Strona korzysta z plików cookies w celu realizacji usług i zgodnie z Polityką Plików Cookies.

Polecamy

Rodo w praktyce – odpowiedzi na 273 najtrudniejsze pytania

Rodo w praktyce – odpowiedzi na 273 najtrudniejsze pytania
 

Bartosz Marcinkowski, Robert Brodzik, Klaudia Czarniecka, Michał Kluska, Katarzyna Kulesza, Olga Legat, Justyna Tyc

Cena: 128,00 zł

Zamów

Ustawa policyjna w samorządzie na przykładzie straży gminnych

13-11-2019 Autor: Mateusz Jakubik

Niniejszy artykuł ma za zadanie przybliżyć tematykę ochrony danych osobowych w strażach gminnych i miejskich. Przeanalizujemy w nim problemy związane z wdrożeniem rozwiązań, które wynikają z ustawy z dnia 14 grudnia 2018 r.

 

Ustawa z dnia 14 grudnia 2018 r. o ochronie danych osobowych przetwarzanych w związku z zapobieganiem i zwalczaniem przestępczości (dalej: ustawa wdrażająca lub policyjna) implementuje przepisy dyrektywy Parlamentu Europejskiego i Rady (UE) 2016/680 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych przez właściwe organy do celów zapobiegania przestępczości, prowadzenia postępowań przygotowawczych, wykrywania i ścigania czynów zabronionych i wykonywania kar, w sprawie swobodnego przepływu takich danych oraz uchylająca decyzję ramową Rady 2008/977/WSiSW.

 

IOD w strażach gminnych i miejskich

 

Zgodnie z art. 46 ustawy wdrażającej IOD jest wyznaczany przez administratora. Na początku należy zdefiniować pojęcie „administrator”. Ustawodawca w art. 4 pkt 1 ustawy wdrażającej formułuje taką definicję, z której wynika, że właściwy organ samodzielnie lub wspólnie z innym właściwym organem lub właściwymi organami ustala cele i sposoby przetwarzania danych osobowych. Pojawia się tutaj wątpliwość, czy straż miejska (gminna), która nie jest odrębnym podmiotem, lecz jest umiejscowiona w strukturze urzędu, jest zobowiązana do wyznaczenia IOD. Z pomocą przychodzi art. 10a ust. 2 ustawy z dnia 29 sierpnia 1997 r. o strażach gminnych (tekst jedn. DzU z 2019 r., poz. 1795 ze zm.), który wprost określa komendanta straży gminnej (miejskiej) jako administratora. Zasadne jest zatem przyjęcie, że komendant straży gminnej bez względu na to, czy straż jest odrębną jednostką organizacyjną, czy też wchodzi w skład struktury urzędu, zobligowany jest do powołania IOD.


Należy zwrócić również uwagę na to, kto może zostać IOD na podstawie ustawy wdrażającej, gdyż ustawa rozszerza wymagania wobec niego w stosunku do wymagań stawianych przez rodo. Ustawodawca w przepisach ustawy wdrażającej wprowadza również możliwość, zgodnie z art. 46 ust. 4, wyznaczenia osoby, która ma zastępować IOD w czasie jego nieobecności. Musi ona spełniać te same kryteria co sam inspektor, a także podlega zgłoszeniu do Urzędu Ochrony Danych Osobowych.

 

Z tabeli (s. 20) wynika, że są różnice między wymogami stawianymi inspektorowi przez prawodawcę unijnego w przepisach rodo a tymi stawianymi przez krajowego ustawodawcę w ustawie wdrażającej. Warto zwrócić uwagę, że analizowana ustawa nie stanowi o tym, by inspektor ochrony danych miał być członkiem personelu administratora lub podmiotu przetwarzającego, ani o tym, by zadania wykonywane przez inspektora były realizowane na podstawie umowy o świadczeniu usług. Można przyjąć zatem, że – tak jak na gruncie rodo – oba rozwiązania są dopuszczalne.

 

Obowiązki ADO wynikające z ustawy wdrażającej

 

Ustawodawca w art. 31 ust. 1 ustawy wdrażającej wymienia obowiązki, które administrator ma zapewnić, by dane osobowe były:

  • przetwarzane zgodnie z prawem i rzetelnie oraz przy zastosowaniu niezbędnych środków technicznych i organizacyjnych, uwzględniając charakter, zakres, kontekst i cele przetwarzania oraz ryzyko naruszenia praw lub wolności osób fizycznych o różnym prawdopodobieństwie i wadze zagrożenia;
  • przetwarzane w konkretnych i uzasadnionych celach;
  • adekwatne, stosowne i nienadmierne do celów, dla których są przetwarzane;
  • prawidłowe i w razie potrzeby uaktualniane;
  • przechowywane w formie umożliwiającej identyfikację osób, których dane dotyczą, przez okres nie dłuższy, niż jest to niezbędne do celów ich przetwarzania;
  • przetwarzane w sposób zapewniający odpowiednie bezpieczeństwo danych osobowych, w tym ochronę przed niedozwolonym lub niezgodnym z prawem przetwarzaniem oraz przypadkową utratą, zniszczeniem lub uszkodzeniem, za pomocą środków technicznych i organizacyjnych odpowiednich do zagrożeń oraz kategorii danych objętych ochroną, a w szczególności zabezpieczone przed ich udostępnieniem osobom nieupoważnionym lub wejściem w posiadanie przez osobę nieuprawnioną.

Tak określone zadania wydają się precyzyjniej wskazane niż te wymienione w art. 24 rodo. Jednym z obowiązków jest przechowywanie danych osobowych w takiej formie, która umożliwia identyfikację osób. Zobowiązuje to administratora do takiego przechowywania danych, by pozwalały one na przypisanie do nich określonego podmiotu danych, którym jest konkretna osoba. Nie ma możliwości, by gromadzone dane nie pozwalały precyzyjnie określić osoby, która się za nimi kryje. Ma to na celu wyeliminowanie błędnej identyfikacji osób. Dane powinny być również przechowywane tylko dopóty, dopóki konkretny administrator uzna to za celowe. Mowa również o adekwatnym przetwarzaniu, które powinno być stosowne i nienadmierne do celów, w których dane są przetwarzane. Można powiedzieć, że jest to zasada adekwatności wraz z zasadą minimalizacji danych, z której wynika zbieranie tylko tych danych, które są potrzebne w danym przypadku.

 

Polityka w straży gminnej


Na szczególną uwagę zasługuje art. 31 ust. 4 ustawy wdrażającej, ponieważ ustawodawca obliguje w nim administratora do opracowania wdrożenia polityki bezpieczeństwa informacji ochrony danych osobowych, w której będzie zapewniał rozliczalność odnośnie do przetwarzania danych osobowych zgodnie z prawem. Warto zwrócić uwagę na to rozwiązanie, bo rodo zasadniczo nie obliguje do wdrożenia polityk ochrony danych osobowych. Zgodnie z art. 24 ust. 2 rodo administrator wdraża odpowiednią politykę ochrony danych osobowych wtedy, gdy jest to proporcjonalne do przeprowadzanych czynności przetwarzania oraz środków wykorzystywanych przez administratora.

 

[...]

 

Autor jest doktorantem na WPiA Uniwersytetu Jagiellońskiego oraz członkiem Grupy roboczej ds. ochrony danych osobowych w zespole do spraw administracji w Ministerstwie Cyfryzacji. Pełni funkcję IOD w jednostkach samorządu terytorialnego.

 


Pełna treść artykułu jest dostępna w papierowym wydaniu pisma.

Zapraszamy do składania zamówień na prenumeratę.


_____________________________________________________________________________________________________________________________________

Informacje o cookies © 2019 PRESSCOM Sp. z o.o.