Sprawy generalne Rzecznika Praw Obywatelskich



Wystąpienie do Ministra Spraw Wewnętrznych i Administracji w sprawie projektu ustawy o ochronie danych osobowych przetwarzanych w związku z zapobieganiem i zwalczaniem przestępczości z dnia 2018-04-26.

Adresat:
Minister Spraw Wewnętrznych i Administracji
Sygnatura:
VII.501.315.2014
Data sprawy:
2018-04-26
Rodzaj sprawy:
uwagi RPO do przygotowywanych (zmienianych) aktów prawnych (WL)
Nazwa zepołu:
Zespół Prawa Konstytucyjnego, Międzynarodowego i Europejskiego
Wynik sprawy:
Opis sprawy:
Wystąpienie do Ministra Spraw Wewnętrznych i Administracji w sprawie projektu ustawy o ochronie danych osobowych przetwarzanych w związku z zapobieganiem i zwalczaniem przestępczości.
Rzecznik Praw Obywatelskich negatywnie ocenił propozycje zawarte w art. 1 ust. 2 pkt 7 projektu ustawy o ochronie danych osobowych przetwarzanych w związku z zapobieganiem i zwalczaniem przestępczości, polegające na wyłączeniu z zakresu jej stosowania danych osobowych przetwarzanych w ramach realizacji zadań ustawowych Agencji Bezpieczeństwa Wewnętrznego, Agencji Wywiadu, Służby Kontrwywiadu Wojskowego, Wojskowego oraz Centralnego Biura Antykorupcyjnego. Takie wyłączenie może oznaczać – w opinii Rzecznika - nie tylko sprzeczność z postanowieniami dyrektywy 2016/680, ale przede wszystkim z art. 51 Konstytucji.
Zaniepokojenie Rzecznika budzą informacje o problemach związanych z budżetem przyszłego organu: Prezesa Urzędu Ochrony Danych Osobowych (dalej jako: PUODO) i brakiem przygotowania do stosowania nowych przepisów od maja 2018 roku. Kwestie te powinny zostać rozstrzygnięte jak najszybciej, by możliwe było sprawne wykonywanie nowych obowiązków od początku obowiązywania przepisów ustawy o ochronie danych osobowych oraz ustawy o ochronie danych osobowych w związku z zapobieganiem i zwalczaniem przestępczości.
Ponadto, Rzecznik wyraził wątpliwości dotyczące przepisów projektu ustawy, regulujących nadzór nad przetwarzaniem danych osobowych w zakresie m.in. ich usuwania i kontroli, a także kompetencji PUODO.
Rzecznik zauważył również, że w projekcie ustawy nie przewidziano niezależnej kontroli przestrzegania przepisów dyrektywy przez sądy i inne niezależne organy wymiaru sprawiedliwości. Analogiczne wyłączenie w odniesieniu do sądów (już nie prokuratury) zawiera rozporządzenie ogólne o ochronie danych. W związku z tym, w projekcie ustawy o zmianie niektórych ustaw w związku z zapewnieniem stosowania rozporządzenia 2016/6797 słusznie przewidziano nowelizację Prawa o ustroju sądów powszechnych wskazując, kto sprawuje nadzór nad przetwarzaniem danych osobowych przez sądy na gruncie rozporządzenia ogólnego o ochronie danych. Wydaje się, że analogiczne przepisy – odnoszące się do zakresu stosowania dyrektywy 2016/680 muszą zostać zaproponowane również w omawianej ustawie, co najmniej w odniesieniu do prokuratury.
W art. 17 projektu ustawy wskazano, że w przypadku, gdy przepisy nie określają terminu, to administrator dokonuje weryfikacji danych osobowych nie rzadziej niż co 10 lat od dnia zebrania, uzyskania, pobrania i aktualizacji danych. Rzecznik powziął wątpliwość, jakie przesłanki uzasadniają określenie właśnie takiego terminu. Co prawda art. 5 dyrektywy 2016/680 w tym względzie jest bardzo ogólnie sformułowany i pozwala na duży margines uznania państwa członkowskiego, jednak propozycja 10 lat wymagałaby przedstawienia przekonującego wyjaśnienia chociażby w uzasadnieniu do projektu ustawy. Nie są bowiem znane przyczyny, dla których akurat 10, a nie 5 lat, jest okresem właściwym do weryfikacji danych.
Za szczególnie zbędny i niezgodny z dyrektywą Rzecznik uznał art. 24 ust. 4 projektu ustawy, który uzależnia przekazanie informacji osobie, której dane dotyczą od niezbędności do ochrony jej żywotnych interesów lub innej osoby. Ponadto, w projekcie ustawy w ogóle nie jest zrealizowane prawo do wniesienia skutecznej skargi na działania administratora. W projekcie tym pominięto także istotę prawa dostępu, czyli informacji o tym, jakie dane osobowe są przetwarzanie i wszelkich dostępnych informacji o ich pochodzeniu.
Rzecznik wskazał, że w projekcie ustawy zabrakło również wdrożenia art. 54 dyrektywy 2016/680, a zatem możliwości wniesienia sprawy do sądu, niezależnie od postępowania administracyjnego i sądowoadministracyjnego. Taka możliwość – analogicznie – została przewidziana w ustawie o ochronie danych osobowych w odniesieniu do rozporządzenia ogólnego o ochronie danych osobowych.
Zastrzeżenia Rzecznika Praw Obywatelskich muszą budzić te wszystkie zmiany w ustawach, które przewidują przyznanie prawa do pozyskiwania informacji przez służby, bez konieczności składania wniosku o dostęp, za pomocą urządzeń telekomunikacyjnych. Niejasne i budzące poważne obawy są – zdaniem Rzecznika – te wszystkie przepisy zmieniające, które wyłączają stosowanie art. 12-22 oraz art. 34 rozporządzenia ogólnego w sytuacji, gdy dane przetwarzane są przez służby w celu innym niż wynikający z dyrektywy 2016/680. Wprowadzenie tego typu rozwiązań wymaga bowiem nie tylko szczegółowej oceny pod kątem realizacji gwarancji wymaganych przez rozporządzenie ogólne o ochronie danych osobowych, ale także pod kątem realizacji przesłanek wskazanych w przepisach Konstytucji.
Rzecznik przedstawił Ministrowi niniejsze uwagi z prośbą o poinformowanie o sposobie ich wykorzystania w pracach legislacyjnych.