Przepisy ustawy wdrażającej „dyrektywę policyjną” wymagają zmian legislacyjnych

W obecnym kształcie „ustawa o ochronie danych osobowych przetwarzanych w związku z zapobieganiem i zwalczaniem przestępczości” nie zapewnia pełnych gwarancji ochrony praw osób, których dane są przetwarzane.

Prezes Urzędu Ochrony Danych Osobowych wystąpił do Ministra Spraw Wewnętrznych i Administracji oraz do Ministra Sprawiedliwości z wnioskiem o podjęcie prac legislacyjnych w celu  zapewnienia prawidłowej implementacji w polskim porządku prawnym przepisów ‘dyrektywy policyjnej’ (2016/680).

W piśmie do ministra Marcina Kierwińskiego i ministra Waldemara Żurka prezes UODO, Mirosław Wróblewski, wskazał na problemy związane z wdrożeniem dyrektywy policyjnej. Zwracał na nie uwagę już wcześniej - zarówno na etapie opiniowania projektu ustawy, jak również w trakcie realizowanych przez Komisję Europejską prac nad ewaluacją samej dyrektywy (w 2021 i 2025 r.).

• Wyłączenia przyjęte w ustawie krajowej powodują, że nie zostały nią objęte wszystkie obszary przetwarzania danych osobowych w celach rozpoznawania, zapobiegania, wykrywania i zwalczania czynów zabronionych, jakie uwzględnia "dyrektywa policyjna". W efekcie dane osobowe zawarte w aktach sprawy oraz przetwarzane w toku czynności nie podlegają na poziomie krajowym jakimkolwiek przepisom gwarantującym ochronę danych osobowych a w przepisach procedury karnej brakuje np. gwarancji podstawowych praw osób, których dane dotyczą, takich jak: prawo do informacji, prawo do skargi, prawo dostępu do danych, do ich sprostowania, usunięcia, ograniczenia przetwarzania, a także do wniesienia skargi do niezależnego organu nadzorczego oraz skutecznego środka prawnego przed sądem od decyzji tego organu. 
• Prezes UODO odniósł się do nadzoru nad prawidłowym przetwarzaniem danych osobowych przez sądy w ramach sprawowania wymiaru sprawiedliwości by chronić niezawisłość sprawowania wymiaru sprawiedliwości. Nadzór powinien zostać powierzony wyłącznie specjalnym organom w systemie wymiaru sprawiedliwości danego państwa członkowskiego. Doprecyzowanie przepisów krajowych oraz opracowanie jednolitych wytycznych interpretacyjnych w tym zakresie mogłoby przyczynić się do zwiększenia przejrzystości nadzoru oraz zapewnienia spójności stosowania przepisów o ochronie danych osobowych w szczególności w kontekście powołania niezależnego organu nadzorczego - innego niż Prezes UODO, który jest niezależnym organem publicznym odpowiedzialnym za monitorowanie stosowania RODO m. in. w związku z przetwarzaniem danych osobowych oraz za monitorowanie stosowania "dyrektywy policynej" dla ochrony tych praw i wolności - organem znajdującym się poza strukturami władzy sądowniczej, czyli poza systemem wymiaru sprawiedliwości.
• Wątpliwości Prezesa UODO wzbudzają również uregulowania dotyczące nadzoru nad przetwarzaniem danych osobowych przez prokuraturę, ponieważ sprawowany jest wyłącznie przez jej jednostki organizacyjne, a te podlegają hierarchicznej zależności. Model ten pozostaje w sprzeczności z celami dyrektywy, która wymaga zapewnienia nadzoru przez organ w pełni niezależny.
• Brak regulacji wskazujących niezależne organy wyposażone w kompetencje kontrolne w zakresie ochrony danych osobowych, w konsekwencji pozbawia ochrony osoby, których dane dotyczą i nie uwzględnia ich prawa do prywatności.
  
• Problematyczne są także uregulowania dotyczące dostępu do danych w wielkoskalowych systemach informacyjnych UE. Proces przetwarzania danych osobowych przez krajowe podmioty i organy nie podlega niezależnemu nadzorowi krajowemu. Przewidziane wyłączenia gwarancji ochrony danych osobowych mają szerokie i poważne konsekwencje nie tylko dla krajowego, lecz także dla unijnego systemu ochrony danych osobowych w odniesieniu do funkcjonowania wielkoskalowych systemów informacyjnych Unii Europejskiej oraz dla utrzymania unijnego porządku prawnego w ogólności.
• Zgodnie z art. 57 "dyrektywy policyjnej" państwa członkowskie mają obowiązek przyjęcia przepisów określających sankcje za naruszenie przepisów wdrażających dyrektywę oraz zapewnienia ich skutecznego wykonania. Sankcje te powinny być skuteczne, proporcjonalne i odstraszające. Tymczasem ustawa nie wyposaża Prezesa Urzędu Ochrony Danych Osobowych w żadne instrumenty sankcyjne o takim charakterze.
• Prezes UODO odniósł się również do konieczności uregulowania roli Inspektora Ochrony Danych Osobowych. Obecnie w przepisach w sposób niezgodny z "dyrektywą policyjną" ukształtowano zadania inspektora ochrony danych oraz nieprecyzyjnie określono obowiązek przesyłania zawiadomień dotyczących IOD, powodując problemy w stosowaniu przepisów przez podmioty zobowiązane do ich przestrzegania.
• Prezes UODO zwrócił również uwagę na brak implementacji "dyrektywy policyjnej" odnośnie do dostępu pośredniego. 

DPNT.413.28.2025