Strona korzysta z plików cookies w celu realizacji usług i zgodnie z Polityką Plików Cookies.

Polecamy

Rodo w praktyce – odpowiedzi na 273 najtrudniejsze pytania

Rodo w praktyce – odpowiedzi na 273 najtrudniejsze pytania
 

Bartosz Marcinkowski, Robert Brodzik, Klaudia Czarniecka, Michał Kluska, Katarzyna Kulesza, Olga Legat, Justyna Tyc

Cena: 128,00 zł

Zamów

Zakres podmiotowy ustawy wdrażającej dyrektywę policyjną

13-11-2019 Autor: Paweł Litwiński

Czym jest ustawa wdrażająca dyrektywę policyjną? Jaki jest jej zakres podmiotowy i przedmiotowy? Jak stosować jej przepisy? Na te oraz inne pytania odpowiadamy w poniższym artykule.

 

W ustawie z dnia 14 grudnia 2018 r. o ochronie danych osobowych przetwarzanych w związku z zapobieganiem i zwalczaniem przestępczości (DzU z 2019 r., poz. 125; dalej: ustawa lub ustawa wdrażająca; można się też spotkać z nazwą – ustawa policyjna) próżno szukać wprost zdefiniowanego jej zakresu podmiotowego. Na pytanie o to, kto stosuje przepisy ustawy, dostajemy odpowiedź udzielaną piętrowo, przez kolejne odesłania i definicje, a wszystko zbudowane z naruszeniem zakazu definiowania ignotum per ignotum. Mimo to spróbujmy, krok po kroku, prześledzić tok rozumowania ustawodawcy.

 

Zakres podmiotowy ustawy

 

Ustawę o ochronie danych osobowych przetwarzanych w związku z zapobieganiem i zwalczaniem przestępczości stosuje się, zgodnie z jej art. 2, do przetwarzania danych osobowych przez właściwe organy w celach, o których mowa w art. 1 pkt 1. Stosuje się ją w sposób całkowicie lub częściowo zautomatyzowany, a także inny niż zautomatyzowany, w przypadku gdy dane te stanowią lub mają stanowić część zbioru danych. Mamy więc w ten sposób określony zakres podmiotowy ustawy, na który składają się:

  • przetwarzanie danych;
  • przez właściwy organ;
  • w celach rozpoznawania, zapobiegania, wykrywania i zwalczania czynów zabronionych, w tym zagrożeń dla bezpieczeństwa i porządku publicznego, a także wykonywania tymczasowego aresztowania, kar, kar porządkowych i środków przymusu skutkujących pozbawieniem wolności;
  • w sposób całkowicie lub częściowo zautomatyzowany, a także inny niż zautomatyzowany, w przypadku gdy dane te stanowią lub mają stanowić część zbioru danych.

Właściwy organ jest przy tym administratorem danych osobowych, jeżeli samodzielnie lub wspólnie z innym właściwym organem lub właściwymi organami ustala cele i sposoby przetwarzania danych osobowych.

 

Ustalenie właściwego organu

 

Kluczem do ustalenia zakresu podmiotowego ustawy jest pojęcie właściwego organu. Jest to pojęcie zdefiniowane w ustawie jako organ władzy publicznej, jednostka organizacyjna lub inny podmiot uprawniony na podstawie odrębnych przepisów do przetwarzania danych osobowych1. Taka definicja legalna niewiele jednak wyjaśnia, ale zwraca uwagę na kluczowy element, jaki należy uwzględnić przy dekodowaniu zakresu podmiotowego ustawy, tj. na uprawnienie do przetwarzania danych osobowych wynikające z „odrębnych przepisów”. Właściwy organ to podmiot – publiczny lub niepubliczny – który jest uprawniony do przetwarzania danych osobowych na podstawie innych przepisów niż sama ustawa. Ustawa wdrażająca dyrektywę policyjną jest więc w tym kontekście swoistą metaustawą o ochronie danych osobowych, która stoi ponad odrębnymi przepisami uprawniającymi poszczególne właściwe organy do przetwarzania danych osobowych i określa zasady takiego przetwarzania. W ustawie wdrażającej nie znajdziemy jednak przepisów stanowiących uprawnienie ustawowe do przetwarzania danych.


Właściwego organu szukamy w innych przepisach niż ustawa wdrażająca. Może to być organ władzy publicznej właściwy do:

  • zapobiegania przestępczości,
  • prowadzenia postępowań przygotowawczych,
  • wykrywania i ścigania czynów zabronionych lub wykonywania kar, w tym ochrony przed zagrożeniami dla bezpieczeństwa publicznego i zapobiegania takim zagrożeniom i w związku z tym uprawniony do przetwarzania danych osobowych.

Właściwym organem może też być podmiot, którego prawo państwa członkowskiego uprawnia do przetwarzania danych osobowych w kontekście sprawowania władzy publicznej i wykonywania uprawnień publicznych do celów zapobiegania przestępczości, prowadzenia postępowań przygotowawczych, wykrywania i ścigania czynów zabronionych i wykonywania kar, w tym ochrony przed zagrożeniami dla bezpieczeństwa publicznego i zapobiegania takim zagrożeniom. Jako przykład w literaturze podaje się w tym kontekście spółkę Ekstraklasa S.A. lub podmiot wykonujący dozór elektroniczny2.

 

Właściwy organ przetwarza dane osobowe wyłącznie w zakresie niezbędnym dla zrealizowania uprawnienia lub spełnienia obowiązku wynikającego z przepisu prawa (art. 13 ust. 1 ustawy wdrażającej). Co przy tym niezwykle istotne, w zakresie przetwarzania tzw. danych zwykłych nie istnieje konieczność przyznawania wprost w przepisach kompetencji do przetwarzania konkretnych danych osobowych przez konkretny podmiot, choć byłoby to niewątpliwie bardzo pożądane. Wystarczy, by z przepisów wynikało ogólne uprawnienie do przetwarzania danych osobowych przez konkretny podmiot, a nawet, by przepisy wskazywały tylko konkretne obowiązki organu, dla których wykonania przetwarzanie danych osobowych jest niezbędne. Z kolei jeżeli chodzi o dane należące do szczególnych kategorii danych osobowych, przepis przyznający kompetencję do ich przetwarzania powinien już wprost wyrażać taką kompetencję3.


Stwierdzenie, że właściwy organ przetwarza dane osobowe wyłącznie w zakresie niezbędnym dla zrealizowania uprawnienia lub spełnienia obowiązku wynikającego z przepisu prawa, jest tylko częściowo prawdziwe, jako że organ będący właściwym organem w rozumieniu ustawy zawsze będzie występował w dwóch rolach, przetwarzając dane osobowe:

  • w roli właściwego organu, jeżeli będzie przetwarzał dane w celach wskazanych w ustawie;
  • w roli administratora danych lub podmiotu przetwarzającego, który nie podlega ustawie, jeżeli będzie przetwarzał dane w celach innych niż wskazane w ustawie.

Z punktu widzenia zakresu podmiotowego zastosowania ustawy wdrażającej – i przez to przepisów o ochronie danych osobowych w ogóle – można w tym kontekście wskazać trzy możliwe sytuacje:


1. Podmiot przetwarzający dane osobowe w konkretnym celu jest objęty zakresem zastosowania rodo, a więc nie jest objęty zakresem zastosowania ustawy wdrażającej dyrektywę policyjną.

 

[...]

 

Autor jest doktorem prawa, adwokatem, partnerem w Barta Litwiński Kancelarii Radców Prawnych i Adwokatów sp.p.

 


Pełna treść artykułu jest dostępna w papierowym wydaniu pisma.

Zapraszamy do składania zamówień na prenumeratę.


_____________________________________________________________________________________________________________________________________

Informacje o cookies © 2019 PRESSCOM Sp. z o.o.