Ogólne rozporządzenie o ochronie danych nie jest jedynym aktem prawnym z pakietu przepisów reformujących tę dziedzinę życia. Szczególne regulacje w tym zakresie, przewiduje Dyrektywa Parlamentu Europejskiego i Rady (UE) 2016/680 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych przez właściwe organy do celów zapobiegania przestępczości, prowadzenia postępowań przygotowawczych, wykrywania i ścigania czynów zabronionych i wykonywania kar, w sprawie swobodnego przepływu takich danych oraz uchylająca decyzję ramową Rady 2008/977/WSiSW – tzw. „dyrektywa policyjna”.
Implementacja dyrektywy
Dyrektywa jest aktem prawa unijnego, która określa jedynie pewne kierunki i ramy działania państw członkowskich. Musi ona zostać poddana transpozycji (wdrożeniu) do systemów prawnych poszczególnych krajów.
W ramach obowiązku nałożonego prawem unijnym, Ministerstwo Spraw Wewnętrznych i Administracji przedstawiło na ostatnim posiedzeniu Sejmu (22 listopada 2018 r.) i skierowało do pierwszego czytania projekt ustawy o ochronie danych osobowych przetwarzanych w związku z zapobieganiem i zwalczaniem przestępczości.
Wyłączenie podmiotowe niezgodne z prawem unijnym?
Projektowany art. 3 ust. 2 stanowi, że z zakresu ustawy wyłączone będą czynności przetwarzania danych w związku z zapewnieniem bezpieczeństwa narodowego, w tym w ramach realizacji zadań ustawowych Agencji Bezpieczeństwa Wewnętrznego, Agencji Wywiadu, Służby Kontrwywiadu Wojskowego, Służby Wywiadu Wojskowego oraz Centralnego Biura Antykorupcyjnego.
W opinii Ministerstwa Spraw Zagranicznych, może wystąpić w powyższym zakresie naruszenie przepisów dyrektywy policyjnej, która dopuszcza jedynie wyłączenie przedmiotowe – w ocenie MSZ, nie powinny zatem z zakresu ustawy być wyłączone konkretnie wskazane służby, lecz tylko konkretne czynności przetwarzania danych osobowych. Szczególne wątpliwości, zdaniem MSZ, dotyczą Centralnego Biura Antykorupcyjnego.
UODO również z uwagami
Prezes UODO, co oczywiste, również zgłosiła swoje uwagi do projektu ustawy wdrażającej dyrektywę policyjną.
- zbyt szeroki - zdaniem organu nadzoru - katalog spraw, w których wyłączone będzie stosowanie projektowanej ustawy (między innymi: na podstawie ustaw Kodeks karny wykonawczy czy Kodeks postępowania karnego),
- błędne definicje w projekcie – przykładowo definicja danych osobowych zawężona jest wyłącznie do przypadków, kiedy dane osobowe przetwarzane są w celach, o których mowa w art. 1 ust. 1 projektu ustawy. Według UODO prowadziłoby to do wniosku, że przetwarzanie tego samego zestawu informacji w innych celach, niż wymienione w projekcie ustawy, nie byłoby przetwarzaniem danych osobowych,
- 54 projektu ustawy stanowi powtórzenie przepisu karnego zawartego w art. 107 Ustawy z dnia 10 maja 2018 r. o ochronie danych osobowych,
- pozostawienie, w niektórych przypadkach, do decyzji administratora danych wskazania okresu retencji danych.
Naszym zdaniem
Istotną, z punktu widzenia praktyki, kwestią może być wykonanie przez Prezesa Urzędu Ochrony Danych Osobowych swoich obowiązków jako organu nadzorczego w stosunku do wykonania przepisów projektowanej ustawy. Nadzór nad przestrzeganiem przepisów przyznaje Prezesowi art. 5 projektowanej ustawy.
Bez wątpienia już obecnie Prezes UODO i podległy mu Urząd jest mocno obciążony pracą związaną z kontrolą stosowania przepisów RODO, jak i wyjaśnianiem niektórych meandrów Ogólnego rozporządzenia o ochronie danych. Stąd też dołożenie PUODO kolejnych (i licznych) obowiązków może w naszej ocenie spowodować przeciążenie obowiązkami nałożonymi na organ nadzorczy.
Podsumowanie
Wdrożenie dyrektywy policyjnej do polskiego systemu prawnego, z pewnością będzie doniosłym wydarzeniem w branży ochrony danych osobowych.
Projekt oczywiście może jeszcze ulec zmianie na etapie prac parlamentarnych, jednak podmioty podlegające obowiązkom nałożonym przez projektowaną ustawę powinny już teraz zacząć dostosowywać swoje procesy i dokumentację do wymogów nowych przepisów.
PS. Dziś, tj. 14 grudnia 2018 r., ustawa w omawianym wyżej kształcie została uchwalona przez Sejm. Czeka już ją tylko weryfikacja Senatu, a później podpis Prezydenta.
Pobierz artykuł w PDF
Administratorem danych osobowych jest Lex Artist sp. z o.o., ul. Szańcowa 74/1, 01-458 Warszawa. Dane osobowe będą przetwarzane w celu umieszczenia i obsługi komentarza na blogu. Przysługują Panu/Pani następujące prawa: prawo dostępu do treści danych, prawo do sprostowania danych, prawo do usunięcia danych, prawo do ograniczenia przetwarzania danych, prawo do wniesienia sprzeciwu, prawo do wniesienia skargi do organu nadzorczego. Pełna treść klauzuli informacyjnej znajduje się tutaj.
Zanonimizowany ciąg znaków stworzony na podstawie Pani/Pana adresu email (tak zwany hash) może zostać przesłany do usługi Gravatar w celu sprawdzenia czy jej Pan/Pani używa. Polityka prywatności usługi Gravatar jest dostępna tutaj. Po zatwierdzeniu komentarza obrazek profilowy jest widoczny publicznie w kontekście twojego komentarza.