Biuletyn Informacji Publicznej RPO

• Dziennikarze skarżą się na odmowy organów władzy publicznej co do ich wstępu na organizowane wydarzenia wobec negatywnej weryfikacji bezpieczeństwa przez Służbę Ochrony Państwa
• Rzecznik Praw Obywatelskich występuje w tej sprawie do Prezesa Urzędu Ochrony Danych Osobowych
• AKTUALIZACJA 25.08.2025: Kwestia m.in. przeszkód w wykonywaniu praw osoby, której dane dotyczą, jest przedmiotem pogłębionej analizy zarówno Prezesa UODO, jak i na forum europejskich organów ochrony danych i instytucji UE

Do Biura RPO wpływają liczne wnioski dziennikarzy. Nie są oni informowani o przyczynach negatywnej decyzji i braku możliwości wniesienia odwołania. Gdy udział w wydarzeniu jest konieczny z uwagi na obowiązki zawodowe danej osoby, konsekwencje takiej decyzji są tym bardziej doniosłe. 

Problem był przedmiotem wystąpień RPO do Komendanta SOP i MSWiA, jak również Prezesa Urzędu Ochrony Danych Osobowych minionej kadencji. RPO wskazywał, że może to negatywnie wpływać na wolność słowa i wolność wykonywania zawodu. Podkreślał znaczenie przepisów dotyczących prywatności i ochrony danych osobowych, które mają zapobiegać negatywnym konsekwencjom dla jednostek, wynikającym z gromadzenia danych bez możliwości otrzymania o tym informacji, kontroli przetwarzania i korzystania ze środków ochrony.

W odpowiedzi MSWiA wskazano m.in., że zgodnie z Konstytucją RP prawo do informacji jest gwarantowane, ale może być ograniczone ustawowo. Ograniczenia te wynikają z ustawy o SOP, ustawy o ochronie danych osobowych oraz dyrektyw UE, które pozwalają na opóźnianie lub ograniczanie dostępu do danych w celu zapobiegania przestępczości, ochrony bezpieczeństwa publicznego i narodowego oraz praw i wolności innych osób.

W ocenie RPO kształtująca się praktyka działania organów może się dokonywać z uszczerbkiem dla standardów ochrony praw podstawowych. Zgodnie z orzecznictwem Europejskiego Trybunału Praw Człowieka wszelkiego rodzaju przypadki odmowy wpuszczania dziennikarzy na wydarzenia istotne publicznie „powinny podlegać ścisłej kontroli”, jako możliwe naruszenie art. 10 EKPC, Jak podkreśla ETPC, takie naruszenia swobody działalności dziennikarzy muszą być podejmowane z powołaniem „odpowiednich i wystarczających powodów”, które podlegają następczej, pełnej kontroli sądu, w ramach której dana osoba ma stosowną możliwość podważenia podstaw faktycznych podjętej wobec niego decyzji.

Podobnie Trybunał Sprawiedliwości UE w orzeczeniu z  16 listopada 2023 r. w sprawie C-817/19, Ligue des droits humains wskazał, że art. 17 ust. 3 dyrektywy 2016/680 zezwala na ograniczenie w niektórych przypadkach uzasadnienia decyzji podjętej wobec danej osoby do minimalnych elementów określonych w tym przepisie. Nie oznacza to jednak, że w każdym przypadku możliwe jest zawężenie zakresu informowania osoby, której dane dotyczą, jedynie do tych elementów. Przepis ten należy bowiem interpretować w świetle art. 52 ust. 1 Karty Praw Podstawowych w taki sposób, aby spełnione były pozostałe kryteria obszernie wymienione w tym przepisie. 

Przede wszystkim oznacza to uznanie, że przepis wymaga od państw członkowskich aby odnośne przepisy prawa krajowego spełniały dwa wymogi: szanowały istotę prawa do skutecznej ochrony sądowej i  opierały się na wyważeniu celów interesu publicznego uzasadniających ograniczenie tej informacji oraz praw podstawowych i uzasadnionych interesów danej osoby, z poszanowaniem zasad konieczności i proporcjonalności. Przestrzeganie tych standardów może być zagwarantowane jedynie, gdy taka ocena jest dokonywana każdorazowo w okolicznościach danej osoby.

Prawodawca unijny dostrzegł konieczność wprowadzenia mechanizmu umożliwiającego dostęp do informacji na temat przetwarzania danych osobowych, obejmującego m.in. treść danych, ich źródła oraz podstawę prawną przetwarzania. W tym zakresie odnośne rozwiązania wprowadzono w dyrektywie Parlamentu Europejskiego i Rady nr 2016/680. Została ona implementowana do polskiego porządku prawnego ustawą o ochronie danych osobowych przetwarzanych w związku z zapobieganiem i zwalczaniem przestępczości. Powierzyła realizację zadań właściwego organu nadzorczego Prezesowi UODO.

Art. 7 ust. 1-3 dyrektywy 2016/680 przewiduje mechanizm, w którym w przypadku ograniczenia prawa jednostki dostępu do dotyczących jej danych, osoba ta może wykonywać swoje uprawnienia za pośrednictwem „właściwego organu nadzorczego”. W takim wypadku organ – po weryfikacji – powinien poinformować osobę, której dane dotyczą przynajmniej o fakcie przeprowadzenia wszelkich niezbędnych weryfikacji. Dyrektywa ta nie ma jednak zastosowania do przetwarzania danych osobowych w ramach działalności nieobjętej zakresem prawa Unii, w tym do przetwarzania danych w celu zapewnienia bezpieczeństwa narodowego.

Główny problem, który dostrzega RPO, wyłaniający się w toku analiz spraw wpływających do BRPO, dotyczy rzeczywistej możliwości wykonywania praw jednostki za pośrednictwem krajowego organu nadzorczego (PUODO) w przypadku, kiedy organ taki jak SOP odmawia dostępu do danych lub informacji o ich przetwarzaniu.

Skarga, o której mowa w art. 50 ustawy o ochronie danych osobowych przetwarzanych w związku z zapobieganiem i zwalczaniem przestępczości, ma inny charakter niż uprawnienie wynikające z art. 17 dyrektywy 2016/680. Zgodnie z art. 50 ust. 1 powołanej ustawy uprawnienie do złożenia skargi przysługuje, gdy dane osobowe podmiotu są przetwarzane niezgodnie z prawem. Tymczasem art. 17 dyrektywy 2016/680 dotyczy szerszego spektrum uprawnień dotyczących dostępu do informacji, ich weryfikacji oraz kontroli prawidłowości przetwarzania. 

Na tym tle RPO powziął wątpliwość co do tego, w jaki sposób i w jakim zakresie standard ochrony z dyrektywy 2016/680 znalazł odzwierciedlenie w krajowym porządku prawnym, a zwłaszcza w praktyce organów.

Marcin Wiącek pyta prezesa UODO Mirosława Wróblewskiego, czy wpływają do niego skargi w tej sprawie, a jeśli tak, to jaki jest zakres kontroli. Prosi też o stanowisko, czy postępowaniach dostrzeżono ograniczenia natury prawnej bądź faktycznej, mogące stanowić przeszkodę dla wykonywania praw osoby, której dane dotyczą, w drodze mechanizmu zaprojektowanego co do celu w art. 17 ust. 1-3 dyrektywy 2016/680 za pośrednictwem Urzędu.

Odpowiedź dr hab. Agnieszki Grzelak, zastępczyni Prezesa UODO

W pierwszej kolejności uprzejmie informuję, iż 17 lipca br. do Urzędu Ochrony Danych Osobowych wpłynęła skarga dziennikarki, której przedmiotem jest nieudzielenie Skarżącej przez Komendanta Służby Ochrony Państwa (dalej z powołaniem skrótu: SOP), w odpowiedzi na jej wniosek, informacji dotyczącej przetwarzania jej danych osobowych. Aktualnie ww. sprawa jest badana (sygnatura DS.523.667.2025), a o wynikach postępowania administracyjnego zostanie Pan Rzecznik poinformowany odrębnym pismem.

Jednocześnie pragnę wskazać, iż Prezes UODO prowadził trzy postępowania administracyjne w sprawie nieprawidłowości w procesie przetwarzania danych osobowych Skarżących dotyczące prawa dostępu do danych oraz odmowy udzielenia informacji o przetwarzaniu danych osobowych przez Komendanta Głównego Policji. Postępowania te były prowadzone w oparciu o przepisy ustawy z dnia 14 grudnia 2018 r. o ochronie danych osobowych przetwarzanych w związku z zapobieganiem i zwalczaniem przestępczości , a sprawy były związane z ograniczeniem wolności w wykonywaniu zawodu przez podmioty danych wobec negatywnej oceny bezpieczeństwa. Postępowania te zostały zarejestrowane pod sygnaturami: DS.523.1120.2023, DS.523.5672.2023 oraz DS.523.8031.2021 i zakończone zostały wydaniem decyzji administracyjnych. 

Postępowania, o których mowa wyżej, zostały wszczęte na podstawie złożonej skargi przez podmioty danych (art. 50 ustawy z dnia 14 grudnia 2018 r. o ochronie danych osobowych przetwarzanych w związku z zapobieganiem i zwalczaniem przestępczości), nie zaś w trybie pośredniego dostępu zgodnie z art. 17 dyrektywy (UE) 2016/680. 

Oceniając całość zgromadzonego w tych sprawach materiału Prezes UODO nie doszukał się nieprawidłowości w procesie przetwarzania danych osobowych Skarżących przez Komendanta Głównego Policji.

Odnosząc się do wspomnianego przez Pana Rzecznika zagadnienia dotyczącego praw podmiotu danych wykonywanych za pośrednictwem organu nadzorczego [art. 17 dyrektywy (UE) 2016/680] i ewentualnych ograniczeń natury prawnej lub faktycznej stanowiących przeszkodę w wykonywaniu praw osoby, której dane dotyczą, należy dodać, iż kwestia ta jest przedmiotem pogłębionej analizy zarówno Prezesa UODO, jak i na forum europejskich organów ochrony danych i instytucji UE. 

W ocenie Prezesa UODO, kwestia implementowania w prawie polskim (w ustawie z dnia 14 grudnia 2018 r. o ochronie danych osobowych przetwarzanych w związku z zapobieganiem i zwalczaniem przestępczości) tego przepisu prawa unijnego budzi zasadnicze wątpliwości. Prezes UODO na bieżąco monitoruje postępy tych prac. Na 82 posiedzeniu plenarnym Europejskiej Rady Ochrony Danych Osobowych (18 lipca 2023 r.) przyjęto wniosek o mandat dotyczący wytycznych w sprawie praw osób, których dane dotyczą, w kontekście wspomnianego art. 17 dyrektywy 2016/680.

Prezes UODO zgłaszał swoje uwagi, w których akcentował, iż prawo podmiotu danych do wykonywania swoich praw za pośrednictwem organu nadzorczego wynikające z art. 17 dyrektywy (UE) 2016/680 i prawo do wniesienia skargi do organu nadzorczego na podstawie art. 52 tej dyrektywy (art. 50 ustawy z dnia 14 grudnia 2018 r. o ochronie danych osobowych przetwarzanych w związku z zapobieganiem i zwalczaniem przestępczości) są odrębnymi prawami i nie należy ich utożsamiać. Brak jest jednak praktyki polskiego organu nadzorczego w tym zakresie.

W ocenie Prezesa UODO, art. 17 ust. 1–3 dyrektywy 2016/680 odwołują się wprost do sprawdzenia (weryfikacji) przez organ nadzorczy zgodności z prawem procesu przetwarzania, a nie tylko do sprawdzenia zasadności ograniczenia praw osoby, której dane dotyczą. Stanowisko Prezesa UODO jest zgodne z prezentowanym przez Trybunał Sprawiedliwości Unii Europejskiej, który w wyroku z dnia 16 listopada 2023 r. w sprawie C-333/22 Ligue des droits humains ASBL i BA vs Organe de contrôle de l’information policière (ECLI:EU:C:2023:807) stwierdził, że: „Przepisy te [art. 46 ust. 1 lit. g) i art. 47 ust. 1 i 2 dyrektywy 2016/680 – przyp. autora] należy interpretować w świetle wyrażonego w art. 8 ust. 3 karty [Karty praw podstawowych Unii Europejskiej  – przyp. autora] wymogu, zgodnie z którym przestrzeganie określonych w ust. 1 i 2 tego artykułu zasad dotyczących prawa każdej osoby do ochrony danych osobowych powinno »podlega[ć] kontroli niezależnego organu«, a w szczególności wyrażonego w art. 8 ust. 2 zdanie drugie karty wymogu, zgodnie z którym »[k]ażdy ma prawo dostępu do zebranych danych, które go dotyczą, i prawo do dokonania ich sprostowania«. Jak bowiem potwierdza to orzecznictwo, ustanowienie niezależnego organu nadzorczego ma na celu zapewnienie skuteczności i wiarygodności kontroli przestrzegania przepisów w zakresie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i powinno być interpretowane w świetle tego celu […]” (teza 47 wyroku). „W związku z tym, gdy taki organ nadzorczy działa w celu zapewnienia wykonywania praw osoby, której dane dotyczą, na podstawie art. 17 dyrektywy 2016/680, jego zadanie wpisuje się w pełni w dokonane w prawie pierwotnym Unii określenie jego roli, ponieważ określenie to pociąga za sobą w szczególności kontrolę przestrzegania prawa dostępu przysługującego osobie, której dane dotyczą, oraz jej prawa do sprostowania. 

Wynika z tego, że przy wykonywaniu tego szczególnego zadania, podobnie jak w ramach wszelkich innych zadań, organ nadzorczy powinien być w stanie wykonywać uprawnienia powierzone mu na mocy art. 47 tej dyrektywy, działając w pełni niezależnie – zgodnie z kartą i jak to stanowi motyw 75 wspomnianej dyrektywy” (teza 48 wyroku). Jak można zatem zauważyć, opierając się na dyspozycji art. 46 ust. 1 lit. g) w zw. z art. 17 dyrektywy 2016/680 Trybunał Sprawiedliwości Unii Europejskiej rozumie uprawnienia organu nadzorczego szeroko, jako obejmujące kontrolę przestrzegania przepisów o ochronie danych osobowych, nie zaś jedynie kontrolę prawa dostępu do zebranych danych i prawa do dokonania ich sprostowania.

Analiza art. 17 dyrektywy (UE) 2016/680 w kontekście przywołanego wyżej wyroku TSUE C-333/22 prowadzi do wniosku, że wskazany przepis dyrektywy 2016/680 zobowiązuje organ nadzorczy do tego, by poinformował osobę, której dane dotyczą, po pierwsze: o fakcie przeprowadzenia wszelkich niezbędnych weryfikacji lub przeglądów oraz, po drugie: o przysługującym tej osobie prawie do wniesienia środka prawnego do sądu, w sytuacji gdy taka informacja nie pozwala na kontrolę sądową działania organu nadzorczego i dokonanych przez niego ocen, przy uwzględnieniu przetwarzanych danych i obowiązków administratora.

Wobec istniejących istotnych rozbieżności w interpretacji art. 17 dyrektywy (UE) 2016/680 między poszczególnymi państwami członkowskimi UE prace nad wytycznymi w tym zakresie nie zostały zakończone, a ewentualne dalsze działania podejmowane w tej kwestii przez organ właściwy w sprawie ochrony danych osobowych staną się przedmiotem odrębnej informacji skierowanej do Rzecznika Praw Obywatelskich.

Problem nieprawidłowego wdrożenia dyrektywy (UE) 2016/680 leży również w obszarze zainteresowania Komisji Europejskiej, która skierowała w ostatnim czasie do organy ochrony danych zapytania, dotyczące m.in. tej kwestii. W chwili obecnej trwają prace nad przygotowaniem odpowiedzi na kwestionariusz Komisji.

Na koniec warto dodać, że analogiczny problem pośredniego dostępu organu nadzorczego pojawił się również w kontekście oceny dokonanej wiosną 2024 r. przez ekspertów Komisji Europejskiej w zakresie stosowania przez Polskę dorobku Schengen. Komisja Europejska wraz z ekspertami państw członkowskich stwierdziła, że Polska zasadniczo spełnia wymogi w zakresie ochrony danych, jednak wskazała na pewne niedociągnięcia, w tym dotyczące braku pośredniego dostępu do danych w SIS za pośrednictwem Urzędu Ochrony Danych Osobowych, w przypadku gdy odmówiono dostępu do danych osobowych, ich sprostowania lub usunięcia oraz braku sądowego środka ochrony prawnej w odniesieniu do odpowiedzi administratora na wnioski osób, których dane dotyczą, w kontekście SIS i VIS.

Problem nieprawidłowej implementacji przepisów dyrektywy (UE) 2016/680 jest przedmiotem szczególnego zainteresowania Prezesa Urzędu Ochrony Danych Osobowych. Jeżeli zatem Pan Rzecznik będzie podejmował działania w tym zakresie, będziemy wdzięczni za wszelkie informacje, które mogą służyć przyczynieniu się do poprawy poziomu ochrony danych osobowych w kontekście działania organów właściwych do zwalczania i zapobiegania przestępczości. Jednocześnie Prezes Urzędu Ochrony Danych Osobowych zapewnia o gotowości do dalszej współpracy dotyczącej m.in. tej kwestii.

VII.715.65.2024