Pogrzebana szansa na ochronę danych w służbach

Artykuł

Reforma ochrony danych osobowych to także dyrektywa policyjna, czyli tzw. brzydsza siostra RODO. Podczas gdy firmy i organizacje gorączkowo przygotowują się do wdrożenia nowego rozporządzenia, te organy państwa, które gromadzą dane o obywatelach w niejawny sposób, nierzadko posługując się kontrowersyjnymi metodami, mogą spać spokojnie. W ich świecie niewiele się zmieni, a jeśli się zmieni – to w kierunku jeszcze większej swobody działania i jeszcze mniejszej przejrzystości. Ministerstwo Spraw Wewnętrznych przedstawiło wreszcie projekt regulujący zasady ochrony naszych danych w sektorze bezpieczeństwa. Niestety, jest on tak dziurawy, że ochrona prywatności stanie się tam wyjątkiem, a nie regułą. Jak do tego doszło i czym to grozi?

Istotą nieco już dziś zakurzonych informacji ujawnionych kilka lat temu przez Edwarda Snowdena był fakt, że amerykańskie służby zachłannością pozyskiwania naszych danych osobowych niewiele różnią się od podmiotów komercyjnych. Podobnie jak one, czasem tych danych potrzebują, częściej jednak – pewnie nie. RODO to odpowiedź Unii Europejskiej na zachłanność biznesu, a dyrektywa policyjna to próba uregulowania ochrony danych przez policję i inne służby. Jednak ze względów instytucjonalnych (Unia nie ma silnych kompetencji w zakresie wpływania na politykę bezpieczeństwa państw członkowskich) sektor bezpieczeństwa uregulowany został przez dyrektywę, która po pierwsze wymaga implementacji do porządków krajowych, a po drugie – jest pełna wyjątków. Wytłumaczymy to na przykładach.

Wyjęci spod prawa

Na podstawie dyrektywy państwa członkowskie zobowiązane są przyjąć przepisy, zgodnie z którymi policja i inne podmioty zajmujące się przeciwdziałaniem przestępczości mogą pobierać tylko te dane, które są niezbędne do realizacji ich zadań. Żadnych danych na zapas, dla wygody i na wszelki wypadek. Prawo unijne pozostawia jednak furtkę w postaci „bezpieczeństwa narodowego” – ci, którzy się nim zajmują, nie podlegają ograniczeniom wynikającym z dyrektywy. Zgodnie z definicją bezpieczeństwa narodowego jest nim nie tylko praca kontrwywiadowcza prowadzona przez kontrwywiad wojskowy czy zapobieganie terroryzmowi przez Agencję Bezpieczeństwa Wewnętrznego, ale nawet przeciwdziałanie korupcji w sporcie. Efekt: pięć służb specjalnych jest wyjętych spod zakresu obowiązywania nowych przepisów i w konsekwencji nie będzie miało żadnych ograniczeń związanych z pozyskiwaniem danych osobowych.

Przykład: Agencja Bezpieczeństwa Wewnętrznego może pozyskiwać od Policji nagrania uczestników antyrządowych demonstracji, mimo że nie jest to niezbędne do realizacji jej ustawowych działań. Żadna ustawa tego nie zabroni, a Prezes Urzędu Ochrony Danych Osobowych nie skontroluje.

Dyrektywa minus

Nawet po wyłączeniu spod ustawy służb specjalnych zobowiązane do jej przestrzegania będą m.in. Policja i Straż Graniczna. Mogłoby się więc wydawać, że będziemy mieli – jako osoby, których dane te formacje wykorzystują – pewne uprawnienia. Fundamentalnym z nich jest prawo do uzyskania informacji, czy i jakie dane na nasz temat są przetwarzane i co się z nimi dzieje. Dyrektywa dopuszcza oczywiście wyjątki (np. związane z dobrem prowadzonego śledztwa), jednak autorzy ministerialnego projektu zdecydowanie wykroczyli poza inwencję twórców dyrektywy i dodali nowe ograniczenia. Jednym z nich jest propozycja, by nie można było ujawniać informacji pochodzących z tzw. czynności operacyjno-rozpoznawczych. Problem w tym, że takie czynności to worek bez dna obejmujący lwią część działań podejmowanych przez służby mundurowe: od podsłuchów, przez pobieranie danych telekomunikacyjnych, po obserwacje. A autorzy nie dodają, że ograniczenie to dotyczy wyłącznie sytuacji, w której cały czas prowadzone są działania, a ujawnienie informacji wywoła jakąś szkodę. Nawet jeśli śledztwo dawno jest zamknięte, bo np. Policja stwierdzi, że nie doszło do przestępstwa, to dostęp do tego, czy pobierano nasze informacje, będzie zamknięty raz na zawsze. Innym przykładem inwencji twórców projektu jest konieczność wykazania „żywotnego interesu”.

Przykład: Chcesz się dowiedzieć, czy przy okazji kradzieży roweru, którą zgłosiłeś na Policji wiele lat temu, funkcjonariusze nie pobierali Twoich billingów – tak się bowiem składa, że jesteś adwokatem i nie życzysz sobie, by Policja miała informacje na temat tego, z kim rozmawiasz. Nie wiesz, czy Policja ma te dane, ale pytając o to, musisz wykazać, że uzyskanie tej informacji jest niezbędne do ochrony Twoich żywotnych interesów. Trudne? Właśnie takie ma być!

Tworzenie prawa: studium przypadku

Parlament Europejski przyjął dyrektywę policyjną 27 kwietnia 2016 r. i zobowiązał państwa członkowskie, aby ją wdrożyły do 6 maja 2018 r., czyli do minionej niedzieli. Tymczasem MSWiA – mimo wielokrotnych apeli Panoptykonu i Rzecznika Praw Obywatelskich – swój projekt opublikowało dopiero 19 kwietnia. Teraz trwają konsultacje: pismo z prośbą o przedstawienie stanowiska do 30 kwietnia (poniedziałek) wpłynęło do nas… 27 kwietnia (piątek). Rząd świadomie zignorował zatem zobowiązanie względem Unii Europejskiej i nie wdrożył dyrektywy w terminie.

W naszym stanowisku punkt po punkcie wskazujemy, jak rządowy projekt ogranicza uprawnienia obywateli wynikające z dyrektywy i pomija gwarancje, jakie powinny się znaleźć w krajowych przepisach. Teraz ruch po stronie rządu.

Wojciech Klicki

Stanowisko Fundacji Panoptykon w sprawie projektu ustawy o ochronie danych osobowych przetwarzanych w związku z zapobieganiem i zwalczaniem przestępczości

Od niemal 10 lat Fundacja Panoptykon walczy o kontrolę nad działaniami służb. Wesprzyj nas w tej walce!

Komentarze

"praca kontrwywiadowcza prowadzona przez wywiad wojskowy" - dość niefortunne określenie. Wywiad a kontrwywiad to dwie różne służby wojskowe. Moim zdaniem należy to zdanie poprawić. Mój komentarz możecie potem usunąć.

@Jerzy, oczywiście masz rację - chodziło mi o pracę wykonywaną przez SKW; dziękuję za zwrócenie uwagi - już poprawiłem.

Hmmm... Nie do końca widzę w projekcie wyłączenie podmiotowege dla konkretnych służb. W art. 3 ust. 2 mowa jest o niestosowaniu ustawy do określonej kategorii danych (przetwarzanych w związku z zapewnieniem bezpieczeństwa narodowego), a nie podmiotów. Artykuł 1 ust. 1 mówi wprost, do jakiej kategorii danych ustawa ma zastosowanie. Zgadzam sie, że przyjęty zapis moze rodzić wątpliowści co do stosowania ustawy w przypadku przetwarzania danych osobowych w celach o których mowa w art. 1(1) przez podmioty, o których mowa w art. 3(2). Jednakże stosując zasady wykładni nalezałoby przyjąć, że zapis w artykule 3(2) jest wyjątkiem od ogólnej reguły ustanowionej w art. 1(1), w związku z czym nie moze być interpretowany rozszerzająco (tzn. ustawę stosuje się do przetwarzania danych osobowych przez np. ABW w celach określonych w art.1(1), a nie stosuje się jej jedynie w przypadku przetwarzania danych osobowych w celach określonych w art. 3(2). Konstrukcja zaiste karkołomna, zważywszy, że te same dane moga być przez ten sam organ gromadzone i przetwarzane w celach wspomnianych w art. 1(1) i 3(2) (zakresy tych przepisów przynajmniej cześciowo się pokrywają). No ale trudno za ten stan rzeczy winić wyłacznie polskiego prawodawcę. Wszak dyrektywa 2016/680 w art. 1(1) i 2(1) przewiduje podobny zakres stosowania i odnosi się do "bezpieczeństwa publicznego", podczas gdy nie obejmuje (bo z uwagi na art. 4(2) TUE nie może) "bezpieczeństwa narodowego". No i bądź tu mądry...
Należałoby chyba przyjać, ze tam gdzie zakresy bezpieczeństwa publicznego i narodowego pokrywają sie, dyrektywa powinna być stosowana, gdy przetwarzanie dotyczy przestępstw zharmonizowanych prawem unijnym (kompetencja UE istnieje i została wykonana). No ale jesli każdy rozpatrywany przypadek trzeba poprzedzić tego rodzaju analizą (aby wogóle odpowiedzieć na pytanie, czy ustawa znajduje zastosowanie), to zycze powodzenia w jej wdrażaniu :)

@Misiek, ciekawe podejście do relacji pomiędzy art. 1 i art. 3. Przyznam, że rozumiem tę sytuację inaczej: art. 3(2) wydaje mi się lex specialis względem art. 1. W artykule 3 projektodawca napisał, że ustawy nie stosuje się do danych przetwarzanych w związku z zapewnieniem bezpieczeństwa narodowego, w tym w ramach realizacji zadań ustawowych ABW...". W ten sposób moim zdaniem zdefiniował, że realizacja zadań ustawowych każdej ze służb mieści się w pojęciu bezpieczeństwa narodowego, które z kolei prowadzi do wyłączenia stosowania ustawy. Na taką intencję autorów ustawy wskazuje też jej uzasadnienie, zgodnie z którym: "ze stosowania przepiów projektowanej ustawy wyłączono sferę bezpieczeństwa narodowego, w tym - z perspektywy instytucjonalnej - służby specjalne...". 

Natomiast w pełni zgadzam się, że projekt zawiera szereg karkołomnych konstrukcji, dyrektywa też nie jest od nich wolna i... konia z rzędem temu, kto wie, jak dokładnie to wszystko zadziała. Ale moim zdaniem po prostu nie zadziała.

[podkreślenia oczywiście moje]

To prawda, że uzasadnienie projektu mozna odczytywać jako wskazujace na intencję podmiotowego wyłączenia. Ale jeśli taka była intencja ustawodawcy, to należało ją jasno sformułować - "ustawy nie stosuje się do przetwarzania danych osobowych o których mowa w art. 1(1) przez następujące podmioty: ...". Tutaj takiego zapisu nie ma. A gdyby się pojawił, to należałoby uznać, że zakres stosowania ustawy jest węższy niż zakres zastosowania dyrektywy, co prowadziłoby niechybnie do wszczęcia przez KE procedury naruszeniowej (NB takowa została już wszczęta z uwagi na brak notyfikacji transpozycji w przewidzianym terminie). Mamy do czynienia z techniką legislacyjną zwaną kopiuj/wklej. I niech sobie światły sąd rozstrzyga, co ustawodawca miał na myśli. Być może chodziło o to, ze ustawa ma byś stosowana do danych gromadzonych i przetwarzanych w ramach postępowań karnych prowadzonych przez ABW i inne służby, a nie stosuje się jej do przetważania danych w ramach innych czynności "w zakresie zapewnienia bezpieczeństwa narodowego"? Przy takiej interpretacji to mogłoby mieć sens - przynajmniej momenty brzegowe (początek i koniec postępowania karnego) możnaby precyzyjniej określić na podstawie kpk. No ale trzeba dużo dobrej woli, żeby takie rozwiązanie wyczytać z tego projektu.

Dodaj komentarz