Biuletyn Informacji Publicznej RPO

• Rządowy projekt nie dokonuje właściwego wdrożenia dyrektywy z 2016 r. – wprowadza zbyt wiele wyjątków, wyłączając określone służby i organy spod ustawy
• Jest on w wielu miejscach niespójny lub sprzeczny z prawem Unii Europejskiej
• RPO przedstawia Marszałkowi Sejmu swe uwagi w nadziei, że parlament usunie usterki projektu 

Projekt ustawy o ochronie danych osobowych przetwarzanych w związku z zapobieganiem i  zwalczaniem przestępczości (druk nr 2989) przeszedł już w Sejmie pierwsze czytanie. Tymczasem zawiera propozycje, które wywołują istotne wątpliwości dotyczące przestrzegania praw i wolności człowieka i  obywatela – pisze Adam Bodnar w wystąpieniu do marszałka Marka Kuchcińskiego. Ustawa ma wdrożyć dyrektywę Parlamentu Europejskiego i Rady (UE) 2016/680 z dnia 27 kwietnia 2016 r. Dotyczy ona uprawnień służb w przetwarzaniu danych i jest nazywana „drugą nogą” RODO, czyli rozporządzenia o tym, co wolno przedsiębiorcom i administracji robić z danymi osobowymi.

W związku z pracami parlamentue Rzecznik przedstawia uwagi, które dotyczą spraw fundamentalnych z punktu widzenia praw jednostki i nie mogą być traktowane jako wyczerpujące zastrzeżenia i wątpliwości, które można podnieść pod adresem tego projektu i sposobu procedowania nad nim.

Od 2017 r. Adam Bodnar występował do kilku resortów, wskazując że dyrektywa jest bardzo ważna z punktu widzenia obywatela.

Wyłączenia dla służb

Projekt przewiduje wyłączenie z reguł dotyczących przetwarzania danych dla służb specjalnych: ABW, Agencji Wywiadu, Służby Kontrwywiadu Wojskowego, Służby Wywiadu Wojskowego oraz CBA. Projektodawca tłumaczy, że wszystkie obszary działalności tych służb należą do przewidzianego przez dyrektywę wyjątku, jakim jest przetwarzanie danych „w związku z zapewnieniem bezpieczeństwa narodowego”.

Rzecznik Praw Obywatelskich konsekwentnie nie zgadza się z tym stanowiskiem. Nie wszystkie bowiem zadania ustawowe realizowane przez służby mieszczą się w zakresie pojęcia „bezpieczeństwo narodowe”. Trzeba pamiętać, że z punktu widzenia prawa Unii Europejskiej pojęcie „bezpieczeństwo narodowe” nie może być utożsamiane z pojęciem „bezpieczeństwa wewnętrznego”, o czym świadczą przepisy samego Traktatu o Unii Europejskiej i  Traktatu o funkcjonowaniu Unii Europejskiej. Również - przykładowo - zwalczanie terroryzmu nie jest uznawane w UE za domenę wyłączoną z zakresu prawa Unii.

Wyłączenie stosowania ustawy do danych osobowych zawartych w aktach postępowania

Projekt przewiduje takie wyłączenie, co oznacza, że do danych osobowych zawartych w aktach postępowań, prowadzonych na podstawie Kpk, KPW, kkw, kks, ustawy o postępowaniu w sprawach nieletnich czy ustawy, która przewiduje utworzenie i prowadzenie rejestru sprawców przestępstw seksualnych, ustawa nie będzie miała zastosowania. Takie wyłączenie nie jest zgodne z dyrektywą 2016/680. RPO zaznacza, że podobną opinię w tej sprawie ma MSZ.

Powierzenie nadzoru nad przetwarzaniem danych osobowych w sądach i prokuraturze instytucjom, które nie są niezależne od władzy wykonawczej  

Projekt przewiduje, że – w zależności od sytuacji – albo Krajowa Rada Sądownictwa, albo prezesi sądów (czy odpowiedni prokuratorzy) będą mogli zażądać dostępu do wszelkich danych osobowych w prowadzonych postępowaniach w związku z realizacją zadań wynikających z konieczności nadzoru nad sposobem przetwarzania danych osobowych. Tymczasem z prawa UE jasno wynika, że nadzór nad przetwarzaniem danych osobowych może sprawować wyłącznie organ niezależny. W ocenie Rzecznika takie rozwiązania prawne są wątpliwe, bowiem ani Krajowa Rada Sądownictwa, ani prezesi sądów nie mogą być dziś uznani za organy niezależne, zdolne do prowadzenia nadzoru w sposób wypełniający wymogi Karty Praw Podstawowych UE.

Poszerzenie wyłączeń dla informacji niejawnych

Projekt wyłącza też spod ochrony danych przetwarzanie informacji niejawnych. Także tę zmianę RPO ocenia negatywnie, bo wyłączenie stosowania przepisów o ochronie danych osobowych jest zbyt szerokie. Obecnie wyłączeniu spod ustawy podlega tylko rejestracja zbioru danych przez administratorów danych niejawnych, a nie ich przetwarzanie.

Liczne niespójności, także wobec RODO pokazują, że na etapie prac rządowych nie dokonano prawidłowej analizy wszystkich problemów, jakie wiążą się z  implementacją dyrektywy 2016/680 i koniecznością zapewnienia spójności rozwiązań między projektowaną ustawą a przepisami RODO.

Poważnym problemem jest także to, że choć projekt ma wdrażać do polskiego systemu prawnego dyrektywę z 27 kwietnia 2016 r., czyli sprzed ponad dwóch lat, w trakcie prac nad projektem zainteresowanym podmiotom wyznaczono zaledwie kilka dni na przedstawienie uwag. A później już nie poddano ich żadnej szerszej dyskusji z udziałem zainteresowanych.

VII.501.315.2014