyjna stanowią, że przetwarzanie danych osobowych do celów innych niż wskazane w dyrektywie policyjnej podlega reżimom opisanym w RODO.


Organy, które mają obowiązek wyznaczyć inspektora ochrony danych

Zawarte w preambule dyrektywy policyjnej pojęcie „współpraca wymiarów sprawiedliwości w sprawach karnych i współpraca policyjna” sugerować może, że dyrektywa adresowana jest głównie do sądów i organów ścigania. Jednak jej zakres obowiązywania jest daleko szerszy i odnosi się do innych organów lub podmiotów, którym prawo państwa członkowskiego powierza sprawowanie władzy publicznej i wykonywanie uprawnień publicznych do celów dyrektywy (art. 3 pkt 7).

Wskazanie tych organów i podmiotów jest o tyle istotne, że są one – jako administratorzy danych osobowych – zobowiązane do wyznaczenia inspektora ochrony danych. Obliguje do tego przepis art. 46 ust. 1 ustawy. Przepis ten, o czym należy wspomnieć, wykonuje zalecenie zawarte w art. 32 ust. 1 dyrektywy policyjnej, który stanowi, że państwa członkowskie zapewniają, by administrator wyznaczył inspektora danych osobowych.

W ustawie zawarte zostało pojęcie „właściwy organ”, przez co rozumieć należy organ władzy publicznej, jednostkę organizacyjną lub inny podmiot uprawniony na podstawie odrębnych przepisów do przetwarzania danych osobowych (art. 4 pkt 16). To dość ogólne określenie można spróbować doprecyzować przez treść artykułu 1 pkt 1, który stanowi, że ustawa określa zasady i warunki ochrony danych osobowych przetwarzanych przez właściwe organy w celu rozpoznawania, zapobiegania, wykrywania i zwalczania czynów zabronionych, w tym zagrożeń dla bezpieczeństwa i porządku publicznego, a także wykonywania tymczasowego aresztowania, kar, kar porządkowych i środków przymusu skutkujących pozbawieniem wolności.

Bliższego dookreślenia, o jakie konkretnie organy chodzi, szukać należy w Rozdziale 9 ustawy („Zmiany w przepisach”). Zawarte w nim zostały nowelizacje szeregu ustaw, które wskazują z nazwy organy i podmioty stające się z mocy ustawy administratorami danych osobowych (a zatem zobligowane zostały do wyznaczenia inspektora ochrony danych)2. Zaliczone do nich zostały: Trybunał Stanu, sądy wojskowe, minister sprawiedliwości, sądy administracyjne, Trybunał Konstytucyjny, Sąd Najwyższy i powszechne jednostki organizacyjne prokuratury, a także komendanci Policji (Główny, Centralnego Biura Śledczego Policji, Biura Spraw Wewnętrznych Policji, wojewódzcy, szkół policyjnych) oraz Komendant Główny Straży Granicznej i komendanci Żandarmerii Wojskowej (Główny i komendanci terenowych oraz specjalistycznych jednostek organizacyjnych). Inne organy zobowiązane do wyznaczenia inspektorów ochrony danych to: Dyrektor Generalny Służby Więziennej, Główny Inspektor Transportu Drogowego (oraz inspektorzy wojewódzcy), dyrektorzy urzędów morskich i urzędów żeglugi śródlądowej, komendanci straży gminnych, straży ochrony kolei, komendanci Straży Rybackiej (państwowej i społecznej), minister właściwy do spraw środowiska, komendanci Straży Leś­nej i Państwowej Straży Łowieckiej, Komendant Straży Marszałkowskiej i właściwe podmioty zarządzające rozgrywkami sportowymi.

Osobnego omówienia wymaga kwestia sądów powszechnych jako administratorów. Wspomniany wcześniej art. 32 ust. 1 dyrektywy policyjnej, poza przytoczonym już zaleceniem wyznaczenia inspektora danych osobowych, zawiera również zastrzeżenie, że państwa członkowskie mogą zwolnić z tego obowiązku sądy i inne niezawisłe organy sądowe w ramach sprawowania przez nie wymiaru sprawiedliwości. Polski ustawodawca nie skorzystał z tej możliwości, uznając za administratorów sądy, prezesów sądów i dyrektorów sądów, czego dokonał poprzez nowelizację ustawy z 27.7.2001 r. − Prawo o ustroju sądów powszechnych (t.j. Dz.U. z 2019 r. poz. 52 ze zm.) (art. 71 ustawy). Na tej podstawie administratorami danych osobowych przetwarzanych w systemach teleinformatycznych obsługujących postępowania sądowe, w systemach teleinformatycznych, w których prowadzone są rejestry sądowe oraz w systemach teleinformatycznych, w których są prowadzone urządzenia ewidencyjne (sądowe systemy teleinformatyczne), są sądy w ramach wymiaru sprawiedliwości albo realizacji zadań z zakresu ochrony prawnej, prezesi właściwych sądów oraz minister sprawiedliwości w ramach realizowanych zadań. Sądy są też administratorem danych osobowych przetwarzanych w postępowaniach sądowych w ramach sprawowania wymiaru sprawiedliwości albo realizacji zadań z zakresu ochrony prawnej. Z kolei prezesi i dyrektorzy właściwych sądów (każdy w zakresie realizowanych zadań) są administratorami danych osobowych sędziów i sędziów w stanie spoczynku oraz innych osób zatrudnionych w sądach3, a także biegłych i lekarzy sądowych, mediatorów oraz ławników.

Tym samym, zgodnie z art. 46 ust. 1 ustawy, zarówno sądy, jak i ich prezesi oraz dyrektorzy zobligowani są do wyznaczenia inspektora danych osobowych.

Jednocześnie zwrócić należy uwagę, że ustawa wyłącza swoje stosowanie do danych osobowych:

1) przetwarzanych w związku z zapewnieniem bezpieczeństwa narodowego, w tym w ramach realizacji zadań ustawowych Agencji Bezpieczeństwa Wewnętrznego, Agencji Wywiadu, Służby Kontrwywiadu Wojskowego, Służby Wywiadu Wojskowego oraz Centralnego Biura Antykorupcyjnego (art. 3 pkt 2);

2) znajdujących się w aktach spraw lub czynności, lub w urządzeniach ewidencyjnych prowadzonych w postępowaniach: w stosunku do nieletnich, karnych, w tym karnych wykonawczych i karnych skarbowych oraz wobec osób z zaburzeniami psychicznymi stwarzającymi zagrożenie dla życia, zdrowia lub wolności seksualnej i innych osób (art. 3 pkt 1).


Tytułem uzupełnienia dodać należy, że dyrektywa policyjna przewiduje dla administratora możliwość korzystania z usług podmiotu przetwarzającego, o ile spełnione zostaną stosowne wymogi (opisane w art. 22), przy jednoczesnym zastrzeżeniu, że przetwarzanie prowadzone będzie wyłącznie zgodnie z poleceniami administratora (art. 23). Możliwość nawiązania współpracy z podmiotem przetwarzającym przewidziana została także w ustawie, gdzie dla podmiotu przetwarzającego przewidziano szeroki zakres zadań i uprawnień, z zaznaczeniem, że odpowiedzialność za przestrzeganie przepisów ustawy spoczywa przede wszystkim na administratorze (choć nie wyłącza się odpowiedzialności także podmiotu przetwarzającego, gdy naruszy on ustawę lub umowę zawartą z administratorem.

Status i kwalifikacje inspektora ochrony danych w ujęciu dyrektywy policyjnej i ustawy

W art. 32 dyrektywy policyjnej znajduje się stwierdzenie, że państwa członkowskie zapewniają, by administrator wyznaczył inspektora danych. Kolejne przepisy tego artykułu wymagają, aby:

1) inspektor ochrony danych był wyznaczany na podstawie kwalifikacji zawodowych, a w szczególności wiedzy fachowej na temat prawa i praktyki w dziedzinie ochrony danych oraz umiejętności wypełnienia zadań zapisanych w dyrektywie;

2) administrator opublikował dane kontaktowe inspektora i zawiadomił o nich organ nadzorczy (w polskim porządku prawnym jest nim Prezes Urzędu Ochrony Danych; dalej: Prezes Urzędu).


Dyrektywa policyjna zawiera również przepis (art. 33) określający status inspektora danych osobowych. Zapewnienie tego statusu spoczywa na administratorze. Ma on bowiem obowiązek zagwarantowania odpowiedniego i niezwłocznego włączenia inspektora we wszystkie sprawy dotyczące ochrony danych osobowych, a także wspierania go w wypełnianiu zadań poprzez zapewnienie zasobów niezbędnych do wykonania tych zadań oraz dostępu do danych osobowych i operacji przetwarzania. Administrator powinien również zapewnić inspektorowi ochrony danych zasoby niezbędne do podtrzymania jego wiedzy fachowej.

W celu realizacji powyższych przepisów dyrektywy policyjnej w ustawie zawarte zostały art. 46 i 47, w których wskazano na:

1) obowiązek wyznaczenia inspektora ochrony danych;

2) kwalifikacje, jakie powinien posiadać inspektor (ich opis jest zasadniczo tożsamy z opisem zawartym w dyrektywie policyjnej, przy czym ustawa wymaga dodatkowo, aby inspektor posiadał pełną zdolność do czynności prawnych i korzystał z pełni praw publicznych oraz żeby nie był skazany prawomocnym wyrokiem orzeczonym za przestępstwo lub przestępstwo skarbowe popełnione z winy umyślnej);

3) obowiązek poinformowania Prezesa Urzędu o wyznaczeniu inspektora (w terminie 14 dni, ze wskazaniem imienia, nazwiska, adresu poczty elektronicznej lub numeru telefonu; zawiadomienie sporządza się w formie elektronicznej i opatruje kwalifikowanym podpisem elektronicznym albo podpisem zaufanym; zawiadomienie może być dokonane przez pełnomocnika, lecz to wymaga załączenia dołączenia pełnomocnictwa w formie elektronicznej; Prezesa Urzędu należy również zawiadomić o zmianach danych inspektora oraz o jego odwołaniu);

4) status inspektora ochrony danych (jest on taki, jak opisuje go dyrektywa policyjna, tyle że stosowne przepisy są „rozproszone” w art. 46 ust. 8 i art. 47 ust. 2 ustawy).


W tym miejscu, dla porównania, zauważyć należy, że RODO – nieco szerzej niż dyrektywa policyjna, a więc i ustawa – odniosło się do kwestii statusu inspektora ochrony danych, żądając od inspektora zachowania tajemnicy i poufności co do wykonywania jego zadań, zaś od administratora, by zagwarantował inspektorowi niezależność przy wykonywaniu zadań. Gwarancja niezależności opisana jest w art. 38 RODO i polega na tym, że:

1) administrator oraz podmiot przetwarzający zapewniają, by inspektor ochrony danych nie otrzymywał instrukcji dotyczących wykonywania tych zadań;

2) inspektor nie jest odwoływany ani karany przez administratora, ani podmiot przetwarzający za wypełnianie swoich zadań;

3) bezpośrednio podlega najwyższemu kierownictwu administratora lub podmiotu przetwarzającego.


Z uwagi na fakt, że RODO zezwala, by inspektor wykonywał inne zadania i obowiązki, administrator lub podmiot przetwarzający zapewniają, by takie zadania i obowiązki nie powodowały konfliktu interesów.

Ta ostania kwestia znalazła również miejsce w ustawie − w art. 47 ust. 3, który stanowi, że administrator może powierzyć inspektorowi ochrony danych wykonywanie innych obowiązków, jeżeli nie naruszy to prawidłowego wykonywania zadań inspektora ochrony danych oraz nie spowoduje konfliktu interesów.

W tym miejscu zwrócić należy uwagę na to, że administrator zobowiązany do wyznaczenia inspektora ochrony danych w oparciu o ustawę podlega również przepisom RODO. Ilustracją tego stanu rzeczy mogą być sądy, gdzie mamy do czynienia z przetwarzaniem danych o zróżnicowanym charakterze. Z jednej strony są to dane osobowe przetwarzane w postępowaniach sądowych w ramach sprawowania wymiaru sprawiedliwości, z drugiej zaś dane osobowe, np. sędziów czy pracowników sądu. W takiej sytuacji liczyć należy się z tym, że administrator uzna za celowe powołanie jednego inspektora ochrony danych, który będzie realizował zadania wynikające z dwóch reżimów prawnych (ustawy i RODO). Dodatkowo, w przypadku sądów, gdzie w ramach jednego sądu funkcjonuje trzech administratorów (prezes, dyrektor, sąd) praktyczne okazać się może powołanie jednego inspektora ochrony danych działającego na rzecz wszystkich administratorów danego sądu.

Zadania inspektora ochrony danych określone w ustawie

Zadania, jakie inspektorowi ochrony danych wyznaczono w art. 34 dyrektywy policyjnej, przeniesione zostały, co do meritum (z pewnymi zmianami redakcji tekstu), do art. 47 ustawy z uzupełnieniem o obowiązek sporządzenia rocznego sprawozdania z wykonywania zadań z zakresu ochrony i sposobu przetwarzania danych.

Ustawa wyznacza inspektorowi ochrony danych następujące zadania:

1) informowanie administratora oraz osób zajmujących się przetwarzaniem o obowiązkach spoczywających na nich na mocy niniejszej ustawy oraz innych przepisów dotyczących ochrony danych;

2) prowadzenie działań podnoszących świadomość oraz organizowanie szkoleń dla osób uczestniczących w operacjach przetwarzania;

3) monitorowanie zgodności przetwarzania danych przez administratora oraz osoby zajmujące się przetwarzaniem danych osobowych z przepisami niniejszej ustawy oraz innymi przepisami dotyczącymi ochrony danych;

4) monitorowanie realizowania polityk administratora w dziedzinie ochrony danych osobowych, w tym przydział na ich podstawie obowiązków dla osób zajmujących się przetwarzaniem;

5) współpraca z Prezesem Urzędu;

6) monitorowanie oraz przedstawianie stanu realizacji zaleceń, jakie Prezes Urzędu wydaje administratorowi w toku uprzednich konsultacji (zgodnie z art. 38 ust. 4 zalecenia wydawane są, gdy Prezes Urzędu stwierdzi, że planowane przetwarzanie danych osobowych stanowiłoby naruszenie przepisów ustawy, w szczególności, gdy administrator niedostatecznie zidentyfikował lub zminimalizował ryzyko);

7) pełnienie funkcji punktu kontaktowego wobec Prezesa Urzędu w kwestiach związanych z przetwarzaniem, w tym z uprzednimi konsultacjami oraz prowadzenie z Prezesem Urzędu konsultacji we wszelkich innych sprawach;

8) pełnienie funkcji punktu kontaktowego wobec osób, których dane dotyczą w zakresie przysługujących jej praw (opisanych w Rozdziale 4 ustawy);

9) przygotowywanie zaleceń co do oceny skutków dla ochrony danych osobowych (ocena skutków wymagana jest, jeżeli dany rodzaj przetwarzania danych osobowych, w szczególności z użyciem nowych technologii, ze względu na swój charakter, zakres, kontekst i cele może skutkować powstaniem wysokiego ryzyka naruszenia praw i wolności osób fizycznych) oraz monitorowanie wykonania tych zaleceń.


Tryb i sposób realizacji zadań przez inspektora ochrony danych w ujęciu projektu rozporządzenia Prezesa Rady Ministrów

Artykuł 47 ust. 4 ustawy nakazuje Prezesowi Rady Ministrów, by określił, w drodze rozporządzenia, tryb i sposób realizacji zadań inspektora danych, uwzględniając konieczność zapewnienia prawidłowości realizacji zadań inspektora ochrony danych oraz niezależności i organizacyjnej odrębności w wykonywaniu przez niego zadań. Na podstawie tego przepisu w MSWiA opracowano, a następnie skierowano do konsultacji międzyresortowych, projekt rozporządzenia Prezesa Rady Ministrów w sprawie trybu i sposobu realizacji zadań przez inspektora ochrony danych.

Zauważyć należy, że poszczególne zapisy projektu rozporządzenia, wskazując tryb i sposób realizacji poszczególnych zadań inspektora ochrony danych, dokonują jednocześnie ich istotnego uszczegółowienia.

Zadanie informowania administratora i osób zajmujących się przetwarzaniem o spoczywających na nich obowiązkach oraz podnoszenie świadomości osób uczestniczących w operacjach przetwarzania wymagać ma od inspektora ochrony danych:

1) prowadzenia szkoleń, przy czym przedmiotem szkolenia mają być praktyczne zagadnienia i teoretyczne analizy z zakresu przetwarzania danych osobowych;

2) informowania o zmianach przepisów dotyczących ochrony danych osobowych, wytycznych i zaleceniach Prezesa Urzędu, orzeczeniach sądów dotyczących danych osobowych, obowiązkach wynikających z przepisów w tym zakresie.


Adresatami szkoleń i działań informacyjnych miałyby być: osoby upoważnione do przetwarzania danych, osoby uczestniczące w ich przetwarzaniu oraz administrator. Swoje obowiązki informacyjne inspektor ochrony danych wykonywać mógłby ustnie, pisemnie, w postaci papierowej lub elektronicznej za pośrednictwem środków komunikacji elektronicznej (w rozumieniu art. 2 pkt 5 ustawy z 18.7.2002 r. o świadczeniu usług drogą elektroniczną; t.j. Dz.U. z 2019 r. poz. 123 ze zm.).

Monitorowanie zgodności z przepisami prawa przetwarzania danych przez administratora oraz osoby zajmujące się przetwarzaniem danych osobowych uznać można za najistotniejsze działanie inspektora, gdyż – zgodnie z projektem rozporządzenia – obejmowałoby ono kluczowe obszary uregulowane ustawą, czyli:

1) przestrzeganie zasad przetwarzania danych (Rozdział 3 ustawy), wśród których na czoło wysuwa się ograniczenie przetwarzania danych do zakresu niezbędnego do realizacji przepisów prawa oraz niedopuszczalność przetwarzania danych wrażliwych4;

2) zapewnienie skutecznej ochrony danych w toku określania sposobów przetwarzania, jak i samego przetwarzania poprzez zastosowanie odpowiednich środków technicznych i organizacyjnych (art. 32 i 39−43 ustawy);

3) reagowanie na wnioski osób, których dane dotyczą w sprawach sprostowania, uaktualnienia lub usunięcia danych osobowych (art. 24 ustawy);

4) powierzanie przez administratora przetwarzania danych osobowych podmiotowi przetwarzającemu (art. 34 ustawy);

5) przekazywanie przez Prezesa Urzędu danych osobowych organom nadzorczym innych państw Unii Europejskiej oraz występowanie do nich o takie dane (art. 48−49 ustawy).


Zadanie monitorowania zgodności przetwarzania z przepisami inspektor ochrony danych miałby realizować przez gromadzenie informacji oraz analizę zgodności przetwarzania danych osobowych przez administratora, a także osoby zajmujące się przetwarzaniem, jak również w ramach prowadzonych sprawdzeń.

W tym miejscu wyjaśnić należy, że procedura sprawdzenia (opisana w art. 11 ustawy) polega na tym, że Prezes Urzędu może zwrócić się bezpośrednio do inspektora ochrony danych o sprawdzenie stosowania przepisów ustawy przez administratora, który go wyznaczył, wskazując zakres i termin tego sprawdzenia. Inspektor, po dokonaniu sprawdzenia, przedstawia Prezesowi Urzędu stosowne sprawozdanie za pośrednictwem administratora.

W ramach sprawdzeń inspektor mógłby zostać również zobowiązany do wykonywania zadań z zakresu monitorowania realizowania polityk administratora w dziedzinie ochrony danych osobowych. W tym celu projekt rozporządzenia przewiduje, że inspektor będzie gromadził informacje w celu identyfikacji procesów przetwarzania i stosowania (w toku przetwarzania) odpowiednich środków technicznych i organizacyjnych, a także będzie analizował przestrzegania zasad i obowiązków określonych w politykach administratora.

Współpraca z Prezesem Urzędu (zorientowana jest ona na realizację zadań i uprawnień Prezesa Urzędu) następuje po otrzymaniu przez inspektora pisemnego żądania. Współpraca dotyczyć ma, w szczególności, umożliwienia Prezesowi Urzędu dostępu do informacji i dokumentów lub sporządzenia uwierzytelnionej kopii dokumentów i przekazanie ich postaci papierowej lub elektronicznej.

Monitorowanie oraz przedstawianie stanu realizacji zaleceń, jakie Prezes Urzędu wydaje administratorowi w toku uprzednich konsultacji oznacza dla inspektora − w ujęciu projektu rozporządzenia − konieczność ustalenia stanu realizacji tych zaleceń na podstawie analizy, jakiej poddać musi informacje zebrane od administratora i osób odpowiedzialnych za bezpieczeństwo przetwarzania danych. Projekt rozporządzenia akcentuje wymóg pisemnego udokumentowania czynności prowadzonych przez inspektora, w szczególności głównych wniosków składających się na całościowy obraz sytuacji. Co chyba oczywiste – informacja o stanie realizacji zaleceń byłaby przekazywana Prezesowi Urzędu (w formie papierowej lub elektronicznej).

Jako punkt kontaktowy wobec Prezesa Urzędu w kwestiach związanych z przetwarzaniem, w tym z uprzednimi konsultacjami oraz konsultacjami we wszelkich innych sprawach inspektor miałby przyjmować korespondencję oraz wyrażać opinie i kierować je do Prezesa Urzędu (w formie papierowej lub elektronicznej).

Z kolei pełniąc funkcję punktu kontaktowego wobec osób, których dane dotyczą w zakresie przysługujących im praw, inspektor miałby obowiązek zapewnienia dostępu do informacji o tych prawach (m.in. żądania od administratora dostępu do danych osobowych, ich sprostowania, usunięcia, ograniczenia przetwarzania), środkach prawnych przysługujących osobie, której dane są przetwarzane oraz która poniosła szkodę lub doznała krzywdy w wyniku czynności naruszających przepisy ustawy, podstawach prawnych wnoszenia skargi do Prezesa Urzędu, a także zapewnić dostęp do informacji o nazwie, siedzibie i danych administratora.

W przygotowywanie zaleceń co do oceny skutków dla ochrony danych osobowych inspektor angażowałby się na polecenie administratora w ten sposób, że brałby udział w przygotowaniu samej oceny skutków przetwarzania danych, przygotowywałby zalecenia co do oceny skutków w terminie wskazanym przez administratora oraz weryfikował postęp i prawidłowość wdrożenia zaleceń (poprzez gromadzenie informacji w tym zakresie oraz ich analizę) i przedkładałby administratorowi informacje o wykonaniu zaleceń.

W odniesieniu do sprawozdania z wykonywania zadań, jakie inspektor miałby przedkładać administratorowi, projekt rozporządzenia formułuje wymóg, by zawierało ono w szczególności: wskazanie najważniejszych działań podjętych w okresie sprawozdawczym5, opis zaistniałych problemów w zakresie przetwarzania danych osobowych oraz podsumowanie i wnioski do administratora dotyczące realizowanych zadań.


Dorota Krajewska-Kekusz - dyrektor Zespołu Organizacyjnego w UODO, poprzednio Dyrektor Departamentu Rejestracji ABI i Zbiorów Danych Osobowych w Biurze GIODO


Podstawa prawna

art. 46 ust. 1, art. 47 ust. 4 ustawy z 14.12.2018 r. o ochronie danych osobowych przetwarzanych w związku z zapobieganiem i zwalczaniem przestępczości (Dz.U. z 2019 r. poz. 125)

art. 3 pkt 7, art. 32 ust. 1 dyrektywy Parlamentu Europejskiego i Rady (UE) 2016/680 z 27.4.2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych przez właściwe organy do celów zapobiegania przestępczości, prowadzenia postępowań przygotowawczych, wykrywania i ścigania czynów zabronionych i wykonywania kar, w sprawie swobodnego przepływu takich danych oraz uchylająca decyzję ramową Rady 2008/977/WSiSW (Dz.Urz. UE L Nr 119 z 4.5.2016 r., s. 89−131)

art. 38 rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z 27.4.2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) (Dz.Urz. UE L Nr 119 z 4.5.2016 r., s. 1−88)


Podsumowanie

Przygotowanie przez MSWiA projektu rozporządzenia Prezesa Rady Ministrów w sprawie trybu i sposobu realizacji zadań przez inspektora ochrony danych stanowi zaledwie pierwszy krok do wykonania delegacji zapisanej w art. 47 ust. 4 ustawy.

Opublikowane dotychczas opinie niektórych resortów zawierają krytyczne uwagi do projektu rozporządzenia. Wskazuje się w nich m.in., że ograniczona została inicjatywa inspektora ochrony danych w obszarze kontaktów z Prezesem Urzędu Ochrony Danych Osobowych oraz że wyznaczono mu (inspektorowi) niektóre obowiązki informacyjne spoczywające na administratorze. Najistotniejszym jednak mankamentem projektu rozporządzenia ma być lakoniczność jego przepisów, wobec czego trudno jest określić, jak ma wyglądać tryb i sposób realizacji zadań przez inspektora ochrony danych.




  1. Stwierdza to deklaracja nr 21 w sprawie ochrony danych osobowych w dziedzinie współpracy wymiarów sprawiedliwości w sprawach karnych i współpracy policyjnej przyjęta na Konferencji przedstawicieli rządów państw członkowskich zwołanej w Brukseli 23.7.2007 r. w celu przyjęcia we wspólnym porozumieniu zmian do Traktatu o Unii Europejskiej, Traktatu ustanawiającego Wspólnotę Europejską oraz Traktatu ustanawiającego Europejską Wspólnotę Energii Atomowej (czyli Traktat z Lizbony).
  2. Art. 63 dyrektywy policyjnej domaga się od państw członkowskich UE, by przyjęły i opublikowały przepisy ustawowe, wykonawcze i administracyjne niezbędne do wykonania dyrektywy, wyznaczając na to termin do 6.5.2018 r.
  3. Czyli: asesorów sądowych, referendarzy sądowych, asystentów sędziów, dyrektorów sądów oraz ich zastępców, kuratorów sądowych, aplikantów aplikacji sądowej, aplikantów kuratorskich, urzędników oraz innych pracowników sądu.
  4. Art. 14 ust. 1. Niedopuszczalne jest przetwarzanie danych ujawniających pochodzenie rasowe, etniczne, poglądy polityczne, przekonania religijne, światopoglądowe, przynależność do związków zawodowych oraz przetwarzanie danych genetycznych, danych biometrycznych w celu jednoznacznego zidentyfikowania osoby fizycznej, danych dotyczących zdrowia, danych dotyczących seksualności i orientacji seksualnej osoby fizycznej, zwanych dalej „danymi wrażliwymi”. Przetwarzanie danych wrażliwych dopuszczalne jest jedynie w trzech przypadkach: gdy przepisy prawa na to zezwalają, gdy jest to niezbędne dla ochrony życia lub zdrowia lub interesów, której dane dotyczą (lub innej osoby), gdy dane takie zostały upublicznione przez osobę, której dotyczą.
  5. Ustawa wymaga sporządzenia sprawozdania raz na rok, do końca I kwartału za rok ubiegły (art. 47 ust. 1 pkt 10).



Ocena artykułu:
Oceniono 0 razy
Oceniłeś już ten artykuł.
Artykuł został oceniony.
Podziel się ze znajomymi
Artykuł:
Tryb i sposób działania inspektora ochrony danych w obszarze przetwarzania danych w związku z zapobieganiem i zwalczaniem przestępczości
Dorota Krajewska-Kekusz
Do:
Od:
Wiadomość:
Zaloguj się lub zarejestruj, aby dodać komentarz.
 
Wyrok V CSK 283/10
Obliczanie terminu przedawnienia roszczenia o zachowek
Zamów
 

Prenumerata

Moduł tematyczny