Z wnioskiem w tej sprawie Prezes UODO zwrócił się do Ministra Spraw Wewnętrznych i Administracji, wskazując, że jest to istotne dla zapewnienia odpowiedniego statusu inspektora ochrony danych.
W wystąpieniu w tej sprawie organ nadzorczy wskazał, że ustawa z dnia 14 grudnia 2018 r. o ochronie danych osobowych przetwarzanych w związku z zapobieganiem i zwalczaniem przestępczości (wdrażająca do polskiego porządku prawnego tzw. dyrektywę policyjną, czyli dyrektywę Parlamentu Europejskiego i Rady (UE) 2016/680 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych przez właściwe organy do celów zapobiegania przestępczości, prowadzenia postępowań przygotowawczych, wykrywania i ścigania czynów zabronionych i wykonywania kar, w sprawie swobodnego przepływu takich danych oraz uchylającej decyzję ramową Rady 209/977/WSiSW) wymaga zmian w zakresie przepisów dotyczących inspektora ochrony danych.
Błędne przypisanie zadań
W ocenie UODO zmiany wymagają art. 37 ust. 3 i art. 38 ust. 6 powołanej ustawy z dnia 14 grudnia 2018 r., gdyż są one sprzeczne z przepisami tzw. dyrektywy policyjnej. Z przepisów tych wynika, że zarówno przeprowadzenie oceny skutków dla ochrony danych, jak i uprzednich konsultacji administrator może powierzyć inspektorowi ochrony danych. Tymczasem przeprowadzenie oceny skutków dla ochrony danych i wystąpienie z wnioskiem o uprzednie konsultacje do organu nadzorczego to zadania administratora i to właśnie jemu są one przypisane w dyrektywie. Ich realizacja przez IOD prowadziłaby zaś do powstania konfliktu interesów. Błędna i wymagająca zmiany jest również redakcja art. 38 ust. 6. Artykuł ten stanowi, że realizację obowiązków, o których mowa w ust. 1— 4 tego artykułu, administrator lub podmiot przetwarzający może powierzyć inspektorowi ochrony danych. Tymczasem ust. 2 i 4 tego przepisu odnoszą się do zadań Prezesa UODO, wobec tego przypisanie ich IOD oznacza błędne sformułowanie przepisu.
Braki w przepisach regulujących dokonywanie zawiadomień dotyczących IOD
Brakuje też precyzyjnych przepisów określających, jakie dane administratora powinny być przekazane przez niego do Prezesa UODO w związku z dokonywaniem zawiadomienia dotyczącego inspektora ochrony danych (wyznaczenia, odwołania, zmiany danych IOD). Ponadto potrzebne są regulacje, na mocy których administrator byłby zobowiązany do powiadomienia Prezesa UODO o każdej zmianie danych odnoszących się do administratora. Tymczasem ustawa z dnia 10 maja 2018 r. o ochronie danych osobowych takie przepisy zawiera.
Kontrola stosowania przepisów dotyczących IOD
Skorygowanie dostrzeżonych braków i nieprawidłowego brzmienia wskazanych przepisów ustawy z dnia 14 grudnia 2018 r. o ochronie danych osobowych przetwarzanych w związku z zapobieganiem i zwalczaniem przestępczości ma istotne znaczenie nie tylko z punktu widzenia zapewnienia właściwej implementacji tzw. dyrektywy policyjnej i zapewnienia odpowiedniego statusu inspektora ochrony danych. To ważne również w kontekście prowadzonej przez organ nadzorczy weryfikacji przestrzegania przepisów dotyczących IOD, o rozpoczęciu której informowaliśmy w Newsletterze UODO dla IOD z kwietnia br. (nr 4/2022) w tekście „Ocena przestrzegania przepisów dotyczących funkcjonowania IOD”. W dalszych etapach obejmie ona bowiem również wykonywanie przepisów ustawy z dnia 14 grudnia 2018 r. o ochronie danych osobowych przetwarzanych w związku z zapobieganiem i zwalczaniem przestępczości.