Rozdział 2a

Obowiązki związane z wystąpieniem naruszenia ochrony danych osobowych w SWD Policji

§ 6a.  [8] 1. Użytkownik SWD Policji obowiązany jest niezwłocznie powiadomić na piśmie drogą służbową bezpośredniego przełożonego o wystąpieniu naruszenia ochrony danych osobowych w SWD Policji, zabezpieczyć dane osobowe przed zagrożeniem ich bezpieczeństwa lub dalszym naruszeniem ich ochrony oraz zabezpieczyć dowody tego zagrożenia lub naruszenia, w przypadku gdy:

1) spowodował, współuczestniczył w spowodowaniu lub był świadkiem spowodowania zagrożenia bezpieczeństwa danych osobowych lub naruszenia ochrony danych osobowych w SWD Policji;

2) ujawnił lub uzyskał informacje, dokumenty lub inne materiały wskazujące na zagrożenie bezpieczeństwa danych osobowych lub wystąpienie naruszenia, o którym mowa w pkt 1.

2. Bezpośredni przełożony, który został powiadomiony zgodnie z ust. 1 o wystąpieniu naruszenia ochrony danych osobowych w SWD Policji niezwłocznie, jednak nie później niż w ciągu 48 godzin od powiadomienia:

1) informuje pisemnie właściwego ze względu na jego miejsce pełnienia służby lub wykonywania pracy inspektora ochrony danych wykonującego zadania w danej jednostce organizacyjnej Policji, o wystąpieniu naruszenia oraz przekazuje wszelkie niezbędne informacje związane z tym naruszeniem;

2) informuje pisemnie dyrektorów, o których mowa w § 4 ust. 1 pkt 1-4, zgodnie z właściwością określoną w tym przepisie w zakresie administrowania informacjami, w tym danymi osobowymi, przetwarzanymi w SWD Policji, o wystąpieniu naruszenia oraz przekazuje wszelkie niezbędne informacje związane z tym naruszeniem;

3) podejmuje osobiście lub poleca podległym policjantom lub pracownikom Policji:

a) ustalenie okoliczności i przyczyn wystąpienia naruszenia ochrony danych osobowych w SWD Policji,

b) ustalenie czy (istnieje prawdopodobieństwo by) wystąpiło ryzyko naruszenia praw lub wolności osób fizycznych, a w przypadku gdy ustalono wystąpienie takiego ryzyka, również ustalenie, czy wystąpiło wysokie ryzyko naruszenia praw lub wolności osób fizycznych,

c) ustalenie okoliczności i informacji określonych w art. 44 ust. 4 ustawy ODO przetwarzanych w związku z zapobieganiem i zwalczaniem przestępczości oraz art. 33 ust. 3 rozporządzenia PE i Rady (UE) 2016/679,

d) zabezpieczenie informacji oraz danych osobowych przed ich dalszym naruszeniem, w szczególności zniszczeniem,

e) zebranie oraz zabezpieczenie dokumentów, danych, informatycznych nośników danych lub innych materiałów dotyczących naruszenia ochrony danych osobowych w SWD Policji lub mogących stanowić dowód wystąpienia tego naruszenia;

4) przekazuje, zgodnie z zasadami podległości służbowej, właściwemu przełożonemu, dyrektorowi biura lub kierownikowi jednostki organizacyjnej Policji określonemu w § 4 ust. 4 i 5, informacje, o których mowa w pkt 2, wraz z zebranymi i zabezpieczonymi dokumentami oraz materiałami, a także wraz z wypełnionym formularzem zgłoszenia naruszenia ochrony danych osobowych, celem dokonania zgłoszenia przez tych dyrektorów lub kierowników, zgodnie z właściwością określoną w § 4 ust. 4 i 5, Prezesowi Urzędu Ochrony Danych Osobowych oraz celem zawiadomienia osób, których dane dotyczą, o wystąpieniu naruszenia ochrony danych osobowych w SWD Policji, jeżeli zachodzą przesłanki do takiego zgłoszenia oraz zawiadomienia.

3. W przypadku gdy przełożonym, o którym mowa w ust. 2, jest dyrektor biura KGP lub kierownik jednostki organizacyjnej Policji, o których mowa w § 4 ust. 1 pkt 1-6, ten dyrektor lub kierownik wykonuje czynności, o których mowa w ust. 2 pkt 1-3 oraz odpowiednio czynności, o których mowa w § 4.

4. O czynach, o których mowa w ust. 1 pkt 1, dotyczących bezpośrednio Komendanta BSWP, Komendanta CBŚP, Komendanta CBZC, Dowódcy BOA, Dyrektora CLKP, komendantów wojewódzkich Policji (Komendanta Stołecznego Policji), Komendanta-Rektora Akademii Policji w Szczytnie, komendantów szkół policyjnych, dyrektorów biur KGP oraz inspektora ochrony danych w Komendzie Głównej Policji, kierownicy tych jednostek lub biur oraz wymieniony inspektor są obowiązani niezwłocznie pisemnie powiadomić Komendanta Głównego Policji za pośrednictwem dyrektora biura KGP właściwego w sprawach sztabowych, załączając do tej informacji dokumenty, potwierdzające fakt zagrożenia bezpieczeństwa danych osobowych lub naruszenia ochrony danych osobowych w SWD Policji, a także zabezpieczyć dane osobowe przed zagrożeniem ich bezpieczeństwa lub dalszym naruszeniem ich ochrony oraz zabezpieczyć dowody tego zagrożenia lub naruszenia.

5. W przypadku określonym w ust. 4 Komendant Główny Policji, w uzgodnieniu z dyrektorem biura KGP właściwego w sprawach sztabowych, wyznacza kierownika jednostki lub komórki organizacyjnej Policji do przeprowadzenia czynności, o których mowa w ust. 2 oraz § 4, jednakże z czynności tych wyłącza się tego kierownika, którego dotyczą czyny, o których mowa w ust. 1 pkt 1, a także inspektora ochrony danych w Komendzie Głównej Policji, jeżeli czyny te dotyczą tego inspektora.

6. Jeżeli czyny, o których mowa w ust. 1 pkt 1, dotyczą bezpośrednio dyrektora biura KGP właściwego w sprawach sztabowych, dyrektor ten jest obowiązany niezwłocznie pisemnie powiadomić o nich Komendanta Głównego Policji, załączając do tej informacji dokumenty, potwierdzające fakt zagrożenia bezpieczeństwa danych osobowych lub naruszenia ochrony danych osobowych w SWD Policji, a także zabezpieczyć dane osobowe przed zagrożeniem ich bezpieczeństwa lub dalszym naruszeniem ich ochrony oraz zabezpieczyć dowody tego zagrożenia lub naruszenia. W takim przypadku Komendant Główny Policji wyznacza kierownika jednostki lub komórki organizacyjnej Policji do przeprowadzenia czynności, o których mowa w ust. 2 oraz § 4, wyłączając z tych czynności dyrektora biura KGP właściwego w sprawach sztabowych.