W lutym zaczęła w Polsce obowiązywać ustawa implementująca DODO - dyrektywę przyjętą przez Parlament Europejski i Radę UE 27 kwietnia 2016 r., której celem jest zapewnienie skutecznej współpracy wymiarów sprawiedliwości w sprawach karnych i współpracę policji, w tym przypadku w zakresie ochrony danych osobowych. W ustawie unormowano również podstawy dotyczące przepływu takich danych w UE. Chodziło o wzmocnienie praw osób, których dane dotyczą. Jednak w dalszym ciągu pojawiał się problem dotyczący swobodnego przepływu takich danych, przetwarzanych przez instytucje, organy i jednostki organizacyjne UE.

- Wiązało się to z uchyleniem z dniem 11 grudnia 2018 roku - Rozporządzenia Parlamentu Europejskiego i Rady nr 45/2001 o ochronie osób fizycznych w związku z przetwarzaniem danych osobowych przez instytucje i organy wspólnotowe i o swobodnym przepływie takich danych. To rozporządzenie – nie miało bowiem zastosowania do przetwarzania danych osobowych, w toku prowadzenia przez instytucje i organy Unii działalności nieobjętej zakresem stosowania jej prawa  - czyli dotyczących m.in. bezpieczeństwa narodowego - wyjaśnia w rozmowie z Prawo.pl specjalista w zakresie czynności operacyjno-rozpoznawczych Jacek Kudła.

W praktyce chodzi o pewne dane przekazywane przez polskie służby do instytucji UE zajmujących się bezpieczeństwem - np. do Europejskiego Urzędu ds. Zwalczania Nadużyć Finansowych (OLAF). 

Ochrona danych osobowych. Zbiór przepisów. Ogólne rozporządzenie o ochronie danych (RODO). Ustawa o ochronie danych osobowych (UODO). Ustawa sektorowa

Sprawdź  

Parlament Europejski reguluje przepływ danych na swoim podwórku

W życie weszła właśnie decyzja Prezydium Parlamentu Europejskiego z 3 kwietnia 2019 roku. To przepisy wykonawcze, które mają ograniczać niektóre prawa osób, o których przetwarzaniu danych otrzymał informację Parlament Europejski. W praktyce, w myśl decyzji, parlament ma analizować, czy przekazanie informacji o konkretnych danych, które otrzymał do osób, których dotyczą, nie uderzy w prowadzone przez np. policję postępowanie. 

Czytaj: Podczas podsłuchu wykryto inne przestępstwo? Sąd powinien to ocenić>>

- Z decyzji wynika, że administrator danych - czyli PE - może ograniczyć stosowanie określonych przepisów  – w przypadku, gdy wykonywanie tych praw zagrażałoby celowi i poufności krajowych postępowań przygotowawczych i dochodzeń niejawnych. Ograniczyć na przykład w taki sposób, że nie udzieli o tym informacji osobie, której dane dotyczą - mówi Kudła. I dodaje, że w jego ocenie to krok w dobrym kierunku, bo takie rozwiązanie chroni czynności prowadzone przez służby.  – Służby, m.in. policjanci muszą jednak o tym pamiętać – mówi. 

Decyzja nakłada na administratora danych obowiązek dokonania odpowiedniej oceny, same zaś ograniczenie musi charakteryzować się proporcjonalnością.  Co istotne PE może, ale nie musi ograniczać dostępu do informacji - ma o tym decydować każdorazowo, w każdym indywidualnych przypadku. 

Czytaj: Policjanci "pod przykrywką" z kartami płatniczymi>>

Zgodnie z unijnymi przepisami, jeśli administrator danych ogranicza prawa osób, których one dotyczą – to powinien tę osobę o tym zawiadomić. To grozi jednak - jak mówią rozmówcy Prawo.pl - kuriozalną sytuacją kiedy przykładowy biznesmen i tak dowiaduje się, że przetwarzane są jego dane, bo PE zawiadamia go, że nie będzie go o tym informować.  Dlatego także w tym zakresie wprowadzono ograniczenia. Mianowicie, gdy administrator danych ogranicza prawo osób, których dane dotyczą, do otrzymania zawiadomienia – o naruszeniu ochrony danych osobowych osoby, której dane dotyczą - zobowiązany jest on jedynie do zapisania i zarejestrowania przyczyny braku zawiadomienia. 

Szeroki zakres danych

Decyzja Parlamentu Europejskiego dotyczy szerokiego zakresu danych, które mogą być przetwarzane. Chodzi o: dane identyfikacyjne, kontaktowe, zawodowe, finansowe, łączność elektroniczną,  czy np. sieć łączności elektronicznej, dane o ruchu, z nadzoru wideo, nagrania audio, dotyczące obecności osób i wszelkie inne dane dotyczące przedmiotu danego postępowania lub dochodzenia prowadzonego przez organy krajowe. Takie informacje trafiają do Parlamentu Europejskiego w ramach sprawowania nadzoru nad pozostałymi instytucjami europejskimi. 

- Zagrożenie, jakie w mojej ocenie może się tu pojawić, dotyczy właśnie oddzielenia danych faktycznie ujawniających konkretne czynności podjęte przez daną służbę wobec osoby podejrzewanej, która może okazać się sprawcą od innych danych, o których przetwarzaniu mogą a nawet powinny być poinformowane osoby, których dotyczą - dodaje Jacek Kudła.