DODO - Ochrona danych osobowych przy przeciwdziałaniu przestępczości

Ujednolicenie zasad zbierania, przetwarzania oraz usuwania danych osobowych na potrzeby bezpieczeństwa państwa daje gwarancję, że państwo będzie mogło korzystać z tych danych wyłącznie w precyzyjnie uregulowanych sytuacjach oraz pod ścisłą kontrolą niezależnego od rządu organu ochrony danych osobowych.

W związku z wejściem w życie unijnego rozporządzenia dotyczącego ochrony danych osobowych (RODO) od 25 maja 2018 r. zaczęły obowiązywać nowe przepisy w tym zakresie. Dodatkowo na podstawie tzw. unijnej dyrektywy policyjnej (dyrektywa DODO) Polska – podobnie jak inne kraje unijne - jest zobowiązana wdrożyć przepisy dotyczące przetwarzania danych osobowych w związku z zapobieganiem i zwalczaniem przestępczości. Dlatego właśnie MSWiA przygotowało projekt ustawy w tym zakresie. Unijna dyrektywa, jako akt prawny, zobowiązuje państwa członkowskie do ustanowienia danego porządku prawnego – czyli przeniesienia założeń do aktów prawnych poszczególnych państw. Pozwala jednak na uwzględnienie w przygotowywanych przepisach odmienności krajowych regulacji (przykładowo w Polsce istnieje podział na przestępstwa i wykroczenia, którego nie posiada większość krajów europejskich).

Jednym z głównych założeń ustawy jest utrzymanie równowagi między prawem osób do prywatności a koniecznością zachowania poufności w przetwarzaniu danych podczas postępowań prowadzonych przez m.in. Policję, Straż Graniczną i inne służby.

Projekt ustawy o ochronie danych osobowych przetwarzanych w związku z zapobieganiem i przeciwdziałaniem przestępczości określa m.in. cele i zasady przetwarzania danych osobowych oraz prawa osób, których te dane dotyczą. Zgodnie z projektem ustawy dane osobowe będą mogły być przetwarzane m.in. w celu rozpoznawania, zapobiegania, wykrywania i zwalczania przestępstw i wykroczeń (w tym zagrożeń dla bezpieczeństwa i porządku publicznego) oraz prowadzenia postępowań w tych sprawach.

Administrator będzie udostępniał z urzędu m.in. informacje o nazwie, siedzibie i swoich danych kontaktowych, a także – w razie potrzeby – o danych kontaktowych inspektora ochrony danych. Z kolei osoba, której dane dotyczą będzie mogła wystąpić o informacje odnoszące się m.in. do celów, których mają służyć jej dane osobowe oraz możliwości wniesienia wniosku o ich sprostowanie lub usunięcie, a także źródła pochodzenia danych osobowych. Osoba taka będzie mogła również wystąpić do administratora o dostęp do swoich danych, ich uzupełnienie, uaktualnienie, sprostowanie lub usunięcie.

Nadzór nad przetwarzaniem danych w ramach ustawy będzie sprawował Prezes Urzędu Ochrony Danych Osobowych - będzie on miał m.in. możliwość monitorowania przepisów ustawy, przeprowadzania kontroli przetwarzania danych osobowych i rozpatrywania zażaleń osób, których prawa zostały naruszone.

Zgodnie z proponowanymi przepisami administratorzy danych będą musieli w określonych terminach dokonywać oceny, które z posiadanych przez nich danych są zbędne (zbędne dane będą usuwane). Zgodnie z ustawą administratorzy danych będą m.in. mogli przetwarzać dane tylko w uzasadnionych celach, uaktualniać je i przetwarzać w sposób zapewniający odpowiednie bezpieczeństwo danych. Zostaną też zobowiązani do opracowania polityki ochrony danych.

Co dokładnie przewiduje projekt?

Projekt ustawy o ochronie danych osobowych przetwarzanych w związku z zapobieganiem i przeciwdziałaniem przestępczości określi dopuszczalne cele przetwarzania danych osobowych w rozumieniu ustawy, zakres przedmiotowy i podmiotowy tego aktu prawnego, definicję danych osobowych oraz wyjaśnienie innych, stosowanych w ustawie pojęć, wywodzących się z dyrektywy 2016/680. Projektowane przepisy będą również statuować organ nadzorczy – Prezesa Urzędu Ochrony Danych Osobowych – który będzie tożsamy z organem nadzorczym określonym w rozporządzeniu Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych.
Projektowane przepisy będą zawierać również regulacje w zakresie zasad przetwarzania danych osobowych oraz praw osób, których dane dotyczą. Ustawa określi również obowiązki i wymogi stawiane przed administratorem oraz podmiotem przetwarzającym, a także zadaniom i uprawnieniom inspektora ochrony danych osobowych. W projekcie uregulowane zostaną również kwestie współpracy Prezesa Urzędu Ochrony Danych osobowych z organami nadzorczymi innych państw Unii Europejskiej, a także środków ochrony prawnej przysługujących osobom, których dane są przetrwane.

Zakres przedmiotowy i podmiotowy oraz cele przetwarzania danych osobowych

Dane osobowe w rozumieniu projektu ustawy będą mogły być przetwarzane w celach:

a. prowadzenia postępowania karnego, postępowania w sprawach o przestępstwa skarbowe, postępowania w sprawach nieletnich oraz czynności na podstawie ustawy z dnia 22 listopada 2013 r. o postępowaniu wobec osób z zaburzeniami psychicznymi stwarzającymi zagrożenie życia, zdrowia lub wolności seksualnej innych osób (Dz. U. z 2014 r. poz. 24, z późń. zm.),
b. wykonywania orzeczeń wydanych w postępowaniach, o których mowa w lit. a, a także wykonywania kar porządkowych i środków przymusu,
c. wykonywania czynności operacyjno-rozpoznawczych,
d. rozpoznawania, wykrywania lub zwalczania czynów zabronionych, w tym zagrożeń dla bezpieczeństwa i porządku publicznego oraz zapobiegania takim czynom i zagrożeniom.

Jednocześnie, kierując się wyjaśnieniem zawartym w motywie (80), z zakresu nadzoru określonego w projektowanych przepisach wyłączono dane osobowe przetwarzane w przez prokuraturę i sądy w toku sprawowania przez nie wymiaru sprawiedliwości.

Zakres podmiotowy projektowanych przepisów określony zostanie poprzez odesłanie do odrębnych ustaw, na podstawie których uprawnione podmioty prowadzą postępowania lub wykonują czynności w wymienionym wyżej zakresie (postępowania karne, postępowania karne wykonawcze, sprawy o wykroczenia). Oznacza to, że czynnikiem determinującym stosowanie przepisów projektowanej ustawy, będą kompetencje podmiotu określone w regulacjach prawnych rangi ustawy. Powyższa konstrukcja projektowanych przepisów jest przede wszystkim wynikiem wielości podmiotów funkcjonujących w sferze określonej ramami zakresu podmiotowego dyrektywy 2016/680. Rozwiązanie takie jest przy tym na tyle uniwersalne, że w przypadku utworzenia, likwidacji lub przekształcenia działający w tym obszarze podmiotów, nie będzie skutkowało koniecznością wprowadzania zmian w projektowanych przepisach.

Ze stosowania przepisów projektowanej ustawy wyłączone zostaną służby specjalne, to jest Agencja Bezpieczeństwa Wewnętrznego, Agencja Wywiadu, Służba Kontrwywiadu Wojskowego, Służba Wywiadu Wojskowego oraz Centralne Biuro Antykorupcyjne. Należy podkreślić, że dyrektywa 2016/680 w art. 2 ust. 3 lit. a oraz motywie (14) dopuszcza takie rozwiązanie, stanowiąc, że jej przepisy nie powinny mieć zastosowania do przetwarzania danych osobowych w toku działalności wykraczającej poza zakres prawa Unii, dlatego czynności w zakresie bezpieczeństwa narodowego, czynności agencji lub jednostek zajmujących się bezpieczeństwem narodowym, ani przetwarzania danych osobowych przez państwa członkowskie podczas czynności, które wchodzą w zakres zastosowania tytułu V rozdział 2 Traktatu o Unii Europejskiej, nie należy uznawać za czynności wchodzące w zakres dyrektywy 2016/680. Ponadto przywołany Traktat o Unii Europejskiej w art. 4 ust. 2 (zdanie trzecie) stanowi, że w szczególności bezpieczeństwo narodowe pozostaje w zakresie wyłącznej odpowiedzialności każdego Państwa Członkowskiego.

Zgodnie z założeniami projektu, za dane osobowe uważa się wszelkie informacje o zidentyfikowanej lub możliwej do zidentyfikowania osobie fizycznej przetwarzane w celach określonych w projektowanej ustawie. Z kolei możliwa do zidentyfikowania osoba fizyczna to osoba, którą można bezpośrednio lub pośrednio zidentyfikować, w szczególności na podstawie identyfikatora takiego jak imię i nazwisko, numer identyfikacyjny, dane o lokalizacji, identyfikator internetowy bądź jeden lub kilka szczególnych czynników określających fizyczną, fizjologiczną, genetyczną, psychiczną, ekonomiczną, kulturową lub społeczną tożsamość osoby fizycznej. W proponowanej definicji skorzystano zatem z definicji zawartej w rozrządzeniu 2016/679, ograniczonej poprzez wskazanie celów określonych w implementowanej dyrektywie. Rozwiązanie to zachowuje zatem pełną zgodność z zapisami dyrektywy 2016/680.
W części projektu zawierającej wyjaśnienie terminologii stosowanej w ustawie posłużono się w znacznej mierze definicjami zawartymi w art. 3 dyrektywy 2016/680.

Nadzór nad przetwarzaniem danych osobowych

Zgodnie z założeniami funkcję organu nadzorczego w ramach dyrektywy 2016/680 pełnić będzie Prezes Urzędu Ochrony Danych Osobowych (dalej zwany „Prezesem Urzędu” lub „organem nadzorczym”) powołany na podstawie przepisów rozporządzenia 2016/679. Skorzystano w tym przypadku z przewidzianej w art. 41 ust. 3 dyrektywy 2016/680 możliwości, aby organem tym był organ nadzorczy ustanowiony na mocy rozporządzenia 2016/679. Rozwiązanie to jest korzystne nie tylko ze względów ekonomicznych (nie ma potrzeby tworzenia odrębnego urzędu), ale przede wszystkim gwarantuje spójność systemu ochrony danych osobowych, a przez to ich większe bezpieczeństwo. W ten sposób zapewniono również niezależność organu nadzorczego stanowiącą nieodzowny element całego systemu.

Z uwagi na podobny sposób określenia niektórych zadań organu nadzorczego w rozporządzeniu 2016/679 oraz dyrektywie 2016/680, a także ze względu na to, że ustanowiony będzie jeden wspólny organ nadzorczy dla tych dwóch reżimów prawnych, w projektowanych przepisach skupiono się na zadaniach Prezesa Urzędu, wynikających ze specyfiki przetwarzania danych do celów zapobiegania przestępczości, prowadzenia postępowań przygotowawczych, wykrywania i ścigania czynów zabronionych i wykonywania kar.
Prezes Urzędu dysponował będzie również możliwością przeprowadzania kontroli przetwarzania danych osobowych, wykorzystując w tym celu co do zasady procedury uregulowane w projektowanej ustawie o ochronie danych osobowych poza przepisami odnoszącymi się do rozporządzenia 2016/679. Rozwiązanie to stanowi dodatkowy element gwarancyjny w maksymalny sposób zbliżające oba systemy ochrony danych osobowych, ale uwzględniający jednocześnie ich specyfikę.

Kierując się wspomnianą specyfiką określone zostaną również uprawnienia kontrolującego, który w toku kontroli będzie mieć prawo wglądu do zbioru zawierającego dane osobowe, z zachowaniem przepisów ustawy o ochronie informacji niejawnych, w obecności upoważnionego przedstawiciela właściwego organu, w którym jest przeprowadzana kontrola oraz z wykorzystaniem jego kodów dostępowych do zbiorów danych, o ile są one stosowane. Kontrolujący będzie mieć  również prawo wglądu do innych dokumentów i informacji mających bezpośredni związek z przedmiotem kontroli. Z kolei podmioty kontrolowane (administrator, podmiot przetwarzający lub odbiorca) są obowiązane umożliwić kontrolującemu przeprowadzenie kontroli.

Zgodnie z przyjętymi założeniami, w przypadku naruszenia przepisów o ochronie danych osobowych, Prezes Urzędu – z urzędu lub na wniosek osoby zainteresowanej – w drodze decyzji administracyjnej, będzie nakazywać administratorowi lub podmiotowi przetwarzającemu przywrócenie stanu zgodnego z prawem, a w szczególności:

1. usunięcie uchybień;
2. uzupełnienie, uaktualnienie, sprostowanie, udostępnienie lub nieudostępnienie danych osobowych;
3. zastosowanie dodatkowych środków zabezpieczających zgromadzone dane osobowe;
4. zabezpieczenie danych lub przekazanie ich innym podmiotom;
5. usunięcie danych osobowych;
6. wprowadzenie czasowych lub stałych ograniczeń przetwarzania i przekazywania, w tym zakazu przetwarzania.

Powyższa decyzja Prezesa Urzędu nie może nakazywać usunięcia danych osobowych zebranych w toku czynności operacyjno-rozpoznawczych prowadzonych na podstawie przepisów prawa. Z uwagi na specyficzny, a także niejawny charakter tego rodzaju czynności, przepis ten umożliwia dalsze przetwarzanie danych uzyskanych z naruszeniem przepisów projektowanej ustawy. Rozwiązanie to nie wyłącza jednak możliwości skorzystania przez organ nadzorczy z pozostałych mechanizmów gwarancyjnych.

Z kolei w przypadku uzasadnionego podejrzenia naruszenia przepisów projektowanych przepisów, Prezes Urzędu – również z urzędu lub na wniosek osoby zainteresowanej – będzie wydawał administratorowi lub podmiotowi przetwarzającemu ostrzeżenie, w którym informuje, że podjęcie operacji przetwarzania danych może skutkować naruszeniem przepisów. Dodatkowo przewiduje się możliwość wystąpienia przez Prezesa Urzędu bezpośrednio do inspektora danych osobowych o dokonanie sprawdzenia stosowania przepisów projektowanej ustawy przez administratora, który tego inspektora powołał. Jednocześnie przeprowadzenie tego rodzaju sprawdzenia, nie będzie wyłączać prawa Prezesa Urzędu do przeprowadzenia przez niego kontroli.

Do prowadzonych postępowań zastosowanie będą miały przepisy ustawy z dnia 14 czerwca 1960 r. – Kodeks postępowania administracyjnego (Dz. U. z 2017 r. poz. 1257), o ile przepisy projektowanej ustawy nie stanowią inaczej. Decyzje Prezesa Urzędu podlegać będą z kolei zaskarżeniu do sądu administracyjnego.

Jakie będą prawa osoby, której dane dotyczą?

Osoba, której dane dotyczą, będzie mieć przede wszystkim prawo do uzyskania informacji od administratora o fakcie przetwarzania jej danych osobowych oraz prawo do uzyskania do nich dostępu oraz do informacji o przetwarzanych danych, w tym celu i podstawie prawnej, rodzaju danych, odbiorcach, którym zostały przekazane, okresie przechowywania oraz uprawnieniu do kierowania wniosków do administratora lub Prezesa Urzędu), a także danych identyfikujących administratora i inspektora ochrony danych.

Ponadto osoba, której dane dotyczą, będzie mogła również wystąpić do administratora z wnioskiem o:

1. uzupełnienie, uaktualnienie lub sprostowanie danych osobowych – w przypadku gdy dane te są niekompletne, nieaktualne lub nieprawdziwe;
2. usunięcie danych osobowych – w przypadku gdy dane te znajdujące się w jawnych zbiorach danych osobowych zostały zebrane z naruszeniem przepisów projektowanej ustawy albo są zbędne do realizacji celu, dla którego zostały zebrane.

W powyższych przypadkach administrator będzie mógł nie przekazać żądanych informacji lub nie dokonywać uzupełnienia, uaktualnienia, sprostowania lub usunięcia danych osobowych, jeżeli:

1. ujawnienie informacji uzyskanych w wyniku czynności operacyjno-rozpoznawczych;
2. utrudnienie prowadzenia postępowania karnego, karnego wykonawczego, karno‑skarbowego lub w sprawach o wykroczenia i wykroczenia skarbowe;
3. zagrożenie dla życia i zdrowia ludzi lub bezpieczeństwa i porządku publicznego;
4. zagrożenie dla obronności lub bezpieczeństwa państwa:
5. zagrożenie dla podstaw ekonomicznych państwa;
6. istotne naruszenie dóbr osobistych osób, których dane dotyczą, lub innych osób.

W takiej sytuacji osoba, której dane dotyczą będzie mogła wystąpić do administratora z powtórnym wnioskiem albo do Prezesa Urzędu o weryfikację zasadności takiej decyzji administratora.

Wprowadzenie możliwości nieudzielania informacji przez administratora oparte zostało na sformułowanych w dyrektywie 2016/680 przesłankach, określonych w art. 13 ust. 3 oraz art. 15 ust. 1 i 3 zdanie drugie. Szersze wyjaśnienie tej kwestii znajdujące się w motywie (44) wskazuje, że rozwiązanie to ma uniemożliwić zakłócanie czynności postępowań urzędowych lub sądowych, postępowań przygotowawczych lub czynności procesowych, uniemożliwić zakłócanie zapobiegania przestępczości, prowadzenia postępowań przygotowawczych, wykrywania i ścigania czynów zabronionych i wykonywania kar oraz w celu ochrony bezpieczeństwa publicznego lub narodowego lub a także aby chronić prawa i wolności innych osób.
Z wyjątkiem wymienionych wyżej sytuacji nieudzielenia informacji, administrator będzie pisemnie informował osobę, której dane dotyczą, o każdej odmowie uaktualnienia, sprostowania lub usunięcia danych osobowych, lub ograniczenia ich przetwarzania, oraz o przyczynach tej odmowy.

Przewiduje się jednocześnie, że administrator może dokonać uzupełnienia, aktualizacji, sprostowania lub usunięcia danych osobowych w przypadku gdy ich ujawnienie byłoby niezbędne do ochrony jej żywotnych interesów lub innej osoby. Ponadto administrator będzie miał obowiązek poinformować właściwy organ, od którego dane pochodzą o dokonanym uaktualnieniu lub sprostowaniu tych danych, a odbiorców danych osobowych także o usunięciu danych osobowych lub wstrzymaniu ich przetwarzania.

Jeżeli osoba, której dane dotyczą, zakwestionuje prawidłowość danych osobowych, a ich prawidłowości lub nieprawidłowości nie będzie można stwierdzić, lub gdy dane osobowe muszą zostać zachowane do celów dowodowych, administrator jest obowiązany, bez zbędnej zwłoki, do czasowego ograniczenia przetwarzania kwestionowanych danych. Jednocześnie w przypadku niepodjęcia tych działań oraz niepoinformowania osoby której dane dotyczą o potwierdzeniu prawidłowości jej danych, a także w sytuacji nieprzekazania danych identyfikujących administratora, osobie tej będzie przysługiwać prawo do wystąpienia do Prezesa Urzędu z wnioskiem o nakazanie dopełnienia tych obowiązków.

Ponadto, w przypadku odmowy uaktualnienia, sprostowania lub usunięciu danych osobowych, lub wstrzymania ich wykorzystywania  osobie, której dane dotyczą będzie przysługiwać zażalenie do Prezesa Urzędu, o czym pouczy ją administrator.

Zgodnie z art. 12 ust. 4 dyrektywy 2016/680 w projektowanych przepisach, jako zasadę zakłada się niepobieranie opłat za czynności podejmowane przez administratora na wniosek osoby, której dane dotyczą. Jeżeli jednak żądania takie będą w sposób oczywisty nieuzasadnione lub nadmierne, zwłaszcza ze względu na ich powtarzalność, administrator będzie mógł pobrać rozsądną opłatę, uwzględniając administracyjne koszty udzielenia informacji, prowadzenia komunikacji lub podjęcia żądanych działań lub odmówić podjęcia działań w związku z żądaniem. Przepis ten, zgodnie z intencją ustawodawcy europejskiego wyrażoną również w motywie (40), ma zapobiegać wykorzystywania powyższych uprawnień w celu sparaliżowania pracy administratora.