Dzienniki Urzędowe - rok 2025 poz. 26

Na podstawie art. 7 ust. 1 pkt 2 oraz art. 20e ust. 1 ustawy z dnia 6 kwietnia 1990 r. o Policji (Dz. U. z 2024 r. poz. 145, z późn. zm.¹⁾) zarządza się, co następuje:

1) w § 4 po ust. 3 dodaje się ust. 4-10 w brzmieniu:

„4. Dyrektorzy, o których mowa w ust. 1 pkt 1-4, zarządzają informacjami, w tym danymi osobowymi, przetwarzanymi w administrowanym przez nich SWD Policji i w tym zakresie:

1) realizują odpowiednio zadania określone w przepisach art. 13-21, art. 31 ust. 1-3 i 7, art. 32, art. 39-42 i art. 44 i 45 ustawy ODO przetwarzanych w związku z zapobieganiem i zwalczaniem przestępczości oraz w przepisach art. 5, art. 19, art. 24, art. 32-34 rozporządzenia PE i Rady (UE) 2016/679, w tym poprzez zapewnienie stosowania niniejszego zarządzenia;

2) podejmują stosowne działania zapewniające by ich przetwarzanie było zgodne z przepisami prawa, w tym w szczególności z ustawą o Policji oraz przepisami określonymi w pkt 1, a także podejmują działania zapewniające legalność, adekwatność, prawidłowość, aktualność, integralność i poufność przetwarzania tych informacji, w tym danych osobowych;

3) prowadzą wykaz kategorii czynności przetwarzania w rozumieniu art. 35 ustawy ODO przetwarzanych w związku z zapobieganiem i zwalczaniem przestępczości oraz rejestr czynności przetwarzania w rozumieniu art. 30 rozporządzenia PE i Rady (UE) 2016/679;

4) we współpracy z dyrektorem biura KGP właściwego w sprawach łączności i informatyki oraz inspektorem ochrony danych w KGP uczestniczą w opracowaniu i wdrożeniu dokumentacji, o której mowa w art. 31 ust. 4 ustawy ODO przetwarzanych w związku z zapobieganiem i zwalczaniem przestępczości oraz art. 24 ust. 2 rozporządzenia PE i Rady (UE) 2016/679, dotyczącej przetwarzania informacji w SWD Policji dla całości informacji, w tym danych osobowych, przetwarzanych i dostępnych do opracowywanej i wdrażanej przez dyrektora biura KGP właściwego w sprawach łączności i informatyki;

5) dokonują oceny ryzyka naruszenia praw lub wolności osób fizycznych w przypadku stwierdzenia wystąpienia naruszenia ochrony danych osobowych w SWD Policji lub uzyskania informacji o takim naruszeniu, w odniesieniu do danych osobowych przetwarzanych w administrowanym przez nich SWD Policji, a także na podstawie dokonanej oceny, w zależności od jej wyników, podejmują stosowne działania zgodnie z art. 44 i 45 ustawy ODO przetwarzanych w związku z zapobieganiem i zwalczaniem przestępczości, art. 33 i 34 rozporządzenia PE i Rady (UE) 2016/679 oraz pkt 6 i 7;

6) w przypadku naruszenia ochrony danych osobowych w SWD Policji, którego skutkiem jest prawdopodobieństwo wystąpienia ryzyka naruszenia praw lub wolności osób fizycznych, bez zbędnej zwłoki, nie później jednak niż w ciągu 72 godzin po stwierdzeniu tego naruszenia, zgłaszają je Prezesowi Urzędu Ochrony Danych Osobowych oraz przekazują jeden egzemplarz zgłoszenia naruszenia ochrony danych osobowych w SWD Policji inspektorowi ochrony danych w KGP, wraz z dokumentacją dotyczącą naruszenia, którego dotyczy zgłoszenie;

7) w przypadku stwierdzenia naruszenia ochrony danych osobowych w SWD Policji powodującego wysokie ryzyko naruszenia praw lub wolności osób fizycznych w administrowanym przez nich SWD Policji, zawiadamiają osobę, której dane dotyczą o naruszeniu ochrony danych osobowych w SWD Policji, zgodnie z art. 45 ustawy ODO przetwarzanych w związku z zapobieganiem i zwalczaniem przestępczości oraz art. 34 rozporządzenia PE i Rady (UE) 2016/679;

8) mogą dokonywać zgłoszenia naruszenia ochrony danych osobowych w SWD Policji Prezesowi Urzędu Ochrony Danych Osobowych oraz zawiadomienia, o którym mowa w pkt 7, za pośrednictwem inspektora ochrony danych w KGP oraz występować do tego inspektora o dokonanie takiego zgłoszenia oraz zawiadomienia pod warunkiem przekazania temu inspektorowi zgłoszenia oraz zawiadomienia wraz z niezbędną dokumentacją dotyczącą naruszenia, którego dotyczy zgłoszenie oraz zawiadomienie nie później niż w terminie 48 godzin od stwierdzenia wystąpienia naruszenia, a jeżeli termin 72 godzin, o którym mowa w art. 44 ust. 1 ustawy ODO przetwarzanych w związku z zapobieganiem i zwalczaniem przestępczości oraz w art. 33 ust. 1 rozporządzenia PE i Rady (UE) 2016/679 na zgłoszenie naruszenia ochrony danych osobowych w SWD Policji już upłynął, również wraz z dokumentacją dotyczącą wyjaśnienia przyczyn opóźnienia dokonania zgłoszenia i zawiadomienia.

5. Dyrektorzy biur KGP niewymienieni w ust. 1 pkt 1-4, Dyrektor CLKP, Komendant CBŚP, Komendant BSWP, Komendant CBZC, Dowódca BOA, komendanci wojewódzcy Policji (Komendant Stołeczny Policji), komendanci powiatowi (miejscy, rejonowi) Policji, komendanci komisariatów Policji, Komendant-Rektor Akademii Policji w Szczytnie oraz komendanci szkół policyjnych zgodnie z ich właściwością terytorialną i rzeczową, określoną w szczególności w art. 5a-5e, art. 6, 6f i 6g ustawy o Policji, w odniesieniu do przetwarzania informacji, w tym danych osobowych, o których mowa w § 1 ust. 3 i § 12, w podległych im jednostkach i komórkach organizacyjnych Policji:

1) realizują odpowiednio zadania określone w przepisach art. 13-21, art. 31 ust. 1-3 i 7, art. 32, art. 39-42 i art. 44 i 45 ustawy ODO przetwarzanych w związku z zapobieganiem i zwalczaniem przestępczości oraz w przepisach art. 5, art. 19, art. 24, art. 32-34 rozporządzenia PE i Rady (UE) 2016/679, w tym poprzez zapewnienie stosowania niniejszego zarządzenia;

2) podejmują stosowne działania zapewniające, by przetwarzanie informacji, w tym danych osobowych, w SWD Policji, było zgodne z przepisami prawa, w szczególności z ustawą o Policji oraz przepisami określonymi w pkt 1, a także podejmują działania zapewniające legalność, adekwatność, prawidłowość, aktualność, integralność i poufność przetwarzania tych informacji, w tym danych osobowych;

3) we współpracy z dyrektorem biura KGP właściwego w sprawach informatyki uczestniczą w opracowaniu dokumentacji, o której mowa w ust. 4 pkt 3, oraz we współpracy z kierownikami komórek organizacyjnych właściwych w sprawach informatyki wdrażają tę dokumentację w podległych im jednostkach i komórkach organizacyjnych Policji;

4) dokonują oceny ryzyka naruszenia praw lub wolności osób fizycznych w przypadku stwierdzenia wystąpienia naruszenia ochrony danych osobowych w SWD Policji lub uzyskania informacji o takim naruszeniu, a także na podstawie dokonanej oceny, w zależności od jej wyników, podejmują stosowne działania zgodnie z art. 44 i 45 ustawy ODO przetwarzanych w związku z zapobieganiem i zwalczaniem przestępczości, art. 33 i 34 rozporządzenia PE i Rady (UE) 2016/679 oraz pkt 5 i 6;

5) w przypadku naruszenia ochrony danych osobowych w SWD Policji, którego skutkiem jest prawdopodobieństwo wystąpienia naruszenia praw lub wolności osób fizycznych, bez zbędnej zwłoki, nie później jednak niż w ciągu 72 godzin po stwierdzeniu tego naruszenia, zgłaszają je Prezesowi Urzędu Ochrony Danych Osobowych, oraz przekazują jeden egzemplarz zgłoszenia naruszenia ochrony danych osobowych w SWD Policji:

a) dyrektorzy biur niewymienieni w ust. 1 pkt 1-4 i Dowódca BOA – inspektorowi ochrony danych w KGP oraz dyrektorom, o których mowa w ust. 1 pkt 1-4, zgodnie z właściwością określoną w tym przepisie w zakresie administrowania informacjami, w tym danymi osobowymi, przetwarzanymi w SWD Policji, wraz z dokumentacją dotyczącą naruszenia, którego dotyczy zgłoszenie,

b) Dyrektor CLKP, Komendant CBŚP, Komendant BSWP, Komendant CBZC, komendanci wojewódzcy Policji (Komendant Stołeczny Policji), komendanci powiatowi (miejscy, rejonowi) Policji, Komendant-Rektor Akademii Policji w Szczytnie oraz komendanci szkół policyjnych – inspektorom ochrony danych wyznaczonym we właściwej KWP, KSP, CLKP, CBŚP, BSWP, CBZC, Akademii Policji w Szczytnie, szkole policyjnej oraz dyrektorom, o których mowa w ust. 1 pkt 1-4, zgodnie z właściwością określoną w tym przepisie w zakresie administrowania informacjami, w tym danymi osobowymi, przetwarzanymi w SWD Policji, wraz z dokumentacją dotyczącą naruszenia, którego dotyczy zgłoszenie;

6) w przypadku stwierdzenia naruszenia ochrony danych osobowych w SWD Policji powodującego wysokie ryzyko naruszenia praw lub wolności osób fizycznych zawiadamiają osobę, której dane dotyczą, o naruszeniu ochrony danych osobowych w SWD Policji, zgodnie z art. 45 ustawy ODO przetwarzanych w związku z zapobieganiem i zwalczaniem przestępczości oraz art. 34 rozporządzenia PE i Rady (UE) 2016/679;

7) mogą dokonywać zgłoszenia naruszenia ochrony danych osobowych w SWD Policji Prezesowi Urzędu Ochrony Danych Osobowych oraz zawiadomienia, o którym mowa w ust. 5 pkt 6, za pośrednictwem inspektora ochrony danych, według następującej właściwości:

a) dyrektorzy biur niewymienieni w ust. 1 pkt 1-4 i Dowódca BOA - za pośrednictwem inspektora ochrony danych w KGP,

b) Dyrektor CLKP, Komendant CBŚP, Komendant BSWP, Komendant CBZC, komendanci wojewódzcy Policji (Komendant Stołeczny Policji), komendanci powiatowi (miejscy, rejonowi) Policji, komendanci komisariatów Policji, Komendant-Rektor Akademii Policji w Szczytnie oraz komendanci szkół policyjnych - za pośrednictwem inspektora ochrony danych wyznaczonego we właściwej KWP, KSP, CLKP, CBŚP, BSWP, CBZC, Akademii Policji w Szczytnie, szkole policyjnej

- oraz występować do tego inspektora o dokonanie takiego zgłoszenia oraz zawiadomienia na warunkach określonych w ust. 4 pkt 8.

6. Dyrektor biura KGP właściwego w sprawach informatyki:

1) realizuje odpowiednio zadania określone w przepisach prawa, w szczególności w art. 31 ust. 1 pkt 1 i 5, art. 32, art. 39 i art. 40 ustawy ODO przetwarzanych w związku z zapobieganiem i zwalczaniem przestępczości oraz art. 5 ust. 1 lit. f, art. 24 i art. 32 rozporządzenia PE i Rady (UE) 2016/679, w tym poprzez zapewnienie stosowania niniejszego zarządzenia;

2) podejmuje stosowne działania zapewniające by przetwarzanie informacji, w tym danych osobowych, w SWD Policji w zakresie stosowanych środków technicznych i organizacyjnych było zgodne z przepisami, o których mowa w pkt 1;

3) opracowuje i wdraża dokumentację, o której mowa w art. 31 ust. 4 ustawy ODO przetwarzanych w związku z zapobieganiem i zwalczaniem przestępczości oraz w art. 24 ust. 2 rozporządzenia PE i Rady (UE) 2016/679, dotyczącą przetwarzania informacji, w tym danych osobowych, w tym w SWD Policji, dla całości informacji, w tym danych osobowych, przetwarzanych w SWD Policji i dostępnych poprzez te systemy, we współpracy z dyrektorami, o których mowa w ust. 1 pkt 1-4, kierownikami, o których mowa w ust. 5 oraz inspektorem ochrony danych w KGP, zgodnie z przepisami ust. 4 pkt 4, ust. 5 pkt 3 oraz ust. 6 pkt 3;

4) dokonuje oceny ryzyka naruszenia praw lub wolności osób fizycznych w przypadku stwierdzenia wystąpienia naruszenia ochrony danych osobowych w SWD Policji lub uzyskania informacji o takim naruszeniu, a także na podstawie dokonanej oceny, w zależności od jej wyników, podejmuje stosowne działania zgodnie z pkt 5 i 6;

5) w przypadku naruszenia ochrony danych osobowych w SWD Policji, którego skutkiem jest prawdopodobieństwo wystąpienia naruszenia praw lub wolności osób fizycznych, bez zbędnej zwłoki, nie później jednak niż w ciągu 72 godzin po stwierdzeniu tego naruszenia, zgłasza je Prezesowi Urzędu Ochrony Danych Osobowych, oraz przekazuje jeden egzemplarz zgłoszenia naruszenia ochrony danych osobowych w SWD Policji inspektorowi ochrony danych w KGP oraz dyrektorom, o których mowa w ust. 1 pkt 1-4, zgodnie z właściwością określoną w tym przepisie w zakresie administrowania informacjami, w tym danymi osobowymi, przetwarzanymi w SWD Policji, wraz z dokumentacją dotyczącą naruszenia, którego dotyczy zgłoszenie;

6) w przypadku wystąpienia naruszenia ochrony danych osobowych w SWD Policji powodującego wysokie ryzyko naruszenia praw lub wolności osób fizycznych, zawiadamia osobę, której dane dotyczą o naruszeniu ochrony danych osobowych w SWD Policji, zgodnie z art. 45 ustawy ODO przetwarzanych w związku z zapobieganiem i zwalczaniem przestępczości oraz w art. 34 rozporządzenia PE i Rady (UE) 2016/679;

7) może dokonywać zgłoszenia naruszenia ochrony danych osobowych w SWD Policji Prezesowi Urzędu Ochrony Danych Osobowych, za pośrednictwem inspektora ochrony danych w KGP, oraz występować do tego inspektora o dokonanie takiego zgłoszenia na warunkach określonych w ust. 4 pkt 8.

7. Kierownicy komórek organizacyjnych właściwych w sprawach łączności i informatyki w jednostkach organizacyjnych Policji, zgodnie z właściwością terytorialną i rzeczową kierowników jednostek organizacyjnych Policji, którym podlegają:

1) realizują odpowiednio zadania określone w przepisach prawa, w szczególności w art. 31 ust. 1 pkt 1 i 5 oraz ust. 4, art. 32, art. 39 i art. 40 ustawy ODO przetwarzanych w związku z zapobieganiem i zwalczaniem przestępczości oraz w art. 5 ust. 1 lit. f, art. 24 i art. 32 rozporządzenia PE i Rady (UE) 2016/679, w tym poprzez zapewnienie stosowania niniejszego zarządzenia;

2) podejmują stosowne działania zapewniające by przetwarzanie informacji, w tym danych osobowych, w SWD Policji w zakresie stosowanych w SWD Policji środków technicznych i organizacyjnych było zgodne z przepisami, o których mowa w pkt 1;

3) we współpracy z dyrektorem biura KGP właściwego w sprawach łączności i informatyki uczestniczą w opracowaniu dokumentacji, o której mowa w ust. 4 pkt 3, oraz wdrażają ją w jednostkach organizacyjnych Policji, zgodnie z właściwością terytorialną i rzeczową tych jednostek w zakresie realizowanych zadań Policji;

4) dokonują oceny ryzyka naruszenia praw lub wolności osób fizycznych w przypadku stwierdzenia wystąpienia naruszenia ochrony danych osobowych w SWD Policji lub uzyskania informacji o takim naruszeniu, a także na podstawie dokonanej oceny, w zależności od jej wyników, podejmują stosowne działania zgodnie z pkt 5 i 6;

5) w przypadku wystąpienia naruszenia ochrony danych osobowych w SWD Policji przekazują wypełnione zgłoszenie naruszenia ochrony danych osobowych w zakresie informacji, o których mowa w art. 44 ust. 4 ustawy ODO przetwarzanych w związku z zapobieganiem i zwalczaniem przestępczości oraz w art. 33 ust. 3 rozporządzenia PE i Rady (UE) 2016/679, kierownikom jednostek organizacyjnych Policji, o których mowa w ust. 5, zgodnie z zasadami podległości służbowej, celem dokonania przez nich zgłoszenia naruszenia w sposób określony w przepisach ust. 5;

6) w przypadku wystąpienia naruszenia ochrony danych osobowych w SWD Policji powodującego wysokie ryzyko naruszenia praw lub wolności osób fizycznych, w rozumieniu art. 45 ustawy ODO przetwarzanych w związku z zapobieganiem i zwalczaniem przestępczości oraz art. 34 rozporządzenia PE i Rady (UE) 2016/679, informacje o wystąpieniu takiego naruszenia wraz z dokumentacją dotyczącą naruszenia przekazują kierownikom jednostek organizacyjnych Policji, o których mowa w ust. 5, zgodnie z zasadami podległości służbowej, celem zawiadomienia przez nich osób, w sposób określony w przepisach ust. 5.

8. Inspektor ochrony danych w KGP oraz osoba zastępująca inspektora w zakresie przetwarzania informacji, w tym danych osobowych, w SWD Policji z uwzględnieniem kompetencji dyrektorów, o których mowa w ust. 1 pkt 1-5, określonych w niniejszym zarządzeniu w zakresie administrowania informacjami, w tym danymi osobowymi w SWD Policji:

1) realizuje zadania określone w art. 47 ustawy ODO przetwarzanych w związku z zapobieganiem i zwalczaniem przestępczości oraz art. 39 rozporządzenia PE i Rady (UE) 2016/679;

2) dokonuje zgłoszenia naruszenia ochrony danych osobowych w SWD Policji oraz zawiadomienia, o którym mowa w ust. 4 pkt 7, w przypadkach określonych w ust. 4 pkt 8, ust. 5 pkt 7 i ust. 6 pkt 7;

3) we współpracy z dyrektorem biura KGP właściwego w sprawach łączności i informatyki uczestniczy w opracowaniu i wdrożeniu dokumentacji, o której mowa w ust. 4 pkt 4 i ust. 6 pkt 3;

4) realizuje inne zadania powierzone przez administratora zgodnie z art. 47 ust. 3 ustawy ODO przetwarzanych w związku z zapobieganiem i zwalczaniem przestępczości oraz art. 38 ust. 6 rozporządzenia PE i Rady (UE) 2016/679.

9. Kierownicy jednostek organizacyjnych Policji, o których mowa w § 4 ust. 1 pkt 6, w zakresie przetwarzania informacji, w tym danych osobowych, w SWD Policji, o których mowa w § 1 ust. 3 i § 12, w podległych im jednostkach organizacyjnych Policji mogą powierzyć wyznaczonym przez nich w tych jednostkach inspektorom ochrony danych oraz osobom ich zastępującym wykonywanie zadań, o których mowa w art. 47 ust. 3 ustawy ODO przetwarzanych w związku z zapobieganiem i zwalczaniem przestępczości oraz art. 38 ust. 6 rozporządzenia PE i Rady (UE) 2016/679. Powierzenie to nie może dotyczyć określonych w niniejszym zarządzeniu zadań, kompetencji, upoważnień i uprawnień kierowników jednostek i komórek organizacyjnych Policji, a także zadań inspektora ochrony danych w KGP określonych w ust. 8 pkt 2 i 3.

10. Kierownicy jednostek i komórek organizacyjnych Policji są obowiązani do współpracy i udzielania wzajemnej niezbędnej pomocy w realizacji zadań i obowiązków, o których mowa w ust. 1-9, w szczególności, gdy te zadania lub obowiązki dotyczą właściwości różnych jednostek lub komórek organizacyjnych Policji.”;

2) po rozdziale 2 dodaje się rozdział 2a w brzmieniu:

„Rozdział 2a

Obowiązki związane z wystąpieniem naruszenia ochrony danych osobowych w SWD Policji

§ 6a. 1. Użytkownik SWD Policji obowiązany jest niezwłocznie powiadomić na piśmie drogą służbową bezpośredniego przełożonego o wystąpieniu naruszenia ochrony danych osobowych w SWD Policji, zabezpieczyć dane osobowe przed zagrożeniem ich bezpieczeństwa lub dalszym naruszeniem ich ochrony oraz zabezpieczyć dowody tego zagrożenia lub naruszenia, w przypadku gdy:

1) spowodował, współuczestniczył w spowodowaniu lub był świadkiem spowodowania zagrożenia bezpieczeństwa danych osobowych lub naruszenia ochrony danych osobowych w SWD Policji;

2) ujawnił lub uzyskał informacje, dokumenty lub inne materiały wskazujące na zagrożenie bezpieczeństwa danych osobowych lub wystąpienie naruszenia, o którym mowa w pkt 1.

2. Bezpośredni przełożony, który został powiadomiony zgodnie z ust. 1 o wystąpieniu naruszenia ochrony danych osobowych w SWD Policji niezwłocznie, jednak nie później niż w ciągu 48 godzin od powiadomienia:

1) informuje pisemnie właściwego ze względu na jego miejsce pełnienia służby lub wykonywania pracy inspektora ochrony danych wykonującego zadania w danej jednostce organizacyjnej Policji, o wystąpieniu naruszenia oraz przekazuje wszelkie niezbędne informacje związane z tym naruszeniem;

2) informuje pisemnie dyrektorów, o których mowa w § 4 ust. 1 pkt 1-4, zgodnie z właściwością określoną w tym przepisie w zakresie administrowania informacjami, w tym danymi osobowymi, przetwarzanymi w SWD Policji, o wystąpieniu naruszenia oraz przekazuje wszelkie niezbędne informacje związane z tym naruszeniem;

3) podejmuje osobiście lub poleca podległym policjantom lub pracownikom Policji:

a) ustalenie okoliczności i przyczyn wystąpienia naruszenia ochrony danych osobowych w SWD Policji,

b) ustalenie czy (istnieje prawdopodobieństwo by) wystąpiło ryzyko naruszenia praw lub wolności osób fizycznych, a w przypadku gdy ustalono wystąpienie takiego ryzyka, również ustalenie, czy wystąpiło wysokie ryzyko naruszenia praw lub wolności osób fizycznych,

c) ustalenie okoliczności i informacji określonych w art. 44 ust. 4 ustawy ODO przetwarzanych w związku z zapobieganiem i zwalczaniem przestępczości oraz art. 33 ust. 3 rozporządzenia PE i Rady (UE) 2016/679,

d) zabezpieczenie informacji oraz danych osobowych przed ich dalszym naruszeniem, w szczególności zniszczeniem,

e) zebranie oraz zabezpieczenie dokumentów, danych, informatycznych nośników danych lub innych materiałów dotyczących naruszenia ochrony danych osobowych w SWD Policji lub mogących stanowić dowód wystąpienia tego naruszenia;

4) przekazuje, zgodnie z zasadami podległości służbowej, właściwemu przełożonemu, dyrektorowi biura lub kierownikowi jednostki organizacyjnej Policji określonemu w § 4 ust. 4 i 5, informacje, o których mowa w pkt 2, wraz z zebranymi i zabezpieczonymi dokumentami oraz materiałami, a także wraz z wypełnionym formularzem zgłoszenia naruszenia ochrony danych osobowych, celem dokonania zgłoszenia przez tych dyrektorów lub kierowników, zgodnie z właściwością określoną w § 4 ust. 4 i 5, Prezesowi Urzędu Ochrony Danych Osobowych oraz celem zawiadomienia osób, których dane dotyczą, o wystąpieniu naruszenia ochrony danych osobowych w SWD Policji, jeżeli zachodzą przesłanki do takiego zgłoszenia oraz zawiadomienia.

3. W przypadku gdy przełożonym, o którym mowa w ust. 2, jest dyrektor biura KGP lub kierownik jednostki organizacyjnej Policji, o których mowa w § 4 ust. 1 pkt 1-6, ten dyrektor lub kierownik wykonuje czynności, o których mowa w ust. 2 pkt 1-3 oraz odpowiednio czynności, o których mowa w § 4.

4. O czynach, o których mowa w ust. 1 pkt 1, dotyczących bezpośrednio Komendanta BSWP, Komendanta CBŚP, Komendanta CBZC, Dowódcy BOA, Dyrektora CLKP, komendantów wojewódzkich Policji (Komendanta Stołecznego Policji), Komendanta-Rektora Akademii Policji w Szczytnie, komendantów szkół policyjnych, dyrektorów biur KGP oraz inspektora ochrony danych w Komendzie Głównej Policji, kierownicy tych jednostek lub biur oraz wymieniony inspektor są obowiązani niezwłocznie pisemnie powiadomić Komendanta Głównego Policji za pośrednictwem dyrektora biura KGP właściwego w sprawach sztabowych, załączając do tej informacji dokumenty, potwierdzające fakt zagrożenia bezpieczeństwa danych osobowych lub naruszenia ochrony danych osobowych w SWD Policji, a także zabezpieczyć dane osobowe przed zagrożeniem ich bezpieczeństwa lub dalszym naruszeniem ich ochrony oraz zabezpieczyć dowody tego zagrożenia lub naruszenia.

5. W przypadku określonym w ust. 4 Komendant Główny Policji, w uzgodnieniu z dyrektorem biura KGP właściwego w sprawach sztabowych, wyznacza kierownika jednostki lub komórki organizacyjnej Policji do przeprowadzenia czynności, o których mowa w ust. 2 oraz § 4, jednakże z czynności tych wyłącza się tego kierownika, którego dotyczą czyny, o których mowa w ust. 1 pkt 1, a także inspektora ochrony danych w Komendzie Głównej Policji, jeżeli czyny te dotyczą tego inspektora.

6. Jeżeli czyny, o których mowa w ust. 1 pkt 1, dotyczą bezpośrednio dyrektora biura KGP właściwego w sprawach sztabowych, dyrektor ten jest obowiązany niezwłocznie pisemnie powiadomić o nich Komendanta Głównego Policji, załączając do tej informacji dokumenty, potwierdzające fakt zagrożenia bezpieczeństwa danych osobowych lub naruszenia ochrony danych osobowych w SWD Policji, a także zabezpieczyć dane osobowe przed zagrożeniem ich bezpieczeństwa lub dalszym naruszeniem ich ochrony oraz zabezpieczyć dowody tego zagrożenia lub naruszenia. W takim przypadku Komendant Główny Policji wyznacza kierownika jednostki lub komórki organizacyjnej Policji do przeprowadzenia czynności, o których mowa w ust. 2 oraz § 4, wyłączając z tych czynności dyrektora biura KGP właściwego w sprawach sztabowych.

§ 6b. 1. Przetwarzanie informacji, w tym danych osobowych, w SWD Policji niezgodnie z przepisami zarządzenia stanowi naruszenie dyscypliny służbowej w przypadku policjantów, podstawę do pociągnięcia do odpowiedzialności dyscyplinarnej za naruszenie obowiązków członka korpusu służby cywilnej w przypadku pracowników Policji będących członkami korpusu służby cywilnej, a także podstawę do pociągnięcia do odpowiedzialności porządkowej w przypadku pozostałych pracowników Policji.

2. W przypadku ujawnienia czynu, o którym mowa w ust. 1, właściwy przełożony dyscyplinarny lub pracodawca obowiązany jest niezwłocznie podjąć czynności:

1) na podstawie przepisów rozdziału 10 ustawy o Policji - w przypadku policjantów;

2) związane z pociągnięciem do odpowiedzialności dyscyplinarnej za naruszenie obowiązków członka korpusu służby cywilnej lub mające na celu rozwiązanie stosunku pracy - w przypadku pracownika Policji będącego członkiem korpusu służby cywilnej;

3) związane z pociągnięciem do odpowiedzialności porządkowej lub mające na celu rozwiązanie stosunku pracy - w przypadku pracownika Policji niebędącego członkiem korpusu służby cywilnej.”;

3) w § 8:

a) po ust. 1 dodaje się ust. 1a w brzmieniu:

„1a. Warunkiem udzielenia uprawnienia, o którym mowa w ust. 1, jest odbycie szkolenia z zakresu ochrony danych osobowych przetwarzanych przez Policję, z uwzględnieniem zasad przetwarzania, bezpieczeństwa i ochrony danych osobowych przetwarzanych w SWD Policji.”,

b) ust. 5 otrzymuje brzmienie:

„5. Użytkownik SWD Policji przed dopuszczeniem do przetwarzania informacji, w tym danych osobowych, w SWD Policji:

1) odbywa szkolenie, o którym mowa w ust. 1a;

2) zapoznaje się z przepisami dotyczącymi przetwarzania informacji, w tym danych osobowych w SWD Policji, a także z przepisami dotyczącymi ochrony tych informacji, w tym danych osobowych oraz potwierdza fakt zapoznania się z tymi przepisami własnoręcznym podpisem.”,

c) po ust. 5 dodaje się ust. 5a-5d w brzmieniu:

„5a. Odstąpienie od odbycia szkolenia, o którym mowa w ust. 5 pkt 1, stanowi podstawę do odmowy wydania uprawnienia, o którym mowa w ust. 1.

5b. Zatwierdzony wniosek o nadanie uprawnień, o którym mowa w ust. 1, uznaje się, w rozumieniu art. 41 ust. 1 zdanie drugie ustawy ODO w związku z zapobieganiem i zwalczaniem przestępczości, za nadanie upoważnienia do przetwarzania danych osobowych w tożsamym zakresie, bez konieczności nadawania odrębnych upoważnień do przetwarzania danych osobowych w SWD Policji oraz niezależnie od tego czy dane osobowe, których dotyczy uprawnienie, są przetwarzane w SWD Policji czy poza nim.

5c. Uprawnienia, o których mowa w ust. 1, stanowią jednocześnie upoważnienie do przetwarzania danych osobowych w rozumieniu art. 41 ust. 1 zdanie pierwsze ustawy ODO w związku z zapobieganiem i zwalczaniem przestępczości, w tożsamym zakresie jak uprawnienia określone w ust. 1 bez konieczności nadawania odrębnych upoważnień do przetwarzania danych osobowych w SWD Policji oraz niezależnie od tego czy dane osobowe, których dotyczy uprawnienie, są przetwarzane w SWD Policji czy poza nim.

5d. Uprawnienie, o którym mowa w ust. 1 pkt 3, nie uprawnia do bezpośredniego dostępu do danych osobowych przetwarzanych w SWD Policji oraz do przetwarzania tych danych bezpośrednio w tym systemie bez posiadania ważnego uprawnienia do przetwarzania informacji, w tym danych osobowych, gromadzonych w SWD Policji, nadanego oraz obowiązującego zgodnie z przepisami ust. 1 pkt 1 i 2, ust. 6-24 oraz § 9.”,

d) w ust. 10 pkt 6 otrzymuje brzmienie:

„6) Oświadczenie użytkownika SWD Policji, którego dotyczy wniosek, o:

a) odbyciu szkolenia, o którym mowa w ust. 1a,

b) zapoznaniu się z przepisami dotyczącymi przetwarzania informacji, w tym danych osobowych w SWD Policji, a także z przepisami dotyczącymi ochrony tych informacji, w tym danych osobowych,

c) zobowiązaniu się do zachowania w poufności informacji, w tym danych osobowych, przetwarzanych w SWD Policji,

d) zobowiązaniu się do zapewnienia bezpieczeństwa informacji, w tym danych osobowych, przetwarzanych w SWD Policji, jak również ich ochrony przed niedozwolonym lub niezgodnym z prawem przetwarzaniem oraz ich przypadkową utratą, zniszczeniem lub uszkodzeniem

- opatrzone własnoręcznym, czytelnym podpisem użytkownika SWD Policji.”,

e) ust. 16 otrzymuje brzmienie:

„16. Zatwierdzony wniosek podlega niezwłocznej realizacji. Brak podpisu osoby, której dotyczy wniosek, stanowi przeszkodę formalną w jego zatwierdzeniu i realizacji. Wnioski niezatwierdzone z powodu braków formalnych lub ocenione jako nieuzasadnione zwraca się wnioskodawcy.”,

f) uchyla się ust. 21;

4) § 10 ust. 1-4 otrzymują brzmienie:

„1. Kierownicy jednostek organizacyjnych Policji, o których mowa w § 9 ust. 8 pkt 4-11, prowadzą ewidencję osób uprawnionych, w rozumieniu art. 42 ustawy ODO przetwarzanych w związku z zapobieganiem i zwalczaniem przestępczości, do przetwarzania informacji, w tym danych osobowych, gromadzonych w SWD Policji, zgodnie z zakresem określonym w § 8 ust. 1 pkt 1 i 3, zwaną dalej „ewidencją uprawnień”, w odniesieniu do ich zastępców oraz policjantów i pracowników Policji pełniących służbę lub zatrudnionych w podległych im jednostkach i komórkach organizacyjnych Policji oraz osób niebędących policjantem lub pracownikiem Policji, które mają czasowo wykonywać w tej jednostce zadania w zakresie przyjmowania i wprowadzania zgłoszeń SWD Policji lub zgłoszeń alarmowych oraz w zakresie zatwierdzonych w stosunku do tych osób wniosków o nadanie, modyfikację i cofnięcie uprawnień do przetwarzania informacji w SWD Policji.

2. Dyrektor biura KGP właściwego w sprawach sztabowych prowadzi ewidencję uprawnień w odniesieniu do osób, o których mowa w § 8 ust. 12, którym nadano uprawnienia zgodnie z zakresem określonym w § 8 ust. 1.

3. Dyrektor biura KGP właściwego w sprawach sztabowych prowadzi odrębną ewidencję uprawnień dla całego kraju w odniesieniu do osób, którym nadano uprawnienia zgodnie z zakresem określonym w § 8 ust. 1 pkt 2.

4. W Komendzie Głównej Policji ewidencję uprawnień, o których mowa w § 8 ust. 1 pkt 1 i 3, prowadzą dyrektorzy biur KGP w odniesieniu do kierowników tych komórek organizacyjnej KGP oraz policjantów i pracowników Policji pełniących służbę lub zatrudnionych w podległych im komórkach organizacyjnych KGP.”;

5) załącznik nr 1 otrzymuje brzmienie określone w załączniku nr 1 do zarządzenia;

6) załącznik nr 2 otrzymuje brzmienie określone w załączniku nr 2 do zarządzenia;

7) załącznik nr 3 otrzymuje brzmienie określone w załączniku nr 3 do zarządzenia.

Komendant Główny Policji
z up. I Zastępca Komendanta Głównego Policji
nadinsp. Roman KUSTER

¹⁾ Zmiany tekstu jednolitego wymienionej ustawy zostały ogłoszone w Dz. U. z 2024 r. poz. 1006, 1089, 1222, 1248, 1473, 1562, 1688, 1717 i 1871 oraz z 2025 r. poz. 179.

Załączniki do zarządzenia nr 13
Komendanta Głównego Policji
z dnia 18 marca 2025 r.

Załącznik nr 1

WZÓR - WNIOSEK O NADANIE, MODYFIKACJĘ LUB COFNIĘCIE UPRAWNIENIA DO DOSTĘPU DO SWD POLICJI ORAZ PRZETWARZANIA INFORMACJI WRAZ Z DANYMI OSOBOWYMI W SWD POLICJI

Załącznik nr 2

WZÓR -  WNIOSEK O NADANIE, MODYFIKACJĘ LUB COFNIĘCIE UPRAWNIENIA DO DOSTĘPU DO SA SWD POLICJI ORAZ PRZETWARZANIA INFORMACJI WRAZ Z DANYMI OSOBOWYMI W SWD POLICJI

Załącznik nr 3

WZÓR - WNIOSEK O NADANIE LUB COFNIĘCIE UPRAWNIENIA DO PRZETWARZANIA INFORMACJI WRAZ Z DANYMI OSOBOWYMI BEZ DOSTĘPU DO SWD POLICJI