Wersja obowiązująca od 2025.05.21

§ 12. 1. Dyrektorzy biur KGP i kierownik komórki organizacyjnej KGP, o których mowa w § 10 ust. 2, zarządzają informacjami, w tym danymi osobowymi, przetwarzanymi w administrowanych przez nich zbiorach danych SWOP i w tym zakresie:

1) realizują odpowiednio zadania określone w przepisach art. 5, 19, 24 i 32 rozporządzenia PE i Rady (UE) 2016/679, w tym poprzez zapewnienie stosowania niniejszego zarządzenia;

2) podejmują stosowne działania zapewniające by przetwarzanie tych informacji, w tym danych osobowych, było zgodne z przepisami prawa, w szczególności z ustawą o Policji, przepisami określonymi w § 5 ust. 2 oraz przepisami określonymi w pkt 1, a także podejmują działania zapewniające legalność, adekwatność, prawidłowość, aktualność, integralność, poufność i bezpieczeństwo przetwarzania tych informacji, w tym danych osobowych;

3) prowadzą rejestr czynności przetwarzania w rozumieniu art. 30 rozporządzenia PE i Rady (UE) 2016/679;

4) we współpracy z dyrektorem biura KGP właściwego w sprawach łączności i informatyki oraz inspektorem ochrony danych w KGP uczestniczą w opracowaniu i wdrożeniu dokumentacji, o której mowa w § 14 ust. 1 pkt 3;

5) dokonują oceny ryzyka naruszenia praw lub wolności osób fizycznych oraz na podstawie dokonanej oceny, w zależności od jej wyników, podejmują stosowne działania zgodnie z art. 33 rozporządzenia PE i Rady (UE) 2016/679 oraz pkt 6 i 7, w przypadku:

a) stwierdzenia popełnienia naruszenia ochrony danych osobowych w SWOP przez podległego im policjanta lub pracownika Policji lub uzyskania informacji o takim naruszeniu,

b) otrzymania, zgodnie z § 13 pkt 2 lit. a, dokumentacji dotyczącej popełnienia naruszenia ochrony danych osobowych w SWOP od dyrektorów biur KGP niewskazanych w § 10 ust. 2 lub od Dowódcy BOA, z uwzględnieniem właściwości określonej w ust. 3 i 4;

6) w przypadku naruszenia ochrony danych osobowych w SWOP popełnionego przez policjanta lub pracownika Policji pełniącego służbę lub wykonującego pracę w KGP lub BOA, którego skutkiem jest prawdopodobieństwo wystąpienia ryzyka naruszenia praw lub wolności osób fizycznych, bez zbędnej zwłoki, nie później jednak niż w ciągu 72 godzin po stwierdzeniu tego naruszenia, zgłaszają je Prezesowi Urzędu Ochrony Danych Osobowych, zgodnie z właściwością określoną w pkt 5 lit. a oraz ust. 3 i 4, oraz przekazują jeden egzemplarz zgłoszenia naruszenia ochrony danych osobowych w SWOP inspektorowi ochrony danych w KGP, wraz z dokumentacją dotyczącą naruszenia, którego dotyczy zgłoszenie;

7) zawiadamiają osobę, której dane dotyczą, o naruszeniu ochrony danych osobowych w SWOP, zgodnie z art. 34 rozporządzenia PE i Rady (UE) 2016/679, w przypadku:

a) stwierdzenia naruszenia ochrony danych osobowych w SWOP powodującego wysokie ryzyko naruszenia praw lub wolności osób fizycznych popełnionego przez podległego im policjanta lub pracownika Policji,

b) otrzymania, zgodnie z § 13 pkt 3 lit. a, informacji o wystąpieniu naruszenia powodującego wysokie ryzyko naruszenia praw lub wolności osób fizycznych od dyrektorów biur KGP niewskazanych w § 10 ust. 2 lub od Dowódcy BOA wraz z dokumentacją dotyczącą tego naruszenia, chyba że na podstawie tej dokumentacji oraz po dokonaniu własnej oceny w zakresie wystąpienia wysokiego ryzyka naruszenia praw lub wolności osób fizycznych, o którym mowa w art. 34 rozporządzenia PE i Rady (UE) 2016/679, stwierdzą brak przesłanek wystąpienia takiego ryzyka, z uwzględnieniem właściwości określonej w ust. 3 i 4,

c) [6] otrzymania, zgodnie z § 14 ust. 1 pkt 8 lit. a, informacji o wystąpieniu naruszenia powodującego wysokie ryzyko naruszenia praw lub wolności osób fizycznych, chyba że na podstawie tej dokumentacji oraz po dokonaniu własnej oceny w zakresie wystąpienia wysokiego ryzyka naruszenia praw lub wolności osób fizycznych, o którym mowa w art. 34 rozporządzenia PE i Rady (UE) 2016/679, stwierdzą brak przesłanek wystąpienia takiego ryzyka, z uwzględnieniem właściwości, o której mowa w § 10 ust. 2 pkt 1–3 i 5–7, w zakresie administrowania zbiorami danych SWOP, a także przepisów ust. 3 i 4 oraz § 14 ust. 1 pkt 8 lit. b;

8) mogą dokonywać zgłoszenia naruszenia ochrony danych osobowych w SWOP, o którym mowa w pkt 6, Prezesowi Urzędu Ochrony Danych Osobowych oraz zawiadomienia, o którym mowa w pkt 7, za pośrednictwem inspektora ochrony danych w KGP oraz występować do tego inspektora o dokonanie takiego zgłoszenia oraz zawiadomienia pod warunkiem przekazania temu inspektorowi zgłoszenia oraz zawiadomienia wraz z niezbędną dokumentacją dotyczącą naruszenia, którego dotyczy zgłoszenie oraz zawiadomienie nie później niż w terminie 48 godzin od stwierdzenia wystąpienia naruszenia, a jeżeli termin 72 godzin, o którym mowa w art. 33 ust. 1 rozporządzenia PE i Rady (UE) 2016/679, na zgłoszenie naruszenia ochrony danych osobowych w SWOP już upłynął, również wraz z dokumentacją dotyczącą wyjaśnienia przyczyn opóźnienia dokonania zgłoszenia i zawiadomienia;

9) są uprawnieni do uzyskiwania od dyrektora biura KGP właściwego w sprawach łączności i informatyki informacji dotyczących dostępu do zbioru SWOP SERWIS KGP, w szczególności do informacji dotyczących osób uprawnionych do dostępu do tego zbioru, osób, które uzyskały dostęp do tego zbioru oraz do informacji, w tym danych osobowych, przetwarzanych w tym zbiorze, danych personalnych tych osób, a także informacji dotyczących dokładnego zakresu, celu i powodów tego dostępu.

2. Komendant CBŚP, Komendant CBZC, Komendant BSWP, Dyrektor CLKP, komendanci wojewódzcy (Stołeczny) Policji, Komendant-Rektor Akademii Policji oraz komendanci szkół policyjnych zgodnie z ich właściwością terytorialną i rzeczową, określoną w szczególności w art. 5a–5e, 6, 6f i 6g ustawy o Policji, w odniesieniu do przetwarzania informacji, w tym danych osobowych, w administrowanych przez nich zbiorach danych SWOP oraz zgodnie z właściwością określoną w § 10 ust. 3 i 4, w podległych im jednostkach i komórkach organizacyjnych Policji:

1) realizują odpowiednio zadania określone w przepisach art. 5, 19, 24 i 32 rozporządzenia PE i Rady (UE) 2016/679, w tym poprzez zapewnienie stosowania niniejszego zarządzenia;

2) podejmują stosowne działania zapewniające by przetwarzanie informacji, w tym danych osobowych, w SWOP, było zgodne z przepisami prawa, w szczególności z ustawą o Policji oraz przepisami określonymi w pkt 1, a także podejmują działania zapewniające legalność, adekwatność, prawidłowość, aktualność, integralność, poufność i bezpieczeństwo przetwarzania tych informacji, w tym danych osobowych;

3) we współpracy z dyrektorem biura KGP właściwego w sprawach łączności i informatyki uczestniczą w opracowaniu dokumentacji, o której mowa w § 14 ust. 1 pkt 3, oraz we współpracy z kierownikami komórek organizacyjnych właściwych w sprawach łączności i informatyki wdrażają tę dokumentację w podległych im jednostkach i komórkach organizacyjnych Policji;

4) dokonują oceny ryzyka naruszenia praw lub wolności osób fizycznych oraz na podstawie dokonanej oceny, w zależności od jej wyników, podejmują stosowne działania zgodnie z art. 33 rozporządzenia PE i Rady (UE) 2016/679 oraz pkt 5 i 6, w przypadku:

a) stwierdzenia popełnienia naruszenia ochrony danych osobowych w SWOP przez podległego im policjanta lub pracownika Policji w CBŚP, CBZC, BSWP, CLKP, KWP, KSP, Akademii Policji lub szkole policyjnej lub uzyskania informacji o takim naruszeniu,

b) otrzymania przez komendanta wojewódzkiego (Stołecznego) Policji, zgodnie z § 13 pkt 2 lit. b, dokumentacji dotyczącej popełnienia naruszenia ochrony danych osobowych w SWOP od podległej komendy powiatowej (miejskiej, rejonowej) Policji lub podległego komisariatu Policji;

5) w przypadku wystąpienia naruszenia ochrony danych osobowych w SWOP popełnionego przez podległego im policjanta lub pracownika Policji w CBŚP, CBZC, BSWP, CLKP, KWP, KSP, Akademii Policji, szkole policyjnej lub podległej komendzie powiatowej (miejskiej, rejonowej) Policji lub komisariacie Policji wraz ze zgłoszeniem naruszenia Prezesowi Urzędu Ochrony Danych Osobowych, zgodnie z art. 33 rozporządzenia PE i Rady (UE) 2016/679, przekazują po jednym egzemplarzu tego zgłoszenia:

a) inspektorowi ochrony danych wyznaczonemu w podległych im jednostkach organizacyjnych Policji wraz z dokumentacją dotyczącą naruszenia ochrony danych osobowych w SWOP, którego dotyczy zgłoszenie,

b) dyrektorom i kierownikowi, o których mowa w § 10 ust. 2 i § 11 ust. 2 i 3, zgodnie z właściwością określoną w tych przepisach w zakresie administrowania zbiorami danych SWOP;

6) zawiadamiają osobę, której dane dotyczą, o naruszeniu ochrony danych osobowych w SWOP, zgodnie z art. 34 rozporządzenia PE i Rady (UE) 2016/679, w przypadku:

b) otrzymania, zgodnie z § 13 pkt 3 lit. b, przez komendanta wojewódzkiego (Stołecznego) Policji informacji o wystąpieniu naruszenia powodującego wysokie ryzyko naruszenia praw lub wolności osób fizycznych popełnionego przez policjanta lub pracownika Policji z podległej im komendy powiatowej (miejskiej, rejonowej) Policji lub podległego komisariatu Policji wraz z dokumentacją dotyczącą tego naruszenia, chyba że na podstawie tej dokumentacji oraz po dokonaniu własnej oceny w zakresie wystąpienia wysokiego ryzyka naruszenia praw lub wolności osób fizycznych, o którym mowa w art. 34 rozporządzenia PE i Rady (UE) 2016/679, stwierdzą brak przesłanek wystąpienia takiego ryzyka;

7) mogą dokonywać zgłoszenia naruszenia ochrony danych osobowych w SWOP, o którym mowa w pkt 5, Prezesowi Urzędu Ochrony Danych Osobowych oraz zawiadomienia, o którym mowa w pkt 6, za pośrednictwem inspektora ochrony danych wyznaczonego w podległych im jednostkach organizacyjnych Policji oraz występować do tego inspektora o dokonanie takiego zgłoszenia oraz zawiadomienia na warunkach określonych w ust. 1 pkt 8.

3. Oceny i zgłoszenia, o których mowa w ust. 1 pkt 5 lit. b i pkt 6 oraz zawiadomienia, o którym mowa w ust. 1 pkt 7 lit. b i c, w tym w sposób, o którym mowa w ust. 1 pkt 8, dyrektorzy biur KGP oraz kierownik komórki organizacyjnej KGP, o których mowa w § 10 ust. 2, dokonują zgodnie z właściwością określoną w tym przepisie oraz odpowiednio w § 11 ust. 2 i 3 w zakresie administrowania zbiorami danych SWOP, o ile zachodzą przesłanki do dokonania takiego zgłoszenia lub zawiadomienia wynikające z art. 33 i 34 rozporządzenia PE i Rady (UE) 2016/679, z zastrzeżeniem ust. 4.

4. W przypadkach, gdy naruszenie ochrony danych osobowych w SWOP popełnione przez policjanta lub pracownika Policji pełniącego służbę lub wykonującego pracę w biurze KGP niewskazanym w § 10 ust. 2 lub w BOA dotyczy danych osobowych przetwarzanych w dwóch lub więcej lokalnych zbiorach danych SWOP KGP lub jednocześnie w Centralnej Bazie Kadrowej SWOP, zbiorze danych SWOP OBSŁUGA STRZELAŃ lub zbiorze danych SWOP CRDK II oceny i zgłoszenia, o których mowa w ust. 1 pkt 5 lit. b i pkt 6, oraz zawiadomienia, o którym mowa w ust. 1 pkt 7 lit. b i c, w tym w sposób, o którym mowa w ust. 1 pkt 8, dokonuje:

1) [7] dyrektor biura KGP właściwego w sprawach kadrowych – jeżeli naruszenie dotyczy danych osobowych policjantów i pracowników Policji, w tym po ustaniu ich służby lub pracy w Policji, lub członków ich rodzin przetwarzanych w lokalnym zbiorze danych SWOP KADRA KGP lub Centralnej Bazie Kadrowej SWOP oraz jednocześnie tych danych osobowych przetwarzanych w zbiorze danych SWOP OBSŁUGA STRZELAŃ lub w którymkolwiek z lokalnych zbiorów danych SWOP KGP określonych w § 10 ust. 2 pkt 2–6,

1a) [8] dyrektor biura KGP właściwego w sprawach doboru i szkolenia – jeżeli naruszenie ochrony danych osobowych w SWOP dotyczy danych osobowych przetwarzanych w zbiorze danych SWOP CRDK II,

2) [9] dyrektor biura KGP, który został wyznaczony do tego spośród dyrektorów biur, o których mowa w § 10 ust. 2 pkt 2–7 w drodze wzajemnych ustaleń pomiędzy tymi dyrektorami, dyrektorem biura KGP właściwego w sprawach kadrowych i inspektorem ochrony danych w KGP – jeżeli naruszenie ochrony danych osobowych w SWOP dotyczy właściwości zbioru danych SWOP OBSŁUGA STRZELAŃ oraz jednocześnie właściwości co najmniej jednego z lokalnych zbiorów danych SWOP KGP określonych w § 10 ust. 2 pkt 2–6 albo gdy dotyczy właściwości więcej niż jednego z lokalnych zbiorów danych SWOP KGP określonych w § 10 ust. 2 pkt 2–6 administrowanych przez różnych dyrektorów biur KGP określonych w tych przepisach,

3) dyrektor biura KGP wyznaczony do tego przez dyrektora biura KGP właściwego w sprawach kadrowych w konsultacji z inspektorem ochrony danych w KGP – jeżeli w odniesieniu do naruszenia ochrony danych SWOP, o którym mowa w pkt 2, nie ustalono, w sposób o którym mowa w tym przepisie, dyrektora biura KGP właściwego do dokonania zgłoszenia lub zawiadomienia dotyczącego tego naruszenia

– o ile zachodzą przesłanki do dokonania takiego zgłoszenia lub zawiadomienia wynikające z art. 33 i 34 rozporządzenia PE i Rady (UE) 2016/679.

5. Do administrowania zbiorami SWOP MASTER i SWOP WZORCOWY przez dyrektorów i kierownika, o których mowa w § 11 ust. 2, przepisy ust. 1 stosuje się odpowiednio.

[6] § 12 ust. 1 pkt 7 lit. c) w brzmieniu ustalonym przez § 1 pkt 4 lit. a) zarządzenia nr 17 Komendanta Głównego Policji z dnia 30 kwietnia 2025 r. zmieniającego zarządzenie w sprawie Systemu Wspomagania Obsługi Policji (Dz.Urz.KGP. poz. 32). Zmiana weszła w życie 21 maja 2025 r.

[7] § 12 ust. 4 pkt 1 w brzmieniu ustalonym przez § 1 pkt 4 lit. b) zarządzenia nr 17 Komendanta Głównego Policji z dnia 30 kwietnia 2025 r. zmieniającego zarządzenie w sprawie Systemu Wspomagania Obsługi Policji (Dz.Urz.KGP. poz. 32). Zmiana weszła w życie 21 maja 2025 r.

[8] § 12 ust. 4 pkt 1a dodany przez § 1 pkt 4 lit. b) zarządzenia nr 17 Komendanta Głównego Policji z dnia 30 kwietnia 2025 r. zmieniającego zarządzenie w sprawie Systemu Wspomagania Obsługi Policji (Dz.Urz.KGP. poz. 32). Zmiana weszła w życie 21 maja 2025 r.

[9] § 12 ust. 4 pkt 2 w brzmieniu ustalonym przez § 1 pkt 4 lit. b) zarządzenia nr 17 Komendanta Głównego Policji z dnia 30 kwietnia 2025 r. zmieniającego zarządzenie w sprawie Systemu Wspomagania Obsługi Policji (Dz.Urz.KGP. poz. 32). Zmiana weszła w życie 21 maja 2025 r.