Chociaż już ponad 4 lata funkcjonujemy z przepisami w zakresie ochrony danych osobowych przetwarzanymi w związku z zapobieganiem i zwalczaniem przestępczości, myślę, że to krótkie przypomnienie będzie bardzo pomocne i wartościowe.
Jak Państwo doskonale się orientują, w dniu 27 kwietnia 2016 r., został przyjęty cały pakiet legislacyjny związany z ochroną danych osobowych. Oprócz Ogólnego rozporządzenia o ochronie danych osobowych, potocznie zwanego RODO, została również przyjęta dyrektywa Parlamentu Europejskiego i Rady (UE) 2016/680 w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych przez właściwe organy do celów zapobiegania przestępczości, prowadzenia postępowań przygotowawczych, wykrywania i ścigania czynów zabronionych i wykonywania kar, w sprawie swobodnego przepływu takich danych oraz uchylająca decyzję ramową Rady 2008/977/WSiSW. Dyrektywa ta potocznie nazywana jest dyrektywą policyjną lub po prostu DODO.
Dyrektywa policyjna (DODO) reguluje zasady przetwarzania danych osobowych w zakresie wyłączonym spod stosowania przepisów RODO. Reguluje ona przetwarzanie danych osobowych przez właściwe organy do celów zapobiegania przestępczości, prowadzenia postępowań przygotowawczych, wykrywania i ścigania czynów zabronionych lub wykonywania kar, w tym ochrony przed zagrożeniami dla bezpieczeństwa publicznego i zapobiegania takim zagrożeniom.
Powyższa dyrektywa, w przeciwieństwie do RODO, które zaczęło obowiązywać w Polsce wprost z dniem 25 maja 2018 r., musiała zostać zaimplementowana odrębnym aktem prawnym. Na jej podstawie powstała ustawa z dnia 14 grudnia 2018 r. o ochronie danych osobowych przetwarzanych w związku z zapobieganiem i zwalczaniem przestępczości (t.j. Dz. U z 2023 r. Poz. 1206), która zaczęła obowiązywać w dniu 6 lutego 2019 r. Potocznie nazywamy tę ustawę uDODO.
Nie zawiera ona zamkniętego katalogu podmiotów, podlegających jej stosowaniu. Wynika to z wielości obszarów, których ustawa dotyczy, obejmujących przetwarzanie danych osobowych w związku z szeroko rozumianym zwalczaniem przestępczości, prowadzeniem postępowań karnych, wyrokowaniem i wykonywaniem kar.
Organami zobowiązanymi do stosowania ww. ustawy (uDODO) są m.in.:
- Sądy i Prokuratura,
- Straż Gminna / Miejska,
- Główny Inspektor Straży Leśnej, a co za tym idzie jednostki organizacyjne Lasów Państwowych tj. Dyrekcje Regionalne oraz Nadleśnictwa,
- Minister Środowiska,
- Policja i Straż Graniczna,
- Żandarmeria Wojskowa i Służba Więzienna,
- Krajowa Administracja Skarbowa,
- i wiele innych.
Ustawa ta ustanawia zasady i warunki ochrony danych osobowych przetwarzanych w związku z działalnością ww. organów i podmiotów. Reguluje zasady ochrony danych osobowych m.in. w odniesieniu do czynności operacyjno-rozpoznawczych, dochodzeniowo-śledczych i administracyjno-porządkowych, które są związane z zapobieganiem i zwalczaniem przestępczości. Ale nie tylko.
Ustawa zobowiązuje administratora i podmiot przetwarzający do rzetelnego przetwarzania danych osobowych zgodnie z prawem, przy zachowaniu niezbędnych środków technicznych i organizacyjnych oraz do zabezpieczenia danych osobowych przy pomocy najnowszych środków technicznych.
Co możemy zaliczyć do tych niezbędnych środków? Wymieńmy niektóre:
- spełnienie obowiązku informacyjnego,
- obowiązek opracowania i wdrożenia Polityki ochrony danych osobowych,
- bezwzględny obowiązek prowadzenia wykazu kategorii czynności przetwarzania,
- organizowanie szkoleń dla osób uczestniczących w operacjach przetwarzania,
- obowiązek wydania upoważnień oraz prowadzenia ewidencji osób upoważnionych do przetwarzania danych,
- szacowanie ryzyka w zakresie ochrony danych osobowych w odniesieniu do naruszenia praw lub wolności osób fizycznych o różnym prawdopodobieństwie i wadze zagrożenia,
- weryfikacja danych (nie rzadziej niż co 10 lat) w celu ustalenia, czy istnieją dane, których dalsze przechowywanie jest zbędne,
- zapewnienie bezpieczeństwa systemów IT,
- zawarcie umów powierzenia przetwarzania danych w sytuacjach określonych w ustawie,
- zgłaszanie naruszeń do Prezesa Urzędu Ochrony Danych Osobowych,
- obowiązek wyznaczenia Inspektora Ochrony Danych.
Przepisy rozporządzenia RODO oraz ustawy uDODO są niezależnymi od siebie regulacjami dotyczącymi ochrony danych osobowych. Zobowiązanie niektórych podmiotów i organów do stosowania DODO nie anuluje obowiązku przestrzegania RODO. We wszystkich pozostałych aspektach działalności danego podmiotu (np. rekrutacja i zatrudnianie pracowników, zamówienia publiczne, prowadzenie postępowań administracyjnych wg KPA, współpraca z kontrahentami) będą miały zastosowanie przepisy RODO. Oznacza to, że podmioty zobligowane do stosowania ustawy DODO, jednocześnie muszą uwzględniać wymagania RODO.
Czy jesteś w stanie wykazać, że dane osobowe związane z zapobieganiem i zwalczaniem przestępczości przetwarzasz w sposób zapewniający ich odpowiednie bezpieczeństwo? A może chcesz to sprawdzić? Pamiętaj, że Twoim obowiązkiem, zgodnie z ustawą uDODO, jest dokonywanie bieżącego przeglądu wdrożonych środków technicznych i organizacyjnych pod kątem potrzeby ich uaktualniania.
Jak to zrobić? W przystępny sposób, krok po kroku omawiamy zagadnienia w naszym Kursie uDODO dla Straży Leśnej: https://www.comp-net.pl/kurs-udodo/
Skorzystaj z pomocy CompNet w poniższych obszarach:
- przeszkolimy za Ciebie twoich pracowników z zasad bezpiecznej pracy z danymi osobowymi,
- opracujemy dla Twojej organizacji dedykowaną Politykę ochrony danych osobowych oraz klauzule informacyjne,
- pomożemy zidentyfikować i oszacować ryzyka dla bezpieczeństwa przetwarzanych danych osobowych,
- przeprowadzimy audyt ochrony danych osobowych,
- wykonamy audyt bezpieczeństwa sieci.
Zapytaj o ofertę: biuro@comp-net.pl
Autor: Monika Kowalik, Dyrektor projektu w CompNet Sp. z o.o.