Chodzi o dyrektywę przyjętą przez Parlament Europejski i Radę UE 27 kwietnia 2016 r. Z jednej strony jej celem jest ułatwienie wymiany danych osobowych między państwami członkowskimi, co ma zapewnić skuteczną współpracę wymiarów sprawiedliwości w sprawach karnych i współpracę policji. Z drugiej - ma też wzmocnić prawa osób, których dane dotyczą.
Projekt ustawy dostosowujące polskie przepisy do unijnej dyrektywy Ministerstwo Spraw Wewnętrznych i Administracji upubliczniło 19 maja. Już wtedy organizacje pozarządowe i Rzecznik Praw Obywatelskich alarmowały, że jest zbyt mało czasu by ustawę przyjąć do 6 maja. W ich ocenie, jeśli ta opracowywana obecnie regulacja nie wejdzie w życie przed ustawą o ochronie danych osobowych, powstanie luka w przepisach dot. przetwarzania danych osobowych w obszarze bezpieczęństwa.
Ustawy nie ma, z części zapisów dyrektywy możemy korzystać
W ocenie adwokat Agnieszki Matusik-Niedziałek z Kancelarii Kulikowska i Kulikowski, mimo że zapisy dyrektywy nie zostały implementowane, polscy obywatele już teraz mogą korzystać z jednego z najistotniejszych - dotyczącego dostępu do informacji o gromadzonych przez służby danych.
- Wskazuje na to orzecznictwo Trybunału Sprawiedliwości Unii Europejskiej (TSUE). Zgodnie z nim, w przypadku nieimplementowania dyrektywy, obywatel może powoływać się i domagać się stosowania tych jej zapisów, które są jasne, bezwarunkowe i nadają się do bezpośredniego zastosowania pomiędzy nim a państwem. Moim zdaniem, tak jest w przypadku przepisu, umożliwiającego wystąpienie do organu przetwarzającego nasze dane z pytaniem czy, jakie dane gromadzi i w jakim celu - mówi LEX.pl mecenas.
Przypomina równocześnie, że obywatel zawsze może pozwać państwo o odszkodowanie jeśli ocenia, że z powodu niewdrożenia dyrektywy lub wadliwego jej wdrożenia poniósł szkodę. Podstawą - według niej - jest art. 10 Traktatu o Wspólnocie Europejskiej.
Czytaj: Adw. Matusik-Niedziałek: od 6 maja możemy pytać służby, czy przetwarzają nasze dane >>
RPO krytycznie m.in. o wyłączeniu służb specjalnych
Z projektu zostały wyłączone służby specjalne - Agencja Bezpieczeństwa Wewnętrznego, Agencja Wywiadu, Służba Kontrwywiadu Wojskowego, Służba Wywiadu Wojskowego oraz Centralne Biuro Antykorupcyjne.
Autorzy regulacji uzasadnili to tym, że dyrektywa dopuszcza takie rozwiązanie w przypadku przetwarzania danych osobowych "w toku działalności wykraczającej poza zakres prawa Unii". Wskazują przy tym, że chodzi o sferę bezpieczeństwa narodowego, która w myśl Traktatu o Unii Europejskiej pozostaje w zakresie wyłącznej odpowiedzialności każdego państwa członkowskiego.
Krytycznie do tego odnosi się m.in. Rzecznik Praw Obywatelskich. Jego zastępca Stanisław Trociuk, w uwagach do projektu, podkreśla że nie wszystkie zadania tych służb mieszczą się w zakresie pojęcia „bezpieczeństwo narodowe”.
- Z punktu widzenia prawa UE pojęcie "bezpieczeństwo narodowe" nie może być utożsamiane z pojęciem "bezpieczeństwa wewnętrznego". Działalność CBA nie ma np. bezpośredniego związku z "bezpieczeństwem narodowym" - ocenia i dodaje, że takie rozwiązanie - przynajmniej w części - może być sprzeczne nie tylko z postanowieniami dyrektywy, ale przede wszystkim z konstytucją.
Podobnie kwestię oceniają eksperci Panoptykonu. - Najbardziej bulwersujące jest uznanie, że przeciwdziałanie korupcji, którym zajmuje się CBA, dotyczy bezpieczeństwa narodowego. Nie tylko osoby podejrzewane, ale też świadkowie, a nawet przypadkowe osoby, których dane przetwarza CBA, nie będą miały w związku z tym uprawnień, które przewiduje dyrektywa, np. do sprostowania nieprawdziwych informacji lub zdobycia informacji, do czego te dane są wykorzystywane - mówi prawnik Wojciech Klicki.
Czytaj: RPO krytycznie o projekcie wprowadzającym dyrektywę policyjną>>
Część zapisów projektu wypacza sens dyrektywy
Zdaniem RPO i organizacji pozarządowych w projekcie jest część przepisów, które zasadniczo oddają treść postanowień dyrektywy, ale są też takie, które "mogą wypaczyć ich sens i istotę".
Duże wątpliwości budzi m.in. uzależnienie możliowości uzyskania informacji o naszych danych przetwarzanych przez służby od wykazania, czy jest to niezbędne do ochrony "naszych żywotnych interesów".
- Moim zdaniem idzie to wbrew idei ochrony danych osobowych i autonomii informacyjnej jednostki, wynikająca także z naszej konstytucji, czy poprawienia błędnych danych - prawo dostępu do takich informacji nie może być warunkowane szczególnymi „interesem” - ocenia Klicki. RPO zauważa, że takiego wymogu nie przewiduje sama dyrektywa.
Więcej>>
Rzecznik ma też wątpliwości, czy projekt w ogóle realizuje zapisane w dyrektywie prawo jednostki do wniesienia skargi do organu nadzorczego - prezesa Urzędu Ochrony Danych Osobowych, na przetwarzanie przez służby jej danych. To miało wzmacniać prawa obywateli.
- Żaden zapis projektu nie wskazuje wprost na możliwość wniesienia skargi. Mowa jest w nim, że prezes UODO działa z urzędu lub na wniosek osoby zainteresowanej. Projekt wymienia tylko zażalenie, które nie prowadzi do wszczęcia postępowania, a zwłaszcza nie kończy się decyzją i ewentualną skargą na nią do sądu administracyjnego - podkreśla w uwagach zastępca RPO.
Eksperci może być luka w obszarze bezpieczeństwa
Zdaniem ekspertów zbyt późne przyjęcie ustawy wprowadzającej zapisy dyrektywy unijnej może też doprowadzić do powstania luki w ochronie danych osobowych przetwarzanych przez służby.
Prokurator i adiunkt w Katedrze Prawa Informatycznego WPiA Uniwersytetu Kardynała Stefana Wyszyńskiego, dr inż. Agnieszka Gryszczyńska przypomina w rozmowie z LEX.pl, że jeśli wcześniej wejdzie w życie ustawa o ochronie danych osobowych - wdrażająca RODO, uchylona zostanie ustawę z 1997 r.
- Powstanie istotna luka w przepisach dotycząca ochrony danych osobowych przetwarzanych w związku z zapobieganiem i zwalczaniem przestępczości - dodaje, wskazując, że przepisy RODO nie mają do tego zastosowania.