wystąpienie do Prezesa Urzędu Ochrony Danych Osobowych w sprawie podstaw prawnych działania funkcjonariuszy Służby Ochrony Państwa oraz zapewnienia dziennikarzom ochrony ich praw z dnia 2025-07-17.
wystąpienie do Prezesa Urzędu Ochrony Danych Osobowych w sprawie podstaw prawnych działania funkcjonariuszy Służby Ochrony Państwa oraz zapewnienia dziennikarzom ochrony ich praw.
Do Rzecznika Praw Obywatelskich wpływają liczne wnioski, w szczególności pochodzące od dziennikarzy, którym wybrane organy władzy publicznej odmawiają wstępu na organizowane wydarzenia na podstawie odwołania do decyzji o negatywnej weryfikacji bezpieczeństwa przez Służbę Ochrony Państwa. Wnioskodawcy wskazują przy tym, że nie są informowani o przyczynach negatywnej decyzji SOP oraz braku możliwości wniesieniu od niej środka odwoławczego.
Rzecznik już we wcześniejszym wystąpieniu do Ministra Spraw Wewnętrznych i Administracji w tej sprawie wolność słowa oraz wolność wykonywania zawodu. W odpowiedzi MSWiA wskazano m.in., że zgodnie z Konstytucją RP prawo do informacji jest gwarantowane, ale może być ograniczone ustawowo. Ograniczenia te wynikają z ustawy o Służbie Ochrony Państwa , ustawy o ochronie danych osobowych oraz dyrektyw UE, które pozwalają na opóźnianie lub ograniczanie dostępu do danych w celu zapobiegania przestępczości, ochrony bezpieczeństwa publicznego i narodowego oraz praw i wolności innych osób. W ocenie Rzecznika taka praktyka działania organów może dokonywać się z uszczerbkiem dla obowiązujących standardów ochrony praw podstawowych.
Unijny prawodawca dostrzegł potrzebę zapewnienia jednostkom dostępu do informacji o przetwarzaniu ich danych osobowych – w tym o treści danych, źródłach i podstawie prawnej – czego wyrazem jest dyrektywa 2016/680. Została ona implementowana do polskiego prawa ustawą o ochronie danych osobowych przetwarzanych w związku z zapobieganiem i zwalczaniem przestępczości, która powierza PUODO funkcję organu nadzorczego.
Artykuł 17 dyrektywy umożliwia realizację prawa dostępu za pośrednictwem organu nadzorczego w razie jego ograniczenia. Organ ten, po przeprowadzeniu weryfikacji, powinien poinformować osobę o samym fakcie jej dokonania. Dyrektywa nie obejmuje jednak danych przetwarzanych w celach niezwiązanych z prawem UE, np. dla bezpieczeństwa narodowego.
W praktyce Biura RPO pojawiają się wątpliwości co do skuteczności realizacji tych uprawnień, zwłaszcza gdy organy takie jak SOP odmawiają udostępnienia danych lub informacji o ich przetwarzaniu. W tym kontekście należy zauważyć, że skarga z art. 50 ustawy ma węższy zakres niż mechanizm z art. 17 dyrektywy – dotyczy wyłącznie przypadków niezgodnego z prawem przetwarzania, podczas gdy dyrektywa przewiduje szerszy katalog uprawnień. Rodzi to pytania o zgodność krajowych rozwiązań z unijnym standardem ochrony danych.
W związku z powyższym Rzecznik zwrócił się do Prezesa Urzędu Ochrony Danych Osobowych z prośbą o informację, czy skargi mające związek z zasygnalizowanym problemem wpływają do Urzędu, a jeśli tak, to jaki jest zakres kontroli dokonywanej przez Urząd w tych sprawach.
Prezes UODO prowadził trzy postępowania administracyjne w sprawie nieprawidłowości w procesie przetwarzania danych osobowych Skarżących, które dotyczyły prawa dostępu do danych oraz odmowy udzielenia informacji o przetwarzaniu danych osobowych przez Komendanta Głównego Policji. Sprawy te były związane z ograniczeniem wolności w wykonywaniu zawodu przez podmioty danych wobec negatywnej oceny bezpieczeństwa. Zostały one wszczęte na podstawie złożonej skargi przez podmioty danych (art. 50 ustawy z dnia 14 grudnia 2018 r. o ochronie danych osobowych przetwarzanych w związku z zapobieganiem i zwalczaniem przestępczości), nie zaś w trybie pośredniego dostępu zgodnie z art. 17 dyrektywy UE 2016/680. Prezes UODO nie doszukał się nieprawidłowości w procesie przetwarzania danych osobowych Skarżących przez Komendanta Głównego Policji.
W sprawie zagadnienia dotyczącego praw podmiotu danych wykonywanych za pośrednictwem organu nadzorczego art. 17 dyrektywy 2016/680 i ewentualnych ograniczeń natury prawnej lub faktycznej stanowiących przeszkodę w wykonywaniu praw osoby, której dane dotyczą, Zastępczyni dodała, że kwestia ta jest przedmiotem pogłębionej analizy Prezesa UODO oraz na forum europejskich organów ochrony danych i instytucji UE. W ocenie Prezesa UODO, kwestia implementowania w ww. ustawie tego przepisu prawa unijnego budzi zasadnicze wątpliwości. Prezes UODO na bieżąco monitoruje postępy tych prac. Na 82 posiedzeniu plenarnym Europejskiej Rady Ochrony Danych Osobowych (18 lipca 2023 r.) przyjęto wniosek o mandat dotyczący wytycznych w sprawie praw osób, których dane dotyczą, w kontekście wspomnianego art. 17 dyrektywy 2016/680.
Prezes UODO zgłaszał swoje uwagi, w których akcentował, iż prawo podmiotu danych do wykonywania swoich praw za pośrednictwem organu nadzorczego wynikające z art. 17 dyrektywy 2016/680 i prawo do wniesienia skargi do organu nadzorczego na podstawie art. 52 tej dyrektywy (art. 50 ustawy z dnia 14 grudnia 2018 r. o ochronie danych osobowych przetwarzanych w związku z zapobieganiem i zwalczaniem przestępczości) są odrębnymi prawami i nie należy ich utożsamiać. Brak jest jednak praktyki polskiego organu nadzorczego w tym zakresie.
W ocenie Prezesa UODO art. 17 ust. 1–3 dyrektywy 2016/680 odwołują się wprost do sprawdzenia przez organ nadzorczy zgodności z prawem procesu przetwarzania, a nie tylko do sprawdzenia zasadności ograniczenia praw osoby, której dane dotyczą. Stanowisko Prezesa UODO jest zgodne ze stanowiskiem Trybunały Sprawiedliwości Unii Europejskiej wyrażonym w wyroku z dnia 16 listopada 2023 r. w sprawie C-333/22 Ligue des droits humains ASBL i BA vs Organe de contrôle de l’information policiere (ECLI:EU:C:2023:807). Opierając się na dyspozycji art. 46 ust. 1 lit. g w zw. z art. 17 dyrektywy 2016/680, Trybunał Sprawiedliwości Unii Europejskiej rozumie uprawnienia organu nadzorczego szeroko – jako obejmujące kontrolę przestrzegania przepisów o ochronie danych osobowych. Nie zaś jedynie kontrolę prawa dostępu do zebranych danych i prawa do dokonania ich sprostowania.
Analiza art. 17 dyrektywy (UE) 2016/680 w kontekście przywołanego wyżej wyroku TSUE C-333/22 prowadzi do wniosku, że wskazany przepis dyrektywy 2016/680 zobowiązuje organ nadzorczy do tego, by poinformował osobę, której dane dotyczą o dwóch kwestiach. Po pierwsze – o fakcie przeprowadzenia wszelkich niezbędnych weryfikacji lub przeglądów. Po drugie – o przysługującym tej osobie prawie do wniesienia środka prawnego do sądu, w sytuacji gdy taka informacja nie pozwala na kontrolę sądową działania organu nadzorczego i dokonanych przez niego ocen, przy uwzględnieniu przetwarzanych danych i obowiązków administratora.
Wobec istniejących istotnych rozbieżności w interpretacji art. 17 dyrektywy 2016/680 między poszczególnymi państwami członkowskimi UE prace nad wytycznymi w tym zakresie nie zostały zakończone. Dalsze działania podejmowane w tej kwestii przez organ właściwy w sprawie ochrony danych osobowych staną się przedmiotem odrębnej informacji skierowanej do Rzecznika Praw Obywatelskich.
Problem nieprawidłowego wdrożenia dyrektywy 2016/680 leży również w obszarze zainteresowania Komisji Europejskiej, która skierowała w ostatnim czasie do organu ochrony danych zapytania, dotyczące m.in. tej kwestii. Trwają prace nad przygotowaniem odpowiedzi na kwestionariusz Komisji.