Rz: 6 lutego weszła w życie ustawa o ochronie danych osobowych przetwarzanych w związku z zapobieganiem i zwalczaniem przestępczości. Miała ona implementować do naszego porządku prawnego tzw. dyrektywę policyjną, a w konsekwencji zapewnić ochronę danych osobowych przetwarzanych przez organy ścigania i wymiaru sprawiedliwości. Czy teraz dane te są lepiej chronione?
Piotr Drobek, dyrektor Zespołu Analiz i Strategii UODO:
– Nie. Ustawa, o którą pani pyta miała na celu wprowadzenie przepisów dyrektywy policyjnej, ale zrobiono to niewłaściwie.
Dlaczego?
– W dużym stopniu nowe przepisy nie zapewniają poziomu ochrony wymaganego przez dyrektywę. Dyrektywa wymagała, żeby wszystkie kraje członkowskie przyjęły przepisy wdrażające dyrektywę do 6 maja 2018 roku. W Polsce to się to nie udało, ponieważ ustawa została uchwalona dopiero 18 grudnia 2018 roku, a weszła w życie 6 lutego 2019 roku. W międzyczasie ratowaliśmy się półśrodkiem: ustawą z 10 maja o ochronie danych osobowych. Utrzymała ona w mocy niektóre przepisy poprzedniej ustawy o ochronie danych osobowych z 1997 roku, po to, żebyśmy w zakresie regulowanym dyrektywą policyjną mieli jakiekolwiek regulacje.
Czyli do 6 lutego stosowaliśmy przepisy ustawy o ochronie danych osobowych z 1997 roku?
– Tak, bo do wejścia w życie przepisów o RODO, czyli do 25 maja ubiegłego roku obowiązywała tylko jedna ustawa o szerokim systemie zastosowania: dla sektora prywatnego, publicznego i również dla organów ścigania i wymiaru sprawiedliwości.
Reforma unijna spowodowała podzielenie regulacji dot. danych osobowych na dwa akty: rozporządzenie RODO, które stosuje się bezpośrednio i w tym zakresie zastąpiło ono od 25 maja 2018 roku dotychczasową ustawę o ochronie danych osobowych. RODO wymagało również przyjęcia przepisów krajowych i w tym celu uchwalono 10 maja 2018 roku nową ustawę o ochronie danych osobowych. Jest ona takim kadłubkiem, bo materialno-prawne przepisy są w RODO, a w polskiej ustawie tylko te, które należało uregulować w ustawie krajowej.
To wówczas powinna był zostać przyjęta ustawa implementująca dyrektywę policyjną?
- Tak, ale ponieważ wówczas nie było szansy na przyjęcie przepisów wdrażających dyrektywę policyjną, zastosowano mechanizm, który pomimo uchylenia dotychczasowej ustawy o ochronie danych osobowych utrzymał w mocy część jej przepisów w zakresie przedmiotowym i podmiotowym objętych dyrektywą policyjną. Nie zmieniono więc stanu prawnego w stosunku do tego, który był wcześniej. Gdyby ustawa z 10 maja 2018 roku nie wprowadziła tego mechanizmu, od 25 maja 2018 roku mielibyśmy lukę w przepisach.
Wspomniał pan wcześniej, że ustawa, która weszła w życie 6 lutego jest niedoskonała, nie wdraża ona właściwie dyrektywy. Na czym polega ta niedoskonałość? Proszę o podanie przykładu.
– Ustawa pewne rzeczy wyłącza spod zakresu zastosowania np. dane przetwarzane w postaci papierowej. Tymczasem już od 1998 roku, od kiedy stosuje się przepisy o ochronie danych osobowych te akta podlegały ochronie. Proszę sobie wyobrazić, że akta w sprawie karnej w sądzie nie podlegają teraz przepisom o ochronie danych osobowych, ponieważ ustawa obowiązująca od 6 lutego wyłączyła taką ochronę, a akta w sprawach cywilnych podlegają ochronie, ponieważ podstawą jest w tym przypadku rozporządzenie RODO!
Jak to się stało, że tak ważne dane zostały wyłączone spod ochrony?
– Polski ustawodawca przyjął, że akta w sprawach karnych nie stanowią zbioru. Tymczasem dotąd akta sprawy traktowane były jako zbiory, ponieważ są uporządkowane według jakiegoś kryterium: jest przecież sygnatura spraw, na podstawie której możemy dotrzeć do dokumentów.
Czy w trakcie prac legislacyjnych UODO sygnalizował ten brak w przepisach?
– Tak.
I jaka była odpowiedź?
– Nasze uwagi nie zostały przyjęte.
Czy Polsce grożą z tego tytułu jakieś sankcje?
– To jest akt unijny, Polska ma obowiązek wdrożyć dyrektywę policyjną. A jeśli wdrażamy dyrektywę, to Komisja Europejska ma prawo weryfikacji, czy wdrożenie było właściwe. Jeśli okaże się, że nie, Komisja Europejska ma kompetencje do wszczęcia postępowania w sprawie naruszenia wdrożenia dyrektywy i to może się skończyć postępowaniem przed Trybunałem Sprawiedliwości. Oczywiście mówimy tutaj o perspektywie kilku lat, a państwo członkowskie ma czas na naprawienie tego, więc liczymy, że tak się stanie. Nie to jest jednak najważniejsze. Musimy pamiętać, że tutaj chodzi o zapewnienie odpowiedniej ochrony praw polskich obywateli oraz umożliwienie spójnego stosowania przepisów nakładających obowiązki na organy wymiaru sprawiedliwości i organy ścigania.
Podmioty zobowiązane do stosowania przepisów – zanim ta nieprawidłowość zostanie naprawiona kolejną ustawą – mogą mieć problem z interpretacją: czy chronić zbiory papierowe czy nie.
– Istnieje takie ryzyko. Poza tym podmioty zobowiązane nie wiedzą, jakie są ich obowiązki.
Jakie obowiązki ma pan na myśli?
– Dla przykładu, dotychczas w organach ścigania, czy wymiaru sprawiedliwości funkcjonowali inspektorzy ochrony danych. Po 6 lutego pojawił się rozdźwięk, jeśli chodzi o kryteria ich wyznaczania, mechanizmy zgłaszania danych tych osób do Urzędu Ochrony Danych Osobowych. RODO przewiduje instytucję inspektora ochrony danych osobowych. Nowe przepisy również przewidują funkcjonowanie takiego inspektora ochrony danych, ale traktują go jako zupełnie nowy podmiot. Jest przepis przejściowy który mówi, że jeżeli ktoś był inspektorem danych na podstawie przepisów wdrażających RODO, to staje się inspektorem w rozumieniu przepisów nowej ustawy, ale może pełnić tę funkcję tylko przez trzy miesiące od wejścia w życie ustawy. A jeżeli ma ją pełnić dłużej, to administrator w tym czasie musi powiadomić o tym UODO. Pojawiają się też nowe obowiązki, często o charakterze czysto formalnym, które są niespójne ze sposobem ich regulacji w RODO. Czyli ten sam podmiot będzie musiał poradzić sobie z pogodzeniem różnych wymogów wynikających z odrębnych regulacji, które nie są ze sobą spójne.
12 lutego odbędzie się szkolenie organizowane przez UODO. Czy inspektorzy ochrony danych usłyszą na nim, że mają traktować akta spraw karnych jako zbiory danych, czy też nie?
– Na pewno usłyszą, że polska ustawa jest niezgodna z dyrektywą unijną w tym zakresie i muszą zapewnić spójne podejście do zapewnienia ochrony danych osobowych w swoich organizacjach.
Ale mają chronić dane wyłączone nową ustawą, czy nie? Jakie widzi pan rozwiązanie?
– Dyrektywy nie stosuje się bezpośrednio, państwo członkowskie musi ją wdrożyć do swojego ustawodawstwa. Jeżeli jednak niewłaściwie ją wdrożyło, a postanowienia dyrektywy są odpowiednio precyzyjne, to jedną z możliwości jest ich bezpośrednie stosowanie.
Czy po wprowadzeniu w życie przepisów RODO pojawiło się więcej skarg na naruszenie danych?
– RODO to hasło, które przebiło się do świadomości społecznej, tym samym zwiększyło liczbę skarg. W pierwszych miesiącach funkcjonowania RODO skarg było ponad dwukrotnie więcej niż wcześniej. Powód może być m.in. taki, że RODO rozbudowało uprawnienia osób, których dane dotyczą. Warto przypomnieć, że zanim złożymy skargę do Urzędu Ochrony Danych Osobowych powinniśmy zwrócić się o realizację swoich praw do administratora.
Czy dyrektywa policyjna przewiduje sankcje finansowe za naruszenie danych osobowych?
– Nie. Przewiduje tylko sankcje karne, ale w ograniczonym zakresie. Są one analogiczne do rozwiązań przyjętych w ustawie z 10 maja 2018 r., która ze względu na wprowadzenie administracyjnych kar pieniężnych zmniejszyła liczbę przepisów karnych. W konsekwencji, ustawa wdrażająca dyrektywę penalizuje tylko przetwarzanie danych bez podstawy prawnej, bądź utrudnianie przeprowadzenia kontroli. Natomiast nie jest karane np. naruszenie obowiązku zabezpieczenia danych. ©?
—rozmawiała Teresa Siudem
