Biuletyn Informacji Publicznej RPO

• Wyłączenie pięciu służb specjalnych z ustawy wprowadzającej unijną dyrektywę policyjną z 2016 r. może być sprzeczne nie tylko z samą dyrektywą, ale i z Konstytucją RP
• Rzecznik Praw Obywatelskich w dużej części krytycznie ocenia rządowy projekt ustawy, który ma wprowadzać do polskiego prawa dyrektywę Parlamentu Europejskiego i Rady UE 2016/680, dotyczącą przetwarzania danych osobowych przez organy ścigania
• RPO krytykuje także złożenie projektu w ostatnim możliwym terminie, skoro na jego przygotowanie MSWiA miało prawie dwa lata. Na zgłaszanie uwag resort przeznaczył tylko 10 dni

Od 2017 r. Adam Bodnar występował do kilku resortów, wskazując że dyrektywa jest bardzo ważna z punktu widzenia obywatela. Ułatwia ona wymianę danych między państwami członkowskimi, a zarazem wzmacnia prawa osób, których te dane dotyczą. Przyznaje jednostce prawo uzyskania informacji od służb, czy jej dane są zbierane i przetwarzane oraz prawo do skargi na te działania do niezależnego organu nadzorczego. 

28 marca 2018 r. Rzecznik po raz kolejny wyraził zaniepokojenie brakiem prac nad wprowadzeniem dyrektywy do polskiego prawa. W piśmie do szefa MSWiA wskazał, że przepisy niezbędne do jej wykonania mają być stosowane przez państwa członkowskie od 6 maja - Polska może nie dotrzymać tego terminu. Wystąpił wtedy do ministra Joachima Brudzińskiego o pilną informację na temat stanu prac nad projektem odpowiedniej ustawy.

Projekt na ostatnią chwilę

20 kwietnia 2018 r. MSWiA poinformowało o umieszczeniu dzień wcześniej na stronach Rządowego Centrum Legislacji projektu ustawy o ochronie danych osobowych przetwarzanych w związku z zapobieganiem i zwalczaniem przestępczości.  

W odpowiedzi zastępca RPO Stanisław Trociuk napisał, że wyznaczenie 10-dniowego terminu na przedstawienie uwag do projektu nie tylko nie pozwala na ich pełne opracowanie, ale jest też sprzeczne z Regulaminem pracy Rady Ministrów.  Przypomniał, że dyrektywa została przyjęta 27 kwietnia 2016 r. i weszła w życie 5 maja 2016 r., a zatem projektodawca miał prawie dwa lata na przygotowanie projektu. Przedstawienie go w ostatnim możliwym terminie RPO ocenił krytycznie.

Ustawa nie obejmie pięciu tajnych służb

Rzecznik negatywnie ocenia propozycję wyłączenia spod ustawy danych osobowych przetwarzanych w ramach realizacji zadań Agencji Bezpieczeństwa Wewnętrznego, Agencji Wywiadu, Służby Kontrwywiadu Wojskowego, Służby Wywiadu Wojskowego i Centralnego Biura Antykorupcyjnego.

Zdaniem RPO nie wszystkie bowiem zadania tych służb mieszczą się w zakresie pojęcia „bezpieczeństwo narodowe” - co uzasadniałoby wyłączenie dopuszczalne przez dyrektywę. Z punktu widzenia prawa UE  pojęcie „bezpieczeństwo narodowe” nie może być jednak utożsamiane z pojęciem „bezpieczeństwa wewnętrznego”. Działalność CBA nie ma np. bezpośredniego związku z „bezpieczeństwem narodowym”.

Dlatego nie można się zgodzić się z pozostawieniem poza obowiązkiem stosowania przepisów o ochronie danych osobowych co najmniej pięciu służb specjalnych.  Może to oznaczać - przynajmniej w części - nie tylko sprzeczność z postanowieniami dyrektywy, ale przede wszystkim z art. 51 Konstytucji RP (mowa w nim m.in., że władze nie mogą gromadzić innych informacji o obywatelach niż niezbędne w demokratycznym państwie prawnym).

Z zadowoleniem RPO przyjął zaś, że w skierowanym już do Sejmu projekcie nowej ustawy o ochronie danych osobowych uwzględniono jego uwagi w sprawie Prezesa Urzędu Ochrony Danych Osobowych. Będzie to nowy, niezależny organ nadzorczy właściwy zarówno i do unijnego rozporządzenia RODO, i tej dyrektywy.

RPO jest z kolei zaniepokojony informacjami o problemach budżetu PUODO i  nieprzygotowaniem stosowania nowych przepisów od maja (RODO ma być stosowane od 25 maja - tego samego dnia przestanie obowiązywać ustawa o ochronie danych z 1997 r.). Należy to rozstrzygnąć jak najszybciej, by możliwe było sprawne wykonywanie nowych obowiązków od początku obowiązywania przepisów ustawy o ochronie danych osobowych oraz ustawy o ochronie danych osobowych w związku z zapobieganiem i zwalczaniem przestępczości - wskazuje Stanisław Trociuk.

Szczegółowe uwagi RPO

Według Rzecznika obok przepisów, które zasadniczo oddają treść postanowień dyrektywy, projekt zawiera również rozwiązania mogące wypaczyć ich sens i istotę:

• nie przewiduje realizacji dyrektywy, gdyż nie gwarantuje istoty prawa dostępu - czyli informacji o tym, jakie dane osobowe są przetwarzanie i wszelkich dostępnych informacji o ich pochodzeniu;
• wprowadza możliwość żądania usunięcia danych osobowych z jawnych ich zbiorów. Tymczasem dyrektywa nie przewiduje takiego ograniczenia tylko do zbiorów jawnych;
• zapis projektu, że decyzje PUODO nie mogą nakazywać usunięcia danych osobowych zebranych w toku czynności operacyjno-rozpoznawczych, wykracza poza zakres dyrektywy. Dany podmiot ma być wprawdzie zobowiązany do przywrócenia zgodnego z prawem sposobu przetwarzania danych, jednak mogą one już być zebrane wcześniej wbrew przepisom prawa;
• szczególnie niezgodny z dyrektywą jest zapis, który uzależnia przekazanie informacji osobie, której dane dotyczą, od niezbędności do ochrony jej żywotnych interesów lub innej osoby. Takiego wymogu dyrektywa nie przewiduje;
• Rzecznik ma wątpliwości, czy projekt realizuje zapisane w dyrektywie prawo  jednostki do wniesienia skargi do organu nadzorczego, gdy uznaje ona, iż przetwarzanie jej danych narusza przepisy. Żaden zapis projektu nie wskazuje bowiem wprost na możliwość wniesienia skargi. Mowa jest w nim, że PUODO działa z urzędu lub na wniosek osoby zainteresowanej;
• projekt wymienia tylko zażalenie, które nie prowadzi do wszczęcia postępowania, a zwłaszcza nie kończy się decyzją PUODO i ewentualną skargą na nią do sądu administracyjnego (co przewiduje projekt). Można argumentować, że prawo do skargi wynika z zasad Kodeksu postępowania administracyjnego, jednak dla pewności prawnej zapis o przysługującej skardze powinien znaleźć się w ustawie - podkreśla RPO; 
• zabrakło też możliwości wniesienia sprawy do sądu, niezależnie od postępowania  administracyjnego i sądowoadministracyjnego - co dyrektywa gwarantuje; 
• weryfikacji zebranych danych osobowych służby mają  dokonywać nie rzadziej niż co 10 lat (dziś jest to 5 lat). W projekcie brak wyjaśnienia, dlaczego 10 lat ma być okresem właściwym.

Konkluzje RPO

Z punktu widzenia ochrony praw jednostki przedstawiony projekt nie może zostać oceniony całkowicie pozytywnie - podsumowuje Stanisław Trociuk. Przyznał, że sama dyrektywa nie jest doskonała, ale Trybunał Sprawiedliwości UE w przyszłości będzie miał okazję do wypowiedzi na jej temat.   

Dyrektywa jest aktem ogólnym, pozostawiającym wiele miejsca na uznanie krajowego ustawodawcy. Jego decyzje muszą jednak uwzględniać standardy Karty Praw Podstawowych UE oraz zapewniać spójność systemu tworzonego w ramach całej UE.

Szczególnej rozwagi wymagają uwagi RPO do projektu ustawy dotyczące systemu środków ochrony prawnej, czy też praw osoby, której dane dotyczą - napisał Trociuk. „Wprowadzanie ograniczeń albo blankietowych wyłączeń od reguł ogólnych, wyłączanie określonych służb z reżimu przepisów o ochronie danych osobowych, czy też rozszerzanie uprawnień innych służb stoi w sprzeczności z podstawowym celem dyrektywy, jakim jest ochrona praw podstawowych i wolności osób fizycznych” - brzmi konkluzja pisma.

Uwagi RPO do projektu Trociuk poddał ministrowi Brudzińskiemu pod rozwagę, prosząc o poinformowanie o sposobie ich wykorzystania w pracach legislacyjnych.

VII.501.315.2014