Ustawa regulująca ochronę danych osobowych przetwarzanych w związku z zapobieganiem i zwalczaniem przestępczości zawiera przepisy wyłączające niektóre organy spod kontroli. Mimo protestów rzecznika praw obywatelskich sprawa ucichła i sygnalizowane przez niego błędy nie zostały poprawione.
Nowe przepisy miały wprowadzić do polskiego porządku prawnego dyrektywę Parlamentu Europejskiego i Rady (UE) o ochronie danych osobowych przetwarzanych w związku z zapobieganiem i zwalczaniem przestępczości – zwaną policyjną, w skrócie DODO (nr 2016/680). Zgodnie z nią wymiar sprawiedliwości i organy ścigania miały zostać ograniczone przepisami kontrolującymi gromadzone przez nie dane, przetwarzane w celu rozpoznawania, zapobiegania, wykrywania i zwalczania czynów zabronionych, w tym ochrony przed zagrożeniami dla bezpieczeństwa i porządku publicznego. Chodzi choćby o informacje gromadzone w przypadku aresztowania czy wymierzania kar.
Rozporządzenie o ochronie danych (RODO) regulację wymienionych wyżej przypadków powierzało dyrektywie 2016/680 obowiązujące od 25 maja 2018 r., sobie jednak pozostawiało zadania organów służące innym celom, o ile objęte byłyby zakresem prawa Unii.

Ograniczona kontrola UODO

Zgodnie z ustawą z 14 grudnia mającą wdrożyć dyrektywę nr 2016/680 kontrola przetwarzania danych osobowych przeprowadzana jest przez prezesa Urzędu Ochrony Danych Osobowych. Wśród jego zadań znalazło się m.in. udzielanie osobie, której dane dotyczą, na jej żądanie, informacji o wykonywaniu praw przysługujących jej na mocy niniejszej ustawy, a w miarę potrzeby współpracowanie w tym celu z organami nadzorczymi w innych państwach Unii Europejskiej. Cały rozdział VI omawianej ustawy został poświęcony współpracy z tymi organami. Ponadto do prowadzenia kontroli mają mieć odpowiednie zastosowanie przepisy rozdziału IX ustawy z 10 maja 2018 r. o ochronie danych osobowych, służącej stosowaniu rozporządzenia UE (RODO).
Wydawałoby się, że takie mechanizmy i zabezpieczenia zapewnią bezpieczeństwo gromadzonych przez organy danych. Niekoniecznie. Ustawa dotycząca ochrony danych osobowych przetwarzanych w związku z zapobieganiem i zwalczaniem przestępczości przewiduje wyjątki wyłączające spod kontroli część danych i służby specjalne (zwrócił na to uwagę DGP w artykule „Krytyczny błąd w ustawie o Policji”, 5 marca 2019 r.).
Artykuł 3 pkt 1 przewiduje bowiem, że przepisów ustawy nie stosuje się do ochrony danych osobowych znajdujących się w aktach spraw lub czynności lub urządzeniach ewidencyjnych, w tym tworzonych i przetwarzanych z wykorzystaniem technik informatycznych, prowadzonych na podstawie prawa o prokuraturze, kodeksu karnego wykonawczego, kodeksu postępowania karnego, kodeksu karnego skarbowego, kodeksu postępowania w sprawach o wykroczenia, ustawy o postępowaniu w sprawach nieletnich, ustawy o postępowaniu wobec osób z zaburzeniami psychicznymi stwarzających zagrożenie życia, zdrowia lub wolności seksualnej innych osób. W punkcie 2 art. 3 wśród wyłączonych spod kontroli prezesa Urzędu Ochrony Danych Osobowych i omawianej ustawy znalazły się też dane przetwarzane w związku z zapewnieniem bezpieczeństwa narodowego, w tym w ramach realizacji zadań ustawowych Agencji Bezpieczeństwa Wewnętrznego, Agencji Wywiadu, Służby Kontrwywiadu Wojskowego, Służby Wywiadu Wojskowego oraz Centralnego Biura Antykorupcyjnego.
Tak duży i niedookreślony zakres wyłączeń może budzić uzasadnione wątpliwości, czy wymienione organy, będąc poza ochroną, nie będą nadużywać swojej wolności. W grudniu 2018 r. przed uchwaleniem ustawy rzecznik praw obywatelskich wystosował pismo do Senatu, w którym wyczerpująco opisał problem. Zwrócił uwagę m.in. na podmiotowe wyłączenie – ABW, AW, SKW, SWW i CBA z zakresu stosowania ustawy. Podkreślił, że się z tym nie zgadza. Jego zdaniem nie wszystkie zadania ustawowe realizowane przez te służby mieszczą się w zakresie pojęcia „bezpieczeństwo narodowe” – tak szerokie wyłączenie jest niezgodne z prawem UE.
Na stronie Urzędu Ochrony Danych Osobowych widnieje informacja, że ustawy nie stosuje się w sprawach danych przetwarzanych przez ABW, AW, SKW, SWW i CBA w zakresie zapewnienia „bezpieczeństwa narodowego” (https://uodo.gov.pl/pl/138/706). Czy jednak organy te będą przepis art. 3 pkt 2 interpretować wąsko? Wątpliwości rzecznika praw obywatelskich wydają się być słuszne.
Budzić zastanowienie może również zamieszczona nieco niżej na stronie UODO uwaga, że ustawa, niezgodnie z dyrektywą 2016/680, wyłącza swoje zastosowanie do danych osobowych znajdujących się w aktach spraw lub czynności lub urządzeniach ewidencyjnych prowadzonych w postępowaniach w stosunku do nieletnich, postępowaniach karnych, w tym karnych wykonawczych i karnych skarbowych oraz wobec osób z zaburzeniami psychicznymi stwarzającymi zagrożenie dla życia, zdrowia lub wolności seksualnej i innych osób, czyli przypadków wymienionych w art. 3 pkt 1.

Fikcja ochrony danych

Podane powyżej przykłady mogą budzić uzasadnione obawy, że nowa ustawa wprowadza fikcję ochrony danych w sektorze bezpieczeństwa i – jak twierdzą rzecznik praw obywatelskich oraz Urząd Ochrony Danych Osobowych – prawdopodobnie jest niezgodna z prawem unijnym.
Brak ograniczeń prawnych w pozyskiwaniu danych osobowych przez służby specjalne może doprowadzić do legalnej inwigilacji. W konsekwencji ABW, AW, SKW, SWW i CBA mogą pozyskiwać od organów śledczych nagrania i dane obywateli, a potem przetwarzać je według uznania, choćby informacje dotyczące uczestników demonstracji czy zwolenników opozycji. Nie ma bowiem przepisu, który by tego zabraniał, oraz brakuje organu, który pełniłby nadzór nad przetwarzaniem tych danych. Łatwo też można uzasadnić, że wywrotowcy nie służą bezpieczeństwu narodowemu.
Niedoprecyzowany art. 3 ustawy stanowi poważne zagrożenie dla osób fizycznych. Prywatność ich została zabezpieczona przed wielkimi korporacjami na skutek wejścia RODO, ale sposób wdrożenia unijnej dyrektywy DODO w Polsce pozbawił obywateli ochrony przed służbami.
Jeśli przepisy nie zostaną doprecyzowane, możemy znaleźć się szybko w orwellowskim 1984 r. Choć generalna idea zapewnienia bezpieczeństwa jest godna pochwały, to jednak pozostawienie służb specjalnych bez kontroli może również doprowadzić do przetwarzania naszych danych w celach służących partykularnym interesom pracujących w nich jednostek. Poza tym Polska też może mieć swojego Edwarda Snowdena. Wtedy miecz może okazać się obosieczny.