W założeniu Brukseli dyrektywa miała ograniczyć apetyt służb na dane obywateli. W polskich realiach może być jednak inaczej. Nasza ustawa wzmocni zamiast osłabić funkcjonariuszy ABW, CBA, SKW, SWW. Na takie ryzyko zwraca uwagę nawet Ministerstwo Spraw zagranicznych. Rząd jednak zlekceważył ostrzeżenie i przekazał posłom ustawę w nieodpowiednim brzmieniu.

Owszem, unijne prawo pozwala, by przepisów nie stosować do przypadków, gdy w grę wchodzi bezpieczeństwo narodowe. Ale polski ustawodawca uznał, że w ogóle nie będą one dotyczyły "trzyliterowych" instytucji.

Kwestia możliwości podmiotowego wyłączenia służb specjalnych została skonsultowana z KE. Przedstawiła ona swoje stanowisko, zgodnie z którym tego typu wyłączenie jest niezgodne z prawem UE – ostrzega MSZ.

Z kolei prof. Robert Grzeszczak z UW wskazuje, że uchwalenie przepisów w proponowanym przez rząd brzmieniu może poskutkować wniesieniem przez komisję skargi na Polskę do Trybunału Sprawiedliwości UE.

Dyrektywa policyjna nie obejmie ABW i CBA

Choć Unia wymaga od nas ograniczenia uprawnień specsłużb, rząd nic sobie z tego nie robi. Przed naruszeniem prawa europejskiego ostrzega nawet Ministerstwo Spraw Zagranicznych

Chodzi o projekt ustawy o ochronie danych osobowych przetwarzanych w związku z zapobieganiem i zwalczaniem przestępczości. Zajmie się nim dziś Sejm. To implementacja unijnej dyrektywy policyjnej (dyrektywa 2016/680). Potocznie jest ona nazywana RODO dla służb. Głównym celem jest bowiem określenie zasad, dość restrykcyjnych, na jakich organy państwa mogą przechowywać i przetwarzać dane o obywatelach.

MSZ ostrzega

Projektowany art. 3 pkt 2 ustawy przewiduje, że jej przepisów nie stosuje się do ochrony danych osobowych przetwarzanych w związku z zapewnieniem bezpieczeństwa narodowego, w tym w ramach realizacji zadań ustawowych Agencji Bezpieczeństwa Wewnętrznego, Agencji Wywiadu, Służby Kontrwywiadu Wojskowego, Służby Wywiadu Wojskowego oraz Centralnego Biura Antykorupcyjnego. W skrócie: specsłużb implementacja dyrektywy policyjnej nie obejmie. Zdaniem ustawodawcy powinny one dalej przetwarzać dane osobowe obywateli na obecnych zasadach, czyli w praktyce bez żadnych zasad.

W uzasadnieniu rządowego projektu czytamy, że takie wyłączenie jest dopuszczalne, gdyż „w art. 2 ust. 3 lit. a dyrektywa wskazuje, że nie ma ona zastosowania do przetwarzania danych osobowych w ramach działalności nieobjętej obszarem prawa Unii”. A, jak podkreśla projektodawca, kwestie związane z bezpieczeństwem narodowym pozostają w zakresie wyłącznej odpowiedzialności każdego państwa członkowskiego.

Sęk w tym, że resort spraw wewnętrznych i administracji, a za nim rząd, błędnie rozumieją przepis dyrektywy. I to mimo ostrzeżeń Ministerstwa Spraw Zagranicznych. To bowiem wskazało, że dopuszczalne jest wyłączenie przedmiotowe (działalność w zakresie bezpieczeństwa narodowego), a nie podmiotowe (cała działalność służb). Innymi słowy, można wyłączyć stosowanie dyrektywy w niektórych przypadkach związanych z zagrożeniem bezpieczeństwa narodowego, ale już niedopuszczalne jest zastosowanie generalnego wyłączenia dla służb.

"Szczególnie wątpliwe jest wyłączenie CBA, ponieważ jest to służba powołana do zwalczania korupcji w życiu publicznym i gospodarczym (...). Do takiej działalności powinny być stosowane przepisy dyrektywy 2016/680/UE" – wskazuje MSZ. I adwokat dr Magdalena Matusiak-Frącczak twierdzi, że to właśnie MSZ ma rację. W dyrektywie bowiem bez wątpienia chodzi o wyłączenie przedmiotowe, a nie podmiotowe. Potwierdziła to zresztą Komisja Europejska, gdy powstały wątpliwości, jak rozumieć art. 2 dyrektywy.

Analogicznie uważa dr Marcin Górski, adiunkt w Katedrze Europejskiego Prawa Konstytucyjnego Uniwersytetu Łódzkiego.

Jestem zdziwiony, że proceduje się ustawę dotkniętą tak poważnym i oczywistym błędem oraz naraża się agentów służb na odpowiedzialność karną, a podatnika na płacenie odszkodowań. Minister odpowiadający za ten projekt powinien zostać odwołany, bo nie ma kompetencji, i to o zupełnie podstawowym charakterze, do zajmowania stanowiska – twierdzi.

W kraju i w UE

Zdaniem dr. Górskiego, jeśli ustawa ostatecznie będzie brzmiała tak jak projekt, kłopoty pojawią się na dwóch płaszczyznach. Na tej krajowej służby wymienione w art. 3 pkt 2 ustawy będą zobowiązane do stosowania dyrektywy bezpośrednio. Obywatele z kolei będą mogli korzystać z ochrony odszkodowawczej, w razie gdyby którakolwiek ze służb tego nie zrobiła i naruszyła prawo do ochrony danych osobowych.

Co więcej, nielegalne przetwarzanie danych jest przestępstwem, a skorzystanie przez agentów np. CBA z niezgodnego z dyrektywą wyjątku będzie stanowiło nielegalne przetwarzanie danych osobowych. Agenci winni zatem ponieść w takim wypadku odpowiedzialność karną – podkreśla dr Marcin Górski. I dodaje, że narażenie na to tysięcy funkcjonariuszy to dowód skrajnej niekompetencji i brak elementarnej troski rządzących o podległy im personel.

Uchwalenie ustawy może wywołać także reperkusje międzynarodowe. Doktor Magdalena Matusiak-Frącczak wyjaśnia, że w ostateczności Komisja Europejska będzie mogła wnieść skargę przeciwko Polsce na podstawie art. 258 Traktatu o funkcjonowaniu UE. A, jak z kolei przypomina prof. Robert Grzeszczak z Katedry Prawa Europejskiego WPiA UW, unijni decydenci szybko się o tym dowiedzą.

Rząd ma obowiązek notyfikacji Komisji Europejskiej podjętych środków implementujących, to jest niniejszej ustawy. W efekcie KE wskaże to uchybienie Polsce – wyjaśnia Grzeszczak. I uzupełnia, że na sądach polskich w przypadku procedowania nad sprawami związanymi ze stosowaniem ustawy będzie spoczywał obowiązek prounijnej wykładni przepisów. I to niezależnie od ewentualnej skargi KE i bez czekania na wyrok trybunału.

Jest to obowiązek interpretacji ustawy polskiej w świetle brzmienia i celów dyrektywy (tzw. interpretacja zgodna) i oznacza to, że sądy będą miały przywoływać brzmienie dyrektywy. I w efekcie odpowiednio modyfikować ustawę implementującą tak, aby osiągnąć prawidłowy efekt. Niemniej może się to okazać bardzo trudnym zadaniem dla sądów – suponuje prawnik z UW.

Ochrona obywateli

Jakkolwiek zawiłości proceduralne mogą nie interesować przeciętnego Polaka, tak skutki uchwalenia ustawy w brzmieniu niezgodnym z dyrektywą byłyby namacalne. Służby zapewne stosować będą w pierwszej kolejności rodzime przepisy. To by zaś oznaczało, że w dowolny sposób mogłyby przetwarzać dane, np. dotyczące zdrowia, seksualności czy biometryczne o każdym z nas, jeśli tylko uznają, że jest to potrzebne ze względu na szeroko pojęty cel "rozpoznawania, zapobiegania, wykrywania i zwalczania czynów zabronionych, w tym zagrożeń dla bezpieczeństwa i porządku publicznego".

Unijna dyrektywa policyjna bazuje na tych samych zasadach ogólnych co ogólne rozporządzenie o ochronie danych (RODO). Zgodnie z nią organy ścigania i specsłużby powinny przy gromadzeniu i przetwarzaniu danych osobowych przestrzegać zasad celowości, adekwatności i legalności. Unia wymaga, by państwa członkowskie stworzyły regulacje o zasadach przetwarzania danych osobowych oraz praw osób, których dane dotyczą, określające zadania i wymogi stawiane przed administratorem, podmiotem przetwarzającym oraz inspektorem ochrony danych osobowych. Wreszcie, określone powinny być środki ochrony prawnej przysługujące tym, których prywatność została niezgodnie z prawem naruszona.