Usługi
Aktualności
RODO
Szkolenia
Wydarzenia
O nas
kontakt

Strona główna
Aktualności
Ochrona danych osobowych przetwarzanych w związku z zapobieganiem i zwalczaniem przestępczości (DODO) a RODO – podstawowe różnice

Ochrona danych osobowych przetwarzanych w związku z zapobieganiem i zwalczaniem przestępczości (DODO) a RODO – podstawowe różnice

16.05.2023
Autor: dr Adam Rogala - Lewicki
News

RODO[i], jako akt prawa adresowany abstrakcyjnie, tj. do wszystkich, którzy przetwarzają dane osobowe na terytorium Unii Europejskiej, przewiduje w art. 2 ust. 2 wyłączenie (w konkretnych okolicznościach) tego aktu z stosowania wobec ściśle określonych podmiotów. Przepis stanowi, że rozporządzenie nie ma zastosowania do przetwarzania danych osobowych m.in.: przez właściwe organy do celów zapobiegania przestępczości, prowadzenia postępowań przygotowawczych, wykrywania i ścigania czynów zabronionych lub wykonywania kar, w tym ochrony przed zagrożeniami dla bezpieczeństwa publicznego i zapobiegania takim zagrożeniom^[ii],

Nie oznacza to jednak luki prawnej albowiem system ochrony danych adresowany do organów ściągania^[iii]. reguluje dyrektywa 2016/680^[iv], która do polskiego porządku prawnego została implementowana ustawą z dnia 14 grudnia 2018 roku o ochronie danych osobowych przetwarzanych w związku z zapobieganiem i zwalczaniem przestępczości^[v] (zwaną też na wzór abrewiacji samego rozporządzenia: ustawą DODO). Zarówno RODO, jak i DODO stanowią niezależne od siebie podstawy prawne przetwarzania danych adresowane do innego kręgu podmiotów przetwarzających. Przy czym oba akty się przenikają^[vi], a podmioty odpowiedzialne za ściganie i zwalczanie przestępczości są zobowiązane również do przestrzegania RODO^[vii]. Podstawowe różnice pomiędzy RODO a DODO można przyporządkować do pięciu najważniejszych kategorii: (1) podstaw prawnych przetwarzania danych osobowych, (2) wymogów posiadania i prowadzenia dokumentacji, (3) prawa osób, których dane dotyczą, (4) obowiązku informacyjnego, oraz (5) konieczności wyznaczenia Inspektora Ochrony Danych, których ilustracją jest tabela jak następuje.

RODO

DODO

Podstawy prawne przetwarzania danych

Add New

Podstawy przetwarzania określone a przepisach art. 6-10 RODO. Przetwarzanie danych jest zgodne z prawem wyłącznie w przypadkach, gdy – i w takim zakresie, w jakim – spełniony jest co najmniej jeden z warunków określonych a art. 6 RODO (dane zwykłe). Przetwarzanie danych szczególnych kategorii jest zgodne z prawem wyłącznie w przypadkach, gdy – i w takim zakresie, w jakim – spełniony jest co najmniej jeden z warunków określonych w art. 9 RODO (dane wrażliwe).

Przetwarzanie danych osobowych na gruncie ustawy DODO możliwe jest tylko i wyłącznie, gdy jest to niezbędne dla realizacji uprawnienia lub spełnienia obowiązków wynikających z przepisów (art. 13 DODO) Dane osobowe szczególnych kategorii mogą być przetwarzane jedynie, gdy przepis prawa zezwala na takie działanie lub jest to niezbędne dla ochrony życia lub zdrowia lub interesów osoby, której dane dotyczą lub innej osoby, bądź też dane tego typu zostały upublicznione przez osobę, której one dotyczą (art. 14 DODO)

Dokumentacja ochrony danych

Add New

W RODO jedynie art. 24 ust. 2 wspomina o właściwym – jeżeli jest to proporcjonalne w stosunku do czynności przetwarzania – wdrożeniu odpowiednich polityk ODO, przy czym przepis nie wprowadza wymogu posiadania fizycznej (papierowej), ale winno to znaleźć odzwierciedlenie w formie zapisu lub opisu (np. w formie elektronicznej). Administratorzy danych są zobowiązani do przyjęcia koncepcji risk based approach, w szczególności dokonywania:

rejestru czynności przetwarzania danych (art. 30 ust. 1 RODO)
rejestru kategorii czynności przetwarzania (art. 30 ust. 2 RODO)
raportowania naruszenia bezpieczeństwa danych (art. 33 RODO)
oceny (analizy) ryzyka (art. 24, 32, 35, 36 RODO)
oceny skutków przetwarzania dla danych osobowych (privacy impact assessment), (art. 35 RODO)

Zgodnie z art. 31 ust. 4 ustawy DODO, administrator zobowiązany jest do opracowania i wdrożenia polityki ochrony danych osobowych, uwzględniającej sposób dokumentowania zastosowanych przez niego niezbędnych technicznych i organizacyjnych środków, odpowiadającej charakterowi, zakresowi, kontekstowi i celom przetwarzania oraz ryzyku naruszenia praw lub wolności osób fizycznych o różnym prawdopodobieństwie i wadze zagrożenia. Za minimalny zakres dokumentacji ochrony danych należy uznać wykaz jak następuje: • obowiązek opracowania i wdrożenia dokumentacji ochrony danych osobowych (art. 31 ust. 4 DODO) • bezwzględny obowiązek prowadzenia wykazu kategorii czynności przetwarzania (art. 35 ust. 1 DODO) • bezwzględny obowiązek prowadzenia wykazu kategorii czynności przetwarzania dokonywanych w imieniu administratora (art. 35 ust. 3 DODO)• obowiązek ewidencjonowania operacji przetwarzania prowadzonych w systemach zautomatyzowanych (art. 36 DODO) • obowiązek prowadzenia ewidencji osób upoważnionych do przetwarzania danych (art. 42 DODO)

Prawa osób, których dane dotyczą

Prawa osób, których dane dotyczą (art. 22 DODO) • prawo do uzyskania informacji o przetwarzaniu danych osobowych, • prawo dostępu do danych oraz uzyskania kopii lub wyciągu z danych, • prawo do uzupełnienia, uaktualnienia lub sprostowania danych osobowych, • prawo do usunięcia danych osobowych, lub ograniczenia przetwarzania, • prawo do wniesienia skargi do organu nadzorczego

Obowiązek informacyjny

Add New

Obowiązek informacyjny (klauzule informacyjne) realizowany w sytuacji, gdy dane osobowe pozyskiwane są bezpośrednio od osoby, której dane dotyczą (art. 13 RODO) oraz pośrednio, bez jej aktywnego działania, np. ze źródeł powszechnie dostępnych (art. 14 RODO)

DODO zawiera przepisy o charakterze lex specialis wobec wymogów określonych w art. 13 i 14 RODO. I tak realizacja obowiązku informacyjnego na podstawie lex generalis, zgodnie bowiem z art. 22 ustawy DODO, będzie się materializowała w następujących sytuacjach: • publiczne przekazywanie informacji przez administratora danych (art. 22 ust. 1 i ust. 2 DODO) • przekazywanie informacji przez administratora w konkretnych przypadkach, w celu umożliwienia osobie, której dane są przetwarzane, wykonania przysługujących jej praw (art. 22 ust. 3 DODO)

Wyznaczenie Inspektora Ochrony Danych

Add New

Administrator podmiot przetwarzający wyznaczają Inspektora Ochrony Danych w sytuacjach przewidzianych w art. 37 RODO

Zgodnie z art. 46 ustawy, każdy podmiot przetwarzający dane w celu rozpoznawania, zapobiegania, wykrywania i zwalczania czynów zabronionych, w tym zagrożeń dla bezpieczeństwa i porządku publicznego, a także wykonywania tymczasowego aresztowania, kar, kar porządkowych i środków przymusu skutkujących pozbawieniem wolności – a więc każdy z definicji administratora określonej w art. 4 ust. 1 – jest zobowiązany do powołania Inspektora Ochrony Danych

Add New

Ustawa DODO przewiduje także kary za przetwarzanie danych, gdy do ich przetwarzania podmiot nie jest uprawniony lub gdy udaremnia, lub istotnie utrudnia przeprowadzenie kontroli przez Prezesa UODO. Są nimi: grzywna, kara ograniczenia wolności albo pozbawienie wolności do dwóch lat. Jeżeli czyn dotyczy danych wrażliwych, sprawca podlega grzywnie, karze ograniczenia wolności albo pozbawienia wolności do lat trzech^[ix].

[i] Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych), Dz.Urz. UE L 119 z 4.05.2016, s. 1-88.

[ii] W tym takie organy jak: Sąd Najwyższy, Sądy powszechne, Sądy administracyjne, Sądy wojskowe, Trybunał Konstytucyjny, Trybunał Stanu, Prokuratura, Instytut Pamięci Narodowej, Służba Ochrony Państwa, Policja, Centralne Biuro Śledcze Policji, Straż Graniczna, Straż Miejska, Żandarmeria Wojskowa, Służba Więzienna, Prezes Urzędu Ochrony Konkurencji i Konsumentów, Inspekcja Drogowa, Straż Rybacka, Inspekcja Kontroli Skarbowej, Inspekcja Pracy, Inspekcja Handlowa, Państwowa Inspekcja Sanitarna, Inspekcja Weterynaryjna, Inspekcja Ochrony Środowiska, Państwowa Inspekcja Farmaceutyczna, przewoźnicy lotniczy, podmioty odpowiedzialne za bezpieczeństwo imprez masowych, czy komornik egzekwujący kary w postępowaniu karnym. Szerzej zob. S. Serafin, W. Szmulik, Organy ochrony prawnej RP, C.H. Beck, Warszawa 2010.

[iii] Ustawy nie stosuje się w sprawach danych przetwarzanych przez: Agencję Bezpieczeństwa Wewnętrznego, Agencję Wywiadu, Służbę Kontrwywiadu Wojskowego, Służbę Wywiadu Wojskowego oraz Centralne Biuro Antykorupcyjne – w zakresie zapewnienia bezpieczeństwa narodowego. Jak podkreśla się w doktrynie, ustawa – niezgodnie z dyrektywą 2016/680 – wyłącza swoje zastosowanie także do danych osobowych znajdujących się w aktach spraw lub czynności lub urządzeniach ewidencyjnych prowadzonych w postępowaniach: (a) w stosunku do nieletnich, (b) karnych, w tym karnych wykonawczych i karnych skarbowych, (c) wobec osób z zaburzeniami psychicznymi stwarzającymi zagrożenie dla życia, zdrowia lub wolności seksualnej i innych osób. Zob. P. Liwszic, T. Ochocki, Ł. Pociecha, Ustawa o ochronie danych osobowych przetwarzanych w związku z zapobieganiem i zwalczaniem przestępczości. Komentarz, C.H. Beck, Warszawa 2019.

[iv] Dyrektywa Parlamentu Europejskiego i Rady (UE) 2016/680 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych przez właściwe organy do celów zapobiegania przestępczości, prowadzenia postępowań przygotowawczych, wykrywania i ścigania czynów zabronionych i wykonywania kar, w sprawie swobodnego przepływu takich danych oraz uchylająca decyzję ramową Rady 2008/977/WSiSW (zwaną „dyrektywą policyjną”), Dz.Urz. UE L 119 z 4.05.2016, s. 89-131.

[v] Dz.U. z 2019 r., poz. 12

[vi] Przykładem mogą być definicje wprowadzone przez RODO, które analogicznie stosuje się do DODO jak: administrator danych, dane osobowe, naruszenia ochrony danych osobowych, przetwarzanie danych osobowych. Nadto, oba akty prawne przewidują nadzór jednego organu, tj. Prezesa Urzędu Ochrony Danych.

[vii] We wszystkich sprawach, w których przetwarzanie danych osobowych odbywa się w jednym z wymienionych celów, mają zastosowanie przepisy wdrażające dyrektywę. Istotnym jest, że podmioty odpowiedzialne za ściganie i zwalczanie przestępczości, przetwarzające dane w celach określonych w przywołanym art. 1 pkt 1 ustawy DODO, zobowiązane są również do stosowania przepisów RODO, np. rekrutacją pracowników czy prowadzeniem spraw kadrowych. Oznacza to, że mogą pojawić się sytuacje, w których jeden podmiot zobowiązany będzie do spełnienia równolegle wymagań przewidzianych przepisami ustawy DODO oraz RODO. Szerzej zob. A. Grzelak, Ustawa o ochronie danych osobowych przetwarzanych w związku z zapobieganiem i zwalczaniem przestępczości. Komentarz, C.H. Beck, Warszawa 2019.

[viii] Administratorzy danych zobowiązani do wyznaczenia IOD na podstawie ustawy najczęściej będą równolegle zobowiązani do wyznaczenia IOD na gruncie RODO, a zatem będą mogli wyznaczyć IOD na gruncie dwóch regulacji: art. 46 ustawy DODO oraz art. 37 ust. 1 RODO.

[ix] Rozdział 8 ustawy z dnia 14 grudnia 2018 roku o ochronie danych osobowych przetwarzanych w związku z zapobieganiem i zwalczaniem przestępczości (Dz.U. z 2019 r., poz. 125).

Autor

dr Adam Rogala - Lewicki

Adwokat, Konsultant ds. Danych Osobowych. Prawnik z doświadczeniem w zakresie obsługi podmiotów korporacyjnych w ramach obrotu cywilnego, handlowego i gospodarczego, specjalizujący się w prawie ochrony danych osobowych, bezpieczeństwa informacji, nowych technologii oraz własności intelektualnej. Specjalista w zakresie audytowania i wdrażania systemów ochrony danych osobowych, zarządzania bezpieczeństwem informacji, compliance, corporate governance i due diligence. W obszarze danych osobowych również pełnomocnik w sporach z PUODO oraz GIODO. Studiował na Uniwersytecie Warszawskim, Uniwersytecie im. Kardynała Stefana Wyszyńskiego w Warszawie, Uniwersytecie Paris X Nanterre, w Akademii Obrony Narodowej, był stypendystą Funduszu Stypendialnego i Szkoleniowego na Uniwersytecie w Oslo i w Liechtenstein Institute oraz rządu Indii w International Management Institute w New Delhi. W pracy posługuje się również językiem angielskim i francuskim.

Z tej samej kategorii

Realizacja prawa dostępu do danych osobowych według EROD Więcej

Profilowanie na Danych Osobowych Więcej

Sztuczna inteligencja w objęciach prawa unijnego. Główne problemy regulacyjne w czasie inkubacyjnym. Więcej

Prezes Urzędu Ochrony Danych Osobowych – wybór, kompetencje i wyzwania na 2024 r. Więcej

COLD MAILING W KONTEKŚCIE ADMINISTRATORA DANYCH OSOBOWYCH I PROCESORA Więcej

Zasady naczelne RODO Więcej

Dokumentacja z zakresu ochrony danych osobowych Więcej

Kodeksy postępowania na gruncie RODO i ich znaczenie Więcej

Naruszenie ochrony danych w świetle wytycznych Europejskiej Rady Ochrony Danych Więcej

Technologia rozpoznawania twarzy w obszarze ochrony porządku publicznego – wytyczne Europejskiej Rady Ochrony Danych Więcej

WSZYSTKIE Z KATEGORII

Kategorie

analizy
Cyberbezpieczeństwo
definicje i pojęcia w RODO
inspektor ochrony danych
obowiązki administratora danych
organ nadzorczy
powierzanie danych
prawa podmiotów danych
przekazywanie danych poza EOG
roczny plan kontroli UODO
RODO w IT
Sankcje, kary finansowe RODO

Ta strona wykorzystuje pliki cookie, należące do nas lub do osób trzecich, do celów wydajności i służą reklamom zgodnym z Twoimi preferencjami dotyczącymi przeglądania, które mogą być dla Ciebie interesujące. Aby dowiedzieć się więcej o tym, jak używamy plików cookie lub zmienić preferencje dotyczące plików cookie, kliknij na "Ustawienia plików cookie". Możesz w każdej chwili zmienić te ustawienia odwiedzając naszą politykę cookies i postępując zgodnie z zawartymi w niej instrukcjami. Klikając na "Zaakceptuj wszystkie pliki cookie" wyrażasz zgodę na przechowywanie plików cookie w swoim urządzeniu.

Polityka plików cookie Ustawienia plików cookie Zaakceptuj wszystkie pliki cookie

Zarządzaj zgodami

Pliki cookie i inne technologie na tej stronie

Proszę zdecydować, czy ta strona może korzystać z plików cookie lub innych technologii, takich jak sygnały nawigacyjne w sieci web, znaczniki pikseli i obiekty Flash („Pliki cookie”), jak opisano poniżej. Więcej informacji na temat korzystania z plików cookie i związanych z nimi technologii można znaleźć w naszej polityce prywatności, do której odsyła poniższy link.

Polityka Prywatności

Funkcjonalne pliki cookie

Te pliki cookie umożliwiają nam analizę korzystania z witryny przez użytkownika w celu oceny i poprawy jej wydajności. Mogą one być również wykorzystywane do zapewnienia lepszej obsługi klienta na tej stronie. Na przykład: do zapamiętywania danych do logowania, zapisywania informacji o tym, co znajduje się w koszyku lub dostarczania nam informacji o sposobach korzystania z naszej witryny.

Pomiar wydajności

Te pliki cookie umożliwiają nam zliczanie wizyt i źródeł ruchu, dzięki czemu możemy mierzyć i poprawiać wydajność naszej witryny. Pomagają one ustalić, które strony są najbardziej i najmniej popularne i zobaczyć, jak odwiedzający poruszają się po stronie. Wszystkie informacje zbierane przez te pliki cookie są agregowane i tym samym anonimowe. Jeśli użytkownik nie zezwoli na stosowanie tych plików cookie, nie będziemy wiedzieć, kiedy odwiedził naszą stronę internetową.

Reklamowe pliki cookie

Te pliki cookie są wykorzystywane do wyświetlania reklam, które są bardziej dopasowane do użytkownika. Możemy dzielić się tymi informacjami z reklamodawcami lub wykorzystywać je w celu lepszego zrozumienia zainteresowań użytkownika. Reklamowe pliki cookie mogą być na przykład wykorzystywane do udostępniania danych reklamodawcom, tak aby reklamy, które widzi użytkownik były do niego bardziej dopasowane, aby mógł on udostępniać niektóre strony na portalach społecznościowych lub zamieszczać komentarze na naszej stronie.

Wymagane pliki cookie

Te pliki cookie są niezbędne, aby umożliwić korzystanie z podstawowych funkcji witryny, takich jak zapewnienie bezpiecznego logowania lub zapamiętywanie, na jakim etapie składania zamówienia jest użytkownik.

SAVE & ACCEPT

RODOradar.pl - Wszystko o RODO

Wychodząc naprzeciw trudnościom i wątpliwościom, jakie stwarza wdrażanie przepisów prawa ochrony danych osobowych, stworzyliśmy serwis, którego celem jest dostarczanie wiedzy i wskazówek pomocnych przy wdrażaniu RODO w organizacjach.

Potrzebujesz pomocy we wdrożeniu przepisów RODO w swojej organizacji?

SKONTAKTUJ SIĘ Z NAMI

Nawigacja

Aktualności
Tekst GDPR/RODO
O nas
Szkolenia
Wydarzenia
Regulamin
Polityka prywatności

Blog

O przetwarzaniu danych w badaniu klinicznym
Udostępnienie czy powierzenie przetwarzania danych osobowych?
Formularz kontaktowy a RODO
RODO a nowe prawo kosmetyczne
Dane biometryczne w pracy
Ochrona medycznych danych osobowych

Czytaj dalej >>