Wszyscy zdążaliśmy się już przyzwyczaić do terminu RODO oraz wymagań narzuconych przez to unijne rozporządzenie w zakresie zasad przetwarzana danych osobowych. Jednakże unijna reforma ochrony danych osobowych zapoczątkowana w 2016 roku to nie tylko RODO, ale również inne akty prawne – obowiązujące bądź też pozostające w przygotowaniu. W niniejszym opracowaniu zostanie omówiona ustawa z dnia 14 grudnia 2018 r. o ochronie danych osobowych w związku z zapobieganiem i zwalczeniem przestępczości (dalej jako: ustawa DODO).
Art. 2 ust. 2 RODO stanowi, że nie ma ono zastosowania do przetwarzania danych osobowych m.in.: przez właściwe organy do celów zapobiegania przestępczości, prowadzenia postępowań przygotowawczych, wykrywania i ścigania czynów zabronionych lub wykonywania kar, w tym ochrony przed zagrożeniami dla bezpieczeństwa publicznego i zapobiegania takim zagrożeniom.
W celu wypełnienia tej luki unijny ustawodawca przyjął Dyrektywę Parlamentu Europejskiego i Rady (UE) 2016/680 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych przez właściwe organy do celów zapobiegania przestępczości, prowadzenia postępowań przygotowawczych, wykrywania i ścigania czynów zabronionych i wykonywania kar, w sprawie swobodnego przepływu takich danych oraz uchylająca decyzję ramową Rady 2008/977/WSiSW (dalej jako: Dyrektywa 2016/680). Abstrahując od dyskusji dotyczących skuteczności tego działania, dyrektywa została implementowana do polskiego porządku prawnego ustawą DODO, która weszła w życie dnia 6 lutego 2019 r. Jest to data szczególnie istotna, ponieważ od tej chwili w Polsce obowiązuje drugi obok RODO akt prawny, określający zasady i warunki przetwarzania oraz ochrony danych osobowych.
Relacja pomiędzy RODO a ustawą DODO
Zarówno RODO, jak i ustawa DODO, stanowią o niezależnych od siebie podstawach prawnych przetwarzania danych, precyzując jednocześnie zasady i warunki ich przetwarzania. Nie oznacza to jednak, że oba akty się nie przenikają. Przykładem mogą być chociażby analogiczne definicje wykorzystane w ramach RODO oraz ustawy DODO jak np. dane osobowe, naruszenia ochrony danych osobowych, przetwarzanie danych osobowych. Dodatkowo, oba akty prawne przewidują jeden organ nadzorczy w zakresie ich stosowania tj. Prezesa Urzędu Ochrony Danych (w tym zakresie odstępstwa od ogólnej zasady mogą przewidywać jednak przepisy ustaw szczególnych jak np. art. 175dd ustawy z dnia 27 lipca 2001 r. Prawo o ustroju sądów powszechnych).
Podstawową różnicą między RODO a ustawą DODO jest zaś to, że ustawa obowiązuje tylko niektóre podmioty, które przetwarzają dane. Kryteria ich wyznaczenia zostały określone w art. 1 pkt 1 Ustawy DODO, zgodnie z którym ustawa określa zasady i warunki ochrony danych osobowych przetwarzanych przez właściwe organy w celu rozpoznawania, zapobiegania, wykrywania i zwalczania czynów zabronionych, w tym zagrożeń dla bezpieczeństwa i porządku publicznego, a także wykonywania tymczasowego aresztowania, kar, kar porządkowych i środków przymusu skutkujących pozbawieniem wolności.
Przykłady podmiotów stosujących ustawę DODO
Policja, Straż Graniczna, Straż Miejska, Żandarmeria Wojskowa, Służba Więzienna, Inspekcja Drogowa, Straż Rybacka, przewoźnicy lotniczy, podmioty odpowiedzialne za bezpieczeństwo imprez masowych.
Istotnym jest, że podmioty odpowiedzialne za ściganie i zwalczanie przestępczości, przetwarzające dane w celach określonych w przywołanym art. 1 pkt 1 ustawy DODO, zobowiązane są również do stosowania przepisów RODO w zakresie np. przetwarzania danych pracowników. Oznacza to, że mogą pojawić się sytuacje, w których jeden podmiot zobowiązany będzie do spełnienia równolegle wymagań przewidzianych przepisami ustawy DODO oraz RODO. W tym miejscu kluczowa będzie znajomość różnic w zakresie obowiązków narzucanych przez oba akty prawne.
Podstawowe różnice na gruncie ustawy DODO oraz RODO w zakresie obowiązków ADO:
1) Podstawy prawne przetwarzania danych
Ustawa DODO nie wyznacza administratorom tak szerokiego wachlarza możliwości jak to przewiduje RODO w art. 6, 9 oraz 10. Przetwarzanie danych osobowych na gruncie ustawy DODO możliwe jest tylko i wyłącznie, gdy jest to niezbędne dla realizacji uprawnienia lub spełnienia obowiązków wynikających z przepisów prawa (art. 13 ustawy DODO). Dodatkowo, dane osobowe szczególnych kategorii mogą być przetwarzane jedynie, gdy przepis prawa zezwala na takie działanie lub jest to niezbędne dla ochrony życia lub zdrowia lub interesów osoby, której dane dotyczą lub innej osoby, bądź też dane tego typu zostały upublicznione przez osobę, której one dotyczą (art. 14 ustawy DODO).
2) Dokumentacja ochrony danych na gruncie DODO
Zgodnie z art. 31 ust. 4 ustawy DODO, administrator zobowiązany jest do opracowania i wdrożenia polityki ochrony danych osobowych, uwzględniającej sposób dokumentowania zastosowanych przez niego niezbędnych technicznych i organizacyjnych środków, odpowiadającej charakterowi, zakresowi, kontekstowi i celom przetwarzania oraz ryzyku naruszenia praw lub wolności osób fizycznych o różnym prawdopodobieństwie i wadze zagrożenia.
Uwzględniając powyższe, jako minimalny zakres dokumentacji ochrony danych na gruncie omawianej ustawy należy wskazać pozycje wymienione poniżej:
1. Dokumentację wskazującą faktyczne lub prawne przyczyny odmowy przekazania informacji lub udostępnienia danych osobowych osobie, której dane dotyczą (art. 31. ust. 7),
2. Dokumentację wskazującą faktyczne lub prawne przyczyny odmowy lub ograniczenia dostępu do danych (art. 23 ust. 4),
3. Dokumentacja w zakresie odpowiednich środków technicznych oraz niezbędnych zabezpieczeń stosowanych przy przetwarzaniu danych osobowych w celu realizacji zasad domyślnej ochrony danych i ochrony danych osobowych w fazie projektowania (art. 32 ust. 3),
4. Porozumienie pomiędzy współadministratorami (jeżeli administrator działa w modelu współadministrowania danymi osobowymi – art. 33),
5. Umowa o powierzeniu danych osobowych do przetwarzania (w przypadku powierzania danych osobowych do przetwarzania – art. 34),
6. Wykaz kategorii czynności przetwarzania (art. 35 ust. 1),
7. Wykaz kategorii czynności przetwarzania dokonywanych w imieniu administratora (występując w pozycji podmiotu przetwarzającego, o którym mowa w art. 4 pkt 12, art. 35 ),
8. Procedura przeprowadzania oraz wyniki oceny skutków planowanych operacji przetwarzania dla ochrony danych osobowych, jeżeli dany rodzaj przetwarzania może skutkować powstaniem wysokiego ryzyka naruszenia praw i wolności osób fizycznych (art. 37 ust. 1),
9. Procedura oraz protokoły ze zniszczenia informatycznych nośników danych wykorzystywanych do przetwarzania danych osobowych (art. 40),
10. Wniosek o nadanie uprawnień dostępu do danych osobowych oraz oświadczenie osoby, której wniosek dotyczy, o zobowiązaniu się do zapewnienia bezpieczeństwa danych osobowych (art. 41),
11. Ewidencja osób upoważnionych do przetwarzania danych osobowych (art. 42),
12. Oświadczenia osób upoważnionych do przetwarzania danych osobowych dotyczące zapewnienia bezpieczeństwa danych osobowych oraz zachowania w tajemnicy udostępnionych danych osobowych oraz sposobów ich zabezpieczenia (art. 43 ustawy DODO),
13. Procedura postępowania z naruszeniami ochrony danych osobowych oraz rejestr naruszeń ochrony danych osobowych (art. 44 ustawy DODO).
Prawa osób, których dane dotyczą
Ustawa DODO podobnie jak RODO przewiduje po stronie Administratora, obowiązek w zakresie realizacji praw osób, których dane dotyczą. Podstawowa różnica w tym zakresie pomiędzy oboma aktami dotyczy katalogu uprawnień przysługujących takim osobom USTAWA DODO (Rozdział 4), ustawa RODO (Rozdział 3).
Obowiązek informacyjny na gruncie Ustawy DODO a RODO
Zarówno ustawa DODO jak i RODO nakładają na administratora obowiązek poinformowania osoby, której dane dotyczą, o zasadach dotyczących przetwarzania tych danych. Na gruncie RODO, przywykliśmy już do konieczności opracowania oraz przekazywania klauzul informacyjnych w sytuacji, gdy pozyskujemy dane bezpośrednio od osoby, której dane dotyczą (art. 13 RODO) oraz pośrednio, bez jej aktywnego działania np. ze źródeł powszechnie dostępnych (art. 14 RODO).
Po wejściu w życie ustawy DODO realizacja obowiązku informacyjnego w przypadkach powyższej wskazanych nie będzie wyczerpywała zobowiązań administratora w tym zakresie. Zgodnie bowiem z art. 22 ustawy DODO, administrator będzie zobowiązany do realizacji obowiązku informacyjnego.
Treści przekazywane w ramach klauzul informacyjnych na gruncie poszczególnych przepisów ustawy DODO oraz RODO nie są tożsame. Prawidłowa realizacja obowiązków informacyjnych, wymaga każdorazowej weryfikacji stanu faktycznego.
Wyznaczenie inspektora ochrony danych na gruncie ustawy DODO a RODO
Inspektor ochrony danych to instytucja znana z przepisów RODO, która znajduje swoją funkcję również w ramach przetwarzania danych osobowych w celu zapobiegania i zwalczania przestępczości. Ustawa DODO wprowadza jednak istotną różnicę w zakresie podstaw powołania IDO w stosunku do przepisów RODO. Zgodnie bowiem z art. 46 Ustawy DODO, każdy podmiot przetwarzający dane w celu rozpoznawania, zapobiegania, wykrywania i zwalczania czynów zabronionych, w tym zagrożeń dla bezpieczeństwa i porządku publicznego, a także wykonywania tymczasowego aresztowania, kar, kar porządkowych i środków przymusu skutkujących pozbawieniem wolności – a więc wpisujący się w definicję administratora określoną w art. 4 ust. 1 Ustawy DODO – jest zobowiązany do powołania IOD. Oznacza to, że ustawa DODO nie przewiduje żadnych szczególnych przesłanek w tym zakresie w porównaniu do art. 37 RODO. Przepisy ustawy DODO stawiają więc sytuacje jednoznacznie – administrator jest zobowiązany do stosowania jej przepisów, a więc ma obowiązek wyznaczenia IOD w swojej organizacji.
Każdy podmiot zobowiązany do stosowania przepisów ustawy DODO ma obowiązek powołać inspektora ochrony danych, niezależnie od podstaw wynikających z przepisów RODO
Należy również wskazać, że w organizacjach zobowiązanych do stosowania ustawy DODO, dochodzić może do sytuacji, w których podmioty te będą zobowiązane do wyznaczenie IOD na gruncie dwóch regulacji: art. 46 ustawy DODO oraz art. 37 ust. 1 RODO. Jest to szczególnie istotne, ze względu na fakt, że duża cześć podmiotów podlegających pod przepisy ustawy DODO to organy publiczne w rozumieniu art. 37 ust. 1 pkt 1 RODO (a więc zobowiązane do wyznaczenie IDO w oparciu o przepisy unijnego rozporządzenia). W takich sytuacjach, kluczowym będzie podjęcie przez administratorów decyzji w następującym zakresie: czy powołać dwóch odrębnych inspektorów czy też obarczyć jedną osobę zadaniami inspektora wynikającymi zarówno z ustawy DODO jak i RODO.
Podsumowanie
Wejście w życie w dniu 6 lutego 2019 r ustawy DODO oznacza, że organizacje, które w ramach prowadzonej przez siebie działalności przetwarzają dane, powinny zweryfikować, czy nie czynią tego w celach określonych w art. 1 pkt 1 przywołanej ustawy. Pozytywny wynik takiego działania, oznaczać zaś będzie pojawienie się nowych, licznych obowiązków po stronie takich podmiotów. Najwięcej trudności mogą zaś sprawiać te, które będą musiały być wykonywane niezależnie od zadań nałożonych przepisami RODO. Może to być szczególnie ciężkie zadanie dla osób pełniących funkcje inspektora ochrony danych (bez pomocy dedykowanego zespołu bądź też zastępcy). Jak bowiem pokazuje praktyka, w dużej części to właśnie na tych osobach spoczywa najwięcej zadań w zakresie realizacji wymagań stawianych przez przepisy o ochronie danych osobowych – w tym przypadku dwóch niezależnych aktów prawnych. Powyższe pokazuje dobitnie, jak istotne są decyzje administratorów w zakresie prawidłowego wdrożenia i stosowania przepisów ustawy DODO jak i RODO.