Ochrona danych osobowych przetwarzanych w związku z zapobieganiem i zwalczaniem przestępczości – wyłączenia przedmiotowe – czy są zgodne z Dyrektywą 2016/680

Ustawa z 14.12.2018 r. o ochronie danych osobowych przetwarzanych w związku z zapobieganiem i zwalczaniem przestępczości implementuje do polskiego prawa dyrektywy Parlamentu Europejskiego i Rady (UE) 2016/680. Analiza problemu wskazuje na wyłączenia przedmiotowe, które nie obejmują m.in. akt postępowań karnych oraz przetwarzania danych w celu bezpieczeństwa narodowego. Jednakże, uzasadnienie tych wyłączeń budzi wątpliwości zgodności z dyrektywą 2016/680.

Tematyka: Ochrona danych osobowych, przestępczość, dyrektywa 2016/680, wyłączenia przedmiotowe, akta postępowań, bezpieczeństwo narodowe, zgodność z prawem, Rzecznik Praw Obywatelskich, implementacja przepisów, terminy dostosowania, bezpieczeństwo danych osobowych

Ustawa z 14.12.2018 r. o ochronie danych osobowych przetwarzanych w związku z zapobieganiem
i zwalczaniem przestępczości (Dz.U. z 2019 r. poz. 125, dalej jako: OchrDanychZwPrzestU) wdraża do
polskiego porządku prawnego dyrektywy Parlamentu Europejskiego i Rady (UE) 2016/680 z 27.4.2016 r.
w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych przez właściwe organy
do celów zapobiegania przestępczości, prowadzenia postępowań przygotowawczych, wykrywania i ścigania
czynów zabronionych i wykonywania kar, w sprawie swobodnego przepływu takich danych oraz uchylająca
decyzję ramową Rady 2008/977/WSiSW (Dz. Urz. UE L Nr 119 z 2016 r., s. 89 ze zm., dalej jako: dyrektywa
2016/680).
Opis analizowanego problemu
Ustawa odsyła do definicji danych osobowych, o której mowa w art. 4 pkt 1 rozporządzenia Parlamentu
Europejskiego i Rady (UE) 2016/679 z 27.4.2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem
danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne
rozporządzenie o ochronie danych osobowych) (Dz. Urz. UE L Nr 119 z 2016 r. s. 1 ze zm., dalej jako: RODO).
W myśl tej definicji „dane osobowe” oznaczają informacje o zidentyfikowanej lub możliwej do zidentyfikowania
osobie fizycznej („osobie, której dane dotyczą”); możliwa do zidentyfikowania osoba fizyczna to osoba, którą można
bezpośrednio lub pośrednio zidentyfikować, w szczególności na podstawie identyfikatora takiego jak imię i nazwisko,
numer identyfikacyjny, dane o lokalizacji, identyfikator internetowy lub jeden bądź kilka szczególnych czynników
określających fizyczną, fizjologiczną, genetyczną, psychiczną, ekonomiczną, kulturową lub społeczną tożsamość
osoby fizycznej.
Dane osobowe mogą być przetwarzane w celu rozpoznawania, zapobiegania, wykrywania i zwalczania czynów
zabronionych w tym zagrożeń dla bezpieczeństwa i porządku publicznego, a także wykonywania tymczasowego
aresztowania, kar, kar porządkowych i środków przymusu skutkujących pozbawieniem wolności. W ustawie nie
skatalogowano podmiotów, których ustawa dotyczy. Ustawodawcą wprowadził natomiast wyłączenia przedmiotowe.
Analiza
W ustawie nie skatalogowano podmiotów, których ustawa dotyczy. Ustawodawcą wprowadził natomiast wyłączenia
przedmiotowe. I tak, przepisów ustawy nie stosuje się do ochrony danych osobowych:
1) znajdujących się w aktach spraw lub czynności lub urządzeniach ewidencyjnych, w tym tworzonych
i przetwarzanych z wykorzystaniem technik informatycznych, prowadzonych na podstawie ustawy z 26.10.1982 r.
o postępowaniu w sprawach nieletnich (t.j.: Dz.U. z 2018 r. poz. 969), ustawy z 6.6.1997 r. – Kodeks karny
wykonawczy (t.j.: Dz.U. z 2018 r. poz. 652 ze zm.), ustawy z 6.6.1997 r. – Kodeks postępowania karnego (t.j.: Dz.U.
z 2018 r. poz. 1987 ze zm.), ustawy z 10.9.1999 r. – Kodeks karny skarbowy (t.j.: Dz.U. z 2018 r. poz. 1958 ze zm.),
ustawy z 24.8.2001 r. – Kodeks postępowania w sprawach o wykroczenia (t.j.: Dz.U. z 2018 r. poz. 475 ze zm.),
ustawy z 22.11.2013 r. o postępowaniu wobec osób z zaburzeniami psychicznymi stwarzających zagrożenie życia,
zdrowia lub wolności seksualnej innych osób (Dz.U. z 2014 r. poz. 24 ze zm.), ustawy z 28.1.2016 r. – Prawo
o prokuraturze (t.j.: Dz.U. z 2017 r. poz. 1767 ze zm.);
2) przetwarzanych w związku z zapewnieniem bezpieczeństwa narodowego, w tym w ramach realizacji zadań
ustawowych Agencji Bezpieczeństwa Wewnętrznego, Agencji Wywiadu, Służby Kontrwywiadu Wojskowego, Służby
Wywiadu Wojskowego oraz Centralnego Biura Antykorupcyjnego.
Powyższe wyłączenie oznacza, że ustawa nie będzie miała zastosowania do danych osobowych zawartych
w aktach postępowań - prowadzonych na podstawie ustawy o postępowaniu w sprawach nieletnich, Kodeksu
karnego wykonawczego, Kodeksu postępowania karnego, Kodeksu karnego skarbowego, ustawy z 22.11.2013 r.
o postępowaniu wobec osób z zaburzeniami psychicznymi stwarzających zagrożenie życia, zdrowia lub wolności
seksualnej innych osób, kodeksu postępowania w sprawach o wykroczenia, Prawo o prokuraturze. Czy takie
wyłączenie jest zgodne z dyrektywą 2016/680?
Ustawodawca wprowadzając powyższe wyłączenia uzasadnia je zakresem pojęcia definicji zbioru danych. Zdaniem
ustawodawcy „W świetle doktryny i orzecznictwa, zbiór danych, zdefiniowany w art. 3 pkt 6 dyrektywy, powinien
zatem spełniać następujące kryteria:

1) musi to być zestaw danych osobowych;
2) dane osobowe w tym zbiorze muszą być uporządkowane w taki sposób, aby można było odszukać żądaną
informację bez potrzeby przeszukiwania całego zbioru;
3) dane muszą być uporządkowane według co najmniej dwóch określonych kryteriów, przy czym kryteria te powinny
się odnosić do osób fizycznych, a więc zbiór ma być uporządkowany w taki sposób, aby można było odszukać dane
osobowe bez potrzeby przeszukiwania całego zbioru.
Oznacza to, że dyrektywy nie stosuje się do akt, takich jak akta postępowania karnego. Akta są wyłączone
spod definicji zbioru danych osobowych z trzech powodów:
1) nie są zbiorem danych osobowych.
Dane zawarte w zbiorze muszą być danymi o charakterze osobowym. Tymczasem w aktach spraw i czynności
prowadzonych na podstawie ustaw wskazanych w art. 3 pkt 1 gromadzi się różnego rodzaju informacje i materiały
dowodowe, na podstawie których organ prowadzący postępowanie i wydający rozstrzygnięcie kształtuje swoje
stanowisko co do faktu popełnienia czynu zabronionego, sprawcy tego czynu oraz odpowiedzialności karnej (…).
2) nie są uporządkowane w rozumieniu dyrektywy.
Zgodnie z poglądami doktryny prawa (np. W. Zimny), o uporządkowaniu danych osobowych możemy mówić
wówczas, gdy dane są przedstawiane w określonym przestrzennym rozmieszczeniu albo w określonej fizycznej czy
logicznej strukturze, co w oczywisty sposób nie ma zastosowania do akt postępowania karnego. (…);
3) kryteria porządkujące akta nie dotyczą danych osobowych.
Zgodnie z definicją zbioru zawartą w art. 3 pkt 6 dyrektywy, dane osobowe w zbiorze muszą być uporządkowane
według co najmniej dwóch kryteriów. Należy podkreślić, że wymóg istnienia kryteriów porządkujących dotyczy nie
zbioru jako takiego, ale zawartych w nim danych osobowych. Toteż w doktrynie wskazywano (np. Arvid Mednis), że
akta sądowe nie stanowią zbioru danych, gdyż nie są uporządkowane w oparciu o kryteria dotyczące osób
fizycznych.” (Uzasadnienie projektu, s. 9-11).
W myśl zapisów Dyrektywy 2016/680 nie powinna ona stanowić dla państw członkowskich przeszkody w określaniu –
w krajowym prawie karnym procesowym – operacji i procedur przetwarzania danych osobowych przez sądy i inne
organy wymiaru sprawiedliwości, zwłaszcza danych osobowych ujmowanych w orzeczeniach sądowych lub aktach
związanych z postępowaniem karnym (motyw 20 preambuły). Jeżeli dane osobowe przetwarza się w toku
postępowania przygotowawczego i sądowego w sprawie karnej, państwa członkowskie powinny mieć możliwość
zapewnienia wykonywania prawa do informacji, dostępu lub poprawienia, usunięcia i ograniczenia przetwarzania
zgodnie z krajowymi przepisami o postępowaniu sądowym.(motyw 49 preambuły). Państwa członkowskie mogą
w taki sposób ukształtować ochronę danych osobowych aby odbywało się to zgodnie z prawem państwa
członkowskiego, jeżeli dane osobowe znajdują się w orzeczeniu sądu, protokole lub aktach sprawy przetwarzanych
w toku postępowania przygotowawczego lub sądowego w sprawie karnej.
Dyrektywa dopuszcza więc pewne odstępstwa od jej stosowania w odniesieniu do akt postępowania.
Niemniej jednak całkowite wyłączenie akt postępowań prowadzonych na podstawie ustawy o postępowaniu
w sprawach nieletnich, Kodeksu karnego wykonawczego, Kodeksu postępowania karnego, Kodeksu karnego
skarbowego, ustawy z dnia 22 listopada 2013 r. o postępowaniu wobec osób z zaburzeniami psychicznymi
stwarzających zagrożenie życia, zdrowia lub wolności seksualnej innych osób, kodeksu postępowania w sprawach
o wykroczenia, Prawo o prokuraturze budzi wątpliwości. Wątpliwości budzi również uzasadnienie takiego wyłączenia.
Jak wyżej zostało wskazane ustawodawca powołuj się na to, iż akta postępowania jego zdaniem nie są zbiorem
danych osobowych. Zdaniem Rzecznika Praw Obywatelskich (opinia z 18.12.2018 r. skierowana do Marszałka
Senatu VII.501.315.2014.AG.) „Takie wyłączenie budzi wątpliwość, nie tylko w świetle definicji zbioru danych, ale
również interpretacji tego pojęcia dokonywanej w orzecznictwie Trybunału Sprawiedliwości Unii Europejskiej (por.
wyrok C-25/17 z 10.7.2018 r., EU:C:2018:551).
„Drugie z zaktywowanych wyłączeń odnosi się do przetwarzanych w związku z zapewnieniem bezpieczeństwa
narodowego, w tym w ramach realizacji zadań ustawowych Agencji Bezpieczeństwa Wewnętrznego, Agencji
Wywiadu, Służby Kontrwywiadu Wojskowego, Służby Wywiadu Wojskowego oraz Centralnego Biura
Antykorupcyjnego. Zdaniem ustawodawcy Dyrektywa 2016/680 dopuszcza takie rozwiązanie (Uzasadnienie, s. 13).
Ustawodawca powołuje się na art. 2 ust. 3 lit. a Dyrektywy 2016/680, zgodnie z którym niniejsza dyrektywa nie ma
zastosowania do przetwarzania danych osobowych w ramach działalności nieobjętej zakresem prawa Unii. W myśl
bowiem art. 4 ust. 2 Traktatu o Unii Europejskiej Unia szanuje równość Państw Członkowskich wobec Traktatów, jak
również ich tożsamość narodową, nierozerwalnie związaną z ich podstawowymi strukturami politycznymi
i konstytucyjnymi, w tym w odniesieniu do samorządu regionalnego i lokalnego. Szanuje podstawowe funkcje
państwa, zwłaszcza funkcje mające na celu zapewnienie jego integralności terytorialnej, utrzymanie porządku
publicznego oraz ochronę bezpieczeństwa narodowego. W szczególności bezpieczeństwo narodowe pozostaje

w zakresie wyłącznej odpowiedzialności każdego Państwa Członkowskiego. Ustawodawca wskazuje, iż w zakresie
działania Agencji Bezpieczeństwa Wewnętrznego, Agencji Wywiadu, Służby Kontrwywiadu Wojskowego, Służby
Wywiadu Wojskowego oraz Centralnego Biura Antykorupcyjnego mieści się bezpieczeństwo narodowe.
(uzasadnienie, s. 13-14).
Zarówno samo wyłączenie ww. służb, jak i uzasadnienie tego rozwiązania budzi wiele wątpliwości. W szczególności
nie wszystkie ustawowe działania wspomnianych służb mieszczą się w zakresie bezpieczeństwa narodowego. Jak
bowiem słusznie wskazuje Rzecznik Praw Obywatelskich z punktu widzenia prawa Unii Europejskiej pojęcie
„bezpieczeństwo narodowe” nie może być utożsamiane z pojęciem „bezpieczeństwa wewnętrznego”, o czym
świadczą przepisy samego Traktatu o Unii Europejskiej i Traktatu o funkcjonowaniu Unii Europejskiej (opinia
z 18.12.2018 r. skierowana do Marszałka Senatu,VII.501.315.2014.AG.)
Istotnie wskazać należy, że ustawodawca zrezygnował również z implementacji przepisu art. 17 dyrektywy
2016/680, stanowiącego obowiązek dla kraju członkowskiego UE implementacji uregulowań prawnych, tj. dającego
zapewnienie obywatelowi rozwiązań prawnych gwarantujących wykonywanie swojego prawa także za
pośrednictwem właściwego organu nadzorczego. Podkreślenia wymaga, że choć ustawodawca wskazuje, że
wykonanie obowiązku zawartego w treści art. 17 dyrektywy 2016/680, daje przepis art. 29 w zw. z art. 50 ust. 1 i 4
OchrDanychZwPrzestU, tj. możliwość złożenia skargi do Prezesa Urzędu Ochrony Danych Osobowych, to jest to
zaproponowane rozwiązanie dotyczy sytuacji kiedy dane osobowe są przetwarzane bezprawnie. Natomiast rolą
przepisu art. 17 dyrektywy 2016/680 jest zagwarantowanie obywatelowi, i stworzenie takich mechanizmów prawnych,
które pozwolą niezależnemu organowi na dokonanie stosownej kontroli w przedmiocie przetwarzania danych
osobowych, kiedy obywatel nie wie, że dane te podlegają przetwarzaniu, oraz w jakim zakresie to przetwarzanie ma
miejsce. Oczywistym jest że organy Państwa działające w sferze dominium, poprzez wykonywanie swoich
obowiązków są w pozycji o wiele bardziej uprzywilejowanej w stosunku do obywatela, i właśnie dlatego prawidłowa
implementacja przepisu artykułu 17 dyrektywy 2016/680, winna prowadzić do równowagi działań Państwa względem
Obywatela. W ocenie autora powołanie w pełni niezależnej instytucji stojącej niejako na straży prawidłowości
w zakresie przetwarzania danych osobowych, wrażona musi być między innymi przez jego niezależność
instytucjonalną, co z kolei zagwarantuje i da Obywatelowi poczucie zaufanie do Państwa prawa.
Autor pragnie zwrócić uwagę, również na terminy jakie ustawodawca wprowadził, w zakresie wejścia w życie
przedmiotowej ustawy. Niezrozumiałym jest nadzwyczaj długi okres uprawniający administratora do wdrożenia
zasad przetwarzania danych w sytuacji jeśli wymagałoby to niewspółmiernie dużego wysiłku lub nakładów, vide treść
przepisu art. 102 ust. 2 OchrDanychZwPrzestU, gdzie z treści wynika że administrator może dostosować
zautomatyzowane systemy przetwarzania danych osobowych do środków technicznych i organizacyjnych,
w terminie dłuższym niż wskazany w ust. 1 (tj. w terminie 1 roku od dnia wejścia ustawy), nie później jednak niż do
6.5.2023 r. Idąc dalej, jak wynika z treści przepisu art. 102 ust. 4 OchrDanychZwPrzestU przedmiotowej ustawy
ustawodawca dokonał zapisu pozwalającego na dostosowanie zasad przetwarzania informacji i danych osobowych
w zbiorach danych utworzonych przed dniem wejścia w życie niniejszej ustawy do wymogów, o których mowa w art.
19, art. 20 i art. 36 OchrDanychZwPrzestU, nastąpi nie później niż do 6.5.2023 r. Autor podkreśla, wyżej wskazane
regulacje w sposób nadzwyczajny uprzywilejowują administratorów ujętych w przedmiotowej ustawie, co
ważne na kanwie wdrożenia przepisów RODO, żaden podmiot nie uzyskał tak nadzwyczajnych odstępstw.
Raz jeszcze podkreślić należy, że tego rodzaju usankcjonowania prawne wdrożone w omawianej ustawie, stawiają
organy państwa w pozycji uprzywilejowanej, a godzi się wspomnieć, iż tego rodzaju wdrożenia systemowe
zarezerwowane winny być co do zasady dla np. mikro przedsiębiorców i małych przedsiębiorstw, dla których
wdrożenie przepisów RODO było istotnym obciążeniem.

Ustawodawca wprowadzając wyłączenia przedmiotowe od ochrony danych osobowych wzbudza wątpliwości co do zgodności z dyrektywą 2016/680. Szczególnie kwestionowane jest wyłączenie akt postępowań karnych oraz przetwarzania danych w ramach bezpieczeństwa narodowego. Brak implementacji przepisu art. 17 dyrektywy oraz długie terminy na dostosowanie systemów przetwarzania danych budzą niepokój.