Prezes Urzędu Ochrony Danych Osobowych Mirosław Wróblewski po raz kolejny zwrócił się do Ministerstwa Spraw Wewnętrznych i Administracji (MSWiA) o podjęcie prac legislacyjnych nad zmianą przepisów regulujących funkcjonowanie inspektorów ochrony danych (IOD) w służbach odpowiedzialnych za zapobieganie i zwalczanie przestępczości.
Chodzi o ustawę z dnia 14 grudnia 2018 r. o ochronie danych osobowych przetwarzanych w związku z zapobieganiem i zwalczaniem przestępczości, która – zdaniem Prezesa UODO – wciąż nie spełnia wymagań unijnej dyrektywy policyjnej (UE 2016/680), określającej standardy ochrony danych w organach ścigania.
Drugi apel UODO w tej sprawie
Poprzednie wystąpienie Prezesa UODO dotyczące nowelizacji tych przepisów miało miejsce w 2022 roku. Wówczas organ nadzorczy otrzymał zapewnienie, że odpowiednie zmiany zostaną wprowadzone przy okazji szerszej nowelizacji ustawy.
– Do dziś jednak do takich zmian nie doszło – wskazuje Mirosław Wróblewski w piśmie skierowanym do szefa MSWiA Marcina Kierwińskiego.
W efekcie polskie regulacje wciąż nie zapewniają pełnej zgodności z prawem unijnym, zwłaszcza w zakresie niezależności i kompetencji inspektorów ochrony danych w służbach takich jak policja, straż graniczna, straż miejska czy służba więzienna.
Błędne przypisanie obowiązków inspektorom ochrony danych
W ocenie Prezesa UODO, obecne przepisy zawierają poważne błędy konstrukcyjne, ponieważ przewidują możliwość powierzania inspektorom ochrony danych (IOD) zadań, które zgodnie z prawem powinien wykonywać administrator danych.
Chodzi m.in. o:
- przeprowadzenie oceny skutków dla ochrony danych,
- złożenie wniosku o uprzednie konsultacje do Prezesa UODO.
Tymczasem – jak podkreśla Wróblewski – to są czynności należące wyłącznie do administratora danych, a IOD powinien jedynie doradzać, rekomendować rozwiązania i monitorować ich wdrażanie.
– Rola inspektora ochrony danych polega na wspieraniu administratora, a nie wyręczaniu go w realizacji jego ustawowych zadań. Obecne przepisy mogą prowadzić do konfliktu interesów po stronie IOD – zaznacza prezes UODO.
Brak spójnych procedur i obowiązków informacyjnych
W swoim wystąpieniu Wróblewski zwrócił również uwagę na nieprecyzyjne przepisy dotyczące komunikacji między administratorem danych a Prezesem UODO.
Według obecnej ustawy nie jest jasno określony zakres danych, jakie administrator powinien przekazywać do UODO przy dokonywaniu zgłoszeń dotyczących:
- wyznaczenia,
- odwołania,
- lub zmiany danych inspektora ochrony danych.
Brakuje też przepisów, które zobowiązywałyby administratora do informowania Prezesa UODO o każdej zmianie danych dotyczących samego administratora. Zdaniem Prezesa Urzędu to luka prawna, która utrudnia skuteczny nadzór nad systemem ochrony danych osobowych w sektorze publicznym i służbach mundurowych.
Polska nadal bez pełnej zgodności z unijną dyrektywą
Dyrektywa Parlamentu Europejskiego i Rady (UE) 2016/680, tzw. dyrektywa policyjna, nakłada na państwa członkowskie obowiązek zapewnienia, by przetwarzanie danych osobowych przez organy ścigania odbywało się z poszanowaniem zasad ochrony prywatności i niezależności nadzoru.
Zgodnie z jej przepisami, inspektor ochrony danych powinien działać w sposób niezależny, bez ryzyka wpływu ze strony administratora lub przełożonych, a jego rola powinna ograniczać się do doradzania, monitorowania i raportowania nieprawidłowości.
W obecnym stanie prawnym w Polsce nie wszystkie te warunki są spełnione, co naraża państwo na zarzuty niepełnej implementacji prawa unijnego i może skutkować interwencją ze strony Komisji Europejskiej.
UODO apeluje o pilne zmiany legislacyjne
W liście do MSWiA Prezes UODO podkreśla, że konieczne jest:
- doprecyzowanie zadań i odpowiedzialności inspektora ochrony danych,
- usunięcie zapisów prowadzących do konfliktu interesów,
- uregulowanie zasad przekazywania informacji między administratorem a UODO,
- oraz pełne dostosowanie ustawy do przepisów unijnych.
– W obecnym stanie prawnym inspektorzy w służbach mogą być zmuszani do działań sprzecznych z ideą ich funkcji, co podważa niezależność nadzoru nad przetwarzaniem danych w instytucjach odpowiedzialnych za bezpieczeństwo państwa – ostrzega Wróblewski.
