- Dane osobowe mogą być przetwarzane w celu rozpoznawania, zapobiegania, wykrywania i zwalczania czynów zabronionych w tym zagrożeń dla bezpieczeństwa i porządku publicznego, a także wykonywania tymczasowego aresztowania, kar, kar porządkowych i środków przymusu skutkujących pozbawieniem wolności.
- W ustawie nie skatalogowano podmiotów, których ustawa dotyczy. Ustawodawcą wprowadził natomiast wyłączenia przedmiotowe.
- Funkcję organu nadzorczego pełnił będzie Prezes Urzędu Ochrony Danych Osobowych.
Ustawa o ochronie danych osobowych przetwarzanych w związku z zapobieganiem i zwalczaniem przestępczości określa między innymi definicję danych osobowych, zakres przedmiotowy i podmiotowy tego aktu prawnego, zadania organu nadzorczego – Prezesa Urzędu Ochrony Danych Osobowych, zasady przetwarzania danych osobowych, prawa osób, których dane dotyczą, zasady współpracy Prezesa Urzędu Ochrony Danych Osobowych z organami nadzorczymi w innych państwach Unii Europejskiej oraz określa środki ochrony prawnej przysługujących osobom, których dane są przetwarzane.
Definicja danych osobowych
Ustawa o ochronie danych osobowych przetwarzanych w związku z zapobieganiem i zwalczaniem przestępczości odsyła do definicji danych osobowych, o której mowa w art. 4 pkt 1 rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z 27.4.2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych osobowych). W myśl tej definicji „dane osobowe” oznaczają informacje o zidentyfikowanej lub możliwej do zidentyfikowania osobie fizycznej („osobie, której dane dotyczą”); możliwa do zidentyfikowania osoba fizyczna to osoba, którą można bezpośrednio lub pośrednio zidentyfikować, w szczególności na podstawie identyfikatora takiego jak imię i nazwisko, numer identyfikacyjny, dane o lokalizacji, identyfikator internetowy lub jeden bądź kilka szczególnych czynników określających fizyczną, fizjologiczną, genetyczną, psychiczną, ekonomiczną, kulturową lub społeczną tożsamość osoby fizycznej.
Zakres przedmiotowy i podmiotowy
W ustawie nie skatalogowano podmiotów, których ustawa dotyczy. Ustawodawcą wprowadził natomiast wyłączenia przedmiotowe. I tak, przepisów ustawy nie stosuje się do ochrony danych osobowych:
1) znajdujących się w aktach spraw lub czynności lub urządzeniach ewidencyjnych, w tym tworzonych i przetwarzanych z wykorzystaniem technik informatycznych, prowadzonych na podstawie ustawy z 26.10.1982 r. o postępowaniu w sprawach nieletnich (t.j.: Dz.U. z 2018 r. poz. 969 ze zm.), ustawy z 6.6.1997 r. – Kodeks karny wykonawczy (t.j.: Dz.U. z 2018 r. poz. 652 ze zm.), ustawy z 6.6.1997 r. – Kodeks postępowania karnego (t.j.: Dz.U. z 2018 r. poz. 1987 ze zm.), ustawy z 10.9.1999 r. – Kodeks karny skarbowy (t.j.: Dz.U. z 2018 r. poz. 1958 ze zm.), ustawy z 24.8.2001 r. – Kodeks postępowania w sprawach o wykroczenia (Dz.U. z 2018 r. poz. 475 ze zm.).
3) ustawy z dnia 22.11.2013 r. o postępowaniu wobec osób z zaburzeniami psychicznymi stwarzających zagrożenie życia, zdrowia lub wolności seksualnej innych osób (t.j.: Dz.U. z 2014 r. poz. 24 ze zm.), ustawy z 28.1.2016 r. – Prawo o prokuraturze (t.j.: Dz.U. z 2017 r. poz. 1767 ze zm.).
2) przetwarzanych w związku z zapewnieniem bezpieczeństwa narodowego, w tym w ramach realizacji zadań ustawowych Agencji Bezpieczeństwa Wewnętrznego, Agencji Wywiadu, Służby Kontrwywiadu Wojskowego, Służby Wywiadu Wojskowego oraz Centralnego Biura Antykorupcyjnego.
Organ nadzoru
Funkcję organu nadzorczego w ramach dyrektywy 2016/680 pełnił będzie Prezes Urzędu Ochrony Danych Osobowych (dalej zwany „Prezesem Urzędu”) powołany na podstawie ustawy z 10.5.2018 r. o ochronie danych osobowych (t.j.: Dz.U. z 2018 r. poz. 1000 ze zm.). Na szczególną uwagę zasługują tu kompetencje organu w zakresie nakładanych sankcji. W przypadku naruszenia przepisów o ochronie danych osobowych, Prezes Urzędu będzie mógł w drodze decyzji administracyjnej, nakazać administratorowi lub podmiotowi przetwarzającemu przywrócenie stanu zgodnego z prawem, a w szczególności:
1) usunięcie uchybień;
2) uzupełnienie, uaktualnienie, sprostowanie, udostępnienie lub nieudostępnienie danych osobowych;
3) zastosowanie dodatkowych środków zabezpieczających zgromadzone dane osobowe;
4) zabezpieczenie danych lub przekazanie ich innym podmiotom;
5) usunięcie danych osobowych;
6) wprowadzenie czasowych lub stałych ograniczeń przetwarzania i przekazywania, w tym zakazu przetwarzania.
Jednocześnie powyższa decyzja Prezesa Urzędu nie może nakazywać usunięcia danych osobowych zebranych w toku czynności operacyjno-rozpoznawczych prowadzonych na podstawie przepisów prawa.
Zasady przetwarzania danych osobowych
Oprócz ogólnych przepisów odnoszących się do konieczności przestrzegania przepisów prawa (art. 13 ust. 1 OchrDanychZwPrzestU) oraz zgodności z celami przetwarzania danych, określonymi w ustawie (art. 13 ust. 2 OchrDanychZwPrzestU), w przepisach przewidziano również sytuację, gdy dane zebrane pierwotnie w jednym z celów przewidzianych przez ustawę będą przetwarzane w innym, ale również przewidzianym przez ustawę, celu (art. 13 ust. 3 OchrDanychZwPrzestU).
W art. 16 OchrDanychZwPrzestU wprowadzono obowiązek weryfikacji przez administratorów danych osobowych w terminach określonych przez przepisy szczególne, regulujące działania właściwego organu, a jeżeli przepisy te nie określają terminu – nie rzadziej niż co 10 lat od dnia zebrania, uzyskania, pobrania lub aktualizacji danych.
Prawa osób których dane dotyczą
Ustawa o ochronie danych osobowych przetwarzanych w związku z zapobieganiem i zwalczaniem przestępczości określa miedzy innymi obowiązek informacyjny administratora danych osobowych. Administrator udostępnia informacje o: 1) nazwie, siedzibie i danych kontaktowych administratora; 2) w razie potrzeby danych kontaktowych inspektora ochrony danych; 3) celu, do których mają posłużyć dane osobowe; 4) prawie wniesienia do Prezesa Urzędu lub innego organu sprawującego nadzór na podstawie przepisów odrębnych skargi w przypadku naruszenia praw osoby w wyniku przetwarzania jej danych osobowych, oraz danych kontaktowych Prezesa Urzędu lub innego organu sprawującego nadzór; 5) prawie żądania od administratora dostępu do danych osobowych, sprostowania lub usunięcia danych osobowych, lub ograniczenia przetwarzania danych osobowych dotyczących tej osoby.
Zgodnie z art. 24 ust. 1 OchrDanychZwPrzestU osoba, której dane dotyczą może wystąpić do administratora z wnioskiem o:
1) uzupełnienie, uaktualnienie lub sprostowanie danych osobowych – w przypadku gdy dane te są niekompletne, nieaktualne lub nieprawdziwe;
2) usunięcie danych osobowych – w przypadku gdy dane te zostały zebrane lub są przetwarzane z naruszeniem przepisów niniejszej ustawy.
Ustawa wejdzie w życie po upływie 14 dni od ogłoszenia tj. 6.2.2019 r. z wyjątkiem: art. 58 pkt 12, który wejdzie w życie z dniem 1.11.2019 r.; art. 82 pkt 5 w zakresie art. 25c – 25h, które wejdą w życie po upływie roku od dnia ogłoszenia.