KE pozywa Polskę za niewdrożenie dyrektywy policyjnej
Postępowanie w sprawie uchybienia zobowiązaniom państwa to unijny mechanizm prawny prowadzony przez Komisję Europejską przeciwko państwu członkowskiemu, które nie wywiązuje się z obowiązków wynikających z prawa UE. Jej celem jest skłonienie rzeczonego państwa członkowskiego do przestrzenia unijnych regulacji. Procedura naruszeniowa składa się z kilku etapów. Pierwszym, nieformalnym krokiem jest wezwanie przez KE do usunięcia uchybienia. Komisja Europejska w specjalnym piśmie wskazuje naruszenia prawa oraz domaga się wyjaśnień tego stanu rzeczy w wyznaczonym terminie.
Jeśli KE uzna je za niewystarczające, przesyła tzw. uzasadnioną opinię, w której już oficjalnie formułuje zarzuty i wyznacza termin na dostosowanie się do prawa unijnego przez państwo członkowskie. Trzecim etapem jest skarga do Trybunału Sprawiedliwości Unii Europejskiej. Jeśli TSUE stwierdzi naruszenie prawa Unii, a Polska dalej nie dostosuje swoich przepisów, Komisja będzie mogła złożyć kolejną skargę, która tym razem może zakończyć się nałożeniem na nasz kraj kary finansowej.
UODO alarmował o nieprawidłowej implementacji dyrektywy
Na początku kwietnia Prezes Urzędu Ochrony Danych Osobowych we wspomnianym piśmie do dwóch resortów podkreślił, że ustawa o ochronie danych osobowych przetwarzanych w związku z zapobieganiem i zwalczaniem przestępczości (ustawa z 14 grudnia 2018 r.) w obecnym kształcie nie zapewnia pełnych gwarancji dla praw osób, których dane dotyczą. Celem wskazanego wniosku było właśnie zapewnienie prawidłowej implementacji w polskim porządku prawnym przepisów ‘dyrektywy policyjnej’ (2016/680). Nie było to pierwsze pismo UODO w tej sprawie.
Prezes UODO Mirosław Wróblewski zwrócił wówczas uwagę ministra Marcina Kierwińskiego i ministra Waldemara Żurka na problemy związane w drożeniem tejże dyrektywy. Sygnalizował je jednak już w ramach opiniowania projektu ustawy wdrażającej, a także przy okazji ewaluacji działania samej dyrektywy (w 2021 r. i 2025 r.) Podkreślić należy przede wszystkim, że liczne wyłączenia przyjęte w ustawie krajowej sprawiają, że nie obejmuje ona wszystkich obszarów przetwarzania danych osobowych w celach rozpoznawania, zapobiegania, wykrywania i zwalczania czynów zabronionych, uwzględnione w dyrektywie.
Sprawia to, że dane przetwarzane w toku czynności procesowych i zawarte w aktach spraw nie podlegają ani wspomnianej ustawie, ani ogólnym zasadom ochrony danych osobowych, a jedynie procedurze karnej. W tej jednak brakuje np. gwarancji podstawowych praw osób, których dane dotyczą. Chodzi tu o: prawo do informacji, do skargi, dostępu do danych, do ich sprostowania, usunięcia, ograniczenia przetwarzania, a także do wniesienia skargi do niezależnego organu nadzorczego i skutecznego środka prawnego (odwoławczego) przed sądem od decyzji tego organu. Pogląd ten podzielają niektóre sądowe organy nadzorcze.
Stanowisko to znajdowało również odzwierciedlenie w literaturze przedmiotu. Problemy związane z implementacją dyrektywy policyjnej były wcześniej wskazywane m.in. przez prof. Agnieszkę Grzelak (obecnie zastępczynię Prezesa UODO) w publikacjach poświęconych ochronie danych w obszarze współpracy policyjnej i wymiaru sprawiedliwości.
Nadzór nad stosowaniem przepisów dyrektywy niewystarczający
Inną ważną kwestią sygnalizowaną przez Prezesa UODO jest nadzór nad przetwarzaniem danych osobowych przez sądy w ramach sprawowania wymiaru sprawiedliwości (w celu ochrony ich niezawisłości). Powinien on zostać powierzony wyłącznie specjalnym, niezależnym organom. Tymczasem w Polsce przepisy w tym względzie wciąż wymagają doprecyzowania. Brakuje też jednolitych wytycznych interpretacyjnych. Ich powstanie mogłoby przyczynić się do zwiększenia przejrzystości nadzoru oraz zagwarantowania spójności stosowania prawa, w szczególności w kontekście powołania niezależnego organu nadzorczego (innego niż Prezes UODO), znajdującego się poza strukturami władzy sądowniczej.
Obecny brak spójności przejawia się np. w tym, że sądy apelacyjne częściej przyjmują szerokie rozumienie wyłączenia stosowania dyrektywy, podczas gdy sądy okręgowe i rejonowe niekiedy stosują wykładnię bardziej zawężającą. Prowadzi to do rozbieżności w stosowaniu prawa, osłabienia spójności systemu nadzoru oraz zmniejszenia pewności prawnej. Choć przepisy ustrojowe przypisują sądom określone zadania i uprawnienia organu nadzorczego wynikające z ustawy z 14 grudnia 2018 r., większość organów właściwych nie identyfikuje obszarów, w których powinno się stosować tę ustawę.
Nie ma podstaw, by stosować wyłączenie z dyrektywy do nadzoru w prokuraturze
Jeszcze inaczej kształtuje się praktyka w prokuraturze, gdzie właściwe organy przyjmują, że są uprawnione do sprawowania nadzoru w trybie dyrektywy policyjnej. Wskazuje to na systemowy problem interpretacyjny, w którym formalne przypisanie kompetencji nadzorczych nie przekłada się na ich realne i konsekwentne wykonywanie. Zarówno w sądach, jak i prokuraturze, nadzór ma charakter kaskadowy, co oznacza że organy wyższego szczebla sprawują kontrolę nad jednostkami niższego. Jednak w przypadku sądów wady wspomnianego modelu równoważone są przez konstytucyjne gwarancje niezależności sędziowskiej. W prokuraturze jednakże silna struktura hierarchiczna rodzi poważne wątpliwości co do spełnienia wymogu niezależności przez organy nadzorcze. Brak regulacji wskazujących niezależne organy wyposażone w kompetencje kontrolne w zakresie ochrony danych osobowych, w konsekwencji pozbawia ochrony osoby, których dane dotyczą i nie uwzględnia ich prawa do prywatności.
Prezes UODO od dawna podkreśla też, że zgodnie z Konstytucją prokuratura nie sprawuje wymiaru sprawiedliwości sensu stricto. Prowadzi to do wniosku, że nie należy do niej stosować wyłączeń przewidzianych we wspomnianej dyrektywie, a więc przetwarzanie danych przez prokuraturę powinno podlegać pełnemu nadzorowi niezależnego nadzoru. W Polsce część zadań została skoncentrowana w rękach Prezesa UODO, zaś organy działające w strukturach sądów i prokuratury nie mają pełnych kompetencji przewidzianych w dyrektywie. Prowadzi do fragmentacji systemu nadzoru i utrudnia zapewnienie jednolitego standardu ochrony danych. Podobne trudności interpretacyjne występują jedynie w ograniczonej liczbie państw UE, podczas gdy w większości system nadzoru w tym obszarze funkcjonuje bez istotnych problemów.
Pozostałe uwagi UODO do obecnych regulacji wdrażających dyrektywę policyjną
Nieprawidłowe wdrożenie dyrektywy policyjnej wywiera negatywny wpływ na funkcjonowanie wielkoskalowych systemów informacyjnych UE w Polsce, w tym na sprawowanie nadzoru nad dostępem organów porządku publicznego do danych osobowych przetwarzanych w tych systemach.
Ponadto, art. 57 dyrektywy 2016/680 przewiduje, że państwa członkowskie mają obowiązek przyjęcia regulacji określających skuteczne, proporcjonalne i odstraszające sankcje za naruszenie przepisów wdrażających dyrektywę oraz zapewnienia ich skutecznego wykonania. Polska ustawa nie wyposaża natomiast Prezesa Urzędu Ochrony Danych Osobowych w instrumenty pozwalające stosować takie sankcje. Mirosław Wróblewski odniósł się również do konieczności uregulowania roli inspektora ochrony danych osobowych. Obowiązujące przepisy bowiem niezgodnie z dyrektywą kształtują zadania IOD i nieprecyzyjnie określają obowiązki przysyłania zawiadomień dotyczących inspektorów.
Osobnym problemem jest również wyłączenie stosowania przepisów ustawy z 14 grudnia 2018 r. do niektórych zadań służb wymienionych w art. 3 pkt 2 tejże.
Ponadto, wiele przepisów obowiązującej ustawy – chociaż technicznie powtarza przepisy dyrektywy – zawiera tak bardzo ogólne sformułowania, że trudno uznać je za prawidłową implementację przepisów unijnych, bowiem w praktyce prowadzą one do wyłączenia możliwości efektywnej ochrony praw podstawowych.
Perspektywa dalszych działań
Decyzja Komisji Europejskiej o wszczęciu postępowania naruszeniowego potwierdza, że zastrzeżenia wielokrotnie zgłaszane przez Prezesa UODO nie miały charakteru wyłącznie interpretacyjnego, lecz dotyczyły rzeczywistych niezgodności polskich przepisów z prawem Unii Europejskiej.
Działania Komisji Europejskiej wpisują się w szerszy proces weryfikacji prawidłowości wdrażania prawa Unii przez państwa członkowskie i nie przesądzają jeszcze o wyniku prowadzonego postępowania.
Organ nadzorczy wyraża nadzieję, że postępowanie to przyczyni się do sprawnego przyjęcia rozwiązań legislacyjnych zapewniających pełną zgodność polskich przepisów z prawem Unii Europejskiej oraz jednolity standard ochrony danych osobowych.
Prezes UODO pozostaje gotowy do współpracy z właściwymi organami w procesie dostosowania przepisów krajowych do wymogów prawa Unii Europejskiej oraz do przedstawienia doświadczeń i rekomendacji wypracowanych w toku dotychczasowych działań.
Polityka prywatności i wykorzystywania plików Cookies w serwisach internetowych UODO
Urząd Ochrony Danych Osobowych przywiązuje szczególną wagę do poszanowania prywatności użytkowników odwiedzających serwisy w domenie *.uodo.gov.pl. Gromadzone w dziennikach logów dane są wykorzystywane tylko i wyłącznie do celów administrowania serwisem. Nie zabiegamy o identyfikację użytkowników stron Urzędu. Żadne dane identyfikacyjne, do żadnych celów, nie są przekazywane do jakiejkolwiek trzeciej strony.
Gromadzenie danych.
Zgodnie z przyjętą praktyką większości serwisów WWW, przechowujemy zapytania HTTP kierowane do naszego serwera. Przeglądane zasoby identyfikowane są poprzez adresy URL. Dokładny wykaz informacji przechowywanych w plikach logów serwera WWW jest następujący:
- publiczny adres IP komputera z którego nadeszło zapytanie (może to być bezpośrednio komputer użytkownika)
- nazwę stacji klienta - identyfikacja realizowana przez protokół HTTP o ile jest możliwa,
- nazwa użytkownika podawana w procesie autoryzacji,
- czas nadejścia zapytania,
- pierwszy wiersz żądania HTTP,
- kod odpowiedzi HTTP,
- liczbę wysłanych przez serwer bajtów,
- adres URL strony poprzednio odwiedzanej przez użytkownika (referer link) - w przypadku gdy przejście do strony Urzędu nastąpiło przez odnośnik,
- informacje o przeglądarce użytkownika,
- informacje o błędach, jakie nastąpiły przy realizacji transakcji HTTP.
Dane te nie są kojarzone z konkretnymi osobami przeglądającymi strony Urzędu. Dla zapewnienia jak najwyższej jakości serwisu, okazjonalnie analizujemy pliki z logami w celu określenia: które strony odwiedzane są najczęściej, jakie przeglądarki stron WWW są stosowane, czy struktura strony nie zawiera błędów itp.
Do celów analitycznych korzystamy z Plausible Analytics. Jest to narzędzie analityczne szanujące prywatność użytkowników, które nie wykorzystuje plików cookie i nie zbiera danych osobowych. Bazuje na podstawowych informacjach takich jak w szczególności: dane o unikalnych wizytach, odsłonach, źródłach odsyłających, informacje o przeglądarce, czas spędzony na stronie, strony błędu 404 oraz aktywności polegające np. na pobraniu plików.
Dane zbierane przez Plausible Analytics są wykorzystywane wyłącznie do oceny korzystania z witryny.
Wykorzystywanie danych
Zebrane logi przechowywane są przez czas nieokreślony jako materiał pomocniczy służący do administrowania serwisem. Informacje w nich zawarte nie są ujawniane nikomu poza osobami upoważnionymi do administrowania serwerem oraz siecią Urzędu. Na podstawie plików logów mogą być generowane statystyki stanowiące pomoc w administrowaniu. Zbiorcze podsumowania w postaci takich statystyk nie zawierają żadnych cech identyfikujących osoby odwiedzające serwis.
Mechanizm Cookies na stronach internetowych UODO
Mechanizm Cookies nie jest wykorzystywany do pozyskiwania jakichkolwiek informacji o użytkownikach serwisu ani śledzenia ich nawigacji. Pliki Cookies stosowane w serwisach UODO nie przechowują żadnych danych osobowych ani innych informacji zebranych od użytkowników.
W serwisie uodo.gov.pl okresowo może być wykorzystywany sesyjny plik Cookie o nazwie INFO - do zapisania faktu zapoznania się z wyróżnionymi informacjami. Plik Cookie jest tworzony w celu ograniczania ilości emisji okresowo pojawiających się ogłoszeń. Dzięki zastosowaniu pliku Cookie informacja wyświetla się tylko raz dla jednej sesji użytkownika i nie ukazuje się ponownie po przejściu na kolejną stronę serwisu. Wymieniony wyżej sesyjny plik Cookie, jeśli jest tworzony, to występuje w określonym czasie, i tylko przez czas, w jakim strona jest odwiedzana przez użytkownika. Zamknięcie okna przeglądarki ze stroną serwisu uodo.gov.pl powoduje usunięcie utworzonego pliku.
Studiowała edukację medialną i dziennikarstwo na Uniwersytecie Kardynała Stefana Wyszyńskiego.
W dzienniku pracuje od 2020 roku. Pracowała m.in. w fundacji działającej na rzecz osób starszych przy TV Puls. Zajmowała się tworzeniem informacji, przeprowadzała wywiady na potrzeby spotów reklamowych, pisała reportaże ukazujące problemy społeczne i materialne osób starszych. Tworzyła content na social media, organizowała plany filmowe na potrzeby spotów charytatywnych. Zajmowała się również montażem treści wideo.
W dziennik.pl zajmuje się głównie pisaniem o aktualnych wydarzeniach politycznych, newsowych i gospodarczych.