Rozmowa z dr inż. Agnieszką Gryszczyńską, prokuratorem i adiunktem w Katedrze Prawa Informatycznego WPiA Uniwersytetu Kardynała Stefana Wyszyńskiego
Krzysztof Sobczak: Unijne rozporządzenie ogólne o ochronie danych osobowych, które zacznie obowiązywać 25 maja, w specjalny sposób traktuje dane przetwarzane w związku ze zwalczaniem przestępczości. W Polsce ma to szczegółowo uregulować nowa ustawa o ochronie danych przetwarzanych w związku z zapobieganiem i zwalczaniem przestępczości. Czego ona dotyczyć?
Agnieszka Gryszczyńska: Projekt ustawy o ochronie danych przetwarzanych w związku z zapobieganiem i zwalczaniem przestępczości stanowić ma implementację dyrektywy 2016/680 z 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych przez właściwe organy do celów zapobiegania przestępczości, prowadzenia postępowań przygotowawczych, wykrywania i ścigania czynów zabronionych i wykonywania kar, w sprawie swobodnego przepływu takich danych oraz uchylająca decyzję ramową Rady 2008/977/WSiSW.
Czytaj: Jest projekt wprowadzający unijną dyrektywę policyjną>>
Celem tej dyrektywy jest m.in. zapewnienie spójnego i wysokiego stopnia ochrony danych osobowych oraz ułatwienie wymiany danych osobowych pomiędzy organami państw członkowskich w celu zapewnienia skutecznej współpracy wymiarów sprawiedliwości w sprawach karnych i współpracy policyjnej. W zakresie danych osobowych przetwarzanych przez właściwe organy w innych celach niż wskazane w dyrektywie 2016/680 zastosowanie będzie miała regulacja ogólna w postaci rozporządzenia o ochronie danych osobowych (RODO).
Ustawa implementująca dyrektywę określać ma zasady i warunki ochrony danych osobowych oraz prawa osób których dane są przetwarzane w celu rozpoznawania, zapobiegania, wykrywania i zwalczania czynów zabronionych, w tym zagrożeń dla bezpieczeństwa i porządku publicznego, prowadzenia postępowań w sprawach dotyczących tych czynów oraz wykonywania orzeczeń w nich wydanych, kar porządkowych i środków przymusu a także nadzór nad ochroną danych przetwarzanych w tych celach.
Dyrektywa powinna zostać implementowana do dnia 6 maja 2018 r., tymczasem dopiero w dniu 19 kwietnia na stronie Rządowego Centrum Legislacji pojawił się projekt ustawy z dnia 18 kwietnia 2018 r., zatem nie będzie możliwe przyjęcie i opublikowanie przepisów niezbędnych do wykonania dyrektywy w terminie. Co więcej w sytuacji gdy projektowana ustawa o ochronie danych osobowych wejdzie w życie wcześniej i uchyli ustawę o ochronie danych osobowych z 1997 r., powstanie istotna luka w przepisach dotycząca ochrony danych osobowych przetwarzanych w związku z zapobieganiem i zwalczaniem przestępczości. Do przetwarzania danych w tych celach nie ma bowiem zastosowania zgodnie z art. 2 ust. 2 lit d RODO.
Będą odrębne zasady ochrony danych osobowych przetwarzanych w związku z zapobieganiem i zwalczaniem przestępczości?
Z uwagi na cel przetwarzania danych określony w dyrektywie zarówno dyrektywa jak i projekt ustawy krajowej wskazują na odrębne zasady ochrony danych osobowych. Odmienności obejmują w szczególności przesłanki legalizujące przetwarzanie, prawa osób których dane dotyczą – np. znacznie ograniczono prawo do informacji, inne są również obowiązki administratora. Inny niż w RODO jest również system sankcji za naruszenia. Ustawa implementująca dyrektywę nie przewiduje kar pieniężnych. W związku z przetwarzaniem danych niezgodnie z prawem, osobie która poniosła szkodę przysługuje odszkodowanie. Analogiczne jak w projekcie ustawy o ochronie danych osobowych jest brzmienie przepisów karnych. W tym miejscu warto również zauważyć się w projekcie ustawy wprowadzono inną definicję danych osobowych niż przewiduje RODO. Zgodnie z art. 3 ust. 1 projektu ustawy danymi osobowymi są informacje o zidentyfikowanej lub możliwej do zidentyfikowania osobie fizycznej przetwarzane w celach określonych w art. 1 ust. 1 pkt 1. Zatem ustawa zawęża definicję danych jedynie do tych danych, które przetwarzane są w celu rozpoznawania, zapobiegania, wykrywania i zwalczania czynów zabronionych, w tym zagrożeń dla bezpieczeństwa i porządku publicznego, prowadzenia postępowań w sprawach dotyczących tych czynów oraz wykonywania orzeczeń w nich wydanych, kar porządkowych i środków przymusu. Niestety projektodawca niekonsekwentnie posługuje się wprowadzoną definicją i jednocześnie ogólną definicją danych osobowych z rodo.
Jakie podmioty obejmowała będzie projektowana ustawa? Czy objęte będą nią zarówno sądy, prokuratura jak i policja?
Zgodnie z dyrektywą 2016/680 do właściwych organów mogą należeć zarówno organy publiczne – takie jak organy sądowe, policja lub inne organy ścigania – ale też wszelkie inne organy lub podmioty, którym prawo państwa członkowskiego powierza sprawowanie władzy publicznej i wykonywanie uprawnień publicznych do celów zapobiegania przestępczości, prowadzenia postępowań przygotowawczych, wykrywania i ścigania czynów zabronionych i wykonywania kar, w tym do celów ochrony przed zagrożeniami dla bezpieczeństwa publicznego i zapobiegania takim zagrożeniom. Projekt polskiej ustawy wprost nie określa podmiotów których ustawa dotyczy. Jak wskazano w uzasadnieniu do projektu jest to celowy zabieg wynikający m.in. z wielości podmiotów objętych tą regulacją. Argument ten nie do końca jest jednak trafny. Zasadniczo ustawa będzie obejmowała zarówno sądy, prokuraturę jak i policję.
Czy te organy będą podlegały nadzorowi?
Prokuratura i sądy zostały wyłączone z nadzoru nad ochroną danych osobowych sprawowanego przez Prezesa Urzędu Ochrony Danych Osobowych (art. 5 ust. 2 projektu). Wyłączenie to jest znacznie szersze niż wyłączenie wynikające z artykuł 45 dyrektywy 2016/680, zgodnie z którym wyłączono właściwość organu nadzorczego do nadzorowania operacji przetwarzania dokonywanych przez sądy w toku sprawowania przez nie wymiaru sprawiedliwości. Dopuszczalne zgodnie z dyrektywą jest również uznanie, że organ nadzorczy nie będzie właściwy do nadzorowania innych niezależnych organów wymiaru sprawiedliwości w ramach sprawowania przez nie wymiaru sprawiedliwości. Zgodnie z art. 175 ust 1 Konstytucji RP wymiar sprawiedliwości sprawują Sąd Najwyższy, sądy powszechne, sądy administracyjne oraz sądy wojskowe, zatem wyłączenie prokuratury spod nadzoru jest zbyt daleko idące. Ponadto przewidziane w projekcie ustawy wyłączenia obejmują wszystkie cele określone w art. 1 ust 1 pkt 1, a nie jak wskazano w dyrektywie jedynie przetwarzanie danych w ramach sprawowania wymiaru sprawiedliwości.
Czy wyjątki i wyłączenia w tej dziedzinie nie idą zbyt daleko?
Można mieć takie watpliwości, ponieważ bardzo istotnie zawężono zakres przedmiotowy ustawy. Należy rozważyć czy przez to nie zniweczono podstawowego celu dyrektywy. Ustawy nie będzie się stosowało w szczególności do ochrony danych osobowych znajdujących się w aktach spraw i czynności prowadzonych m.in. na podstawie kpk, kkw czy ustawy prawo o prokuraturze oraz wydanych na jej podstawie aktów wykonawczych. Co ciekawe, zgodnie z art. 4 pkt 18 projektu akta spraw nawet jeśli są przetwarzane elektroniczne nie stanowią zbioru danych. Wyłączone z zakresu stosowania ustawy zostały również dane osobowe wymieniane z organami ścigania państw członkowskich UE, państw trzecich, Europolem, Eurojust, organizacjami międzynarodowymi, znajdujące się we wpisach do SIS, VIS, EES a także przetwarzanie w związku z zapewnieniem bezpieczeństwa narodowego. Wskazane w uzasadnieniu akty prawne regulujące przetwarzanie wskazanych powyżej kategorii danych nie określają jednak w większości zasad i warunków ochrony danych osobowych a także praw osób, których dane są przetwarzane.
Analizując zakres włączeń np. w odniesieniu do danych przetwarzanych w prokuraturze trudno jest mi wskazać choć jeden zbiór danych do którego miałaby zastosowanie dyrektywa.