O ochronie danych osobowych najczęściej mówi się dziś w kontekście RODO, zgód marketingowych, polityk prywatności czy obowiązków przedsiębiorców. To jednak tylko fragment całego systemu. Szczególnie wrażliwy obszar przetwarzania danych znajduje się tam, gdzie państwo korzysta z informacji o obywatelach w związku z zapobieganiem i zwalczaniem przestępczości. Chodzi przede wszystkim o działalność policji, prokuratury, sądów oraz innych organów właściwych w sprawach karnych. W tym właśnie obszarze standard ochrony danych powinien być wyjątkowo wysoki, ponieważ ingerencja w prywatność jednostki jest tu najdalej idąca.
Tymczasem Prezes Urzędu Ochrony Danych Osobowych wskazał, że obowiązujące w Polsce przepisy wdrażające tzw. dyrektywę policyjną nadal nie zapewniają pełnych gwarancji ochrony praw osób, których dane są przetwarzane. Problem nie dotyczy drobnych nieścisłości legislacyjnych, lecz podstawowych mechanizmów ochrony praw jednostki, modelu nadzoru oraz zgodności polskich rozwiązań z prawem Unii Europejskiej.
Spis treści
O jakiej dyrektywie mowa
Punktem wyjścia jest dyrektywa Parlamentu Europejskiego i Rady (UE) 2016/680, nazywana potocznie dyrektywą policyjną. Reguluje ona zasady ochrony osób fizycznych w związku z przetwarzaniem danych osobowych przez właściwe organy do celów rozpoznawania, zapobiegania, wykrywania i zwalczania czynów zabronionych, a także wykonywania kar. Jej celem jest z jednej strony umożliwienie sprawnego działania organów państwa, a z drugiej zagwarantowanie, że nawet w tej szczególnej sferze obywatel nie zostanie pozbawiony podstawowych praw związanych z ochroną danych osobowych.
Dyrektywy tej nie należy utożsamiać z RODO. Nie jest to „RODO dla służb” w uproszczonym znaczeniu. Jest to odrębny reżim prawny, który został stworzony właśnie dlatego, że działalność organów ścigania i wymiaru sprawiedliwości wymaga osobnych reguł. Nie oznacza to jednak, że w tym obszarze ochrona danych może być słabsza albo iluzoryczna. Przeciwnie, właśnie tu mechanizmy ochronne powinny być szczególnie starannie skonstruowane.
Co zarzuca polskim przepisom Prezes UODO
Prezes UODO wystąpił do Ministra Spraw Wewnętrznych i Administracji oraz do Ministra Sprawiedliwości z wnioskiem o podjęcie prac legislacyjnych w celu zapewnienia prawidłowej implementacji dyrektywy 2016/680 do polskiego porządku prawnego. W swoim stanowisku wskazał, że obecna ustawa o ochronie danych osobowych przetwarzanych w związku z zapobieganiem i zwalczaniem przestępczości nie obejmuje wszystkich obszarów przetwarzania danych, które powinny być objęte ochroną na gruncie dyrektywy.
Problem polega więc nie tylko na tym, jak ustawa brzmi, lecz przede wszystkim na tym, jaki wywołuje skutek. Zdaniem Prezesa UODO przyjęte w ustawie krajowej wyłączenia doprowadziły do tego, że część przetwarzania danych osobowych w sprawach karnych i pokrewnych została wyłączona spod pełnych gwarancji ochronnych. W praktyce oznacza to, że dane znajdujące się w aktach sprawy albo przetwarzane w toku określonych czynności nie są na poziomie krajowym objęte takim standardem ochrony, jaki powinien wynikać z prawa unijnego.
Gdzie pojawia się największy problem
Najpoważniejszy zarzut dotyczy tego, że obecne przepisy tworzą luki ochronne właśnie tam, gdzie przetwarzane są dane szczególnie wrażliwe z punktu widzenia praw jednostki. Chodzi o informacje zawarte w aktach postępowań, w dokumentacji czynności procesowych i w innych zbiorach tworzonych na potrzeby rozpoznawania i ścigania czynów zabronionych. To nie są dane o charakterze technicznym czy marginalnym. Bardzo często obejmują one informacje o sytuacji rodzinnej, stanie zdrowia, kontaktach, zachowaniach, podejrzeniach, zarzutach, wyrokach, a także innych okolicznościach ściśle związanych z życiem prywatnym danej osoby.
Jeżeli właśnie ten obszar pozostaje poza pełnym systemem gwarancji ochrony danych, problem nabiera charakteru ustrojowego. Oznacza to bowiem, że państwo może dysponować bardzo szerokim zakresem informacji o obywatelu, podczas gdy obywatel nie ma zapewnionych wszystkich instrumentów kontroli przewidzianych przez prawo Unii Europejskiej.
Jakich praw może brakować osobie, której dane dotyczą
Prezes UODO wskazał, że w obowiązującym modelu brakuje wystarczających gwarancji podstawowych praw osób, których dane dotyczą. Chodzi w szczególności o prawo do informacji, prawo dostępu do danych, prawo do ich sprostowania, usunięcia albo ograniczenia przetwarzania, a także prawo do wniesienia skargi do niezależnego organu nadzorczego i prawo do skutecznego środka prawnego przed sądem od decyzji tego organu.
To właśnie ten element najlepiej pokazuje skalę problemu. Ochrona danych osobowych nie polega wyłącznie na tym, że organ publiczny powinien działać starannie. Ochrona musi dawać jednostce realne prawa. Osoba, której dane są przetwarzane, powinna co do zasady wiedzieć, że doszło do przetwarzania, mieć możliwość sprawdzenia zakresu tych danych, żądać ich korekty, a w określonych przypadkach również zakwestionować legalność działań organu. Oczywiście w sprawach dotyczących ścigania przestępczości część tych uprawnień może podlegać ograniczeniom. Dyrektywa sama to przewiduje. Ograniczenia te nie mogą jednak prowadzić do całkowitego wyłączenia podstawowych gwarancji ochronnych.
Innymi słowy, prawo może przewidywać wyjątki uzasadnione dobrem postępowania czy bezpieczeństwem publicznym, ale nie może tworzyć sytuacji, w której jednostka zostaje praktycznie pozbawiona instrumentów ochrony swoich danych.
Nadzór nad sądami i prokuraturą budzi poważne wątpliwości
Szczególnie istotna część zastrzeżeń dotyczy nadzoru nad przetwarzaniem danych osobowych przez sądy oraz prokuraturę. W odniesieniu do sądów problem jest delikatny, ponieważ trzeba pogodzić dwa dobra: skuteczną ochronę danych osobowych oraz niezawisłość wymiaru sprawiedliwości. Prezes UODO zwrócił uwagę, że nadzór w tym obszarze powinien zostać powierzony specjalnym organom działającym w systemie wymiaru sprawiedliwości danego państwa członkowskiego. Chodzi więc nie o brak nadzoru, lecz o taki jego model, który będzie zgodny z pozycją ustrojową sądów i jednocześnie zapewni rzeczywistą kontrolę nad zgodnością przetwarzania danych z prawem.
Jeszcze poważniejsze wątpliwości dotyczą prokuratury. Obecnie nadzór nad przetwarzaniem danych osobowych przez prokuraturę jest sprawowany wyłącznie przez jej własne jednostki organizacyjne. Taki model opiera się na zależności hierarchicznej i właśnie dlatego, zdaniem Prezesa UODO, nie spełnia wymogu niezależności przewidzianego w dyrektywie. Trudno mówić o w pełni niezależnym nadzorze tam, gdzie kontrola pozostaje wewnątrz tej samej struktury organizacyjnej. Z perspektywy praw jednostki jest to jedna z najistotniejszych słabości całego systemu.
Dlaczego niezależny organ nadzorczy ma tak duże znaczenie
W systemie ochrony danych osobowych niezależność organu nadzorczego jest jednym z fundamentów całego modelu ochrony. Jeżeli obywatel ma skarżyć sposób przetwarzania swoich danych, musi mieć pewność, że jego sprawę oceni organ rzeczywiście niezależny od podmiotu, którego działanie jest kwestionowane. Tylko wtedy skarga ma realny sens.
Jeżeli natomiast nadzór jest wykonywany przez podmiot zależny organizacyjnie, służbowo albo funkcjonalnie od organu przetwarzającego dane, ochrona praw jednostki staje się słabsza nie tylko w praktyce, ale już na poziomie konstrukcji prawnej. Właśnie z tego powodu Prezes UODO zwraca uwagę, że brak regulacji ustanawiających niezależne organy wyposażone w kompetencje kontrolne prowadzi w konsekwencji do osłabienia prawa do prywatności osób, których dane dotyczą.
Problem nie dotyczy wyłącznie Polski
Zastrzeżenia Prezesa UODO wykraczają poza porządek krajowy. Wskazał on również na problemy związane z dostępem do danych w wielkoskalowych systemach informacyjnych Unii Europejskiej. Jeżeli krajowe podmioty i organy przetwarzają dane osobowe w ramach takich systemów bez odpowiedniego, niezależnego nadzoru krajowego, konsekwencje nie ograniczają się do jednego państwa członkowskiego. Osłabieniu ulega bowiem spójność unijnego systemu ochrony danych jako całości.
To bardzo ważny aspekt. Dyrektywa policyjna nie została przyjęta wyłącznie po to, aby każde państwo uporządkowało własne przepisy. Jej zadaniem było również zapewnienie, że wymiana danych między organami różnych państw członkowskich będzie odbywała się przy zachowaniu porównywalnego poziomu ochrony praw jednostki. Jeżeli w jednym państwie pojawiają się istotne luki w nadzorze lub w gwarancjach prawnych, problem może oddziaływać na cały unijny system współpracy.
Brak skutecznych sankcji to kolejna słabość ustawy
Prezes UODO zwrócił również uwagę na art. 57 dyrektywy policyjnej, zgodnie z którym państwa członkowskie mają obowiązek ustanowienia sankcji za naruszenie przepisów wdrażających dyrektywę. Sankcje te powinny być skuteczne, proporcjonalne i odstraszające. Tymczasem obowiązująca ustawa nie wyposaża Prezesa UODO w instrumenty sankcyjne o takim charakterze.
Ten problem ma znaczenie nie tylko symboliczne. Bez realnych środków oddziaływania nadzór może sprowadzać się do formułowania uwag lub zaleceń, które nie zawsze będą wystarczające do zapewnienia zgodności z prawem. Ochrona danych osobowych, zwłaszcza w tak wrażliwym obszarze jak ściganie przestępczości, wymaga nie tylko określenia zasad, lecz także stworzenia mechanizmów, które pozwolą je skutecznie egzekwować.
Rola inspektora ochrony danych również wymaga doprecyzowania
W stanowisku Prezesa UODO pojawił się także problem dotyczący inspektora ochrony danych. Zwrócono uwagę, że przepisy krajowe w sposób nie do końca zgodny z dyrektywą określają zadania IOD, a ponadto nieprecyzyjnie regulują obowiązek przesyłania zawiadomień dotyczących inspektora. W praktyce prowadzi to do trudności interpretacyjnych po stronie podmiotów zobowiązanych do stosowania ustawy.
Nie jest to kwestia poboczna. Inspektor ochrony danych pełni w systemie ochrony danych funkcję porządkującą i gwarancyjną. Jeżeli jego zadania są określone niejasno albo niespójnie z dyrektywą, podmioty stosujące ustawę mogą mieć trudności z prawidłowym wykonywaniem obowiązków, a osoby, których dane dotyczą, tracą dodatkowy element ochrony.
Brakuje także regulacji dotyczących dostępu pośredniego
Prezes UODO zwrócił uwagę również na brak implementacji dyrektywy policyjnej w zakresie dostępu pośredniego. To rozwiązanie ma istotne znaczenie tam, gdzie bezpośredni dostęp osoby do informacji o przetwarzaniu jej danych może być ograniczony ze względu na charakter prowadzonych czynności. W takim modelu ochrona praw jednostki nie znika, lecz jest realizowana za pośrednictwem właściwego organu nadzorczego albo innego przewidzianego prawem mechanizmu kontrolnego.
Brak odpowiednich regulacji w tym zakresie oznacza kolejne osłabienie systemu gwarancji. W obszarach, w których obywatel z przyczyn obiektywnych nie może uzyskać pełnej informacji bezpośrednio, państwo powinno zapewnić mu przynajmniej skuteczny mechanizm pośredniej kontroli legalności przetwarzania danych. Tego właśnie, według Prezesa UODO, obecnie brakuje.
Podsumowanie
Stanowisko Prezesa UODO pokazuje wyraźnie, że polska ustawa wdrażająca dyrektywę policyjną wymaga dalszych zmian legislacyjnych. Problem dotyczy nie tylko zakresu samej regulacji, lecz także modelu nadzoru, ochrony praw jednostki, sankcji oraz zgodności krajowych przepisów z wymaganiami prawa unijnego. Jeżeli dane osobowe przetwarzane w związku z zapobieganiem i zwalczaniem przestępczości mają podlegać rzeczywistej ochronie, system nie może pozostawiać luk właśnie tam, gdzie ryzyko naruszenia prywatności jest największe.
