Dyrektywa DODO, ponieważ ochrona danych osobowych to nie tylko RODO

Dyrektywa DODO, ponieważ ochrona danych osobowych to nie tylko RODO

Chociaż już ponad 4 lata funkcjonujemy z przepisami w zakresie ochrony danych osobowych przetwarzanymi w związku z zapobieganiem i zwalczaniem przestępczości, myślę, że to krótkie przypomnienie będzie bardzo pomocne i wartościowe.

Jak Państwo doskonale się orientują, w dniu 27 kwietnia 2016 r., został przyjęty cały pakiet legislacyjny związany z ochroną danych osobowych. Oprócz Ogólnego rozporządzenia o ochronie danych osobowych, potocznie zwanego RODO, została również przyjęta dyrektywa Parlamentu Europejskiego i Rady (UE) 2016/680 w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych przez właściwe organy do celów zapobiegania przestępczości, prowadzenia postępowań przygotowawczych, wykrywania i ścigania czynów zabronionych i wykonywania kar, w sprawie swobodnego przepływu takich danych oraz uchylająca decyzję ramową Rady 2008/977/WSiSW. Dyrektywa ta potocznie nazywana jest dyrektywą policyjną lub po prostu DODO.

Dyrektywa policyjna (DODO) reguluje zasady przetwarzania danych osobowych w zakresie wyłączonym spod stosowania przepisów RODO. Reguluje ona przetwarzanie danych osobowych przez właściwe organy do celów zapobiegania przestępczości, prowadzenia postępowań przygotowawczych, wykrywania i ścigania czynów zabronionych lub wykonywania kar, w tym ochrony przed zagrożeniami dla bezpieczeństwa publicznego i zapobiegania takim zagrożeniom. 

Powyższa dyrektywa, w przeciwieństwie do RODO, które zaczęło obowiązywać w Polsce wprost z dniem 25 maja 2018 r., musiała zostać zaimplementowana odrębnym aktem prawnym. Na jej podstawie powstała ustawa z dnia 14 grudnia 2018 r. o ochronie danych osobowych przetwarzanych w związku z zapobieganiem i zwalczaniem przestępczości (t.j. Dz. U z 2023 r. Poz. 1206), która zaczęła obowiązywać w dniu 6 lutego 2019 r. Potocznie nazywamy tę ustawę uDODO.

Nie zawiera ona zamkniętego katalogu podmiotów, podlegających jej stosowaniu. Wynika to z wielości obszarów, których ustawa dotyczy, obejmujących przetwarzanie danych osobowych w związku z szeroko rozumianym zwalczaniem przestępczości, prowadzeniem postępowań karnych, wyrokowaniem i wykonywaniem kar.

Organami zobowiązanymi do stosowania ww. ustawy (uDODO) są m.in.:

  • Sądy i Prokuratura, 
  • Straż Gminna / Miejska,
  • Główny Inspektor Straży Leśnej, a co za tym idzie jednostki organizacyjne Lasów Państwowych tj. Dyrekcje Regionalne oraz Nadleśnictwa,
  • Minister Środowiska,
  • Policja i Straż Graniczna, 
  • Żandarmeria Wojskowa i Służba Więzienna, 
  • Krajowa Administracja Skarbowa,
  • i wiele innych.

Ustawa ta ustanawia zasady i warunki ochrony danych osobowych przetwarzanych w związku z działalnością ww. organów i podmiotów. Reguluje zasady ochrony danych osobowych m.in. w odniesieniu do czynności operacyjno-rozpoznawczych, dochodzeniowo-śledczych i administracyjno-porządkowych, które są związane z zapobieganiem i zwalczaniem przestępczości. Ale nie tylko.

Ustawa zobowiązuje administratora i podmiot przetwarzający do rzetelnego przetwarzania danych osobowych zgodnie z prawem, przy zachowaniu niezbędnych środków technicznych i organizacyjnych oraz do zabezpieczenia danych osobowych przy pomocy najnowszych środków technicznych. 

Co możemy zaliczyć do tych niezbędnych środków? Wymieńmy niektóre:

  • spełnienie obowiązku informacyjnego,
  • obowiązek opracowania i wdrożenia Polityki ochrony danych osobowych,
  • bezwzględny obowiązek prowadzenia wykazu kategorii czynności przetwarzania,
  • organizowanie szkoleń dla osób uczestniczących w operacjach przetwarzania,
  • obowiązek wydania upoważnień oraz prowadzenia ewidencji osób upoważnionych do przetwarzania danych,
  • szacowanie ryzyka w zakresie ochrony danych osobowych w odniesieniu do naruszenia praw lub wolności osób fizycznych o różnym prawdopodobieństwie i wadze zagrożenia,
  • weryfikacja danych (nie rzadziej niż co 10 lat) w celu ustalenia, czy istnieją dane, których dalsze przechowywanie jest zbędne,
  • zapewnienie bezpieczeństwa systemów IT,
  • zawarcie umów powierzenia przetwarzania danych w sytuacjach określonych w ustawie,
  • zgłaszanie naruszeń do Prezesa Urzędu Ochrony Danych Osobowych,
  • obowiązek wyznaczenia Inspektora Ochrony Danych.

Przepisy rozporządzenia RODO oraz ustawy uDODO są niezależnymi od siebie regulacjami dotyczącymi ochrony danych osobowych. Zobowiązanie niektórych podmiotów i organów do stosowania DODO nie anuluje obowiązku przestrzegania RODO. We wszystkich pozostałych aspektach działalności danego podmiotu (np. rekrutacja i zatrudnianie pracowników, zamówienia publiczne, prowadzenie postępowań administracyjnych wg KPA, współpraca z kontrahentami) będą miały zastosowanie przepisy RODO. Oznacza to, że podmioty zobligowane do stosowania ustawy DODO, jednocześnie muszą uwzględniać wymagania RODO. 

Czy jesteś w stanie wykazać, że dane osobowe związane z zapobieganiem i zwalczaniem przestępczości przetwarzasz w sposób zapewniający ich odpowiednie bezpieczeństwo? A może chcesz to sprawdzić? Pamiętaj, że Twoim obowiązkiem, zgodnie z ustawą uDODO, jest dokonywanie bieżącego przeglądu wdrożonych środków technicznych i organizacyjnych pod kątem potrzeby ich uaktualniania.

Jak to zrobić? W przystępny sposób, krok po kroku omawiamy zagadnienia w naszym Kursie uDODO dla Straży Leśnej: https://www.comp-net.pl/kurs-udodo/

Skorzystaj z pomocy CompNet w poniższych obszarach:

  • przeszkolimy za Ciebie twoich pracowników z zasad bezpiecznej pracy z danymi osobowymi,
  • opracujemy dla Twojej organizacji dedykowaną Politykę ochrony danych osobowych oraz klauzule informacyjne,
  • pomożemy zidentyfikować i oszacować ryzyka dla bezpieczeństwa przetwarzanych danych osobowych,
  • przeprowadzimy audyt ochrony danych osobowych,
  • wykonamy audyt bezpieczeństwa sieci.

Zapytaj o ofertę: biuro@comp-net.pl

Autor: Monika Kowalik, Dyrektor projektu w CompNet Sp. z o.o.