Zakres obowiązywania ustawy DODO

Zakres obowiązywania ustawy DODO

Magdalena Komosa
RK RODO

Dwóch inspektorów ochrony danych osobowych powołanych na podstawie dwóch różnych regulacji o ochronie danych osobowych w jednym podmiocie? Teoretycznie jest to możliwe. Mowa oczywiście o RODO – o którym słyszał już chyba każdy – oraz o DODO, o którym już tak głośno nie było.

Może zdarzyć się, że podmioty wykonujące zadania w związku z zapobieganiem i zwalczaniem przestępczości podlegać będą obu regulacjom – RODO i DODO.

Dyrektywa policyjna

Szum związany z wejściem w życie unijnego rozporządzenia dotyczącego ochrony danych osobowych (RODO) przyćmił wprowadzenie dyrektywy unijnej 2016/680 z dnia 27 kwietnia 2016 roku traktującej o ochronie osób fizycznych w związku z przetwarzaniem ochrony danych osobowych przez właściwe organy do celów zapobiegania przestępczości.

Powyższa dyrektywa zobowiązała polskiego ustawodawcę do wdrożenia przepisów dotyczących przetwarzania danych osobowych w związku z zapobieganiem i zwalczaniem przestępczości do swojego systemu prawnego. Na jej podstawie powstała ustawa z dnia 14 grudnia 2018 roku o ochronie danych osobowych w związku z zapobieganiem i zwalczaniem przestępczości (DODO). Weszła ona
w życie 6 lutego 2019 roku.

Czego dotyczy DODO?

Określa zasady i warunki ochrony danych osobowych przetwarzanych przez właściwe organy w celu rozpoznawania, zapobiegania, wykrywania i zwalczania czynów zabronionych, w tym zagrożeń dla bezpieczeństwa i porządku publicznego, a także wykonywania tymczasowego aresztowania, kar, kar porządkowych i środków przymusu skutkujących pozbawieniem wolności.

Jakiś podmiotów dotyczy DODO?

Należy zauważyć, że ustawa nie zawiera katalogu podmiotów, które są zobowiązane do jej stosowania. W celu jednak jednoznacznego stwierdzenia czy dany podmiot zobowiązany jest do stosowania omawianej ustawy niezbędne będzie przeanalizowanie, czy zadania wykonywane przez ten podmiot pokrywają się z zadaniami określonymi w art. 1 pkt 1 ustawy DODO. Prezes Urzędu Ochrony Danych Osobowych (będącym organem nadzorczym) wylicza następujący katalog podmiotów[1]:

  • Policja
  • Straż Graniczna
  • Służba Więzienna
  • Żandarmeria Wojskowa
  • Służba Ochrony Państwa
  • Generalny Inspektor Informacji Finansowej
  • Inspektor Nadzoru Wewnętrznego (Biura Nadzoru Wewnętrznego MSWiA)
  • Krajowa Administracja Skarbowa
  • straż gminna / miejska
  • Inspekcja Drogowa
  • Straż Ochrony Kolei
  • Minister Środowiska
  • Główny Inspektor Ochrony Środowiska
  • Straż Rybacka
  • Główny Inspektor Straży Leśnej
  • Państwowa Straż Łowiecka
  • Urząd Żeglugi Śródlądowej
  • urzędy morskie
  • Państwowa Inspekcja Sanitarna
  • podmioty odpowiedzialne za bezpieczeństwo imprez masowych
  • przewoźnicy lotniczy (dane PNR).

Wyłączenia

Warto podkreślić w tym miejscu wprowadzenie wyłączeń – ustawa nie może być bowiem stosowana do danych przetwarzanych w związku z zapewnieniem bezpieczeństwa narodowego, w tym w ramach realizacji zadań ustawowych służb takich jak: Agencji Bezpieczeństwa Wewnętrznego, Agencji Wywiadu, Służby Kontrwywiadu Wojskowego, Służby Wywiadu Wojskowego i Centralnego Biura Antykorupcyjnego.

Na przepisy ustawy nie będziemy mogli się powołać także w sytuacji, gdy nasze dane znajdują się w aktach spraw lub przetwarzane są z wykorzystaniem technik informatycznych na podstawie ustawy o postępowaniu w sprawach nieletnich, kodeksu karnego wykonawczego, kodeksu postępowania karnego, kodeksu karnego skarbowego, kodeksu postępowania w sprawach o wykroczenia, prawo o prokuraturze oraz w przypadku postępowań wobec zaburzeniami psychicznymi zagrożenie życia, zdrowia lub wolności seksualnej innych osób.

Przetwarzane dane

Dane osobowe na podstawie niniejszej ustawy powinny być przetwarzane wyłącznie w zakresie niezbędnym do zrealizowania uprawnień i spełnienia obowiązków wynikających z przepisów prawa i realizowanych przez określone organy. Ustawa dopuszcza przetwarzanie danych w innych celach, jeśli odrębne przepisy na to pozwalają oraz w przypadku, gdy jest to niezbędne i proporcjonalne w innym celu.

Ustawa określa katalog danych wrażliwych. Zalicza się do nich dane ujawniające pochodzenie rasowe, etniczne, poglądy polityczne, przekonania religijne, światopoglądowe, przynależności do związków zawodowych, a także dane genetyczne, biometryczne, dotyczące zdrowia oraz seksualności i orientacji seksualnej. Na mocy omawianej ustawy ich przetwarzanie jest niedopuszczalne z wyjątkiem sytuacji, gdy przepisy prawa zezwalają na ich przetwarzanie oraz gdy jest to niezbędne dla ochrony życia, zdrowia lub interesów osoby, której dane dotyczą lub innej osoby, a także sytuacji, kiedy osoba sama udostępniła te dane.

Obowiązki Administratora

Ustawa DODO nakłada na Administratora (którym, w tym przypadku jest właściwy organ) obowiązek realizacji praw osób, których dane dotyczą. Na gruncie omawianej ustawy wyróżnia się:

  • prawo do uzyskania informacji o przetwarzaniu danych osobowych,
  • prawo dostępu do danych oraz uzyskania kopii lub wyciągu z danych,
  • prawo do uzupełnienia, uaktualnienia lub sprostowania danych osobowych,
  • prawo do usunięcia danych osobowych.

Osoba, której dane dotyczą ma także prawo do wniesienia skargi do organu nadzorczego.

Obowiązek informacyjny

Ważnym elementem jest także obowiązek informacyjny, który występuje również na podstawie ustawy DODO. Zgodnie z art. 22 omawianego aktu administrator będzie musiał spełnić obowiązek informacyjny w następujących sytuacjach:

  • jako tzw. publiczny obowiązek informacyjny (art. 22 ust. 1 i ust. 2 ),
  • w celu przekazania informacji w konkretnych przypadkach, aby umożliwić osobie, której dane są przetwarzane wykonanie przysługujących jej praw (art. 22 ust. 3),
  • w celu zrealizowania obowiązku informacyjnego na wniosek podmiotu danych (art. 22 ust. 4).

Należy zaznaczyć, że treść klauzul informacyjnych realizujących obowiązek wynikający z przepisów DODO nie jest tożsama z wymaganymi na podstawie unijnego rozporządzenia RODO oraz wymaga każdorazowej weryfikacji.

Kolejnym istotnym obowiązkiem administratora wynikającym z omawianej ustawy jest wyznaczenie inspektora ochrony danych osobowych. W tym przypadku- w odróżnieniu do RODO – taki obowiązek spoczywa na każdym administratorze, który zobowiązany jest do stosowania przepisów ustawy DODO. Stanowi o tym artykuł 46 tej ustawy.

Organ nadzorujący

W myśl ustawy, nadzór nad przetwarzaniem danych sprawuje Prezes Urzędu Ochrony Danych Osobowych. Ma on możliwość monitorowania i egzekwowania stosowania przepisów ustawy, przeprowadzania kontroli przetwarzania danych osobowych, a także rozpatrywania zażaleń osób, których dane osobowe są przetwarzane niezgodnie z prawem oraz prowadzenia postępowań w tym zakresie. Zasady i zakres przeprowadzania kontroli są tożsame z tymi wskazanymi w ustawie o ochronie danych osobowych. Zastosowano bowiem odesłanie do przepisów 9 Rozdziału ustawy o ochronie danych osobowych z dnia 10 maja 2018 r.

W przypadku sądów i prokuratury ustawodawca postanowił o wprowadzeniu odrębnego nadzoru nad ochroną danych osobowych przetwarzanych między innymi przez prokuraturę i sądy.

I tak na przykład nadzór nad przetwarzaniem danych osobowych w postępowaniach sądowych sądów administracyjnych sprawuje w zakresie sądów wojewódzkich- Prezes NSA, w zakresie danych przetwarzanych przez NSA w postępowaniach – Krajowa Rada sądownictwa.

Pojawia się wątpliwości czy wyznaczone do nadzoru organy są niezależne i są w stanie w sposób należyty wypełniać powierzone im w tym zakresie obowiązki.

Podsumowanie

Przepisy wynikające z rozporządzenia RODO oraz ustawy DODO są niezależnymi od siebie regulacjami obejmującymi materie ochrony danych osobowych, które pomimo posiadania cech wspólnych różnią się zakresem zastosowania. Zobowiązanie do stosowania DODO nie anuluje obowiązku przestrzegania przepisów rozporządzenia o ochronie danych osobowych. Mogą bowiem zdarzyć się sytuacje, gdzie organ będzie zobowiązany do przestrzegania także przepisów RODO, np. w stosunku do swoich pracowników.

***

[1] https://uodo.gov.pl/pl/190/698 – materiały dotyczące szkolenia dla IOD prowadzonego przez Urząd Ochrony Danych Osobowych