Ustawa z dnia 14 grudnia 2018 r. o ochronie danych osobowych przetwarzanych w związku z zapobieganiem i zwalczaniem przestępczości (dalej; „DODO”) została uchwalona w celu uregulowania obszaru, który został wyjęty spod jurysdykcji RODO, tj. zapobiegania i zwalczania przestępczości. Ustawa różni się od RODO przede wszystkim w takich aspektach jak:
- podstawy przetwarzania danych osobowych;
- wykonywanie obowiązku informacyjnego;
- konieczności powołania inspektora ochrony danych;
- praw przysługujących podmiotom danych, a także
- prowadzonej dokumentacji.
Należy podkreślić, że przepisy ustawy, zgodnie z art. 1 pkt 1, stosowane są wyłącznie przez właściwe organy w celu rozpoznania, zapobiegania, wykrywania i zwalczania czynów zabronionych. Będą to zatem Sądy, Prokuratura, Służba Więzienna, komornicy prowadzący czynności egzekucyjne w postępowaniu karnym, a także inne organy jak np. Żandarmeria Wojskowa lub Straż Graniczna.
1. Podstawy prawne przetwarzania danych zgodnie z DODO
Jak wskazano powyżej, DODO posiada ograniczony zakres podstaw prawnych do przetwarzania danych osobowych, które zostały opisane w art. 13 w zakresie danych zwykłych i art. 14 w zakresie danych szczególnej kategorii. Przetwarzanie danych może się zatem odbywać wyłącznie w sytuacji, kiedy jest to niezbędne do realizacji uprawnienia lub spełnienia obowiązków wynikających z przepisów prawa. W przypadku spełnienia określonych w ustawie warunków dopuszczalne jest przetwarzanie danych pierwotnie zebranych w innych celach. Podobnie jak w RODO, w DODO istnieje odgórny zakaz przetwarzania danych szczególnej kategorii, chyba, że przepisy prawa zezwalają na takie przetwarzanie, jest to niezbędne dla ochrony życia lub zdrowia lub interesów osoby, której dane dotyczą, lub innej osoby, lub dane takie zostały upublicznione przez podmiot danych.
2. Obowiązek wdrożenia i prowadzenia dokumentacji
DODO reguluje również nakaz dla administratora opracowania i wdrożenia polityki ochrony danych osobowych, a także nakazuje bezwzględnie prowadzenia rejestru kategorii czynności przetwarzania, wykazu kategorii czynności przetwarzania dokonywanych w imieniu administratora, obowiązek ewidencjonowania operacji przetwarzania prowadzonych w systemach zautomatyzowanych, a także obowiązek prowadzenia ewidencji osób upoważnionych do przetwarzania danych.
3. Bezwzględny obowiązek wyznaczenia iod
Podkreślenia wymaga, że każdy z administratorów danych zdefiniowanych w DODO zobowiązany jest do powołania inspektora ochrony danych, co stanowi również swoistą odmienność w porównaniu do RODO, gdzie powołanie iod jest niezbędne wyłącznie przy spełnieniu określonych przesłanek.
4. Prawa podmiotów danych
Nieco odmiennie kształtują się nadto prawa podmiotów danych, które zostały określone w art. 22-25 DODO. Osobie, której dane dotyczą, przysługuje prawo do uzyskania informacji o przetwarzaniu danych osobowych, prawo dostępu do danych oraz uzyskania kopii lub wyciągu z danych, prawo do uzupełnienia, uaktualnienia lub sprostowania danych osobowych, do usunięcia danych osobowych, lub ograniczenia przetwarzania, a także prawo do wniesienia skargi do organu nadzorczego.
5. Wykonywanie obowiązku informacyjnego
Pewne odmienności powstają również w zakresie wykonywania obowiązku informacyjnego. Administrator na gruncie DODO udostępnia podstawowe informacje o swojej tożsamości, siedzibie, danych iod, celu, w którym dane zostaną wykorzystane, a także prawach przysługujących podmiotowi danych. Katalog ten jest zatem w dużej mierze podobny do warstwowego wykonywania obowiązku informacyjnego. W tym zakresie administrator udostępnia dane na stronie internetowej, w Biuletynie Informacji Publicznej na stronie podmiotowej właściwego organu lub urzędu lub w jego siedzibie. Administrator przekazuje osobie, której dane dotyczą, w konkretnych przypadkach, w celu umożliwienia wykonywania przysługujących jej praw, informacje o podstawach prawnych przetwarzania danych, okresie ich przetwarzania oraz odbiorcach danych. Zaś na wniosek podmiot danych uprawniony jest do uzyskania szerokiego zakresu informacji o przetwarzanych danych, zbieżnego częściowo z zakresem art. 13 RODO, jednakże w przypadku DODO wykonywanie obowiązku informacyjnego nie stanowi czynnego obowiązku administratora.
Niniejszy artykuł ma charakter informacyjny i nie jest to porada prawna.
Stan prawny na dzień 08 kwietnia 2025 r.
autor:
Nasze artykuły i alerty prawne możesz otrzymywać jako pierwszy, prosto na swoją skrzynkę mailową! Zapisz się do newslettera klikając w link lub skontaktuj się z nami pod adresem mailowym social@kglegal.pl, aby spersonalizować wysyłane treści.
