A skoro rano było o tym, że montaż monitoringu w bloku oznacza, że wspólnota przetwarza dane osobowe w postaci wizerunku, to czas na kilka zdań o świeżutkim projekcie rozporządzenia regulującego działania inspektorów ochrony danych — przetwarzanych w związku z zapobieganiem i zwalczaniem przestępczości (projekt rozporządzenia Prezesa Rady Ministrów w sprawie trybu i sposobu realizacji zadań przez inspektora ochrony danych).
Dla jasności: podstawą wydania projektowanego rozporządzenie nie jest ustawa o ochronie danych osobowych z maja 2018 r., lecz art. 47 ustawy z 14 grudnia 2018 r. o ochronie danych osobowych przetwarzanych w związku z zapobieganiem i zwalczaniem przestępczości (Dz.U. z 2019 r. poz. 125), co jednak nie zmienia faktu, że warto mu na tutejszych łamach poświęcić kilka zdań.
A mianowicie:
- każdy organ przetwarzający dane osobowe w związku z rozpoznawaniem, zapobieganiem, wykrywaniem i zwalczaniem czynów zabronionych ex lege jest administratorem danych osobowych (art. 4 pkt 1 ustawy; każdy, do którego zastosowanie ma ustawa — a przecież nie ma ona zastosowania do służb specjalnych w zakresie, w jakim zajmują się zapewnieniem bezpieczeństwa narodowego, art. 3 pkt 2 ustawy);
- każdy administrator danych osobowych ma ustawowy obowiązek wyznaczenia inspektora ochrony danych, o powołaniu IOD zawiadamiając PUODO (art. 46 ustawy);
- do ustawowych obowiązków takiego IOD należy m.in. informowanie administratora i osób bezpośrednio zajmujących się przetwarzaniem danych o regulacjach prawnych, prowadzenie szkoleń w tym zakresie, monitorowanie zgodności przetwarzania danych z przepisami i realizowania polityk, współpraca z PUODO, współpraca w zakresie oceny skutków dla ochrony danych osobowych (art. 47 ustawy);
- projekt odnosi się natomiast do szczegółowego sposobu wykonywania przez IOD jego ustawowych zadań — częściowo powtarzając regulacje ustawowe (par. 3-6 rozporządzenia), ale też nakładając nań obowiązek zbierania i analizy informacji przedstawionych w zaleceniach PUODO (por. art. 38 ustawy);
- do obowiązków IOD wykonującego zadania na rzecz administratora przetwarzającego dane osobowe przetwarzane w celu zapobiegania i zwalczania przestępczości należy także dbałość o udzielanie osobom zainteresowanym skorzystaniem ze swoich praw stosownych informacji, m.in. o nazwie, siedzibie i danych kontaktowych administratora, prawie żądania dostępu do danych osobowych, ich sprostowania, usunięcia lub ograniczenia przetwarzania, o przysługujących środkach prawnych w przypadku poniesionej szkody lub krzywdy, a także o prawie do wniesienia skargi do PUODO (par. 9 rozporządzenia; na marginesie: zgodnie z są to ustawowe obowiązki administratora, art. 22 ustawy);
- IOD będzie brał także udział w przygotowaniu zaleceń co do skutków przetwarzania danych osobowych — ale wyłącznie „na polecenie” administratora (par. 10 rozporządzenia); jego obowiązki obejmują także sporządzanie pisemnego sprawozdania z wykonywania zadań (treść sprawozdania powinna obejmować m.in. opis najważniejszych działań i zaistniałych problemów w zakresie przetwarzania danych osobowych).
Dla przypomnienia:
- ustawa o ochronie danych osobowych przetwarzanych w związku z zapobieganiem i zwalczaniem przestępczości weszła w życie 6 lutego 2019 r.;
- powołani przed tą datą IOD nadal pełnią swoje funkcje, jednak tylko przez 3 miesiące — chyba że administrator wcześniej wyznaczy innego IOD (art. 98 ust. 1-2 ustawy);
- jeśli administrator danych osobowych nie wyznaczył IOD przed 6 lutego 2019 r., ma na to czas do 6 marca 2019 r. (art. 98 ust. 3 ustawy);
- administratorzy mają czas do 6 lutego 2020 r. na dostosowanie zasad przetwarzania danych osobowych do wymogów ustawowych (art. 102 ust. 1 ustawy) — ale już systemy zautomatyzowane, jeśli ich dostosowanie „wymaga to niewspółmiernie dużego wysiłku lub nakładów”, mają karencję do 6 maja 2023 r. (art. 102 ust. 2 ustawy);
- także do 6 maja 2023 r. należy dostosować zasady przetwarzania informacji i danych osobowych w zbiorach utworzonych wcześniej, które służyć mają rozróżnieniu danych służących pewnego rodzaju predykcji przyszłości (art. 19 ustawy), danych, które „swoje źródło [mają] w faktach i dane osobowe mające swoje źródło w indywidualnych ocenach” (tak właśnie określa się profilowanie w tych przepisach, art. 20 ustawy), a także w zakresie ewidencjonowania operacji przetwarzania danych w systemach zautomatyzowanych (art. 36 ustawy — art. 102 ust. 4 ustawy).
Rozporządzenie ma wejść po 1-dniowym vacatio legis, w piśmie kierującym projekt do uzgodnień zwraca się uwagę na potrzebę szybkiego procedowania (a to ze względu na konieczność „wejścia projektowanego rozporządzenia w życie w możliwie najkrótszym terminie”).