Ochrona danych osobowych przetwarzanych w związku z zapobieganiem i zwalczaniem przestępczości (DODO) a RODO – podstawowe różnice
16.05.2023
RODO[i], jako akt prawa adresowany abstrakcyjnie, tj. do wszystkich, którzy przetwarzają dane osobowe na terytorium Unii Europejskiej, przewiduje w art. 2 ust. 2 wyłączenie (w konkretnych okolicznościach) tego aktu z stosowania wobec ściśle określonych podmiotów. Przepis stanowi, że rozporządzenie nie ma zastosowania do przetwarzania danych osobowych m.in.: przez właściwe organy do celów zapobiegania przestępczości, prowadzenia postępowań przygotowawczych, wykrywania i ścigania czynów zabronionych lub wykonywania kar, w tym ochrony przed zagrożeniami dla bezpieczeństwa publicznego i zapobiegania takim zagrożeniom[ii],
Nie oznacza to jednak luki prawnej albowiem system ochrony danych adresowany do organów ściągania[iii]. reguluje dyrektywa 2016/680[iv], która do polskiego porządku prawnego została implementowana ustawą z dnia 14 grudnia 2018 roku o ochronie danych osobowych przetwarzanych w związku z zapobieganiem i zwalczaniem przestępczości[v] (zwaną też na wzór abrewiacji samego rozporządzenia: ustawą DODO). Zarówno RODO, jak i DODO stanowią niezależne od siebie podstawy prawne przetwarzania danych adresowane do innego kręgu podmiotów przetwarzających. Przy czym oba akty się przenikają[vi], a podmioty odpowiedzialne za ściganie i zwalczanie przestępczości są zobowiązane również do przestrzegania RODO[vii]. Podstawowe różnice pomiędzy RODO a DODO można przyporządkować do pięciu najważniejszych kategorii: (1) podstaw prawnych przetwarzania danych osobowych, (2) wymogów posiadania i prowadzenia dokumentacji, (3) prawa osób, których dane dotyczą, (4) obowiązku informacyjnego, oraz (5) konieczności wyznaczenia Inspektora Ochrony Danych, których ilustracją jest tabela jak następuje.
RODO | DODO |
Podstawy prawne przetwarzania danych | |
Podstawy przetwarzania określone a przepisach art. 6-10 RODO. Przetwarzanie danych jest zgodne z prawem wyłącznie w przypadkach, gdy – i w takim zakresie, w jakim – spełniony jest co najmniej jeden z warunków określonych a art. 6 RODO (dane zwykłe). Przetwarzanie danych szczególnych kategorii jest zgodne z prawem wyłącznie w przypadkach, gdy – i w takim zakresie, w jakim – spełniony jest co najmniej jeden z warunków określonych w art. 9 RODO (dane wrażliwe). | Przetwarzanie danych osobowych na gruncie ustawy DODO możliwe jest tylko i wyłącznie, gdy jest to niezbędne dla realizacji uprawnienia lub spełnienia obowiązków wynikających z przepisów (art. 13 DODO) Dane osobowe szczególnych kategorii mogą być przetwarzane jedynie, gdy przepis prawa zezwala na takie działanie lub jest to niezbędne dla ochrony życia lub zdrowia lub interesów osoby, której dane dotyczą lub innej osoby, bądź też dane tego typu zostały upublicznione przez osobę, której one dotyczą (art. 14 DODO) |
Dokumentacja ochrony danych | |
W RODO jedynie art. 24 ust. 2 wspomina o właściwym – jeżeli jest to proporcjonalne w stosunku do czynności przetwarzania – wdrożeniu odpowiednich polityk ODO, przy czym przepis nie wprowadza wymogu posiadania fizycznej (papierowej), ale winno to znaleźć odzwierciedlenie w formie zapisu lub opisu (np. w formie elektronicznej). Administratorzy danych są zobowiązani do przyjęcia koncepcji risk based approach, w szczególności dokonywania:
| Zgodnie z art. 31 ust. 4 ustawy DODO, administrator zobowiązany jest do opracowania i wdrożenia polityki ochrony danych osobowych, uwzględniającej sposób dokumentowania zastosowanych przez niego niezbędnych technicznych i organizacyjnych środków, odpowiadającej charakterowi, zakresowi, kontekstowi i celom przetwarzania oraz ryzyku naruszenia praw lub wolności osób fizycznych o różnym prawdopodobieństwie i wadze zagrożenia. Za minimalny zakres dokumentacji ochrony danych należy uznać wykaz jak następuje: • obowiązek opracowania i wdrożenia dokumentacji ochrony danych osobowych (art. 31 ust. 4 DODO) • bezwzględny obowiązek prowadzenia wykazu kategorii czynności przetwarzania (art. 35 ust. 1 DODO) • bezwzględny obowiązek prowadzenia wykazu kategorii czynności przetwarzania dokonywanych w imieniu administratora (art. 35 ust. 3 DODO)• obowiązek ewidencjonowania operacji przetwarzania prowadzonych w systemach zautomatyzowanych (art. 36 DODO) • obowiązek prowadzenia ewidencji osób upoważnionych do przetwarzania danych (art. 42 DODO) |
Prawa osób, których dane dotyczą | |
W RODO jedynie art. 24 ust. 2 wspomina o właściwym – jeżeli jest to proporcjonalne w stosunku do czynności przetwarzania – wdrożeniu odpowiednich polityk ODO, przy czym przepis nie wprowadza wymogu posiadania fizycznej (papierowej), ale winno to znaleźć odzwierciedlenie w formie zapisu lub opisu (np. w formie elektronicznej). Administratorzy danych są zobowiązani do przyjęcia koncepcji risk based approach, w szczególności dokonywania: | Prawa osób, których dane dotyczą (art. 22 DODO) • prawo do uzyskania informacji o przetwarzaniu danych osobowych, • prawo dostępu do danych oraz uzyskania kopii lub wyciągu z danych, • prawo do uzupełnienia, uaktualnienia lub sprostowania danych osobowych, • prawo do usunięcia danych osobowych, lub ograniczenia przetwarzania, • prawo do wniesienia skargi do organu nadzorczego |
Obowiązek informacyjny | |
Obowiązek informacyjny (klauzule informacyjne) realizowany w sytuacji, gdy dane osobowe pozyskiwane są bezpośrednio od osoby, której dane dotyczą (art. 13 RODO) oraz pośrednio, bez jej aktywnego działania, np. ze źródeł powszechnie dostępnych (art. 14 RODO) | DODO zawiera przepisy o charakterze lex specialis wobec wymogów określonych w art. 13 i 14 RODO. I tak realizacja obowiązku informacyjnego na podstawie lex generalis, zgodnie bowiem z art. 22 ustawy DODO, będzie się materializowała w następujących sytuacjach: • publiczne przekazywanie informacji przez administratora danych (art. 22 ust. 1 i ust. 2 DODO) • przekazywanie informacji przez administratora w konkretnych przypadkach, w celu umożliwienia osobie, której dane są przetwarzane, wykonania przysługujących jej praw (art. 22 ust. 3 DODO) |
Wyznaczenie Inspektora Ochrony Danych | |
Administrator podmiot przetwarzający wyznaczają Inspektora Ochrony Danych w sytuacjach przewidzianych w art. 37 RODO | Zgodnie z art. 46 ustawy, każdy podmiot przetwarzający dane w celu rozpoznawania, zapobiegania, wykrywania i zwalczania czynów zabronionych, w tym zagrożeń dla bezpieczeństwa i porządku publicznego, a także wykonywania tymczasowego aresztowania, kar, kar porządkowych i środków przymusu skutkujących pozbawieniem wolności – a więc każdy z definicji administratora określonej w art. 4 ust. 1 – jest zobowiązany do powołania Inspektora Ochrony Danych |
Ustawa DODO przewiduje także kary za przetwarzanie danych, gdy do ich przetwarzania podmiot nie jest uprawniony lub gdy udaremnia, lub istotnie utrudnia przeprowadzenie kontroli przez Prezesa UODO. Są nimi: grzywna, kara ograniczenia wolności albo pozbawienie wolności do dwóch lat. Jeżeli czyn dotyczy danych wrażliwych, sprawca podlega grzywnie, karze ograniczenia wolności albo pozbawienia wolności do lat trzech[ix].
[i] Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych), Dz.Urz. UE L 119 z 4.05.2016, s. 1-88.
[ii] W tym takie organy jak: Sąd Najwyższy, Sądy powszechne, Sądy administracyjne, Sądy wojskowe, Trybunał Konstytucyjny, Trybunał Stanu, Prokuratura, Instytut Pamięci Narodowej, Służba Ochrony Państwa, Policja, Centralne Biuro Śledcze Policji, Straż Graniczna, Straż Miejska, Żandarmeria Wojskowa, Służba Więzienna, Prezes Urzędu Ochrony Konkurencji i Konsumentów, Inspekcja Drogowa, Straż Rybacka, Inspekcja Kontroli Skarbowej, Inspekcja Pracy, Inspekcja Handlowa, Państwowa Inspekcja Sanitarna, Inspekcja Weterynaryjna, Inspekcja Ochrony Środowiska, Państwowa Inspekcja Farmaceutyczna, przewoźnicy lotniczy, podmioty odpowiedzialne za bezpieczeństwo imprez masowych, czy komornik egzekwujący kary w postępowaniu karnym. Szerzej zob. S. Serafin, W. Szmulik, Organy ochrony prawnej RP, C.H. Beck, Warszawa 2010.
[iii] Ustawy nie stosuje się w sprawach danych przetwarzanych przez: Agencję Bezpieczeństwa Wewnętrznego, Agencję Wywiadu, Służbę Kontrwywiadu Wojskowego, Służbę Wywiadu Wojskowego oraz Centralne Biuro Antykorupcyjne – w zakresie zapewnienia bezpieczeństwa narodowego. Jak podkreśla się w doktrynie, ustawa – niezgodnie z dyrektywą 2016/680 – wyłącza swoje zastosowanie także do danych osobowych znajdujących się w aktach spraw lub czynności lub urządzeniach ewidencyjnych prowadzonych w postępowaniach: (a) w stosunku do nieletnich, (b) karnych, w tym karnych wykonawczych i karnych skarbowych, (c) wobec osób z zaburzeniami psychicznymi stwarzającymi zagrożenie dla życia, zdrowia lub wolności seksualnej i innych osób. Zob. P. Liwszic, T. Ochocki, Ł. Pociecha, Ustawa o ochronie danych osobowych przetwarzanych w związku z zapobieganiem i zwalczaniem przestępczości. Komentarz, C.H. Beck, Warszawa 2019.
[iv] Dyrektywa Parlamentu Europejskiego i Rady (UE) 2016/680 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych przez właściwe organy do celów zapobiegania przestępczości, prowadzenia postępowań przygotowawczych, wykrywania i ścigania czynów zabronionych i wykonywania kar, w sprawie swobodnego przepływu takich danych oraz uchylająca decyzję ramową Rady 2008/977/WSiSW (zwaną „dyrektywą policyjną”), Dz.Urz. UE L 119 z 4.05.2016, s. 89-131.
[v] Dz.U. z 2019 r., poz. 12
[vi] Przykładem mogą być definicje wprowadzone przez RODO, które analogicznie stosuje się do DODO jak: administrator danych, dane osobowe, naruszenia ochrony danych osobowych, przetwarzanie danych osobowych. Nadto, oba akty prawne przewidują nadzór jednego organu, tj. Prezesa Urzędu Ochrony Danych.
[vii] We wszystkich sprawach, w których przetwarzanie danych osobowych odbywa się w jednym z wymienionych celów, mają zastosowanie przepisy wdrażające dyrektywę. Istotnym jest, że podmioty odpowiedzialne za ściganie i zwalczanie przestępczości, przetwarzające dane w celach określonych w przywołanym art. 1 pkt 1 ustawy DODO, zobowiązane są również do stosowania przepisów RODO, np. rekrutacją pracowników czy prowadzeniem spraw kadrowych. Oznacza to, że mogą pojawić się sytuacje, w których jeden podmiot zobowiązany będzie do spełnienia równolegle wymagań przewidzianych przepisami ustawy DODO oraz RODO. Szerzej zob. A. Grzelak, Ustawa o ochronie danych osobowych przetwarzanych w związku z zapobieganiem i zwalczaniem przestępczości. Komentarz, C.H. Beck, Warszawa 2019.
[viii] Administratorzy danych zobowiązani do wyznaczenia IOD na podstawie ustawy najczęściej będą równolegle zobowiązani do wyznaczenia IOD na gruncie RODO, a zatem będą mogli wyznaczyć IOD na gruncie dwóch regulacji: art. 46 ustawy DODO oraz art. 37 ust. 1 RODO.
[ix] Rozdział 8 ustawy z dnia 14 grudnia 2018 roku o ochronie danych osobowych przetwarzanych w związku z zapobieganiem i zwalczaniem przestępczości (Dz.U. z 2019 r., poz. 125).
Z tej samej kategorii
Kategorie
