Choć Unia wymaga od nas ograniczenia uprawnień specsłużb, rząd nic sobie z tego nie robi. Przed naruszeniem prawa europejskiego ostrzega nawet Ministerstwo Spraw Zagranicznych.
Chodzi o projekt ustawy o ochronie danych osobowych przetwarzanych w związku z zapobieganiem i zwalczaniem przestępczości. Zajmie się nim dziś Sejm. To implementacja unijnej dyrektywy policyjnej (dyrektywa 2016/680). Potocznie jest ona nazywana RODO dla służb. Głównym celem jest bowiem określenie zasad, dość restrykcyjnych, na jakich organy państwa mogą przechowywać i przetwarzać dane o obywatelach.
Część służb ograniczona / DGP

MSZ ostrzega

Projektowany art. 3 pkt 2 ustawy przewiduje, że jej przepisów nie stosuje się do ochrony danych osobowych przetwarzanych w związku z zapewnieniem bezpieczeństwa narodowego, w tym w ramach realizacji zadań ustawowych Agencji Bezpieczeństwa Wewnętrznego, Agencji Wywiadu, Służby Kontrwywiadu Wojskowego, Służby Wywiadu Wojskowego oraz Centralnego Biura Antykorupcyjnego. W skrócie: specsłużb implementacja dyrektywy policyjnej nie obejmie. Zdaniem ustawodawcy powinny one dalej przetwarzać dane osobowe obywateli na obecnych zasadach, czyli w praktyce bez żadnych zasad.
W uzasadnieniu rządowego projektu czytamy, że takie wyłączenie jest dopuszczalne, gdyż „w art. 2 ust. 3 lit. a dyrektywa wskazuje, że nie ma ona zastosowania do przetwarzania danych osobowych w ramach działalności nieobjętej obszarem prawa Unii”. A, jak podkreśla projektodawca, kwestie związane z bezpieczeństwem narodowym pozostają w zakresie wyłącznej odpowiedzialności każdego państwa członkowskiego.
Sęk w tym, że resort spraw wewnętrznych i administracji, a za nim rząd, błędnie rozumieją przepis dyrektywy. I to mimo ostrzeżeń Ministerstwa Spraw Zagranicznych. To bowiem wskazało, że dopuszczalne jest wyłączenie przedmiotowe (działalność w zakresie bezpieczeństwa narodowego), a nie podmiotowe (cała działalność służb). Innymi słowy, można wyłączyć stosowanie dyrektywy w niektórych przypadkach związanych z zagrożeniem bezpieczeństwa narodowego, ale już niedopuszczalne jest zastosowanie generalnego wyłączenia dla służb.
„Szczególnie wątpliwe jest wyłączenie CBA, ponieważ jest to służba powołana do zwalczania korupcji w życiu publicznym i gospodarczym (...). Do takiej działalności powinny być stosowane przepisy dyrektywy 2016/680/UE” – wskazuje MSZ. I adwokat dr Magdalena Matusiak-Frącczak twierdzi, że to właśnie MSZ ma rację. W dyrektywie bowiem bez wątpienia chodzi o wyłączenie przedmiotowe, a nie podmiotowe. Potwierdziła to zresztą Komisja Europejska, gdy powstały wątpliwości, jak rozumieć art. 2 dyrektywy.
Analogicznie uważa dr Marcin Górski, adiunkt w Katedrze Europejskiego Prawa Konstytucyjnego Uniwersytetu Łódzkiego.
– Jestem zdziwiony, że proceduje się ustawę dotkniętą tak poważnym i oczywistym błędem oraz naraża się agentów służb na odpowiedzialność karną, a podatnika na płacenie odszkodowań. Minister odpowiadający za ten projekt powinien zostać odwołany, bo nie ma kompetencji, i to o zupełnie podstawowym charakterze, do zajmowania stanowiska – twierdzi.

W kraju i w UE

Zdaniem dr. Górskiego, jeśli ustawa ostatecznie będzie brzmiała tak jak projekt, kłopoty pojawią się na dwóch płaszczyznach. Na tej krajowej służby wymienione w art. 3 pkt 2 ustawy będą zobowiązane do stosowania dyrektywy bezpośrednio. Obywatele z kolei będą mogli korzystać z ochrony odszkodowawczej, w razie gdyby którakolwiek ze służb tego nie zrobiła i naruszyła prawo do ochrony danych osobowych.
– Co więcej, nielegalne przetwarzanie danych jest przestępstwem, a skorzystanie przez agentów np. CBA z niezgodnego z dyrektywą wyjątku będzie stanowiło nielegalne przetwarzanie danych osobowych. Agenci winni zatem ponieść w takim wypadku odpowiedzialność karną – podkreśla dr Marcin Górski. I dodaje, że narażenie na to tysięcy funkcjonariuszy to dowód skrajnej niekompetencji i brak elementarnej troski rządzących o podległy im personel.
Uchwalenie ustawy może wywołać także reperkusje międzynarodowe. Doktor Magdalena Matusiak-Frącczak wyjaśnia, że w ostateczności Komisja Europejska będzie mogła wnieść skargę przeciwko Polsce na podstawie art. 258 Traktatu o funkcjonowaniu UE. A, jak z kolei przypomina prof. Robert Grzeszczak z Katedry Prawa Europejskiego WPiA UW, unijni decydenci szybko się o tym dowiedzą.
– Rząd ma obowiązek notyfikacji Komisji Europejskiej podjętych środków implementujących, to jest niniejszej ustawy. W efekcie KE wskaże to uchybienie Polsce – wyjaśnia Grzeszczak. I uzupełnia, że na sądach polskich w przypadku procedowania nad sprawami związanymi ze stosowaniem ustawy będzie spoczywał obowiązek prounijnej wykładni przepisów. I to niezależnie od ewentualnej skargi KE i bez czekania na wyrok trybunału.
– Jest to obowiązek interpretacji ustawy polskiej w świetle brzmienia i celów dyrektywy (tzw. interpretacja zgodna) i oznacza to, że sądy będą miały przywoływać brzmienie dyrektywy. I w efekcie odpowiednio modyfikować ustawę implementującą tak, aby osiągnąć prawidłowy efekt. Niemniej może się to okazać bardzo trudnym zadaniem dla sądów – suponuje prawnik z UW.

Ochrona obywateli

Jakkolwiek zawiłości proceduralne mogą nie interesować przeciętnego Polaka, tak skutki uchwalenia ustawy w brzmieniu niezgodnym z dyrektywą byłyby namacalne. Służby zapewne stosować będą w pierwszej kolejności rodzime przepisy. To by zaś oznaczało, że w dowolny sposób mogłyby przetwarzać dane, np. dotyczące zdrowia, seksualności czy biometryczne o każdym z nas, jeśli tylko uznają, że jest to potrzebne ze względu na szeroko pojęty cel „rozpoznawania, zapobiegania, wykrywania i zwalczania czynów zabronionych, w tym zagrożeń dla bezpieczeństwa i porządku publicznego”.
Unijna dyrektywa policyjna bazuje na tych samych zasadach ogólnych co ogólne rozporządzenie o ochronie danych (RODO). Zgodnie z nią organy ścigania i specsłużby powinny przy gromadzeniu i przetwarzaniu danych osobowych przestrzegać zasad celowości, adekwatności i legalności. Unia wymaga, by państwa członkowskie stworzyły regulacje o zasadach przetwarzania danych osobowych oraz praw osób, których dane dotyczą, określające zadania i wymogi stawiane przed administratorem, podmiotem przetwarzającym oraz inspektorem ochrony danych osobowych. Wreszcie, określone powinny być środki ochrony prawnej przysługujące tym, których prywatność została niezgodnie z prawem naruszona.
KOMENTARZ

Katarzyna Kosik, senior associate w kancelarii Świeca i Wspólnicy

Jak wskazano w uzasadnieniu projektu ustawy, nie zdecydowano się na skatalogowanie podmiotów, których ustawa dotyczy. Czynnikiem determinującym stosowanie przepisów projektowanej ustawy będą natomiast kompetencje podmiotu określone w regulacjach prawnych rangi ustawy. Zatem projektodawca nałożył nacisk nie na podmiot, a kompetencje podmiotu w zakresie przetwarzania danych osobowych (przetwarzanie rozumiane szeroko, przez pozyskiwanie, gromadzenie i udostępnianie). Jednocześnie w art. 3 pkt 2 projektu wskazano na wyłączenia podmiotowe w odniesieniu do zakresu przedmiotowej ustawy: Przepisów ustawy nie stosuje się do ochrony danych osobowych (…) przetwarzanych w związku z zapewnieniem bezpieczeństwa narodowego, w tym w ramach realizacji zadań ustawowych Agencji Bezpieczeństwa Wewnętrznego, Agencji Wywiadu, Służby Kontrwywiadu Wojskowego, Służby Wywiadu Wojskowego oraz Centralnego Biura Antykorupcyjnego. Projektodawca w uzasadnieniu podkreślił, iż rozwiązanie takie dopuszcza Dyrektywa 2016/680. Twierdzenie swoje motywuje treścią art. 2 ust. 3 lit a, który stanowi, iż Dyrektywa nie ma zastosowania do przetwarzania danych osobowych w ramach działalności nieobjętej zakresem prawa Unii – niemniej – zwrócić należy uwagę, że Dyrektywa w powołanym przepisie wskazuje na wyłączenie przedmiotowe – jako działalność nieobjęta zakresem prawa Unii, nie posługuje się zatem wyłączeniem podmiotowym. W tym zakresie należy mieć na względzie także art. 2 ust. 3 lit. b, który już dla podmiotów unijnych posługuje się wyłączeniem podmiotowym, w przeciwieństwie do art. 2 ust. 3 lit. a, który wydaje się wprost wskazywać na wyłączenie przedmiotowe.

Ministerstwo Spraw Zagranicznych w opinii skierowanej do Sekretarza Rady Ministrów z dnia 5 października 2018 roku w zakresie powołanego art. 3. pkt 2 w związku z naciskiem brzmienia Dyrektywy na wyłączenia przedmiotowe (obejmujące „czynności”) zaproponowało przeformułowanie omawianego przepisu. Podobną opinię wyraziło Biuro Rzecznika Praw Obywatelskich wskazując, iż nie wszystkie zadania ustawowe realizowane przez służby wskazane w art. 3 pkt 2 projektu mieszczą się w zakresie pojęcia „bezpieczeństwo narodowe”. Istotnym dla oceny całościowego i kompleksowego wyłączenia powołanych służb jest przykład Centralnego Biura Antykorupcyjnego, której działalność uznawana jest za nieposiadającą bezpośredniego związku z bezpieczeństwem narodowym, które w oparciu o analizę przepisów Traktat u o Unii Europejskiej i Traktatu o funkcjonowaniu Unii Europejskiej nie może być utożsamiane z bezpieczeństwem wewnętrzny.

Zatem biorąc pod uwagę ww. opinie wobec art. 3 pkt 2 projektu, należy opowiedzieć się za koniecznością odpowiedniego przeformułowania powołanego przepisu i uwzględnienia krytycznych opinii wobec automatycznego pozostawienia poza zakresem Dyrektywy i projektu ustawy wszystkich działań ww. podmiotów, co w praktyczne oznacza wyłączenie podstawowych praw osób, których dane dotyczą w zakresie ich danych osobowych.

Etap legislacyjny
projekt w Sejmie