Z powodu braku podstawy prawnej administratorzy danych mogą odmawiać udostępnienia personaliów pracowników i klientów.
Co mówił uchylony przepis / DGP
Prawnicy nie mają wątpliwości. Funkcjonariusze nie mogą przetwarzać wrażliwych danych podejrzanych. Wszystko przez przepisy, które odsyłają do nieistniejącej regulacji
Do wpadki legislacyjnej doszło przy okazji niedawnej nowelizacji przepisów przez ustawę o ochronie danych osobowych przetwarzanych w związku z zapobieganiem i zwalczaniem przestępczości. Z niewiadomych powodów uchylono art. 20 ust. 2a ustawy o policji. To on precyzował, czyje dane można przetwarzać. Choć ten przepis został usunięty, to wciąż odwołuje się do niego art. 20 ust. 2b ustawy wskazujący na to, jakie dane funkcjonariusze mogą zbierać.
– Błąd jest oczywisty i może oznaczać, że policja nie ma podstawy prawnej do przetwarzania jakichkolwiek danych osobowych wskazanych w tym przepisie – precyzuje Konrad Młynkiewicz, radca prawny z kancelarii Sadkowski i Wspólnicy, który odkrył lukę w nowelizacji. Chodzi m.in. o linie papilarne, dane o miejscu zamieszkania czy nawet sposobie działania sprawcy.
Nieco bardziej powściągliwy jest dr Grzegorz Sibiga, adwokat w kancelarii Traple, Konarski, Podrecki i Wspólnicy. Choć i on mówi o fatalnym błędzie ustawodawcy i niechlujnej legislacji.
– O ile w przypadku zwykłych danych, takich jak miejsce zamieszkania, można chyba zaakceptować ich przetwarzanie i wywodzić podstawy z generalnie określonych przepisami zadań policji, o tyle w przypadku danych wrażliwych takie rozumowanie jest już niedopuszczalne – wskazuje ekspert. Przy tej interpretacji policja nie mogłaby przetwarzać chociażby informacji dotyczących zdrowia czy seksualności podejrzanych. Przepisy unijne pozwalają na to, ale pod pewnymi warunkami, których z powodu błędu nasza ustawa nie spełnia.
Zapytani przez nas prawnicy nie mają wątpliwości, że jest konieczna jak najszybsza nowelizacja ustawy o policji. Ministerstwo Spraw Wewnętrznych i Administracji sprawę bagatelizuje. Nie odpowiedziało nam na pytania, czy błąd zostanie naprawiony oraz jak do niego doszło. Resort przekonuje natomiast, że odesłanie do nieistniejącego przepisu nie jest problemem, gdyż policja może przetwarzać dane na podstawie przepisów ogólnych.
Obok znanego chyba wszystkim RODO przepisy unijne przewidują także ochronę danych przetwarzanych przez służby zwalczające przestępczość. Reguluje to dyrektywa (UE) 2016/680, w skrócie zwana policyjną. Polska wdrożyła ją z dużym opóźnieniem, uchwalając w grudniu 2018 r. ustawę o ochronie danych osobowych przetwarzanych w związku z zapobieganiem i zwalczaniem przestępczości (Dz.U. z 2019 r. poz. 125). Teraz okazuje się, że w trakcie prac legislacyjnych doszło do błędu, który stawia pod znakiem zapytania podstawę prawną do zbierania przez policję informacji o podejrzanych.
Chodzi o art. 20 ust. 2b ustawy o policji (t.j. Dz.U. z 2019 r. poz. 161 ze zm.), który precyzuje, jakie informacje mogą zbierać funkcjonariusze. Jednocześnie stanowi wprost, że chodzi o dane na temat osób wskazanych w ust. 2a i 2ac tej ustawy. Problem w tym, że te dwa ustępy zostały uchylone wspomnianą nowelizacją.
Kluczowy jest przede wszystkim nieistniejący ust. 2a. To on precyzował, czyje dane policja może przetwarzać (patrz: ramka). Wskazywał m.in. na osoby podejrzewane o popełnienie przestępstwa i poszukiwane. Teraz, gdy go nie ma, ust. 2b pozostaje ślepy, bo odsyła do nieistniejącego przepisu.

Co to oznacza w praktyce

– Przy najdalej idącej interpretacji powoduje to, że policja nie ma podstawy prawnej do przetwarzania jakichkolwiek danych osobowych wskazanych w tym przepisie. Skoro bowiem odsyła on do uchylonych ustępów, nie ma go jak zastosować – mówi Konrad Młynkiewicz, radca prawny z kancelarii Sadkowski i Wspólnicy, który odkrył lukę w nowelizacji.
Dodaje, że bez wątpienia utrudni to pracę policji. – Załóżmy, że zwróci się ona do przedsiębiorcy o podanie danych osobowych pracownika czy klienta. Aby to zrobić, firma musi mieć podstawę prawną. Gdy będzie miała wątpliwości, czy jest ona właściwa, odmówi przekazania informacji w obawie przed nieuprawnionym udostępnieniem danych osobowych – tłumaczy prawnik.
Obawy te nie są bezpodstawne, gdyż administrator danych, udostępniając je bez podstawy prawnej, ryzykuje pociągnięcie do odpowiedzialności. Potencjalne kary w wysokości 20 mln euro skłaniają do dmuchania na zimne. Nawet jeśli o informacje występuje policja.

Niezgodność z dyrektywą

Doktor Grzegorz Sibiga, adwokat w kancelarii Traple, Konarski, Podrecki i Wspólnicy, nie ma wątpliwości, że mamy do czynienia z ewidentnym błędem legislacyjnym. Jest natomiast nieco ostrożniejszy w ocenie jego skutków.
– O ile w przypadku zwykłych danych, takich jak miejsce zamieszkania, można chyba zaakceptować ich przetwarzanie i wywodzić podstawy prawne z generalnie określonych prawem zadań policji, o tyle w przypadku danych wrażliwych takie rozumowanie jest już bez wątpienia niedopuszczalne – mówi ekspert, wskazując na art. 10 dyrektywy (UE) 2016/680.
Regulacja ta pozwala na przetwarzanie danych dotyczących np. zdrowia czy orientacji seksualnej, ale tylko wówczas, gdy jest to bezwzględnie niezbędne i podlega odpowiednim zabezpieczeniom dla praw i wolności osoby, której informacje dotyczą.
Błąd ustawodawcy powoduje zaś, że albo nie ma w ogóle podstawy prawnej, bo przepis odsyła do nieistniejącego już katalogu osób, których dane można przetwarzać albo też art. 20 ust. 2b ustawy dotyczy wszystkich obywateli, bez zawężania ich grona i konkretnych sytuacji gromadzenia danych.
– W tej drugiej sytuacji policja mogłaby przetwarzać dane dotyczące zdrowia lub seksualności każdego człowieka bez względu na jego status, jeżeli tylko mieściłoby się to w szeroko określonych prawem zadaniach tej formacji – podkreśla dr Grzegorz Sibiga.
Wyjaśnia, że oznaczałoby to kompetencję policji do przetwarzania danych wrażliwych nawet przy ochronie obiektów rządowych lub zapewnianiu spokoju w miejscach publicznych.
– To oczywiście jest niezgodne z dyrektywą, gdyż trudno mówić o zabezpieczeniu praw i wolności obywateli – konkluduje.

Konieczna nowelizacja

Jak doszło do legislacyjnej wpadki? Ministerstwo Spraw Wewnętrznych i Administracji nie odpowiedziało nam na to pytanie. Przeprowadzona przez nas analiza procesu legislacyjnego również nie pozwoliła na ustalenie, kiedy zdecydowano o uchyleniu art. 20 ust. 2a ustawy. Pierwsza wersja projektu przewidywała wręcz rozbudowanie. Na Stały Komitet Rady Ministrów jednak trafił już projekt przewidujący uchylenie ustępu 2a.
Resort nie odpowiedział również na pytanie, czy planuje nowelizację. Twierdzi natomiast, że policja może przetwarzać dane osób podejrzanych na podstawie innych przepisów.
„Informujemy, że zgodnie z art. 13 ust. 1 ustawy o ochronie danych osobowych przetwarzanych w związku z zapobieganiem i zwalczaniem przestępczości właściwe organy przetwarzają dane osobowe wyłącznie w zakresie niezbędnym dla zrealizowania uprawnienia lub spełnienia obowiązku wynikającego z przepisu prawa. W odniesieniu do policji uprawnienie do przetwarzania danych osobowych określone zostało m.in. w art. 20 ust. 1, 1a, 1c, 1k–1l oraz 2ad ustawy o Policji” – taką odpowiedź przesłał nam Wydział Prasowy MSWiA. Wynika z niej, że pozostałe przepisy (z pominięciem art. 20 ust. 2b) dają wystarczające podstawy prawne do przetwarzania danych.
Z takim postawieniem sprawy nie zgadza się Konrad Młynkiewicz.
– Wskazany art. 13 ust. 1 legitymuje do przetwarzania danych wyłącznie w granicach określonych przepisami prawa. Tym samym uprawnienie policji musi ściśle wynikać z przepisów ustawy o policji. O ile przepis art. 20 ust. 1 tej ustawy stanowi generalną kompetencję do przetwarzania informacji, o tyle kolejne ustępy tego przepisu stanowią lex specialis wobec normy ogólnej – zauważa radca prawny.
Podkreśla, że niedopuszczalne z punktu widzenia wykładni prawa byłoby przyjęcie, że w sytuacji ewidentnego błędu legislacyjnego powodującego niemożność odczytania warunków i zakresu przetwarzania danych osobowych przez policję należy odstąpić od stosowania takiego przepisu i posługiwać się normą generalną.
Policja nie odpowiedziała na przesłane jej przez DGP pytania.