Reforma ochrony danych osobowych to także dyrektywa policyjna, czyli tzw. brzydsza siostra RODO. Podczas gdy firmy i organizacje gorączkowo przygotowują się do wdrożenia nowego rozporządzenia, te organy państwa, które gromadzą dane o obywatelach w niejawny sposób, nierzadko posługując się kontrowersyjnymi metodami, mogą spać spokojnie. W ich świecie niewiele się zmieni, a jeśli się zmieni – to w kierunku jeszcze większej swobody działania i jeszcze mniejszej przejrzystości. Ministerstwo Spraw Wewnętrznych przedstawiło wreszcie projekt regulujący zasady ochrony naszych danych w sektorze bezpieczeństwa. Niestety, jest on tak dziurawy, że ochrona prywatności stanie się tam wyjątkiem, a nie regułą. Jak do tego doszło i czym to grozi?

Istotą nieco już dziś zakurzonych informacji ujawnionych kilka lat temu przez Edwarda Snowdena był fakt, że amerykańskie służby zachłannością pozyskiwania naszych danych osobowych niewiele różnią się od podmiotów komercyjnych. Podobnie jak one, czasem tych danych potrzebują, częściej jednak – pewnie nie. RODO to odpowiedź Unii Europejskiej na zachłanność biznesu, a dyrektywa policyjna to próba uregulowania ochrony danych przez policję i inne służby. Jednak ze względów instytucjonalnych (Unia nie ma silnych kompetencji w zakresie wpływania na politykę bezpieczeństwa państw członkowskich) sektor bezpieczeństwa uregulowany został przez dyrektywę, która po pierwsze wymaga implementacji do porządków krajowych, a po drugie – jest pełna wyjątków. Wytłumaczymy to na przykładach.

Wyjęci spod prawa

Na podstawie dyrektywy państwa członkowskie zobowiązane są przyjąć przepisy, zgodnie z którymi policja i inne podmioty zajmujące się przeciwdziałaniem przestępczości mogą pobierać tylko te dane, które są niezbędne do realizacji ich zadań. Żadnych danych na zapas, dla wygody i na wszelki wypadek. Prawo unijne pozostawia jednak furtkę w postaci „bezpieczeństwa narodowego” – ci, którzy się nim zajmują, nie podlegają ograniczeniom wynikającym z dyrektywy. Zgodnie z definicją bezpieczeństwa narodowego jest nim nie tylko praca kontrwywiadowcza prowadzona przez kontrwywiad wojskowy czy zapobieganie terroryzmowi przez Agencję Bezpieczeństwa Wewnętrznego, ale nawet przeciwdziałanie korupcji w sporcie. Efekt: pięć służb specjalnych jest wyjętych spod zakresu obowiązywania nowych przepisów i w konsekwencji nie będzie miało żadnych ograniczeń związanych z pozyskiwaniem danych osobowych.

Przykład: Agencja Bezpieczeństwa Wewnętrznego może pozyskiwać od Policji nagrania uczestników antyrządowych demonstracji, mimo że nie jest to niezbędne do realizacji jej ustawowych działań. Żadna ustawa tego nie zabroni, a Prezes Urzędu Ochrony Danych Osobowych nie skontroluje.

Dyrektywa minus

Nawet po wyłączeniu spod ustawy służb specjalnych zobowiązane do jej przestrzegania będą m.in. Policja i Straż Graniczna. Mogłoby się więc wydawać, że będziemy mieli – jako osoby, których dane te formacje wykorzystują – pewne uprawnienia. Fundamentalnym z nich jest prawo do uzyskania informacji, czy i jakie dane na nasz temat są przetwarzane i co się z nimi dzieje. Dyrektywa dopuszcza oczywiście wyjątki (np. związane z dobrem prowadzonego śledztwa), jednak autorzy ministerialnego projektu zdecydowanie wykroczyli poza inwencję twórców dyrektywy i dodali nowe ograniczenia. Jednym z nich jest propozycja, by nie można było ujawniać informacji pochodzących z tzw. czynności operacyjno-rozpoznawczych. Problem w tym, że takie czynności to worek bez dna obejmujący lwią część działań podejmowanych przez służby mundurowe: od podsłuchów, przez pobieranie danych telekomunikacyjnych, po obserwacje. A autorzy nie dodają, że ograniczenie to dotyczy wyłącznie sytuacji, w której cały czas prowadzone są działania, a ujawnienie informacji wywoła jakąś szkodę. Nawet jeśli śledztwo dawno jest zamknięte, bo np. Policja stwierdzi, że nie doszło do przestępstwa, to dostęp do tego, czy pobierano nasze informacje, będzie zamknięty raz na zawsze. Innym przykładem inwencji twórców projektu jest konieczność wykazania „żywotnego interesu”.

Przykład: Chcesz się dowiedzieć, czy przy okazji kradzieży roweru, którą zgłosiłeś na Policji wiele lat temu, funkcjonariusze nie pobierali Twoich billingów – tak się bowiem składa, że jesteś adwokatem i nie życzysz sobie, by Policja miała informacje na temat tego, z kim rozmawiasz. Nie wiesz, czy Policja ma te dane, ale pytając o to, musisz wykazać, że uzyskanie tej informacji jest niezbędne do ochrony Twoich żywotnych interesów. Trudne? Właśnie takie ma być!

Tworzenie prawa: studium przypadku

Parlament Europejski przyjął dyrektywę policyjną 27 kwietnia 2016 r. i zobowiązał państwa członkowskie, aby ją wdrożyły do 6 maja 2018 r., czyli do minionej niedzieli. Tymczasem MSWiA – mimo wielokrotnych apeli Panoptykonu i Rzecznika Praw Obywatelskich – swój projekt opublikowało dopiero 19 kwietnia. Teraz trwają konsultacje: pismo z prośbą o przedstawienie stanowiska do 30 kwietnia (poniedziałek) wpłynęło do nas… 27 kwietnia (piątek). Rząd świadomie zignorował zatem zobowiązanie względem Unii Europejskiej i nie wdrożył dyrektywy w terminie.

W naszym stanowisku punkt po punkcie wskazujemy, jak rządowy projekt ogranicza uprawnienia obywateli wynikające z dyrektywy i pomija gwarancje, jakie powinny się znaleźć w krajowych przepisach. Teraz ruch po stronie rządu.

Wojciech Klicki

Stanowisko Fundacji Panoptykon w sprawie projektu ustawy o ochronie danych osobowych przetwarzanych w związku z zapobieganiem i zwalczaniem przestępczości

Od niemal 10 lat Fundacja Panoptykon walczy o kontrolę nad działaniami służb. Wesprzyj nas w tej walce!