Do wpadki legislacyjnej doszło przy okazji niedawnej nowelizacji przepisów przez ustawę o ochronie danych osobowych przetwarzanych w związku z zapobieganiem i zwalczaniem przestępczości. Z niewiadomych powodów uchylono art. 20 ust. 2a ustawy o policji. To on precyzował, czyje dane można przetwarzać. Choć ten przepis został usunięty, to wciąż odwołuje się do niego art. 20 ust. 2b ustawy wskazujący na to, jakie dane funkcjonariusze mogą zbierać.
– precyzuje Konrad Młynkiewicz, radca prawny z kancelarii Sadkowski i Wspólnicy, który odkrył lukę w nowelizacji. Chodzi m.in. o linie papilarne, dane o miejscu zamieszkania czy nawet sposobie działania sprawcy.
Nieco bardziej powściągliwy jest dr Grzegorz Sibiga, adwokat w kancelarii Traple, Konarski, Podrecki i Wspólnicy. Choć i on mówi o fatalnym błędzie ustawodawcy i niechlujnej legislacji. -wskazuje ekspert. Przy tej interpretacji policja nie mogłaby przetwarzać chociażby informacji dotyczących zdrowia czy seksualności podejrzanych. Przepisy unijne pozwalają na to, ale pod pewnymi warunkami, których z powodu błędu nasza ustawa nie spełnia.
Zapytani przez nas prawnicy nie mają wątpliwości, że jest konieczna jak najszybsza nowelizacja ustawy o policji. Ministerstwo Spraw Wewnętrznych i Administracji sprawę bagatelizuje. Nie odpowiedziało nam na pytania, czy błąd zostanie naprawiony oraz jak do niego doszło. Resort przekonuje natomiast, że odesłanie do nieistniejącego przepisu nie jest problemem, gdyż policja może przetwarzać dane na podstawie przepisów ogólnych.
Błąd w ustawie utrudni policji zdobycie informacji o podejrzanych
Z powodu braku podstawy prawnej administratorzy danych mogą odmawiać udostępnienia personaliów pracowników i klientów
Obok znanego chyba wszystkim RODO przepisy unijne przewidują także ochronę danych przetwarzanych przez służby zwalczające przestępczość. Reguluje to dyrektywa (UE) 2016/680, w skrócie zwana policyjną. Polska wdrożyła ją z dużym opóźnieniem, uchwalając w grudniu 2018 r. ustawę o ochronie danych osobowych przetwarzanych w związku z zapobieganiem i zwalczaniem przestępczości (Dz.U. z 2019 r. poz. 125). Teraz okazuje się, że w trakcie prac legislacyjnych doszło do błędu, który stawia pod znakiem zapytania podstawę prawną do zbierania przez policję informacji o podejrzanych.
Chodzi o art. 20 ust. 2b ustawy o policji (t.j. Dz.U. z 2019 r. poz. 161 ze zm.), który precyzuje, jakie informacje mogą zbierać funkcjonariusze. Jednocześnie stanowi wprost, że chodzi o dane na temat osób wskazanych w ust. 2a i 2ac tej ustawy. Problem w tym, że te dwa ustępy zostały uchylone wspomnianą nowelizacją.
Kluczowy jest przede wszystkim nieistniejący ust. 2a. To on precyzował, czyje dane policja może przetwarzać (patrz: ramka). Wskazywał m.in. na osoby podejrzewane o popełnienie przestępstwa i poszukiwane. Teraz, gdy go nie ma, ust. 2b pozostaje ślepy, bo odsyła do nieistniejącego przepisu.
Co to oznacza w praktyce
– – mówi Konrad Młynkiewicz, radca prawny z kancelarii Sadkowski i Wspólnicy, który odkrył lukę w nowelizacji.
Dodaje, że bez wątpienia utrudni to pracę policji. – – tłumaczy prawnik.
Obawy te nie są bezpodstawne, gdyż administrator danych, udostępniając je bez podstawy prawnej, ryzykuje pociągnięcie do odpowiedzialności. Potencjalne kary w wysokości 20 mln euro skłaniają do dmuchania na zimne. Nawet jeśli o informacje występuje policja.
Niezgodność z dyrektywą
Doktor Grzegorz Sibiga, adwokat w kancelarii Traple, Konarski, Podrecki i Wspólnicy, nie ma wątpliwości, że mamy do czynienia z ewidentnym błędem legislacyjnym. Jest natomiast nieco ostrożniejszy w ocenie jego skutków.
– – mówi ekspert, wskazując na art. 10 dyrektywy (UE) 2016/680.
Regulacja ta pozwala na przetwarzanie danych dotyczących np. zdrowia czy orientacji seksualnej, ale tylko wówczas, gdy jest to bezwzględnie niezbędne i podlega odpowiednim zabezpieczeniom dla praw i wolności osoby, której informacje dotyczą.
Błąd ustawodawcy powoduje zaś, że albo nie ma w ogóle podstawy prawnej, bo przepis odsyła do nieistniejącego już katalogu osób, których dane można przetwarzać albo też art. 20 ust. 2b ustawy dotyczy wszystkich obywateli, bez zawężania ich grona i konkretnych sytuacji gromadzenia danych.
– – podkreśla dr Grzegorz Sibiga.
Wyjaśnia, że oznaczałoby to kompetencję policji do przetwarzania danych wrażliwych nawet przy ochronie obiektów rządowych lub zapewnianiu spokoju w miejscach publicznych.
– – konkluduje.
Konieczna nowelizacja
Jak doszło do legislacyjnej wpadki? Ministerstwo Spraw Wewnętrznych i Administracji nie odpowiedziało nam na to pytanie. Przeprowadzona przez nas analiza procesu legislacyjnego również nie pozwoliła na ustalenie, kiedy zdecydowano o uchyleniu art. 20 ust. 2a ustawy. Pierwsza wersja projektu przewidywała wręcz rozbudowanie. Na Stały Komitet Rady Ministrów jednak trafił już projekt przewidujący uchylenie ustępu 2a.
Resort nie odpowiedział również na pytanie, czy planuje nowelizację. Twierdzi natomiast, że policja może przetwarzać dane osób podejrzanych na podstawie innych przepisów.
"Informujemy, że zgodnie z art. 13 ust. 1 ustawy o ochronie danych osobowych przetwarzanych w związku z zapobieganiem i zwalczaniem przestępczości właściwe organy przetwarzają dane osobowe wyłącznie w zakresie niezbędnym dla zrealizowania uprawnienia lub spełnienia obowiązku wynikającego z przepisu prawa. W odniesieniu do policji uprawnienie do przetwarzania danych osobowych określone zostało m.in. w art. 20 ust. 1, 1a, 1c, 1k–1l oraz 2ad ustawy o Policji”" – taką odpowiedź przesłał nam Wydział Prasowy MSWiA. Wynika z niej, że pozostałe przepisy (z pominięciem art. 20 ust. 2b) dają wystarczające podstawy prawne do przetwarzania danych.
Z takim postawieniem sprawy nie zgadza się Konrad Młynkiewicz.
– – zauważa radca prawny.
Podkreśla, że niedopuszczalne z punktu widzenia wykładni prawa byłoby przyjęcie, że w sytuacji ewidentnego błędu legislacyjnego powodującego niemożność odczytania warunków i zakresu przetwarzania danych osobowych przez policję należy odstąpić od stosowania takiego przepisu i posługiwać się normą generalną.
Policja nie odpowiedziała na przesłane jej przez DGP pytania.
