Reklama

Armia i Służby

Wyznaczenie IOD na podstawie ustawy wdrażającej dyrektywę policyjną

Fot. Nicolas Z. Erwin/U.S. Air Force/Domena publiczna
Fot. Nicolas Z. Erwin/U.S. Air Force/Domena publiczna

Ustawa wdrażająca tzw. dyrektywę policyjną, przewiduje obowiązek wyznaczenia inspektora ochrony danych. W związku z tym administratorzy podlegający tym regulacjom zaczęli zastanawiać się, czy muszą wyznaczyć nowego inspektora ochrony danych.

Większość podmiotów podlegających ustawie z dnia 14 grudnia 2018 r. o ochronie danych osobowych przetwarzanych w związku z zapobieganiem i zwalczaniem przestępczości (Dz.U. z 2019 r. poz. 125) wdrażającej dyrektywę 2016/680 było zobowiązanych od 25 maja 2018 r. do wyznaczenia inspektora ochrony danych (IOD) na podstawie RODO. Wskazuje na to - odnoszący się do organów i podmiotów publicznych - art. 37 ust. 1 lit. a RODO oraz art. 9 ustawy z dnia 10 maja 2018 r. o ochronie danych osobowych.

Co prawda RODO nie ma zastosowania do przetwarzania danych osobowych przez właściwe organy do celów zapobiegania przestępczości, prowadzenia postępowań przygotowawczych, wykrywania i ścigania czynów zabronionych lub wykonywania kar, w tym ochrony przed zagrożeniami dla bezpieczeństwa publicznego i zapobiegania takim zagrożeniom, jednak ze względu na przetwarzanie przez te organy i podmioty publiczne danych osobowych w innych celach, np. realizacji zadań pracodawców, były one zobowiązane do wyznaczenia IOD już na gruncie RODO.

Dlatego też w związku z ustawą wdrażającą tzw. dyrektywę policyjną, która obowiązuje od 6 lutego 2019 r., w większości przypadków administratorzy danych nie musieli wyznaczać nowego IOD. Wymóg ten mieli zaś ci, którzy wcześniej nie wyznaczyli inspektora.

Obowiązek wyznaczenia IOD na podstawie nowej ustawy

Podmiotami zobowiązanymi do wyznaczenia IOD na podstawie ustawy o ochronie danych osobowych przetwarzanych w związku z zapobieganiem i zwalczaniem przestępczości są przede wszystkim: sądy, prokuratury, Policja, Straż Graniczna, Służba Więzienna, Żandarmeria Wojskowa, Służba Ochrony Państwa. Obowiązek ten mają również  Generalny Inspektor Informacji Finansowej, Krajowa Administracja Skarbowa. Także  komendanci straży gminnej i miejskiej musza wyznaczyć IOD, niezależnie od tego, czy są oni umiejscowieni w strukturze urzędu gminy czy nie.  Ponadto wymóg wyznaczenia inspektora spoczywa także na Głównym  Inspektorze Nadzoru Drogowego, Straży Ochrony Kolei, Ministerstwie Środowiska, Głównym Inspektorze Ochrony Środowiska, Straży Rybackiej, Głównym Inspektorze Straży Leśnej, Państwowej Straży Łowieckiej, Urzędzie Żeglugi Śródlądowej, urzędach morskich, Państwowej Inspekcji Sanitarnej, Państwowej  Straży Pożarnej, Inspektorze Nadzoru Wewnętrznego (MSWiA). Nowe regulacje określają, że podmioty odpowiedzialne za bezpieczeństwo imprez masowych oraz przewoźnicy lotniczy również są w grupie administratorów, którzy muszą powołać IOD.

Czas na wyznaczenie IOD

Jeżeli dany podmiot miał już wyznaczonego inspektora ochrony danych na podstawie regulacji obowiązujących od 25 maja 2018 r., to ma jeszcze czas na to, by podjąć decyzję o pozostawieniu tej samej osoby na tym stanowisku bądź wyznaczyć nową osobę. Artykuł 98 ust. 1 ustawy wdrażającej dyrektywę policyjną pozwala, by dotychczasowy IOD pełnił swoją funkcję do 6 maja 2019 r. Po tym dniu dotychczasowy IOD będzie kontynuował pełnienie swojej funkcji, jeżeli do 6 maja 2019 r. administrator prześle zawiadomienie o jego wyznaczeniu na  IOD na podstawie ustawy o ochronie danych osobowych przetwarzanych w związku z zapobieganiem i zwalczaniem przestępczości. Powinien przy tym skorzystać z odpowiedniego formularza dostępnego na stronie www.uodo.gov.pl. Wyjątkiem od tej zasady jest sytuacja, w której administrator do 6 maja br. wyznaczy na to stanowisko inną osobę i do tego terminu zawiadomi o tym Prezesa UODO.  

Przepis przejściowy daje administratorom i inspektorom ochrony danych czas na dostosowanie się do nowych przepisów. Jeśli dotychczasowi IOD mieliby pełnić swoją funkcję także na podstawie przepisów wdrażających tzw. dyrektywę policyjną, powinni oni posiadać wiedzę w zakresie wymagań, jakie przepisy te przewidują wobec przetwarzania danych osobowych w związku z zapobieganiem i zwalczaniem przestępczości. Ponadto zgodnie z art. 46 ust. 2 pkt. 1 i 3 ustawy wdrażającej dyrektywę policyjną, inspektorem ochrony danych może być osoba, która ma pełną zdolność do czynności prawnych oraz korzysta z pełni praw publicznych oraz nie była skazana prawomocnym wyrokiem orzeczonym za przestępstwo lub przestępstwo skarbowe popełnione umyślnie.

Dla administratorów, którzy do 6 lutego 2019 r. nie wyznaczyli inspektora ochrony danych, ustawa o ochronie danych osobowych przetwarzanych w związku z zapobieganiem i zwalczaniem przestępczości, określiła termin do 6 marca 2019 r. (art. 98). Z kolei podmioty, które zostaną utworzone po wejściu w życie ustawy mają 14 dni od momentu wyznaczenia inspektora na zawiadomienie Prezesa UODO. Ten sam termin dotyczy przypadków zmiany danych lub odwołania IOD (art. 46 ust. 10).

Sposób  zawiadomienia Prezesa UODO o wyznaczeniu IOD

Jedynym prawidłowym i skutecznym sposobem zawiadomienia o wyznaczeniu inspektora ochrony danych jest zawiadomienie w postaci elektronicznej. Wypełniony formularz musi zostać opatrzony kwalifikowanym podpisem elektronicznym albo podpisem potwierdzonym profilem zaufanym ePUAP   osoby uprawnionej do reprezentowania administratora. 

Ustawa z dnia 14 grudnia 2018 r. o ochronie danych osobowych przetwarzanych w związku z zapobieganiem i zwalczaniem przestępczości przewiduje możliwość wyznaczenia osoby zastępującej inspektora ochrony danych w czasie jego nieobecności (art. 46 ust. 4). 

Źródło: UODO

Reklama

Komentarze

    Reklama