Ochrona danych osobowych wykorzystywanych przez policję i organy wymiaru sprawiedliwości (od 2018 r.)

STRESZCZENIE DOKUMENTU:

Dyrektywa (UE) 2016/680 – ochrona osób fizycznych w związku z przetwarzaniem ich danych osobowych przez policję i organy wymiaru sprawiedliwości oraz w sprawie swobodnego przepływu takich danych

JAKIE SĄ CELE DYREKTYWY?

Dyrektywa (UE) 2016/680, zwana dyrektywą o ochronie danych w sprawach karnych, zapewnia ochronę danych osobowych osób związanych z postępowaniem karnym, m.in. świadków, ofiar i osób podejrzanych.
Ustanawia ona kompleksowe ramy prawne celem zapewnienia wysokiego stopnia ochrony danych, jednocześnie biorąc pod uwagę szczególny charakter działań policji i wymiaru sprawiedliwości w sprawach karnych.
Przyczynia się ona do zwiększenia zaufania i ułatwienia współpracy na rzecz walki z przestępczością w Europie dzięki ujednoliceniu zasad ochrony danych osobowych przez organy ścigania państw członkowskich Unii Europejskiej (UE) i państw strefy Schengen.
Dyrektywa stanowi część pakietu UE dotyczącego reformy przepisów o ochronie danych, w skład którego wchodzą też ogólne rozporządzenie o ochronie danych (RODO) (zob. streszczenie) i rozporządzenie (UE) 2018/1725 w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych przez instytucje, organy i jednostki organizacyjne UE (zob. streszczenie).

KLUCZOWE ZAGADNIENIA

Dyrektywa wymaga, by dane zbierane przez organy ścigania były:

przetwarzane zgodnie z prawem i rzetelnie;
zbierane w konkretnych, wyraźnych i uzasadnionych celach oraz przetwarzane wyłącznie w sposób zgodny z tymi celami;
adekwatne, stosowne i nienadmierne do celów, do których są przetwarzane;
prawidłowe i uaktualniane w razie potrzeby;
przechowywane w formie umożliwiającej identyfikację osób przez okres nie dłuższy, niż jest to niezbędne do celów ich przetwarzania;
odpowiednio zabezpieczone, w tym w sposób zapewniający ochronę przed niedozwolonym lub niezgodnym z prawem przetwarzaniem, za pomocą odpowiednich środków technicznych lub organizacyjnych.

Terminy

Państwa członkowskie muszą przyjąć terminy usuwania danych osobowych lub regularnego przeglądu konieczności przechowywania tych danych.

Zainteresowane osoby („osoby, których dane dotyczą”)

Dyrektywa wymaga, by organy ścigania wyraźnie rozróżniły dane osobowe poszczególnych kategorii osób, w tym:

osób, w stosunku do których istnieją poważne podstawy, by przypuszczać, że popełniły lub zamierzają popełnić czyn zabroniony;
osób skazanych za czyn zabroniony;
pokrzywdzonych czynem zabronionym lub osób, w przypadku których można zasadnie uznać, że mogą stać się ofiarą czynu zabronionego;
osób innych w stosunku do czynu zabronionego, w tym potencjalnych świadków.

Informowanie osób, których dane dotyczą, i dostęp do danych

Osoby fizyczne mają prawo do tego, by właściwe organy ścigania udostępniły – a w niektórych przypadkach dostarczyły – im określone informacje, obejmujące:

imię i nazwisko lub nazwę oraz dane kontaktowe właściwego organu, który podejmuje decyzje o zakresie przetwarzania danych i sposobie ich przetwarzania;
cele przetwarzania ich danych;
informacje o prawie do wniesienia skargi do organu nadzorczego oraz dane kontaktowe organu nadzorczego;
informacje o prawie żądania dostępu do danych osobowych, ich poprawienia lub usunięcia oraz prawie do ograniczenia przetwarzania ich danych osobowych.

Osoby fizyczne mają prawo uzyskania od właściwych organów potwierdzenia, czy przetwarzane są ich dane osobowe, a także dostępu do tych danych osobowych oraz informacji dotyczących ich przetwarzania.

Bezpieczeństwo i ewidencja czynności

Organy krajowe mają obowiązek wdrożenia środków technicznych i organizacyjnych dla zagwarantowania poziomu bezpieczeństwa danych osobowych odpowiadającego zagrożeniu. Jeśli przetwarzanie danych jest zautomatyzowane, należy zastosować odpowiednie środki, w tym:

uniemożliwienie osobom nieuprawnionym dostępu do sprzętu używanego do przetwarzania;
zapobieganie nieuprawnionemu odczytywaniu, kopiowaniu, zmienianiu lub usuwaniu nośników danych*;
zapobieganie nieuprawnionemu wprowadzaniu danych osobowych oraz nieuprawnionemu oglądaniu, zmienianiu lub usuwaniu przechowywanych danych osobowych.

Organy krajowe mają obowiązek ewidencjonowania informacji, takich jak data i godzina dostępu do danych osobowych oraz tożsamość osoby, która przeglądała dane lub której dane zostały ujawnione. Ewidencja jest używana głównie do weryfikacji zgodności przetwarzania z prawem, zapewnienia integralności i bezpieczeństwa operacji przetwarzania oraz na potrzeby postępowania karnego.

Uchylenie

Dyrektywa ta zastąpiła decyzję ramową 2008/977/WSiSW w sprawie ochrony danych osobowych przetwarzanych w ramach współpracy policyjnej i sądowej w sprawach karnych z dniem 6 maja 2018 r.

Przegląd

W czerwcu 2020 r. Komisja Europejska wydała komunikat zatytułowany „Dalsze działania dotyczące dostosowania dotychczasowego dorobku w obszarze trzeciego filaru do przepisów o ochronie danych”.

Pierwsze sprawozdanie z oceny i przeglądu dyrektywy ma być przedłożone do 5 maja 2022 r.

OD KIEDY DYREKTYWA MA ZASTOSOWANIE?

Ma ona zastosowanie od 5 maja 2016 r. Państwa członkowskie miały obowiązek transpozycji dyrektywy (włączenia jej przepisów do prawa krajowego) do 6 maja 2018 r.

KONTEKST

Więcej informacji:

Reforma unijnych przepisów o ochronie danych (Komisja Europejska)
Ochrona danych osobowych w UE (Komisja Europejska)
Sprawozdanie Komisji: Unijne przepisy o ochronie danych wzmacniają pozycję obywateli i są dostosowane do potrzeb ery cyfrowej – komunikat prasowy (Komisja Europejska)
Reforma przepisów o ochronie danych – zestawienie informacji (Komisja Europejska)
Ochrona danych osobowych (Komisja Europejska).

KLUCZOWE POJĘCIA

Nośniki danych. Dyski lub inne urządzenia do przechowywania danych.

GŁÓWNY DOKUMENT

Dyrektywa Parlamentu Europejskiego i Rady (UE) 2016/680 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych przez właściwe organy do celów zapobiegania przestępczości, prowadzenia postępowań przygotowawczych, wykrywania i ścigania czynów zabronionych i wykonywania kar, w sprawie swobodnego przepływu takich danych oraz uchylająca decyzję ramową Rady 2008/977/WSiSW (Dz.U. L 119 z 4.5.2016, s. 89–131).

Kolejne zmiany rozporządzenia (UE) 2016/680 zostały włączone do tekstu pierwotnego. Tekst skonsolidowany ma jedynie wartość dokumentacyjną.

DOKUMENTY POWIĄZANE

Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) (Dz.U. L 119 z 4.5.2016, s. 1–88).

Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2018/1725 z dnia 23 października 2018 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych przez instytucje, organy i jednostki organizacyjne Unii i swobodnego przepływu takich danych oraz uchylenia rozporządzenia (WE) nr 45/2001 i decyzji nr 1247/2002/WE (Dz.U. L 295 z 21.11.2018, s. 39–98).

Dyrektywa 2002/58/WE Parlamentu Europejskiego i Rady z dnia 12 lipca 2002 r. dotycząca przetwarzania danych osobowych i ochrony prywatności w sektorze łączności elektronicznej (dyrektywa o prywatności i łączności elektronicznej) (Dz.U. L 201 z 31.7.2002, s. 37–47).

Zobacz tekst skonsolidowany.

Ostatnia aktualizacja: 14.01.2022