Chodzi o rozporządzenie Parlamentu Europejskiego i Rady (UE) 2022/991 z dnia 8 czerwca 2022 r. zmieniające rozporządzenie (UE) 2016/794, w odniesieniu do współpracy Europolu z podmiotami prywatnymi, przetwarzania danych osobowych przez Europol w celu wspierania postępowań przygotowawczych oraz roli Europolu w zakresie badań naukowych i innowacji.

Czytaj: Kolejny krok w walce z terroryzmem - handel dziełami sztuki ma być pod kontrolą >>

Czytaj: 
Akta spraw pod specjalną ochroną - dziennikarz raczej do nich nie zajrzy>>
Szykuje się masowa inwigilacja? Pod hasłem walki z terroryzmem nowe uprawnienia dla służb>>

Europol zaproponuje policji wszczęcie postępowania

Jak mówi serwisowi Prawo.pl, Jacek Kudła, ekspert w zakresie czynności operacyjno-rozpoznawczych, biegły sądowy, jedną z kluczowych zmian jest możliwość zaproponowania danemu państwu członkowskiemu wszczęcia postępowania przygotowawczego za pośrednictwem jego jednostki krajowej - czyli w przypadku Polski za pośrednictwem Komendy Głównej Policji.

- Przy czym Europol nie prowadzi postępowań przygotowawczych jednak na podstawie art. 6 ust. 1 – 4 Rozporządzenia (UE) 2016/794 – w szczególnych przypadkach, gdy uzna, że należy je wszcząć, bo dotyczy ono przestępstwa objętego jego celami, zwróci się z wnioskiem do właściwych organów danych państw członkowskich za pośrednictwem jednostek krajowych o wszczęcie, prowadzenie lub koordynowanie takiego postępowania przygotowawczego - wyjaśnia.

Kolejną istotną kwestią jest nowy art. 18a Rozporządzenia 2016/794 uprawnia Europol do przetwarzania danych osobowych w celu wsparcia toczącego się konkretnego postępowania przygotowawczego, objętego zakresem celów Europolu. Natomiast - o czym warto pamiętać - odpowiednio stosuje się Dyrektywę Policyjną i Rozporządzenie 2018/1725 (z wyjątkiem rozdziału IX).

- Istotą przepisu jest to, że Europol może przetwarzać w celu wsparcia postępowania przygotowawczego dane osobowe nienależące do kategorii osób, których dane dotyczą wymienionych w załączniku II Rozporządzenia 2016/794. Jeszcze raz podkreślam, dane osobowe nienależące do kategorii osób z załącznika – czyli jest to uprawnienie bardzo szerokie, pozwalające na wykonywanie analiz operacyjnych, a w wyjątkowych przypadkach sprawdzenia krzyżowego wobec osób objętych postępowaniem przygotowawczym – pod warunkiem, że jest to niezbędne dla osiągnięcia celu wsparcia tego postępowania - zaznacza. W takim przypadku Europol musi jednak sprawdzić czy przeprowadzenie oceny możliwości analizy operacyjnej oraz sprawdzenia krzyżowego jest możliwe z uwzględnieniem wyłączeń zawartych w Rozporządzeniu. Ponadto państwa członkowskie, Eurojust czyli Prokuratura Europejska, muszą posiadać upoważnienie do przetwarzania danych. W przypadku braku takiego upoważnienia ex lege - zobowiązane są, o tym fakcie powiadomić Europol.

Badania kryminologiczne a praktyka. Perspektywa krajowa i międzynarodowa

Diana Dajnowicz-Piesiecka, Emilia Jurgielewicz-Delegacz, Emil W. Pływaczewski

Sprawdź  

Terroryzm, pedofilia - szybszy przepływ danych

Rozszerzono także możliwość nie tylko przekazywania, ale przesyłania danych od podmiotów prywatnych dla EUROPOLU.

- W przypadku prawa krajowego istotny przedmiot takiego współdziałania stanowi, konieczna wymiana, dalej przetwarzanie danych osobowych przez Europol z podmiotami prywatnymi, o których mowa w ustawie z dnia 5 lipca 2018 r. o krajowym systemie cyberbezpieczeństwa. Zatem m.in. możliwość przesyłania danych osobowych dla Europolu przez operatorów usług kluczowych i dostawców usług cyfrowych oraz CSIRT i inne, o których mowa w tej ustawie. Przy czym stosuje się przepisy Rozporządzenia 2018/794 – jednak operatorzy usług kluczowych i dostawcy usług cyfrowych dodatkowo na podstawie prawa krajowego zobowiązani są przestrzegać przepisów ustawy krajowej - mówi Kudła. I zastrzega, że co do zasady Europol nie powinien jednak prowadzić wymiany informacji wywiadowczych (danych z cyberprzestrzeni) - z podmiotami prywatnymi – ale obowiązujące już Rozporządzenie 2016/794 przewiduje od tej zasady wyjątki.

- Europol, dokonując wymiany informacji, co do zasady nie powinien dopuścić do przekazania operatorowi usług kluczowych lub dostawcy usług cyfrowych – informacji wywiadowczych (operacyjnych). Nie może ujawniać prowadzonych przez siebie czynności służbowych ( w tym operacyjnych). Jednak mogą zdarzyć się przypadki, w których Europol w celu wymiany danych z cyberprzestrzeni musi pewne informacje (dane osobowe, techniczne i inne) przekazać operatorowi usług kluczowych lub dostawcy usług cyfrowych. Stąd Parlament Europejski i Rada przewidziała w Rozporządzeniu 2016/794 wyjątki w tym zakresie. Czyli przypadki określone ex lege, w których ustawodawca Unijny dopuszcza możliwość przekazania określonych danych podmiotom prywatnym, w określonym ustawowo celu - wyjaśnia Kudła.

Może też otrzymywać dane od osób prywatnych. - Przy czym należy wyraźnie odróżnić osobę prywatną od podmiotu prywatnego. Osobami prywatnymi w rozumieniu Rozporządzenia 2016/794, są wszystkie osoby fizyczne. Chodzi, w tym przypadku o sytuacje, w których dana osoba fizyczna posiada swoją stronę internetową (administruje ją), a na tej stronie zostaną umieszczone niedozwolone treści na przykład pedofilskie czy terrorystyczne – wtedy dochodzi do przesłania danych przez osoby prywatne dla Europolu. Czynność ta zgodnie z Rozporządzeniem powinna odbywać m.in. za pośrednictwem jednostki krajowej - czyli np. Komendy Głównej Policji, odpowiednio Centralnego Biura Zwalczania Cyberprzestępczości.

- Europol nie może kontaktować się z osobami prywatnymi w celu uzyskania informacji. Europol ma możliwość przetwarzania danych osobowych pochodzących od podmiotów prywatnych i osób prywatnych, tylko jeżeli zostały mu one przekazane przez: jednostkę krajową zgodnie z jej prawem krajowym, dalej przez punkt kontaktowy w państwie trzecim lub w organizacji międzynarodowej, z którymi nawiązano współpracę za pośrednictwem umowy o współpracy umożliwiającej wymianę danych osobowych. Jednakże w przypadkach, gdy Europol otrzymuje dane osobowe bezpośrednio od podmiotów prywatnych oraz gdy nie można zidentyfikować odpowiedniej jednostki krajowej, odpowiedniego punktu kontaktowego lub odpowiedniego organu, Europol powinien mieć możliwość przetwarzania tych danych osobowych wyłącznie w celu zidentyfikowania wspomnianych jednostek, przy czym należy je usunąć, o ile jednostki te nie przedłożą tych danych osobowych ponownie w terminie czterech miesięcy od daty dokonania przekazania - dodaje Kudła.