Prace nad regulacją są na ostatniej prostej, po przerwie wakacyjnej powinna trafić do Sejmu. Jak mówi LEX.pl Jacek Kudła, specjalista w zakresie czynności operacyjno-rozpoznawczych, zmiany wprowadzone podczas prac nad projektem idą w dobrym kierunku.
Patrycja Rojek-Socha: Jakie są najważniejsze zmiany wprowadzone po konsultacjach nad projektem?
Jacek Kudła: Przede wszystkim doprecyzowują szereg definicji np. czym są dane osobowe, czym jest bezpieczeństwo publiczne, porządek publiczny. Katalog uzupełniono też o dane dotyczące lokalizacji. Wyjaśniono odpowiednio też czym jest bezpieczeństwo narodowe - odnosząc się do doktryny nawiązano do zadań służb.
Doprecyzowano, że zadania wykonywane przez ABW czy CBA dotyczą bezpieczeństwa narodowego?
Z projektu jasno wynika, że te służby podobnie jak wszystkie służby specjalne są wyłączone spod jego działania - co umożliwia dyrektywa policyjna, bo wykonują czynności w zakresie bezpieczeństwa narodowego – co zapisane jest w art. 11 ustawy o ABW i AW. Ale są też inne istotne zmiany, przykładowo ściśle określono zakres przedmiotowy ustawy implementującej dyrektywę policyjną. Te których dotyczy bezpośrednio ustawa to dane z ewidencji i rejestrów, nie dane z akt spraw. Bo do tych ostatnich danych zastosowanie mają przepisy kodeksu postępowania karnego, do których odsyła art. 27 – projektu ustawy implementującej dyrektywę policyjną. Jest to wyraźnie określone. Nadmienić należy, że przepisy kodeksu postępowania karnego są jeszcze bardziej „rygorystyczne” jeśli chodzi o dostęp do danych osobowych. Rozstrzygnięto też czym jest wymiar sprawiedliwości, i że dotyczy on nie tylko sądów ale też prokuratur a nawet policji, czyli wszystkich instytucji zaangażowanych w przygotowanie i prowadzenie procesu karnego.
Chodzi o wyłączenia spod nadzoru prezesa Urzędu Ochrony Danych Osobowych?
Tak. Nadzór prezesa UODO co do zasady jest wyłączony nad przetwarzaniem danych w ramach prowadzonego postępowania. Bo jest to obszar „orzeczniczy”. I tak należy interpretować przepisy ustawy, choć nie wynika to jasno z art. 1 pkt 3 projektu ustawy. Ale jeśli chodzi o bazy, ewidencje, rejestry informatyczne, przykładowo prowadzone przez zakłady karne to jak najbardziej ten nadzór obowiązuje.
Wątpliwości Pana budziło też wyłączenie z możliwości przetwarzania przez służby danych o seksualności i orientacji seksualnej...
To również zostało zmienione. Zacznijmy jednak od tego, że nazwę danych sensytywnych zmieniono na dane wrażliwe. Dopisano też, że dane dotyczące właśnie orientacji seksualnej i seksualności można przetwarzać ale jedynie na potrzeby postępowań prowadzonych na podstawie przepisów ustawy czyli kodeksu postępowania karnego. Jest to dobre unormowanie ustawowe, a kwestię dostępu do baz da się w praktyce rozwiązać. Chodzi o to, że funkcjonariusze wykonujący czynności operacyjno – rozpoznawcze nie prowadzą postępowań przygotowawczych. Jednak w zupełności wystarczy jak dostęp do baz w tym zakresie będzie miał funkcjonariusz prowadzący postępowanie przygotowawcze, czy też dominus litis postępowania – czyli prokurator – a także sąd na dalszym etapie postępowania karnego już po zakończeniu postępowania przygotowawczego, w postępowaniu sądowym.
Czyli policjanci prowadząc śledztwo będą mogli sięgać po takie informacje?
Ale z zastrzeżeniem, że na potrzeby prowadzonych postępowań. A czynności operacyjno-rozpoznawcze to nie czynności dochodzeniowo - śledcze, to obszar poza procesowy postępowania przygotowawczego. Mówiąc wprost policjant dochodzeniowy będzie miał dostęp do tych danych, ale policjant wykonujący czynności operacyjno-rozpoznawcze już nie.
Organizacje praw człowieka wskazują, że z wstępnego projektu wykreślono też zapis o konieczności powołania się na ochronę żywotnego interesu przy wnioskowaniu o informacje o przetwarzaniu danych osobowych....
To pojęcie było zbyt szerokie. Zastąpiono je. Zgodnie z nowym rozwiązaniem by takie informacje uzyskać trzeba wykazać, że są one niezbędne dla ochrony życia lub zdrowia ludzkiego. Chodzi m.in. o dane przetwarzane w trakcie czynności operacyjno-rozpoznawczych. Takich informacji, zgodnie z zapisami projektowanej ustawy nie można ujawniać. Bowiem ich ujawnienie mogłoby uniemożliwić m.in. rozpoznawanie czy zapobieganie wykrywanie czynów zabronionych, stanowiło by zagrożenie dla życia i zdrowia czy bezpieczeństwa narodowego. Wyjątkowo na mocy przepisu art. 26 ust. 2 projektu ustawy informacje można przekazać pod warunkiem, że ich ujawnienie jest niezbędne dla ochrony zdrowia lub życia ludzkiego.
Chodzi np. o zamach na daną osobę?
Taka sytuacja też może zaistnieć. Przy czym trzeba to pojęcie interpretować ściśle. Zagrożenie życia lub zdrowia ludzkiego to nie przysłowiowy „katar” a na przykład epidemia. Zagrożenie życia i zdrowia ludzkiego można wykazać kiedy mamy do czynienia z przetwarzaniem danych osobowych np. ofiary zgwałcenia oraz danych sprawcy tego czynu. W tej sytuacji informacja przetwarzana przez uprawnione organy – o tym, że sprawca czynu jest zarażony wirusem HIV – jest informacją której ujawnienie jest niezbędne dla ochrony zdrowia lub życia ludzkiego. Kolejna kwestia, ten zapis nie oznacza, że mają być przekazane wszystkie informacje. Podmiot przetwarzający czyli administrator może przekazać osobie, której dane dotyczą tylko niezbędne informacje, zapobiegające zagrożeniu dla jej zdrowia i życia.
Wprowadzone jakieś inne istotne zmiany?
Kolejna ważna rzecz, zwrócono uwagę na nowe technologie i nakazano służbom dokonanie oceny ryzyka przetwarzania, w ten sposób danych. Policja musi ocenić czy nie ma ryzyka wycieku informacji, włamania do systemu czy szeroko rozumianego zagrożenia bezpieczeństwa związanego z cyberprzestępczością. Zrezygnowano też z kilku etapowej możliwości odwoływania się od odmowy udzielania informacji przez administratora.
Czyli z tzw. powtórnego wniosku?
Teraz jeśli PUODO przychyli się do decyzji służb czyli decyzji administratora, osoba ubiegająca się o informacje będzie mogła złożyć skargę do sądu administracyjnego. Zanim jednak zdecyduję się na skargę do sądu administracyjnego będzie mogła złożyć skargę na decyzję administratora do Prezesa Urzędu Ochrony Danych Osobowych.