Rozdział 4. Ochrona danych osobowych - Ustawa o wymianie informacji z organami ścigania państw członkowskich Unii Europejskiej, państw trzecich, agencjami Unii Europejskiej oraz organizacjami międzynarodowymi

Art. 19. Zasady wymiany danych osobowych

1.

Podmioty uprawnione, w tym upoważniony podmiot uprawniony, lub punkt kontaktowy mogą wymieniać dane osobowe z podmiotami, o których mowa w art. 1 zakres regulacji ustawy ust. 1 pkt 1, po uprzednim zweryfikowaniu ich prawidłowości, aktualności i kompletności oraz w sposób umożliwiający podmiotom, o których mowa w art. 1 zakres regulacji ustawy ust. 1 pkt 1, dokonanie oceny tych danych w tym zakresie.

1a.

Podmioty uprawnione, w tym upoważniony podmiot uprawniony, lub punkt kontaktowy zapewniają, aby kategorie danych osobowych przekazywanych w podziale na kategorie osób, których dane dotyczą, były ograniczone do kategorii wymienionych w sekcji B załącznika II do rozporządzenia (UE) 2016/794 oraz były niezbędne i proporcjonalne do wniosku.

2.

Podmiot uprawniony, w tym upoważniony podmiot uprawniony, lub punkt kontaktowy, który otrzymał dane osobowe od podmiotów, o których mowa w art. 1 zakres regulacji ustawy ust. 1 pkt 1, bez wniosku, dokonuje niezwłocznie weryfikacji tych danych w zakresie ich przydatności do realizacji celu, w którym dane zostały przekazane.

3.

Podmiot uprawniony, w tym upoważniony podmiot uprawniony, lub punkt kontaktowy, który przekazał nieprawdziwe, niekompletne, nieaktualne lub niezupełne dane osobowe albo przekazał te dane z naruszeniem przepisów ustawy, jest obowiązany, bez zbędnej zwłoki, poinformować o tym podmioty, o których mowa w art. 1 zakres regulacji ustawy ust. 1 pkt 1, oraz sprostować, uzupełnić lub uaktualnić te dane, przekazując dane właściwe, albo, w zależności od okoliczności, o których mowa w art. 21 obowiązek zachowania terminów przechowywania danych osobowych ust. 1, dane te usunąć.

Art. 20. Przechowywanie, weryfikacja i przetwarzanie uzyskanych danych osobowych

1.

Dane osobowe, uzyskane w wyniku wymiany z podmiotami, o których mowa w art. 1 zakres regulacji ustawy ust. 1 pkt 1, podmiot uprawniony przechowuje przez okres niezbędny do realizacji celu, w jakim te dane zostały pozyskane, zgodnie z terminami oraz zasadami przetwarzania danych w zbiorach danych administrowanych przez dany podmiot uprawniony.

2.

Podmioty uprawnione dokonują weryfikacji zgromadzonych danych osobowych i usuwają dane zbędne albo dokonują ich pseudonimizacji.

3.

(uchylony)

4.

(uchylony)

5.

(uchylony)

Art. 21. Obowiązek zachowania terminów przechowywania danych osobowych

1.

Jeżeli podmiot, o którym mowa w art. 1 zakres regulacji ustawy ust. 1 pkt 1, przy wymianie danych osobowych określił termin ich przechowywania, po upływie którego wymagane jest ich usunięcie lub zweryfikowanie, podmiot uprawniony, który te dane otrzymał i przechowuje, ma obowiązek zachowania takiego terminu.

2.

(uchylony)

Art. 22. Ograniczenia dotyczące przetwarzania danych osobowych

Jeżeli podmiot, o którym mowa w art. 1 zakres regulacji ustawy ust. 1 pkt 1, przy wymianie danych osobowych określił ograniczenia dotyczące przetwarzania tych danych wynikające z prawa krajowego tego państwa, podmiot uprawniony, który te dane otrzymał i przechowuje, ma obowiązek uwzględnić takie ograniczenia.

Art. 23. Dokumentowanie przekazania lub udostępnienia danych osobowych

1.

Podmioty uprawnione, które przekazały lub udostępniły dane osobowe podmiotowi, o którym mowa w art. 1 zakres regulacji ustawy ust. 1 pkt 1, albo otrzymały takie dane od tego podmiotu, odnotowują lub dokumentują fakt takiego przekazania, udostępnienia lub otrzymania w celu weryfikacji legalności przetwarzanych danych, ich integralności oraz zapewnienia ich bezpieczeństwa.

2.

Odnotowanie lub dokumentowanie, o których mowa w ust. 1, odbywa się zgodnie z przepisami dotyczącymi przetwarzania danych w zbiorach danych administrowanych przez dany podmiot uprawniony.

3.

Obowiązek niezwłocznego odnotowania lub udokumentowania faktu przekazania, udostępnienia lub otrzymania danych osobowych dotyczy również punktu kontaktowego.

Art. 23a. System zarządzania sprawami

1.

Punkt kontaktowy, przy użyciu systemu teleinformatycznego, prowadzi system zarządzania sprawami, dotyczący co najmniej:

1)

wniosków o udzielenie informacji składanych przez podmioty, o których mowa w art. 1 zakres regulacji ustawy ust. 1 pkt 1 i 2, odmowy udzielenia informacji na taki wniosek, wniosków w sprawie uzupełnienia wniosku o udzielenie informacji lub przekazania wyjaśnień w zakresie niezbędnym do rozpatrzenia wniosku;

2)

wymiany korespondencji między punktem kontaktowym a podmiotami uprawnionymi w sprawie wniosku o udzielenie informacji składanego przez podmioty, o których mowa w art. 1 zakres regulacji ustawy ust. 1 pkt 1, lub podmioty uprawnione;

3)

informacji udzielonych podmiotom, o których mowa w art. 1 zakres regulacji ustawy ust. 1 pkt 1.

2.

System zarządzania sprawami zawiera minimalne wymogi funkcjonalne, obejmujące co najmniej:

1)

datę i godzinę złożenia wniosku o udzielenie informacji;

2)

numer referencyjny wniosku o udzielenie informacji;

3)

nazwę i dane kontaktowe podmiotu, o którym mowa w art. 1 zakres regulacji ustawy ust. 1 pkt 1, składającego wniosek o udzielenie informacji;

4)

termin udzielenia odpowiedzi na wniosek o udzielenie informacji, w tym informację dotyczącą wniosków, które mają charakter pilny;

5)

oznaczenie postępowania, w związku z którym złożono wniosek o udzielenie informacji;

6)

przedmiot wniosku o udzielenie informacji;

7)

wskazanie daty oraz sposobu rozpatrzenia wniosku o udzielenie informacji;

8)

informacje dotyczące korespondencji punktu kontaktowego z podmiotami uprawnionymi, w tym datę i godzinę przekazania wniosku o udzielenie informacji oraz datę i godzinę uzyskania odpowiedzi na wniosek złożony przez podmioty, o których mowa w art. 1 zakres regulacji ustawy ust. 1 pkt 1;

9)

podstawę odmowy przekazania informacji;

10)

wskazanie daty wystąpienia o uzupełnienie wniosku o udzielenie informacji lub przekazanie wyjaśnień w zakresie niezbędnym do rozpatrzenia wniosku o udzielenie informacji;

11)

wskazanie daty i godziny wystąpienia do organu prowadzącego postępowanie karne o wyrażenie zgody na udzielenie informacji oraz daty i godziny przekazania informacji po uzyskaniu zgody;

12)

numer referencyjny prowadzonej w systemie sprawy.

3.

System zarządzania sprawami spełnia wymogi funkcjonalne pozwalające na tworzenie statystyk do celów oceny i monitorowania wymiany informacji z państwami członkowskimi Unii Europejskiej.

4.

System teleinformatyczny, przy użyciu którego punkt kontaktowy prowadzi system zarządzania sprawami, zapewnia w szczególności:

1)

zabezpieczenia techniczne i organizacyjne uniemożliwiające dostęp osobie nieuprawnionej;

2)

możliwość ustalenia osoby uzyskującej dostęp do systemu zarządzania sprawami oraz wykonanych operacji przetwarzania zgromadzonych w nim danych;

3)

interoperacyjność z kanałem komunikacji wykorzystującym aplikację sieci bezpiecznej wymiany informacji SIENA, kanałem komunikacji udostępnianym przez Międzynarodową Organizację Policji Kryminalnej – Interpol oraz przez Krajowy System Informatyczny (KSI);

4)

możliwość weryfikacji wniosków o udzielenie informacji składanych przez podmioty, o których mowa w art. 1 zakres regulacji ustawy ust. 1 pkt 1, z informacjami zgromadzonymi w systemie zarządzania sprawami;

5)

monitorowanie wymaganych terminów udzielenia informacji na wniosek podmiotu, o którym mowa w art. 1 zakres regulacji ustawy ust. 1 pkt 1, lub podmiotu uprawnionego.

5.

Punkt kontaktowy przetwarza dane osobowe zgromadzone w systemie zarządzania sprawami tak długo, jak jest to konieczne, i proporcjonalnie do realizacji zadań, o których mowa w art. 5 zadania punktu kontaktowego, a następnie nieodwracalnie usuwa te dane.

6.

Punkt kontaktowy systematycznie, nie rzadziej niż co 2 lata, weryfikuje dane zgromadzone w systemie zarządzania sprawami, usuwając dane zbędne. Pierwszą weryfikację punkt kontaktowy przeprowadza nie później niż 6 miesięcy po zakończeniu wymiany informacji.

Art. 23b. Przekazywanie Komisji Europejskiej danych dotyczących wymiany informacji

Do dnia 1 marca każdego roku Komendant Główny Policji przekazuje Komisji Europejskiej dane dotyczące wymiany informacji z państwami członkowskimi Unii Europejskiej, która miała miejsce w poprzednim roku kalendarzowym, obejmujące w szczególności liczbę:

1)

wniosków o udzielenie informacji złożonych przez punkt kontaktowy oraz upoważnione podmioty uprawnione;

2)

wniosków o udzielenie informacji otrzymanych przez punkt kontaktowy i upoważnione podmioty uprawnione oraz liczbę wniosków o udzielenie informacji, na które udzieliły one odpowiedzi, w podziale na pilne i niepilne wnioski oraz państwa członkowskie Unii Europejskiej, które otrzymały informacje;

3)

wniosków o udzielenie informacji rozpatrzonych odmownie na podstawie art. 13 przesłanki odmowy przekazania informacji przez punkt kontaktowy lub upoważniony podmiot uprawniony, w podziale na państwa członkowskie Unii Europejskiej i podstawy odmowy;

4)

przypadków, w których nastąpiło przekroczenie terminów określonych w art. 15 terminy przekazywania informacji przez punkt kontaktowy ust. 1 i 2, ponieważ konieczne było uzyskanie zgody organu prowadzącego postępowanie karne zgodnie z art. 14 wymóg uzyskania zgody organu prowadzącego postępowanie karne na przekazanie informacji ust. 1, w podziale na wnioskujące państwa członkowskie Unii Europejskiej.

Art. 24. Uchylony

Art. 25. Uchylony

Art. 25a. Rejestr realizowanych za pośrednictwem punktu kontaktowego wniosków o informacje

1.

Punkt kontaktowy prowadzi rejestr realizowanych za jego pośrednictwem wniosków o informacje:

1)

składanych w związku z wymianą informacji, o której mowa w art. 2a wymiana informacji w celu przeciwdziałania praniu pieniędzy i finansowaniu terroryzmu ust. 2,

2)

z Systemu Informacji Finansowej składanych przez Agencję Unii Europejskiej ds. Współpracy Organów Ścigania (Europol)
– zwanych dalej „wnioskami o informacje”.

2.

Rejestr, o którym mowa w ust. 1, zawiera:

1)

datę złożenia wniosku o informacje;

2)

nazwę i dane kontaktowe podmiotu składającego wniosek o informacje;

3)

imię i nazwisko osoby składającej wniosek o informacje;

4)

imię i nazwisko osoby będącej odbiorcą informacji, jeżeli punkt kontaktowy ma te dane;

5)

oznaczenie postępowania, w związku z którym złożono wniosek o informacje;

6)

przedmiot wniosku o informacje;

7)

wskazanie daty oraz sposobu rozpatrzenia wniosku o informacje.

3.

Dane zgromadzone w rejestrze, o którym mowa w ust. 1, są przechowywane przez okres 5 lat od dnia ich zarejestrowania i mogą być wykorzystane wyłącznie do celów weryfikacji zgodności przetwarzania danych osobowych z prawem.

4.

Dane zgromadzone w rejestrze, o którym mowa w ust. 1, są udostępniane do wglądu Prezesowi Urzędu Ochrony Danych Osobowych, na uzasadniony wniosek, w związku z weryfikacją zgodności przetwarzania danych osobowych z prawem.

Art. 25b. Bezpośrednia wymiana informacji miedzy wyznaczonymi właściwymi organami

W zakresie, w jakim w związku z wymianą informacji, o której mowa w art. 2a wymiana informacji w celu przeciwdziałania praniu pieniędzy i finansowaniu terroryzmu ust. 2, podmioty, o których mowa w art. 1 zakres regulacji ustawy ust. 2, dokonują bezpośredniej wymiany informacji z wyznaczonymi właściwymi organami, podmioty te prowadzą rejestry w zakresie wynikającym z art. 25a rejestr realizowanych za pośrednictwem punktu kontaktowego wniosków o informacje. Przepisy art. 25a rejestr realizowanych za pośrednictwem punktu kontaktowego wniosków o informacje ust. 2–4 stosuje się odpowiednio.

Art. 25c. Przekazywanie danych z rejestrów o złożonych wnioskach o informacje

Organy prowadzące rejestry na podstawie art. 25a rejestr realizowanych za pośrednictwem punktu kontaktowego wniosków o informacje i art. 25b bezpośrednia wymiana informacji miedzy wyznaczonymi właściwymi organami przekazują w terminie 4 miesięcy od dnia zakończenia roku kalendarzowego ministrowi właściwemu do spraw finansów publicznych dane za zakończony rok dotyczące informacji zgromadzonych w tych rejestrach, obejmujące w szczególności informacje o:

1)

liczbie złożonych wniosków o informacje wraz ze wskazaniem organu składającego;

2)

sposobie rozpatrzenia wniosku o informacje;

3)

średnim czasie rozpatrzenia wniosku o informacje;

4)

liczbie spraw dotyczących przestępstwa obejmującego co najmniej jedną z form przestępczości, o której mowa w załączniku I do rozporządzenia (UE) 2016/794, w których po przekazaniu odpowiedzi na wniosek wszczęte zostało postępowanie przygotowawcze – w zakresie, w jakim informacje te są dostępne dla organu prowadzącego rejestr;

5)

liczbie osób, wobec których sporządzono akt oskarżenia dotyczący przestępstwa obejmującego co najmniej jedną z form przestępczości, o której mowa w załączniku I do rozporządzenia (UE) 2016/794, oraz liczbie osób skazanych za takie przestępstwa – w zakresie, w jakim informacje te są dostępne dla organu prowadzącego rejestr;

6)

zasobach ludzkich lub informatycznych zaangażowanych przez organy prowadzące rejestry na podstawie art. 25a rejestr realizowanych za pośrednictwem punktu kontaktowego wniosków o informacje i art. 25b bezpośrednia wymiana informacji miedzy wyznaczonymi właściwymi organami do obsługi wniosków o informacje składanych w związku z wymianą informacji, o której mowa w art. 2a wymiana informacji w celu przeciwdziałania praniu pieniędzy i finansowaniu terroryzmu ust. 2.

Art. 26. Odesłanie do przepisów ustawy o ochronie danych osobowych przetwarzanych w związku z zapobieganiem i zwalczaniem przestępczości

W sprawach nieuregulowanych w niniejszej ustawie stosuje się przepisy ustawy z dnia 14 grudnia 2018 r. o ochronie danych osobowych przetwarzanych w związku z zapobieganiem i zwalczaniem przestępczości (Dz. U. z 2019 r. poz. 125 oraz z 2022 r. poz. 1700).

Dz.U.2023.0.783 t.j. - Ustawa z 16 września 2011 r. o wymianie informacji z organami ścigania państw członkowskich Unii Europejskiej, państw trzecich, agencjami Unii Europejskiej oraz organizacjami międzynarodowymi