W Dz.U. z 2019 r. pod poz. 125 opublikowano ustawę z 14.12.2018 r. o ochronie danych osobowych przetwarzanych w związku z zapobieganiem i zwalczaniem przestępczości.
Zgodnie z art. 1 ustawa określa:
1) zasady i warunki ochrony danych osobowych przetwarzanych przez właściwe organy w celu rozpoznawania, zapobiegania, wykrywania i zwalczania czynów zabronionych, w tym zagrożeń dla bezpieczeństwa i porządku publicznego, a także wykonywania tymczasowego aresztowania, kar, kar porządkowych i środków przymusu skutkujących pozbawieniem wolności;
2) prawa osób, których dane osobowe są przetwarzane przez właściwe organy w powyższych celach oraz środki ochrony prawnej przysługujące tym osobom;
3) sposób prowadzenia nadzoru nad ochroną danych osobowych przetwarzanych przez właściwe organy w tych celach, z wyłączeniem danych osobowych przetwarzanych przez prokuraturę i sądy;
4) zadania organu nadzorczego oraz formy i sposób ich wykonania;
5) obowiązki administratora i podmiotu przetwarzającego oraz inspektora ochrony danych i tryb jego wyznaczania;
6) sposób zabezpieczenia danych osobowych;
7) tryb współpracy z organami nadzorczymi w innych państwach UE;
8) odpowiedzialność karną za naruszenie przepisów niniejszej ustawy.
Ustawa będzie miała zastosowanie do przetwarzania danych osobowych przez właściwe organy w wymienionych wyżej celach, w sposób: całkowicie lub częściowo zautomatyzowany, albo inny niż zautomatyzowany, w przypadku gdy dane te stanowią lub mają stanowić część zbioru danych.
Jako organ nadzorczy wyznaczono Prezesa Urzędu Ochrony Danych Osobowych (Prezesa ODO), do którego zadań należy m.in. monitorowanie i egzekwowanie stosowania przepisów niniejszej ustawy oraz wydanych na jej podstawie aktów wykonawczych.
Właściwe organy przetwarzają dane osobowe wyłącznie w zakresie niezbędnym dla zrealizowania uprawnienia lub spełnienia obowiązku wynikającego z przepisu prawa. Dopuszczono przy tym:
1) przetwarzanie danych osobowych w innych celach niż określone w art. 1 pkt 1 ustawy, jeżeli przepisy prawa zezwalają na ich przetwarzanie;
2) wykorzystanie przetwarzania danych osobowych zebranych do tych celów, w zakresie niezbędnym do ich archiwizacji w interesie publicznym oraz do celów naukowych, statystycznych lub historycznych, o ile podlega ono odpowiednim zabezpieczeniom praw i wolności osób, których dane dotyczą.
Niedopuszczalne będzie przetwarzanie wrażliwych danych osobowych, czyli ujawniających pochodzenie rasowe, etniczne, poglądy polityczne, przekonania religijne, światopoglądowe, przynależność do związków zawodowych oraz przetwarzanie danych genetycznych, danych biometrycznych w celu jednoznacznego zidentyfikowania osoby fizycznej, danych dotyczących zdrowia, danych dotyczących seksualności i orientacji seksualnej osoby fizycznej. Przetwarzanie takich danych będzie jednak możliwe, jeżeli:
1) przepisy prawa zezwalają na ich przetwarzanie lub
2) jest to niezbędne dla ochrony życia lub zdrowia lub interesów osoby, której dane dotyczą, lub innej osoby, lub
3) dane takie zostały upublicznione przez osobę, której dotyczą.
Ustawa wprowadza także przepisy określające:
1) prawa osoby, której dane dotyczą;
2) zasady działania administratora i podmiotu przetwarzającego;
3) zabezpieczanie danych osobowych;
4) zadania inspektora ochrony danych (IOD);
5) zasady współpracy z organami nadzorczymi w innych państwach UE;
6) środki ochrony prawnej i odpowiedzialność prawną;
7) przepisy karne.
Ustawa wprowadza też zmiany w wielu ustawach, w których przetwarza się dane osobowe, wprowadza przepisy dotyczące m.in. centralnej bazy w więziennictwie, warunki i zasady wymiany informacji z organami ścigania państw trzecich i organizacji międzynarodowych, nadzoru nad przetwarzaniem danych osobowych, których administratorami są powszechne jednostki organizacyjne prokuratury, możliwości wymiany przez organy KAS z organami ścigania państw członkowskich UE zajmującymi się zapobieganiem i zwalczaniem przestępczości oraz innymi organizacjami międzynarodowymi, Trybunału Konstytucyjnego oraz Sądu Najwyższego jako administratora danych osobowych przetwarzanych w ramach prowadzonych przez nie postępowań i inne.
Natomiast z wprowadzonych przepisów przejściowych wynika m.in., że:
1) osoba pełniąca w dniu wejścia w życie ustawy, czyli 6.2.2019 r., funkcję IOD na podstawie przepisów ustawy z 10.5.2018 r. o ochronie danych osobowych (Dz.U. z 2018 r. poz. 1000 ze zm.; dalej: OchrDanychOsobU), staje się IOD i pełni swoją funkcję nie dłużej jednak niż 3 miesiące od dnia wejścia w życie, czyli do 6.5.2019 r., chyba że przed tym dniem administrator zawiadomi Prezesa UODO o wyznaczeniu innej osoby na IOD;
2) osoba, która stała się IOD na powyższej podstawie, pełni swoją funkcję także po upływie tych 3 miesięcy, jeżeli do tego dnia administrator zawiadomi Prezesa UOD o jej wyznaczeniu;
3) administrator, który do 6.2.2019 r. nie powołał IOD, o którym mowa w OchrDanychOsobU, jest obowiązany do wyznaczenia IOD i zawiadomienia Prezesa UODO o jego wyznaczeniu, w terminie 1 miesiąca od dnia wejścia w życie ustawy, czyli do 6.3.2019 r.;
4) postępowania prowadzone przez Prezesa UODO, wszczęte i niezakończone przed 6.2.2019 r., prowadzone są na podstawie przepisów dotychczasowych;
5) w terminie 1 roku od dnia wejścia w życie ustawy, czyli do 6.2.2020 r. administrator dostosowuje zasady przetwarzania danych osobowych do środków technicznych i organizacyjnych.