Przepisy niezbędne do wykonania dyrektywy mają być stosowane przez państwa członkowskie od 6 maja - Polska może nie dotrzymać tego terminu, co według RPO grozi m.in. ogromną niepewnością prawną. Rzecznik ma też wątpliwości, czy planowane przez rząd wyłączenie działań ABW i CBA spod tej dyrektywy nie będzie z nią sprzeczne.
Rzecznik wystąpił do szefa MSWiA o pilną informację na temat stanu prac nad ustawą wdrażającą dyrektywę 2016/680 z 27 kwietnia 2016 r. Pismo związane z tą sprawą oraz z projektem nowej ustawy o ochronie danych RPO wysłał też marszałkowi Sejmu Markowi Kuchcińskiemu.
Od 2017 r. Adam Bodnar wskazywał, że dyrektywa 2016/680 jest bardzo ważna z punktu widzenia obywatela i występował w tej sprawie do kilku resortów. Z jednej strony ułatwia ona wymianę danych między państwami członkowskimi, a z drugiej – wzmacnia prawa osób, których te dane dotyczą. Przyznaje też jednostce uprawnienie złożenia skargi oraz uzyskania informacji, czy jej dane są przetwarzane.
Dyrektywa przewiduje też przyjęcie sankcji za naruszenie przepisów przyjętych na jej podstawie. Sankcje te muszą być skuteczne, proporcjonalne i odstraszające.
Dyrektywa jest aktem dość ogólnym, pozostawiającym wiele miejsca na uznanie krajowego ustawodawcy. Wszelkie decyzje muszą jednak uwzględniać standardy Karty Praw Podstawowych UE oraz zapewniać spójność systemu tworzonego w ramach całej UE.
27 marca 2018 r. Rada Ministrów przyjęła projekt ustawy o ochronie danych osobowych. Ma być on szybko uchwalony tak, by mogła ona wejść w życie 25 maja. Ustawę będzie się stosować do ochrony osób w związku z przetwarzaniem danych osobowych w zakresie określonym przez unijne rozporządzenie RODO. Ma być ono stosowane w Polsce od 25 maja 2018 r.
Jak napisał Adam Bodnar, tego samego dnia przestanie obowiązywać ustawa o ochronie danych z 1997 r., która wyznaczała dotychczas ramy przetwarzania danych osobowych w Polsce. Tymczasem do dziś nie przedstawiono projektu, który implementowałby dyrektywę 2016/680 do polskiego prawa. Projekt taki ostatnio wpisano do wykazu prac legislacyjnych Rady Ministrów, co może oznaczać, że wkrótce zostanie przedstawiony.
Według RPO obecnie nie tylko jest prawdopodobne, że do 6 maja właściwe przepisy nie zostaną przyjęte, ale również, że od 25 maja w ogóle nie będzie żadnych przepisów regulujących kwestie związane z dyrektywą. Do 25 maja zaplanowano bowiem w chwili obecnej jedynie dwa posiedzenia Sejmu.
Adam Bodnar ma obawy, że niedotrzymanie terminu nie tylko naruszyłoby polskie zobowiązania wynikające z członkostwa w UE i obowiązku przestrzegania wiążącego prawa międzynarodowego. Może to również mieć poważne skutki dla obywateli, związane ze standardem ochrony danych osobowych w obszarze dyrektywy.
Ponadto zastrzeżenia RPO budzi opis zakresu implementacji z dokumentu rządu. Np. całkowite wyłączenie spod dyrektywy służb specjalnych (w tym ABW i CBA) może być z nią sprzeczne. Nie wszystkie bowiem działania np. ABW mieszczą się w pojęciu „bezpieczeństwa narodowego" i nie wszystkie będą automatycznie mogły być pozostawione poza zakresem dyrektywy.
Zdaniem Rzecznika kwestie te powinny były być odpowiednio skonsultowane. Wydaje się, że ponownie wykorzystano model prac, w którym pomija się możliwość jakiejkolwiek dyskusji lub też pozostawia się zainteresowanym podmiotom bardzo krótki czas na zgłoszenie uwag, które nie będą przedmiotem pogłębionej analizy.
W wystąpieniu do Marszałka Sejmu RPO z satysfakcją odnotował te zapisy projektu nowej ustawy o ochronie danych, które prowadzą do zapewnienia niezależności Prezesa Urzędu Ochrony Danych Osobowych (PUODO).
Do projektu wprowadzono jednak również zmiany, które mogą obniżyć standard prawa do ochrony danych osobowych w porównaniu do gwarantowanego przez RODO, ale głównie przez Konstytucję. RPO szczególnie zwraca uwagę na daleko idące wyłączenia i ograniczenia praw osób, których dane dotyczą - w przypadku przetwarzania ich przez administratorów realizujących zadania publiczne. Taki administrator nie będzie w wymienionych przypadkach informował osoby, której dane dotyczą, o zmianie celu przetwarzania oraz przysługujących jej prawach.
Ani projekt ustawy ani jego uzasadnienie nie zawierają analizy zasadności przyjmowania proponowanych ograniczeń. Tym samym nie jest jasne, czy cel i zakres wprowadzonych ograniczeń będą mogły być uznane za „niezbędne w demokratycznym państwie prawnym" i czy takie ograniczenie prawa do prywatności będzie mogło być uznane za zgodne z art. 47 i art. 51 w zw. z art. 31 ust. 3 Konstytucji.
