Błędy w ustawie dotyczącej służb. Prezes UODO alarmuje MSWiA

W 2016 r. w unijnej legislacji pojawiła się tzw. dyrektywa policyjna. Jej wdrożenie miało miejsce dzięki ustawie przyjętej 14 grudnia 2018 r. i dotyczącej ochrony danych osobowych przetwarzanych w związku z zapobieganiem i zwalczaniem przestępczości.

Tyle jednak teoria. Według Urzędu Ochrony Danych Osobowych, 4 lata po uchwaleniu wspomnianej ustawy przez Sejm Prezes UODO zwrócił uwagę Ministerstwu Spraw Wewnętrznych i Administracji, że konieczne jest prawidłowe wdrożenie przepisów w zakresie inspektora ochrony danych (IOD). Wówczas resort stwierdził, że zmiany mogą zostać wprowadzone w ramach innych ustaw o zbliżonej tematyce.

Błędy funkcjonujące od lat

Okazuje się, że w ciągu ostatnich 3 lat i pomimo zmiany władzy, odpowiednie działania w zakresie legislacji nie zostały podjęte. Jak zakomunikowało UODO w czwartek, Prezes Urzędu Mirosław Wróblewski ponownie zwrócił się z pismem do MSWiA w sprawie dyrektywy policyjnej.

Przepisy ustawy z dnia 14 grudnia 2018 r. nie precyzują jakie dane administratora powinny być przekazane przez niego do Prezesa UODO w związku z dokonywaniem zawiadomienia dotyczącego inspektora ochrony danych. Ponadto, w ustawie z dnia 14 grudnia 2018 r. brak jest przepisów, na mocy których administrator byłby zobowiązany do powiadomienia Prezesa UODO o każdej zmianie danych odnoszących się do administratora.
Pismo Prezesa UODO do Ministerstwa Spraw Wewnętrznych i Administracji

Według instytucji, w ustawie z grudnia 2018 potrzebne jest wprowadzenie rozwiązań dotyczących zgłoszenia inspektora ochrony danych oraz zmiany przekazanych danych, jeżeli pojawiają się ku temu okoliczności. Wzorem mogłaby być ustawa z 10 maja 2018 o ochronie danych osobowych – w ramach art. 10 funkcjonują rozwiązania, które można analogicznie zastosować dla służb mundurowych.

Inspektor z uprawnieniami administratora. „Konflikt interesów"

Co ciekawe, obecnie obowiązująca ustawa mająca wdrożyć dyrektywę policyjną zawiera przepisy sprzeczne z unijnym dokumentem. Zgodnie z pismem Prezesa UODO, przeprowadzenie oceny skutków dla ochrony danych oraz złożenie wniosku o konsultacje to zadania administratora danych. Sam inspektor ochrony danych może z kolei przedstawić zalecenia co do oceny skutków, a także monitorować ich wykonanie i być punktem kontaktowym z organem nadzorczym.

Tymczasem w przepisach znajduje się zapis, że powyższe obowiązki administratora przypisano… inspektorowi ochrony danych osobowych. Według Urzędu, może być to przyczynek do konfliktu interesów po stronie IOD.

„Wymóg konieczności zapewnienia braku konfliktu interesów – w odniesieniu do inspektorów ochrony danych – znajduje odzwierciedlenie w brzmieniu motywu 63 dyrektywy 2016/680. Zgodnie z treścią tego motywu, inspektorzy ochrony danych powinni być w stanie wykonywać swoje obowiązki i zadania w sposób niezależny, zgodnie z prawem państwa członkowskiego” – wyjaśnia Prezes UODO w piśmie.

Oceniając samego siebie

Oprócz wskazania konkretnych przepisów, szef Urzędu przypomniał podstawowe zadanie inspektorów ochrony danych: wsparcie administratora w przestrzeganiu i właściwym stosowaniu przepisów o ochronie danych osobowych. Zwrócił się jednocześnie o rozpoczęcie prac mających na celu nowelizację ustawy z grudnia 2018.

„Zadaniem IOD nie jest natomiast wyręczanie administratora w realizacji jego zadań, tj. przeprowadzenie oceny skutków dla ochrony danych oraz występowanie z wnioskiem o uprzednie konsultacje. Przy obecnej redakcji przepisów IOD oceniałby własne działania pod kątem zgodności z przepisami o ochronie danych osobowych, co prowadzi do konfliktu interesów i narusza art. 34 dyrektywy” – czytamy w podsumowaniu zawartym w dokumencie do ministra spraw wewnętrznych i administracji.