Biuletyn Informacji Publicznej RPO

Krytyczna opinia RPO dla Senatu co do ustawy, która ma wdrażać unijną "dyrektywę policyjną"

Data:
  • Uchwalona przez Sejm ustawa nie dokonuje właściwego wdrożenia "dyrektywy policyjnej" z 2016 r. 
  • Wprowadza bowiem zbyt wiele wyjątków, np. wyłącza np. spod ustawy pięć służb specjalnych  
  • Ustawa w wielu miejscach jest niespójna lub wręcz sprzeczna z prawem Unii Europejskiej 
  • Rzecznik przedstawił swe uwagi Senatowi, który pracuje nad ustawą

14 grudnia 2018 r. Sejm uchwalił  ustawę o ochronie danych osobowych przetwarzanych w związku z zapobieganiem i zwalczaniem przestępczości. Rzecznik Praw Obywatelskich na etapie prac legislacyjnych poprzedzających skierowanie projektu przedstawiał swe uwagi, skierował również opinię do Marszałka Sejmu (niedołączoną przez niego do druku nr 2089).

Obecnie ustawą zajmuje się Senat. W związku z tym Rzecznik przedstawił Marszałkowi Senatu swe istotne wątpliwości, związane z poziomem przestrzegania praw i wolności człowieka i obywatela.

Ustawa ma wdrażać dyrektywę Parlamentu Europejskiego i Rady (UE) 2016/680 z dnia 27 kwietnia 2016 r. Dotyczy ona uprawnień służb w przetwarzaniu danych i jest nazywana „drugą nogą” RODO, czyli rozporządzenia o tym, co wolno przedsiębiorcom i administracji robić z danymi osobowymi. Od 2017 r. Adam Bodnar występował do kilku resortów, wskazując że dyrektywa jest bardzo ważna z punktu widzenia obywatela. Została ona przyjęta  27 kwietnia 2016 r., weszła w życie 5 maja 2016 r., a zatem projektodawca miał praktycznie dwa lata na przygotowanie projektu.

Wyłączenia pięciu służb spod ustawy

Ustawa przewiduje wyłączenie z zakresu jej stosowania danych osobowych przetwarzanych w ramach realizacji ustawowych zadań służb specjalnych: ABW, Agencji Wywiadu, Służby Kontrwywiadu Wojskowego, Służby Wywiadu Wojskowego oraz CBA. Projektodawca tłumaczy, że wszystkie obszary działalności tych służb należą do przewidzianego przez dyrektywę wyjątku, jakim jest przetwarzanie danych „w związku z zapewnieniem bezpieczeństwa narodowego”.

Rzecznik konsekwentnie nie zgadza się z tym stanowiskiem, czemu dał wyraz w opinii dla Sejmu. Nie wszystkie bowiem zadania ustawowe realizowane przez służby mieszczą się w zakresie pojęcia „bezpieczeństwo narodowe”. Trzeba pamiętać, że z punktu widzenia prawa Unii Europejskiej pojęcie „bezpieczeństwo narodowe” nie może być utożsamiane z pojęciem „bezpieczeństwa wewnętrznego”, o czym świadczą przepisy samego Traktatu o Unii Europejskiej i  Traktatu o funkcjonowaniu Unii Europejskiej. Również - przykładowo - zwalczanie terroryzmu nie jest uznawane w UE za domenę wyłączoną z zakresu prawa Unii.

Wyłączenie stosowania ustawy do danych osobowych z akt postępowania

Takie przepisy ustawy oznaczają, że nie będzie ona miała zastosowania do danych osobowych zawartych w aktach postępowań -  prowadzonych na podstawie Kpk, Kpw, Kkw, Kks, ustawy o postępowaniu w sprawach nieletnich czy ustawy ws. rejestru sprawców przestępstw seksualnych. Takie wyłączenie nie jest zgodne z dyrektywą 2016/680. RPO zaznacza, że podobną opinię w tej sprawie ma MSZ.

Powierzenie nadzoru nad przetwarzaniem danych osobowych w sądach i prokuraturze instytucjom, które nie są niezależne od władzy wykonawczej  

Ustawa stanowi, że – w zależności od sytuacji – albo Krajowa Rada Sądownictwa, albo prezesi sądów (lub odpowiedni prokuratorzy) będą mogli zażądać dostępu do wszelkich danych osobowych w prowadzonych postępowaniach w związku z realizacją zadań wynikających z konieczności nadzoru nad sposobem przetwarzania danych osobowych. Tymczasem z prawa UE jasno wynika, że nadzór nad przetwarzaniem danych osobowych może sprawować wyłącznie organ niezależny.

W ocenie Rzecznika takie rozwiązania prawne są wątpliwe, bowiem ani Krajowa Rada Sądownictwa, ani prezesi sądów nie mogą być dziś uznani za organy niezależne, zdolne do prowadzenia nadzoru w sposób wypełniający wymogi Karty Praw Podstawowych UE. W opinii do projektu ustawy KRS sama uznała się za niewłaściwą do sprawowania takiego nadzoru – wskazuje Rzecznik.

Poszerzenie wyłączeń dla informacji niejawnych

Rzecznik negatywnie  ocenia wyłączenie przez ustawę spod ochrony danych przetwarzania informacji niejawnych. Budzi to bowiem zastrzeżenia Z punktu widzenia zakresu rodo oraz dyrektywy 2016/680, a przede wszystkim art. 51 Konstytucji. Obecnie wyłączeniu spod ustawy podlega tylko rejestracja zbioru danych przez administratorów danych niejawnych, a nie ich przetwarzanie.

Brak implementacji art. 17 dyrektywy

Dyrektywa nałożyła na państwa członkowskie obowiązek zapewnienia, że osoba, której dane dotyczą, będzie mogła wykonywać swoje prawa także za pośrednictwem właściwego organu nadzorczego, który ma informować daną osobę przynajmniej o fakcie przeprowadzenia wszelkich niezbędnych weryfikacji lub przeglądów. Ustawa daje wprawdzie możliwość złożenia skargi do Prezesa Urzędu Ochrony Danych Osobowych, ale ma przysługiwać ona wtedy, gdy dane osobowe są przetwarzane niezgodnie z prawem. Art. 17 dyrektywy dotyczy zaś sytuacji, w której osoba w ogóle nie ma pewności, że jej dane (i jakie) są przetwarzane.

RPO nie może się zgodzić z takim rozwiązaniem w ustawie. Istota art. 17 polega bowiem na możliwości dokonywania przez Prezesa UODO niezależnej oceny zasadności przetwarzania danych przez podmioty objęte zakresem dyrektywy. W ten sposób jeden z najistotniejszych przepisów dyrektywy 2016/680 nie znajdzie swojego odzwierciedlenia w polskim systemie prawnym – napisał Rzecznik do marszałka Senatu.

Wejście w życie ustawy i terminy na dostosowanie

Ustawa ma wejść w życie zasadniczo po 14 dniach od dnia ogłoszenia. Ale art. 102 ustawy przyznaje administratorom kolejny rok na dostosowanie zasad przetwarzania danych osobowych do środków technicznych i organizacyjnych wymaganych art. 39 ust. 2 ustawy. Dodatkowo, jeśli wymagałoby to niewspółmiernie dużego wysiłku lub nakładów, administrator będzie miał czas aż do 6 maja 2023 r. 

Rzecznik przypomina, że dyrektywa była uchwalona w kwietniu 2016 r. Wyznaczanie teraz kolejnych terminów, a zwłaszcza tak odległych, musi być ocenione jako sprzeczne z dyrektywą. Takie rozwiązania są też rozbieżne z tym, co było wyzwaniem dla wszystkich, którzy od 25 maja 2018 r. stosują przepisy rodo i są nimi związani. - Żaden podmiot, który jest objęty zakresem stosowania rodo, nie był w tak doskonałej sytuacji, w jakiej mają być administratorzy objęci zakresem przepisów ustawy – podkreśla Rzecznik.

Nie wyjaśniono, dlaczego w takiej uprzywilejowanej sytuacji stawia się organy co do zasady publiczne, w porównaniu do sytuacji podmiotów prywatnych - w szczególności przedsiębiorców, którzy musieli ponieść często wysokie koszty dostosowania się do przepisów rodo w wyznaczonym terminie.

Rzecznik przekazał swe uwagi marszałkowi Senatu Stanisławowi Karczewskiemu z prośbą o ich uwzględnienie w toku prac nad ustawą.

VII.501.315.2014

Załączniki:

Autor informacji: Łukasz Starzewski
Data publikacji:
Osoba udostępniająca: Łukasz Starzewski