Nowa ustawa o ochronie danych osobowych przetwarzanych w związku z zapobieganiem i zwalczaniem przestępczości

Ustawa z 14.12.2018 r. o ochronie danych osobowych przetwarzanych w związku z zapobieganiem i zwalczaniem przestępczości ma na celu wdrożenie dyrektywy Parlamentu Europejskiego i Rady dotyczącej ochrony danych osobowych. Określa m.in. definicję danych osobowych, zadania organu nadzorczego oraz prawa osób, których dane są przetwarzane.

Tematyka: ustawa, ochrona danych osobowych, zapobieganie przestępczości, dyrektywa, organ nadzorczy, Prezes Urzędu Ochrony Danych Osobowych, definicja danych osobowych

Celem ustawy z 14.12.2018 r. o ochronie danych osobowych przetwarzanych w związku z zapobieganiem
i zwalczaniem przestępczości (Dz.U. z 2019 r. poz. 125, dalej jako: OchrDanychZwPrzestU) jest wdrożenie do
polskiego porządku prawnego dyrektywy Parlamentu Europejskiego i Rady (UE) 2016/680 z 27.4.2016 r.
w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych przez właściwe organy
do celów zapobiegania przestępczości, prowadzenia postępowań przygotowawczych, wykrywania i ścigania
czynów zabronionych i wykonywania kar, w sprawie swobodnego przepływu takich danych oraz uchylająca
decyzję ramową Rady 2008/977/WSiSW (Dz.Urz. UE L Nr 119 z 2016 r., s. 89; dalej jako dyrektywa 2016/680).
• Dane osobowe mogą być przetwarzane w celu rozpoznawania, zapobiegania, wykrywania i zwalczania czynów
zabronionych w tym zagrożeń dla bezpieczeństwa i porządku publicznego, a także wykonywania tymczasowego
aresztowania, kar, kar porządkowych i środków przymusu skutkujących pozbawieniem wolności.
• W ustawie nie skatalogowano podmiotów, których ustawa dotyczy. Ustawodawcą wprowadził natomiast wyłączenia
przedmiotowe.
• Funkcję organu nadzorczego pełnił będzie Prezes Urzędu Ochrony Danych Osobowych.
Ustawa o ochronie danych osobowych przetwarzanych w związku z zapobieganiem i zwalczaniem przestępczości
określa między innymi definicję danych osobowych, zakres przedmiotowy i podmiotowy tego aktu prawnego, zadania
organu nadzorczego – Prezesa Urzędu Ochrony Danych Osobowych, zasady przetwarzania danych osobowych,
prawa osób, których dane dotyczą, zasady współpracy Prezesa Urzędu Ochrony Danych Osobowych z organami
nadzorczymi w innych państwach Unii Europejskiej oraz określa środki ochrony prawnej przysługujących osobom,
których dane są przetwarzane.
Definicja danych osobowych
Ustawa o ochronie danych osobowych przetwarzanych w związku z zapobieganiem i zwalczaniem przestępczości
odsyła do definicji danych osobowych, o której mowa w art. 4 pkt 1 rozporządzenia Parlamentu Europejskiego i Rady
(UE) 2016/679 z 27.4.2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych
i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie
o ochronie danych osobowych). W myśl tej definicji „dane osobowe” oznaczają informacje o zidentyfikowanej lub
możliwej do zidentyfikowania osobie fizycznej („osobie, której dane dotyczą”); możliwa do zidentyfikowania osoba
fizyczna to osoba, którą można bezpośrednio lub pośrednio zidentyfikować, w szczególności na podstawie
identyfikatora takiego jak imię i nazwisko, numer identyfikacyjny, dane o lokalizacji, identyfikator internetowy lub
jeden bądź kilka szczególnych czynników określających fizyczną, fizjologiczną, genetyczną, psychiczną,
ekonomiczną, kulturową lub społeczną tożsamość osoby fizycznej.
Zakres przedmiotowy i podmiotowy
W ustawie nie skatalogowano podmiotów, których ustawa dotyczy. Ustawodawcą wprowadził natomiast
wyłączenia przedmiotowe. I tak, przepisów ustawy nie stosuje się do ochrony danych osobowych:
1) znajdujących się w aktach spraw lub czynności lub urządzeniach ewidencyjnych, w tym tworzonych
i przetwarzanych z wykorzystaniem technik informatycznych, prowadzonych na podstawie ustawy z 26.10.1982 r.
o postępowaniu w sprawach nieletnich (t.j.: Dz.U. z 2018 r. poz. 969 ze zm.), ustawy z 6.6.1997 r. – Kodeks karny
wykonawczy (t.j.: Dz.U. z 2018 r. poz. 652 ze zm.), ustawy z 6.6.1997 r. – Kodeks postępowania karnego (t.j.: Dz.U.
z 2018 r. poz. 1987 ze zm.), ustawy z 10.9.1999 r. – Kodeks karny skarbowy (t.j.: Dz.U. z 2018 r. poz. 1958 ze zm.),
ustawy z 24.8.2001 r. – Kodeks postępowania w sprawach o wykroczenia (Dz.U. z 2018 r. poz. 475 ze zm.).
3) ustawy z dnia 22.11.2013 r. o postępowaniu wobec osób z zaburzeniami psychicznymi stwarzających zagrożenie
życia, zdrowia lub wolności seksualnej innych osób (t.j.: Dz.U. z 2014 r. poz. 24 ze zm.), ustawy z 28.1.2016 r. –
Prawo o prokuraturze (t.j.: Dz.U. z 2017 r. poz. 1767 ze zm.).
2) przetwarzanych w związku z zapewnieniem bezpieczeństwa narodowego, w tym w ramach realizacji zadań
ustawowych Agencji Bezpieczeństwa Wewnętrznego, Agencji Wywiadu, Służby Kontrwywiadu Wojskowego, Służby
Wywiadu Wojskowego oraz Centralnego Biura Antykorupcyjnego.
Organ nadzoru

Funkcję organu nadzorczego w ramach dyrektywy 2016/680 pełnił będzie Prezes Urzędu Ochrony Danych
Osobowych (dalej zwany „Prezesem Urzędu”) powołany na podstawie ustawy z 10.5.2018 r. o ochronie danych
osobowych (t.j.: Dz.U. z 2018 r. poz. 1000 ze zm.). Na szczególną uwagę zasługują tu kompetencje organu
w zakresie nakładanych sankcji. W przypadku naruszenia przepisów o ochronie danych osobowych, Prezes Urzędu
będzie mógł w drodze decyzji administracyjnej, nakazać administratorowi lub podmiotowi przetwarzającemu
przywrócenie stanu zgodnego z prawem, a w szczególności:
1) usunięcie uchybień;
2) uzupełnienie, uaktualnienie, sprostowanie, udostępnienie lub nieudostępnienie danych osobowych;
3) zastosowanie dodatkowych środków zabezpieczających zgromadzone dane osobowe;
4) zabezpieczenie danych lub przekazanie ich innym podmiotom;
5) usunięcie danych osobowych;
6) wprowadzenie czasowych lub stałych ograniczeń przetwarzania i przekazywania, w tym zakazu przetwarzania.
Jednocześnie powyższa decyzja Prezesa Urzędu nie może nakazywać usunięcia danych osobowych zebranych
w toku czynności operacyjno-rozpoznawczych prowadzonych na podstawie przepisów prawa.
Zasady przetwarzania danych osobowych
Oprócz ogólnych przepisów odnoszących się do konieczności przestrzegania przepisów prawa (art. 13 ust. 1
OchrDanychZwPrzestU) oraz zgodności z celami przetwarzania danych, określonymi w ustawie (art. 13 ust. 2
OchrDanychZwPrzestU), w przepisach przewidziano również sytuację, gdy dane zebrane pierwotnie w jednym
z celów przewidzianych przez ustawę będą przetwarzane w innym, ale również przewidzianym przez ustawę, celu
(art. 13 ust. 3 OchrDanychZwPrzestU).
W art. 16 OchrDanychZwPrzestU wprowadzono obowiązek weryfikacji przez administratorów danych
osobowych w terminach określonych przez przepisy szczególne, regulujące działania właściwego organu, a jeżeli
przepisy te nie określają terminu – nie rzadziej niż co 10 lat od dnia zebrania, uzyskania, pobrania lub
aktualizacji danych.
Prawa osób których dane dotyczą
Ustawa o ochronie danych osobowych przetwarzanych w związku z zapobieganiem i zwalczaniem przestępczości
określa miedzy innymi obowiązek informacyjny administratora danych osobowych. Administrator udostępnia
informacje o: 1) nazwie, siedzibie i danych kontaktowych administratora; 2) w razie potrzeby danych kontaktowych
inspektora ochrony danych; 3) celu, do których mają posłużyć dane osobowe; 4) prawie wniesienia do Prezesa
Urzędu lub innego organu sprawującego nadzór na podstawie przepisów odrębnych skargi w przypadku naruszenia
praw osoby w wyniku przetwarzania jej danych osobowych, oraz danych kontaktowych Prezesa Urzędu lub innego
organu sprawującego nadzór; 5) prawie żądania od administratora dostępu do danych osobowych, sprostowania lub
usunięcia danych osobowych, lub ograniczenia przetwarzania danych osobowych dotyczących tej osoby.
Zgodnie z art. 24 ust. 1 OchrDanychZwPrzestU osoba, której dane dotyczą może wystąpić do administratora
z wnioskiem o:
1) uzupełnienie, uaktualnienie lub sprostowanie danych osobowych – w przypadku gdy dane te są niekompletne,
nieaktualne lub nieprawdziwe;
2) usunięcie danych osobowych – w przypadku gdy dane te zostały zebrane lub są przetwarzane z naruszeniem
przepisów niniejszej ustawy.
Ustawa wejdzie w życie po upływie 14 dni od ogłoszenia tj. 6.2.2019 r. z wyjątkiem: art. 58 pkt 12, który wejdzie
w życie z dniem 1.11.2019 r.; art. 82 pkt 5 w zakresie art. 25c – 25h, które wejdą w życie po upływie roku od dnia
ogłoszenia.

Ustawa określa obowiązki administratora danych osobowych, prawa osób, których dane dotyczą oraz terminy weryfikacji danych. Wejdzie w życie 6.2.2019 r., z wyjątkiem niektórych artykułów. Prezes Urzędu Ochrony Danych Osobowych pełni funkcję organu nadzorczego.