Prezes Urzędu Ochrony Danych Osobowych zaapelował do Ministra Spraw Wewnętrznych i Administracji oraz do Ministra Sprawiedliwości o rozpoczęcie prac legislacyjnych nad zmianą przepisów regulujących ochronę danych osobowych przetwarzanych w związku z zapobieganiem i zwalczaniem przestępczości. Zdaniem UODO obecne rozwiązania nie zapewniają pełnych gwarancji ochrony praw osób, których dane są przetwarzane, a krajowe przepisy nie wdrażają w pełni unijnej „dyrektywy policyjnej” 2016/680.
W piśmie skierowanym do ministra Marcina Kierwińskiego oraz ministra Waldemara Żurka prezes UODO Mirosław Wróblewski wskazał, że problem ten nie jest nowy. Urząd zwracał na niego uwagę już wcześniej – zarówno na etapie opiniowania projektu ustawy, jak i w trakcie prac Komisji Europejskiej nad oceną funkcjonowania samej dyrektywy, prowadzonych w 2021 i 2025 roku. Obecnie UODO ponownie podnosi, że polskie przepisy w ich aktualnym brzmieniu pozostawiają istotne luki w systemie ochrony danych osobowych.
Najpoważniejsze zastrzeżenia dotyczą zakresu wyłączeń przyjętych w ustawie krajowej. Jak wskazuje UODO, wyłączenia te sprawiają, że nie wszystkie obszary przetwarzania danych osobowych w celach rozpoznawania, zapobiegania, wykrywania i zwalczania czynów zabronionych zostały objęte odpowiednimi regulacjami. W praktyce oznacza to, że dane osobowe zawarte w aktach sprawy oraz przetwarzane w toku czynności procesowych nie są na poziomie krajowym objęte pełnym systemem gwarancji ochrony danych osobowych.
Według prezesa UODO w przepisach procedury karnej brakuje podstawowych zabezpieczeń dla osób, których dane dotyczą. Chodzi między innymi o prawo do informacji, prawo dostępu do danych, możliwość ich sprostowania, usunięcia lub ograniczenia przetwarzania, a także prawo do wniesienia skargi do niezależnego organu nadzorczego i skutecznego środka prawnego przed sądem. To właśnie te uprawnienia są jednym z fundamentów unijnego systemu ochrony danych osobowych, a ich brak w obszarze działań związanych ze ściganiem przestępczości budzi poważne wątpliwości co do zgodności polskich przepisów z prawem UE.
Prezes UODO odniósł się również do kwestii nadzoru nad przetwarzaniem danych osobowych przez sądy w ramach sprawowania wymiaru sprawiedliwości. Podkreślił, że ochrona niezawisłości sądów wymaga szczególnego podejścia do tego obszaru, a nadzór powinien być powierzony wyspecjalizowanym organom działającym w systemie wymiaru sprawiedliwości danego państwa członkowskiego. W ocenie UODO krajowe przepisy wymagają doprecyzowania, a także opracowania jednolitych wytycznych interpretacyjnych. Mogłoby to zwiększyć przejrzystość systemu nadzorczego i zapewnić większą spójność w stosowaniu przepisów o ochronie danych osobowych.
Istotnym problemem pozostaje także kwestia przetwarzania danych osobowych przez prokuraturę. UODO zwraca uwagę, że obecnie nadzór nad tym obszarem sprawowany jest wyłącznie przez jednostki organizacyjne prokuratury, które funkcjonują w ramach hierarchicznej struktury. Taki model – zdaniem prezesa urzędu – stoi w sprzeczności z celami „dyrektywy policyjnej”, która zakłada nadzór wykonywany przez organ w pełni niezależny. Brak niezależności w tym zakresie może ograniczać realną ochronę praw osób, których dane są przetwarzane.
W ocenie UODO brak regulacji wskazujących niezależne organy wyposażone w realne kompetencje kontrolne prowadzi do osłabienia ochrony prawa do prywatności. Problem ten nie ogranicza się jedynie do krajowego systemu prawnego. Prezes urzędu zaznacza, że konsekwencje tych braków mogą być znacznie szersze i dotyczyć także funkcjonowania unijnego systemu ochrony danych osobowych, zwłaszcza w odniesieniu do wielkoskalowych systemów informacyjnych Unii Europejskiej.
Szczególne zastrzeżenia budzą bowiem także przepisy regulujące dostęp do danych w dużych systemach informacyjnych UE. Według UODO proces przetwarzania danych osobowych przez krajowe organy i podmioty w tym obszarze nie podlega odpowiednio niezależnemu nadzorowi krajowemu. Przyjęte wyłączenia gwarancji ochrony danych mogą więc wpływać nie tylko na poziom zabezpieczenia praw jednostki w Polsce, lecz również na spójność i wiarygodność całego unijnego porządku prawnego.
Kolejną kwestią podniesioną przez prezesa UODO jest brak odpowiednich instrumentów sankcyjnych. Zgodnie z art. 57 „dyrektywy policyjnej” państwa członkowskie powinny wprowadzić przepisy określające sankcje za naruszenie regulacji wdrażających dyrektywę, a sankcje te powinny być skuteczne, proporcjonalne i odstraszające. Tymczasem, jak zauważa urząd, obowiązująca ustawa nie przyznaje Prezesowi UODO narzędzi sankcyjnych o takim charakterze. To oznacza, że system nadzoru w tym obszarze pozostaje niepełny także z punktu widzenia egzekwowania prawa.
Prezes UODO zwrócił także uwagę na potrzebę doprecyzowania roli Inspektora Ochrony Danych. Obecnie przepisy – zdaniem urzędu – nie są zgodne z wymogami „dyrektywy policyjnej”, ponieważ w niewłaściwy sposób określają zadania inspektora oraz nieprecyzyjnie regulują obowiązek przesyłania zawiadomień dotyczących IOD. W praktyce powoduje to trudności interpretacyjne i utrudnia stosowanie przepisów przez podmioty zobowiązane do ich przestrzegania.
Dodatkowo UODO wskazał na brak implementacji przepisów „dyrektywy policyjnej” dotyczących tzw. dostępu pośredniego. To kolejny element, który – w ocenie urzędu – pokazuje, że krajowy model wdrożenia unijnych regulacji jest niepełny i wymaga uzupełnienia.
Stanowisko Prezesa UODO oznacza, że konieczne może być przeprowadzenie szerszej nowelizacji przepisów dotyczących przetwarzania danych osobowych w obszarze zapobiegania i zwalczania przestępczości. Chodzi nie tylko o usunięcie luk prawnych, ale również o stworzenie systemu, który rzeczywiście zagwarantuje osobom fizycznym ochronę ich praw, a jednocześnie będzie zgodny z wymogami prawa unijnego. W opinii urzędu obecny stan prawny nie zapewnia takiej równowagi, dlatego potrzebne są pilne działania legislacyjne.
