Dyrektywa policyjna w Polsce. UODO: ustawa do poprawy

Tuż przed Wielkanocą Prezes Urzędu Ochrony Danych Osobowych Mirosław Wróblewski zgłosił poważne uwagi dotyczące projektu ustawy o szczególnych rozwiązaniach związanych z organizacją XXVI Światowego Jamboree Skautowego. Jak informowaliśmy na naszych łamach, największe obawy budzą zapisy umożliwiające służbom przetwarzanie danych osobowych bez ograniczeń, nie zapewniając przy tym ich właścicielom praw wynikających z RODO.

Osiem lat z ustawą niezapewniającą ochrony danych

Po świętach szef UODO wystąpił z kolejnym pismem, tym razem jednak w sprawie już obowiązujących przepisów.

Jak czytamy w piśmie Mirosława Wróblewskiego do Marcina Kierwińskiego, ministra spraw wewnętrznych i administracji oraz Waldemara Żurka, ministra sprawiedliwości, konieczna jest reforma ustawy o ochronie danych osobowych przetwarzanych w związku z zapobieganiem i zwalczaniem przestępczości, czyli wdrażającej dyrektywę 2016/680, znaną także jako policyjna.

Według prezesa organu, unijne regulacje nie zostały prawidłowo zaimplementowane w polskim porządku prawnym. Było to sygnalizowane przez niego wielokrotnie: od etapu opiniowania projektów tej ustawy, innych regulacji czy ewaluacji dyrektywy przez Komisję Europejską.

Tymczasem wspomniane, już obowiązujące przepisy nie zapewniają pełnej gwarancji ochrony praw osób, których dane są przetwarzane. Jest to o tyle poważne, że część sądowych organów nadzorczych wskazuje na brak właściwości do stosowania zapisów ustawy, co ma stanowić niewykonanie dyrektywy policyjnej.

Część sądowych organów nadzorczych wskazuje wprost, że przepisy procedury karnej nie odzwierciedlają w pełni standardów ochrony danych wynikających z dyrektywy 2016/680. Brakuje w nich gwarancji podstawowych praw osób, których dane dotyczą, takich jak: prawo do informacji, prawo do skargi, prawo dostępu do danych, do ich sprostowania, usunięcia, ograniczenia przetwarzania, a także do wniesienia skargi do organu nadzorczego i skutecznego środka prawnego przed sądem od decyzji tego organu. Wszystkie te mankamenty, a wręcz luki prawne wpływają negatywnie na stosowanie art. 18 dyrektywy 2016/680.
Pismo Prezesa UODO do ministrów spraw wewnętrznych i administracji oraz sprawiedliwości

Wdrożono dyrektywę, nie zapewniono gwarancji praw

Jak czytamy w komunikacie, wątpliwości wzbudzają zawarte w ustawie wyłączenia. Z tego powodu, nie objęto nią wszystkich obszarów przetwarzania danych osobowych. Mowa tu m.in. o wykrywaniu, zwalczaniu czy zapobieganiu czynów zabronionych, co uwzględniła wspomniana dyrektywa.

Skutkiem takiej konstrukcji przepisów jest wyłączenie przetwarzania spod jakichkolwiek przepisów gwarantujących ochronę danych, a także brak gwarancji praw osób, których dane dotyczą. Prezes UODO wskazuje na takie elementy jak:

• prawo do skargi,
• prawo do sprostowania danych,
• prawo do usunięcia danych,
• prawo do informacji,
• prawo do wniesienia skargi do niezależnego organu nadzorczego,
• prawo do skutecznego środka prawnego przed sądem od decyzji organu.

Na tym problemy się nie kończą. W przypadku dostępu do danych w wielkoskalowych systemów informacyjnych Wspólnoty, proces przetwarzania danych nie podlega niezależnemu nadzorowi krajowemu. Same wyłączenia gwarancji ochrony danych niosą konsekwencje zarówno dla krajowego, jak również unijnego systemu ochrony danych osobowych.

UODO nie może nakładać sankcji za naruszenie dyrektywy

Szef Urzędu Ochrony Danych Osobowych wskazał także na sprzeczność dotyczącą sankcji za naruszenie przepisów wdrażających dyrektywę. Według art. 57 unijnej regulacji, powinny one być „skuteczne, proporcjonalne i odstraszające”.

„Tymczasem ustawa nie wyposaża Prezesa Urzędu Ochrony Danych Osobowych w żadne instrumenty sankcyjne o takim charakterze” – zaznaczył Wróblewski w piśmie do ministrów.

Co ciekawe, obecny kształt ustawy jest niezgodny z dyrektywą policyjną w zakresie zadań inspektora ochrony danych; sam obowiązek przesyłania zawiadomień ws. IOD został określony nieprecyzyjnie. Spowodowało to problemy w stosowaniu przepisów przez podmioty, które są zobowiązane do ich przestrzegania.

Brak prawidłowej implementacji dyrektywy 2016/680 to nie tylko zagadnienie formalno-prawne. Brak ten jest realnym zagrożeniem dla praw osób, których dane dotyczą, ich prywatności oraz skuteczności działania organów państwa odpowiedzialnych za bezpieczeństwo publiczne. Opisane luki przepisów krajowych regulujących przetwarzanie danych osobowych przez organy ścigania i inne właściwe organy prowadzą do osłabienia standardów ochrony praw jednostki. Brak pełnej implementacji dyrektywy stanowi również istotne zagrożenie dla efektywnej współpracy międzynarodowej, w szczególności w ramach Unii Europejskiej (...) co osłabia skuteczność wspólnych polityk UE w obszarze bezpieczeństwa.
Pismo Prezesa UODO do ministrów spraw wewnętrznych i administracji oraz sprawiedliwości