Martyna Kusak
Ochrona danych osobowych w sprawach karnych
– rekomendacje na tle transpozycji dyrektywy 2016/680/UE


Artykuł pochodzi z miesięcznika Europejski Przegląd Sądowy 2017/10>>

Państwa członkowskie UE stoją u progu rewolucji w zakresie ochrony danych osobowych, którą wprowadzają rozporządzenie Parlamentu Europejskiego i Rady (UE) nr 2016/679 z 27.04.2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE , oraz dyrektywa Parlamentu Europejskiego i Rady (UE) 2016/680/UE z 27.04.2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych przez właściwe organy do celów zapobiegania przestępczości, prowadzenia postępowań przygotowawczych, wykrywania i ścigania czynów zabronionych i wykonywania kar, w sprawie swobodnego przepływu takich danych oraz uchylająca decyzję ramową Rady 2008/977/WSiSW . Wysunięcie przed nawias dyrektywy 2016/680 nie jest przypadkowe. Unia Europejska uznała bowiem, że organy ścigania, z uwagi na charakter ich działań, mają szczególny dostęp do gromadzenia danych, z przetwarzaniem których może się wiązać ryzyko naruszenia praw i wolności jednostki, takich jak m.in. szkody gospodarcze, społeczne, naruszenie tajemnicy służbowej czy dobrego imienia. Koniecznością stało się zatem opracowanie odrębnego instrumentu, który zapewni jednakowy stopień ochrony osób fizycznych poprzez wprowadzenie jednolitego i efektywnego systemu ochrony danych osobowych, oraz zniweluje różnice utrudniające ich wymianę między właściwymi organami ścigania. Termin transpozycji dyrektywy 2016/680 upływa 6.05.2018 r. Celem niniejszego artykułu jest więc przybliżenie podstawowych założeń przedmiotowego instrumentu oraz ich zestawienie ze standardami krajowymi, a także zaproponowanie zmian w zakresie pożądanych kierunków transpozycji .

I. Wprowadzenie
Współpraca w zakresie ochrony danych osobowych jest jednym z istotnych aspektów działalności UE . Aktualnie podstawowymi instrumentami regulującymi tę kwestę są: dyrektywa Parlamentu Europejskiego i Rady 95/46/WE z 24.10.1995 r. w sprawie ochrony osób fizycznych w zakresie przetwarzania danych osobowych i swobodnego przepływu tych danych oraz decyzja ramowa Rady 2008/977/WSiSW z 27.11.2008 r. w sprawie ochrony danych osobowych przetwarzanych w ramach współpracy policyjnej i sądowej w sprawach karnych . Ten ostatni instrument ma jednak ograniczony zakres zastosowania, dotyczy bowiem wyłącznie przetwarzania danych osobowych przesyłanych lub udostępnianych pomiędzy państwami członkowskimi i nie ma zastosowania do danych zgromadzonych w sprawach o zasięgu krajowym. Istotne znaczenie ma również współpraca w tej dziedzinie w ramach Rady Europy, gdzie podstawowym instrumentem jest Konwencja nr 108 o ochronie osób w związku z automatycznym przetwarzaniem danych osobowych z 1981 r.

Szybki postęp techniki i globalizacja przyniosły jednak w ostatnich latach nowe wyzwania w dziedzinie ochrony danych osobowych. Nie tylko znacznie wzrosła skala zbierania i wymiany takich danych, ale dostępna technologia pozwala też na ich przetwarzanie w niespotykanym dotąd wymiarze, również przez organy ścigania. Z uwagi na fakt, że prawo do ochrony danych osobowych jest jednym z praw gwarantowanych na podstawie Karty Praw Podstawowych Unii Europejskiej , Unia wykazała się szybką reakcją na potrzeby zwiększonej skali gromadzenia i przetwarzania danych osobowych i podjęła kroki w celu stworzenia kompleksowej strategii na rzecz ich ochrony, zarówno w państwach członkowskich UE, jak i w stosunkach z innymi państwami. Jak podkreślono w Programie Sztokholmskim, rozwój technologiczny nie tylko bowiem stawia nowe wyzwania w kwestii ochrony danych osobowych, ale oferuje też nowe możliwości lepszej ich ochrony, które należy wykorzystywać .

W odpowiedzi na konieczne zmiany w dziedzinie ochrony danych osobowych, Komisja Europejska (dalej Komisja) przedstawiła w 2010 r. komunikat pt. „Całościowe podejście do kwestii ochrony danych osobowych w Unii Europejskiej” . W dokumencie tym wskazano na konkretne wyzwania w tym obszarze, do których zaliczono m.in.: reakcję na oddziaływanie nowych technologii; poprawę sytuacji w zakresie aspektów ochrony danych związanych z rynkiem wewnętrznym; reakcję na globalizację oraz poprawę międzynarodowego przekazywania danych; zagwarantowanie lepszych rozwiązań instytucjonalnych w celu skutecznego egzekwowania przepisów o ochronie danych, a także zwiększenie spójności ram prawnych w zakresie ochrony danych. Komisja zasygnalizowała również potrzebę wprowadzenia szczególnych przepisów w obrębie współpracy policyjnej i wymiarów sprawiedliwości w sprawach karnych z uwagi na specyfikę tych obszarów i potencjalne różnice w zakresie korzystania przez osoby fizyczne z niektórych praw do ochrony danych oraz konieczność zapobiegania, dochodzenia, wykrywania lub ścigania przestępstw w wykonywaniu kar w konkretnej sprawie.
Zawarte w powyższym komunikacie idee zostały następnie wcielone w życie w postaci pakietu dwóch instrumentów, tj. RODO oraz dyrektywy 2016/680.

Zgodnie z wstępnymi założeniami, opracowano zatem odrębne od ogólnego systemu ochrony regulacje odnoszące się wyłącznie do przetwarzania danych w konkretnych aspektach spraw karnych. Organy ścigania, z uwagi na charakter ich działań, mają bowiem szczególny dostęp do gromadzenia danych, z przetwarzaniem których może się wiązać ryzyko naruszeń praw i wolności jednostki. Ryzyko to wzrasta, gdy przetwarzane są dane dotyczące m.in. pochodzenia rasowego, poglądów politycznych, przekonań światopoglądowych, dane dotyczące zdrowia, orientacji seksualnej czy dane genetyczne lub biometryczne. Jak wynika z motywu 15 preambuły dyrektywy 2016/680, podstawowym celem niniejszego instrumentu jest więc zapewnienie jednakowego stopnia ochrony osób fizycznych poprzez zapewnienie efektywnych praw ochrony danych osobowych obowiązujących w całej Unii, oraz zapobieżenie różnicom utrudniającym wymianę danych osobowych między właściwymi organami. W tym celu dyrektywa 2016/680 wprowadza kilka sztandarowych rozwiązań, które:
• precyzują cel gromadzenia danych oraz zasady ich przetwarzania; wzmacniają prawa oraz wprowadzają środki ochrony prawnej osób, których dane dotyczą;
• wzmacniają obowiązki podmiotów, które przetwarzają dane osobowe, jak i odpowiadające im uprawnienia w zakresie monitorowania i egzekwowania przepisów o ochronie danych osobowych w państwach członkowskich .

Termin transpozycji dyrektywy 2016/680 upływa 6.05.2018 r., a zatem dyskusja na temat jej kierunków jest jak najbardziej aktualna. Celem niniejszego artykułu jest więc przybliżenie podstawowych założeń przedmiotowego instrumentu oraz ich zestawienie z obecnymi przepisami krajowymi. Efektem przeprowadzonej analizy będzie odpowiedź na pytanie, czy krajowe standardy ochrony danych osobowych odpowiadają standardom europejskim, a jeśli nie, to jakie zmiany są konieczne?@page_break@

II. Ochrona danych osobowych a prawo do prywatności
Jednym z zagadnień, które wymaga rozstrzygnięcia jeszcze przed przejściem do rozważań o ochronie danych osobowych, jest kwestia relacji pomiędzy prawem do ochrony danych osobowych a prawem do prywatności. W wielu aspektach prawa te bowiem pokrywają się; samo przechowywanie danych jest już ingerencją w prawo do poszanowania życia prywatnego, nie wspominając o ich przetwarzaniu . Ponadto kontekst przetwarzania danych osobowych może powodować poważne ryzyko naruszeń prawa do prywatności, zwłaszcza, kiedy są przetwarzane dane dotyczące m.in. stanu zdrowia, dane biometryczne czy dane dotyczące orientacji seksualnej. Jednocześnie w KPP wyciągnięto prawo do ochrony danych osobowych przed nawias prawa do prywatności , definiując je jako odrębne prawo podstawowe. Następnie Komisja zaproponowała osobną dyrektywę 2016/680, która ma się przyczynić do wzmacniania prawa do ochrony danych osobowych w sprawach karnych. W kontekście tego rozróżnienia powstaje więc pytanie, jak dalece prawo do prywatności różni się od prawa do ochrony danych osobowych, i czy w sprawach karnych prawo do ochrony danych osobowych może zostać, przynajmniej częściowo, zagwarantowane w ramach przepisów odnoszących się do prawa do prywatności, czy też konieczne jest opracowanie odrębnych obowiązków organów oraz gwarancji przyznanych podmiotom danych? .

Wskazówką w poszukiwaniu odpowiedzi na powyższe pytania jest orzecznictwo europejskich trybunałów, które wskazuje na różnice w zakresie obu praw . Dobrym przykładem jest orzeczenie ETPCz w sprawie M.K. przeciwko Francji . Choć Europejska Konwencja Praw Człowieka , w przeciwieństwie do KPP, nie wprowadza osobnej podstawy prawnej odnoszącej się do ochrony danych osobowych, ETPCz interpretując prawo do ochrony danych osobowych na tle art. 8 EKPCz, kilkakrotnie analizował zagadnienia zależności prawa do prywatności i ochrony danych osobowych . W przywołanej sprawie wobec skarżącego prowadzono dwa postępowania w sprawie o kradzież książek: w jednym z nich skarżącego uniewinniono, kolejne zaś umorzono. Pomimo takich wyroków, organy francuskie wciąż przechowywały odciski palców skarżącego oraz odmówiły ich usunięcia. Clou tej sprawy tkwiło zatem w odmowie prawa do usunięcia danych skarżącego, co, jak stwierdził ETPCz, jest w istocie prawem do ochrony danych osobowych, które w tym świetle ma fundamentalne znaczenie dla ochrony prawa do prywatności zagwarantowanego w art. 8 Konwencji. W toku dalszej analizy Trybunał w Strasburgu wskazał, że prawo krajowe powinno zagwarantować właściwe środki w celu ochrony danych osobowych, które będą uwzględniać zagrożenia wiążące się z automatycznym przetwarzaniem danych, cele gromadzenia danych, rzetelność przetwarzania czy właściwą ochronę danych. Europejski Trybunał Praw Człowieka zwrócił również uwagę na skutek naruszenia prawa do ochrony danych osobowych, jakim w tej sprawie jest ryzyko stygmatyzacji osoby, której dane – pomimo braku skazania – wciąż są przechowywane w bazach danych, co może doprowadzić do sytuacji, kiedy osoba taka nie jest traktowana jako osoba niewinna. Zdaniem ETPCz zarówno fakt przechowywania danych (w tym wypadku odcisków palców), jak i brak jakiejkolwiek klasyfikacji takich danych prowadzi zasadniczo do uznania tej osoby na równym poziomie z osobą uznaną winną popełnienia przestępstwa, co w dodatku godzi też w prawo do domniemania niewinności .

Powyższe orzeczenie daje asumpt do stwierdzenia, że prawo do ochrony danych osobowych jest odrębnym prawem podstawowym, które ma jednak fundamentalne znaczenie dla wykonywania prawa do poszanowania życia prywatnego, ponieważ jego ochrona wymaga wprowadzenia reguł korzystania ze zgromadzonych informacji oraz ich zabezpieczania. Rozróżnienie pomiędzy prawem do prywatności a prawem do ochrony danych osobowych ma istotne konsekwencje praktyczne. Inne będą bowiem podstawy ingerencji w oba prawa, a także konsekwencje ich naruszeń. W określeniu granic prywatności kluczowe są bowiem konieczność i proporcjonalność ingerencji w demokratycznym państwie prawnym dla zapewnienia bezpieczeństwa lub porządku publicznego. W określeniu granic ochrony danych decydującą rolę odgrywają przede wszystkim zgodność z prawem, rzetelność i proporcjonalność do celów przetwarzania. Skutkiem naruszenia prawa do prywatności w toku gromadzenia dowodów może być nawet niedopuszczalność wykorzystania zgromadzonych informacji. Skutki naruszenia prawa do ochrony danych osobowych nie mają jednak przełożenia na dopuszczalność wykorzystywania informacji w procesie karnym, obwarowane są bowiem zazwyczaj sankcjami karnymi lub administracyjnymi. Zważywszy na inne cele, którym służą oba prawa, a także fakt, że chronią różne wartości, ich podstawy powinny być zatem określone w odrębnych przepisach, podobnie jak dopuszczalna możliwość ingerencji, obowiązki organów, skutki naruszeń oraz gwarancje podmiotów danych.
Podsumowując, ochrona danych stanowi odrębne prawo podmiotowe, które w wielu aspektach pokrywa się z prawem do prywatności, wzmacniając je poprzez reguły rzetelności przetwarzania danych. Innymi słowy, przepisy o ochronie danych osobowych mają na celu zagwarantowanie każdej osobie fizycznej poszanowanie jej prawa do prywatności w związku z przetwarzaniem dotyczących jej danych osobowych. Rozróżnienie obu praw wymaga zatem opracowania odrębnych ram prawnych, czemu ma służyć właśnie dyrektywa 2016/680. Wyodrębnienie prawa do ochrony danych osobowych związane jest bowiem z rozwojem technologicznym w zakresie przetwarzania danych, co doprowadziło do pojawienia się nowych zagrożeń naruszeń praw podmiotów danych i potrzeby unowocześnienia obecnych regulacji .

III. Organy przetwarzające dane w celach wskazanych w dyrektywie 2016/680.
Istotną kwestią jest określenie na gruncie krajowym zakresu pojęcia „właściwe organy”, które powinny przetwarzać dane zgodnie z postanowieniami dyrektywy 2016/680 . W tym akcie prawnym położono bowiem nacisk nie na nazwę organów, lecz na możliwość wykonywania przez te organy działań nim objętych. Zgodnie z art. 3 pkt 7 dyrektywy 2016/680 „właściwy organ” oznacza:
a) organ publiczny właściwy do zapobiegania przestępczości, prowadzenia postępowań przygotowawczych, wykrywania i ścigania czynów zabronionych lub wykonywania kar, w tym ochrony przed zagrożeniami dla bezpieczeństwa publicznego i zapobiegania takim zagrożeniom lub
b) inny organ i podmiot, któremu prawo państwa członkowskiego powierza sprawowanie władzy publicznej i wykonywanie wyżej wymienionych uprawnień.

W konsekwencji na gruncie krajowym konieczny będzie przegląd kompetencji wszelkich organów i podmiotów (publicznych i niepublicznych), które dokonują czynności objętych omawianą dyrektywą. W polskim systemie prawnym jedynie przykładowo należy wskazać na Policję , Centralne Biuro Antykorupcyjne , Straż Graniczną , Służbę Leśną oraz Straż Leśną , Straż Łowiecką , organy Państwowej Inspekcji Handlowej, Państwowej Inspekcji Sanitarnej, Prezesa Urzędu Komunikacji Elektronicznej , a w ograniczonym zakresie także Agencję Bezpieczeństwa Wewnętrznego .

Powyższe, niepełne wyliczenie, skłania do dwóch refleksji. Po pierwsze, rozważenia wymaga struktura nowych regulacji. Nie wszystkie z wyżej wymienionych organów posiadają bowiem przepisy dotyczące przetwarzania danych osobowych (np. takie jak Policja ), a podstawy gromadzenia i przetwarzania danych wyznaczają często jedynie przepisy ustawy o ochronie danych osobowych . Biorąc pod uwagę fakt, że obowiązki wynikające z dyrektywy 2016/680 będą spoczywać na wielu organach, dobrym rozwiązaniem może się okazać wprowadzenie jednej ustawy odnoszącej się do wszystkich służb uprawnionych do przetwarzania danych zgodnie z postanowieniami dyrektywy, ze wskazaniem zakresu zadań, do których ustawa ta miałaby mieć zastosowanie. Warto zaznaczyć, że rozwiązanie to wiąże się z dychotomią działań organów w zakresie ochrony danych w zależności od czynności, jakie są podejmowane. Przykładowo: Służba Leśna w sprawach związanych z zadaniami określonymi w art. 45 ust. 1 pkt 1 ustawy o lasach, tj. sprawami zarządu lasami, zobowiązana będzie przetwarzać dane zgodnie z RODO, lecz już wykonując zadania określone w art. 45 ust. 1 pkt 3 tej samej ustawy, tj. związane ze zwalczaniem przestępstw w zakresie szkodnictwa leśnego, do przetwarzania danych zastosowanie będzie miała dyrektywa 2016/680, ponieważ są to działania związane z zapobieganiem przestępczości i wykrywaniem czynów zabronionych.
Druga refleksja wiąże się z przepływem danych zgromadzonych w celach nieobjętych dyrektywą do postępowań karnych. Nie sposób bowiem wykluczyć, że – posługując się powyższym przykładem – dane zgromadzone przez Służbę Leśną na podstawie RODO okażą się przydatne w celu wykrywania czy ścigania przestępstw przez ten lub inny organ. Należy stwierdzić, że dyrektywa dopuszcza takie transfery danych pod warunkiem, że w prawie krajowym istnieje podstawa do przetwarzania danych osobowych w tym celu . W takim wypadku dalsze przetwarzanie danych odbywać się już powinno na podstawie dyrektywy 2016/680 .

Podsumowując, przepisy dotyczące ochrony danych osobowych nie będą miały wpływu na ograniczanie podstaw gromadzenia danych czy ich swobodnego przepływu np. z działań operacyjnych Policji czy innych służb do postępowania karnego, jeśli istnieje podstawa prawna do takich transferów danych . Przepisy o ochronie danych osobowych wpłyną jednak na sposób postępowania z danymi, poprzez np. określenie kręgu osób uprawnionych do dostępu do danych, ich klasyfikację czy reguły przechowywania, przeglądu i usuwania. Innymi słowy, dane osobowe mogą być zbierane w konkretnych, wyraźnych i prawnie uzasadnionych celach mieszczących się w zakresie zapobiegania przestępczości, prowadzenia postępowań przygotowawczych, wykrywania i ścigania czynów zabronionych i wykonywania kar, a także ochrony przed zagrożeniami bezpieczeństwa publicznego i zapobieganiem takim zagrożeniom. Jeżeli dane osobowe przetwarza ten sam lub inny organ w celu wchodzącym w zakres stosowania dyrektywy 2016/680, lecz innym niż cel, w jakim dane te zostały zebrane, to przetwarzanie takie również jest dopuszczalne pod warunkiem, że:
• jest dozwolone na mocy mających zastosowanie przepisów, oraz
• jest niezbędne i proporcjonalne do tego innego celu (art. 4 ust. 2 dyrektywy 2016/680, motyw 29 preambuły tej dyrektywy).

Warto wspomnieć, że w przypadku przesyłania danych innym organom powinny one informować o szczególnych prawnych wymogach ich przetwarzania, np. o zakazie przesyłania danych innym odbiorcom, zakazie wykorzystywania ich do innych celów niż cele, dla których przesłano je odbiorcy .@page_break@

IV. Zasady przetwarzania danych osobowych w świetle dyrektywy 2016/680
Filarem ochrony danych osobowych są zasady ich przetwarzania, określone też w dyrektywie 2016/680. Z uwagi na fakt, że w przypadku zasad istotne jest także ich przełożenie praktyczne, w poniższej analizie zostaną przedstawione również rozwiązania funkcjonujące w tym zakresie w Europolu i Eurojust. Zasady przetwarzania danych osobowych funkcjonujące w tych instytucjach są bowiem zbliżone do tych, które mają być osiągnięte za pomocą dyrektywy 2016/680, i z tego względu mogą się stać inspiracją dla polskiego ustawodawcy podczas prac nad transpozycją omawianego instrumentu do porządku krajowego. Ponadto, zarówno Europol, jak i Eurojust cieszą się opinią światowych pionierów w dziedzinie ochrony danych osobowych w sprawach karnych, co dodatkowo zachęca do czerpania z wypracowanych w nich rozwiązań . Poniższa analiza, skoncentrowana na zasadach przetwarzania danych osobowych, obejmować będzie zatem trzy poziomy: dyrektywy (tj. jaki standard zasad przetwarzania danych wyznacza ten instrument), Eurojustu i Europolu (jak zasady przetwarzania danych funkcjonują w praktyce w tych instytucjach) , a także poziom krajowy (czy prawo krajowe odpowiada już standardom dyrektywy, a jeśli nie, jakie zmiany są konieczne i które z rozwiązań Eurojustu i Europolu mogą się stać wzorcem w toku transpozycji).

1. Zasada zgodności z prawem, rzetelności i proporcjonalności przetwarzania
Zasada zgodności przetwarzania z prawem oraz rzetelność przetwarzania (art. 4 ust. 1 oraz art. 8 dyrektywy 2016/680) wiąże się z koniecznością podstawy prawnej do takich działań w prawie krajowym. Taka podstawa prawna określać powinna co najmniej:
• powody przetwarzania oraz dane osobowe mające podlegać przetwarzaniu;
• cele przetwarzania. Jak wynika z nazwy dyrektywy 2016/680, cele te powinny wiązać się z zapobieganiem przestępczości, prowadzeniem postępowań przygotowawczych, wykrywaniem i ściganiem czynów zabronionych i wykonywaniem kar. Z istoty tych czynności wynika bowiem konieczność gromadzenia i przetwarzania danych osobowych. Co istotne, dyrektywa 2016/680 dopuszcza też wykorzystanie danych osobowych dla innych celów, aniżeli cel, w którym dane osobowe zostały zebrane, jeśli są spełnione następujące warunki: 1) prawo krajowe (lub prawo UE) dopuszcza taką możliwość; 2) przetwarzanie jest niezbędne i proporcjonalne w tym innym celu (art. 4 ust. 2 dyrektywy 2016/680). Jest to zatem bardzo szerokie rozwiązanie, które pozwala na swobodny przepływ danych osobowych pomiędzy organami, niezależnie od celu, w jakim zostały pierwotnie zgromadzone – jeśli w prawie krajowym istnieje podstawa prawna do takich transferów danych. Należy tu zaznaczyć, że jeżeli cel ten będzie się wciąż wiązał z zapobieganiem przestępczości, prowadzeniem postępowań przygotowawczych, wykrywaniem i ściganiem czynów zabronionych czy wykonywaniem kar, do dalszego przetwarzania tych danych będą miały nadal zastosowanie zasady określone w dyrektywie 2016/680. Jeśli jednak dane pierwotnie zebrane w celu objętym niniejszym aktem prawnym będą miały zostać wykorzystane do innych celów, wówczas do ich dalszego przetwarzania będzie już miało zastosowanie RODO .

Szczególny nacisk na zgodność z prawem, rzetelność i proporcjonalność przetwarzania danych zaobserwować można w regulacjach Europolu i Eurojust. Standard ten ma być osiągnięty poprzez wprowadzenie przepisów precyzyjnie wskazujących cele przetwarzania oraz rodzaje danych podlegających przetwarzaniu. Zgodnie z art. 4 wyk. Europol , Europol może przetwarzać dane osobowe do osiągnięcia jednego ze swoich celów działalności, jeśli dane te są adekwatne, dokładne i istotne oraz nie wykraczają poza cel pliku utworzonego do analizy. Podobne uregulowania wprowadził Eurojust, który przetwarza tylko te dane osobowe, które są niezbędne do realizacji celów określonych zakresem zadań tej instytucji, odpowiednie, istotne i nie wykraczają poza cele, dla których są gromadzone i dalej przetwarzane (art. 5 reg. Eurojust , art. 14 ust. 1 dec. Eurojust ).
Dane zgromadzone w konkretnej sprawie mogą być następnie wykorzystywane w innych sprawach, jeśli sprawy te wchodzą w zakres zadań operacyjnych Eurojustu (art. 14 w zw. z art. 3 ust. 1 reg. Eurojust).

W celu zwiększenia rzetelności i proporcjonalności przetwarzania, obie instytucje precyzują zakres danych osobowych mających podlegać przetwarzaniu, łącząc je z kategorią podmiotu danych. Eurojust dzieli te kategorie na dwie grupy: podejrzani (art. 15 ust. 1 dec. Eurojust) oraz świadkowie i ofiary (art. 15 ust. 2 dec. Eurojust). W przepisach dotyczących Europolu wprowadzono podział aż na cztery kategorie: 1) dane podejrzanych; 2) dane osób, które mogą być wezwane do złożenia zeznań w śledztwach lub dochodzeniach; 3) dane ofiar przestępstwa; 4) dane osób, które mogą dostarczyć informacji na temat rozpatrywanych przestępstw (art. 6 wyk. Europol). W odniesieniu do każdej z tych grup zostały precyzyjnie wymienione rodzaje danych, które mogą być gromadzone.
Zarówno Europol, jak i Eurojust posiadają zatem precyzyjne podstawy prawne do gromadzenia i przetwarzania danych, które pozwalają im na takie działania w sprawach objętych zakresem ich działalności. Obie instytucje wyraźnie wskazują również na dopuszczalność wykorzystywania danych osobowych w innych celach, aniżeli te, dla których dane zostały pierwotnie zgromadzone, jeśli cele te mieszczą się w zakresie działalności tych instytucji oraz zachowane są standardy rzetelności i proporcjonalności. Reguły przetwarzania danych są wyraźnie wskazane w przepisach, a przepisy te są łatwo dostępne i przejrzyste. Ponadto w celu zwiększenia rzetelności przetwarzania, zakres gromadzonych danych różni się w zależności od podmiotu danych (np. świadka, ofiary, podejrzanego).

Na gruncie prawa polskiego brak obecnie podstawy prawnej odnoszącej się w sposób całościowy do przetwarzania danych w celach objętych dyrektywą 2016/680. Zastosowanie ma tu zatem przede wszystkim art. 23 u.o.d.o., zgodnie z którym przetwarzanie danych jest dopuszczalne m.in. tylko wtedy, gdy jest to niezbędne do zrealizowania uprawnienia lub spełnienia obowiązku wynikającego z przepisu prawa (takim przepisem prawa mogą być cytowane powyżej ustawy określające zadania poszczególnych organów) lub jest to niezbędne do wykonania określonych prawem zadań realizowanych dla dobra publicznego.

Dodatkowo, ustawy regulujące zakres działań poszczególnych organów precyzują cele gromadzenia i przetwarzania danych. Przykładowo można wskazać na ustawę o Policji, gdzie art. 20 ust. 2a daje podstawę prawną do gromadzenia i przetwarzania danych osobowych w celu realizacji zadań ustawowych Policji , oraz art. 22a ustawy o CBA, który pozwala na przetwarzanie danych osobowych w granicach zadań, o których mowa w art. 2 ust. 1 tej ustawy.

Powyższe rozwiązania, zwłaszcza na tle regulacji Eurojustu i Europolu, wypadają jednak dość skromnie. Choć można uznać, że cele przetwarzania danych są określone w ustawie i ich granice określa zakres zadań poszczególnych służb, brakuje w ustawach regulujących pracę poszczególnych służb wyraźnej podstawy prawnej określającej wymóg rzetelności, zgodności z prawem i proporcjonalności przetwarzania danych. Nie jest też wskazane, czy i pod jakimi warunkami dane zgromadzone w danej sprawie mogą być następnie wykorzystywane w innych sprawach, mieszczących się w zadaniach ustawowych danych organów. Pominięte są również w krajowych przepisach wytyczne dotyczące rodzaju danych, jakie mogą być gromadzone w odniesieniu do konkretnych podmiotów tych danych. Polskie przepisy w obecnym kształcie nie odpowiadają zatem w tym zakresie standardom dyrektywy 2016/680.

2. Zasada prawidłowości (jakości) danych
Z zasadą prawidłowości danych osobowych wiąże się obowiązek dbania o ich kompletność, aktualność i wiarygodność. Szczególnie kłopotliwe w przestrzeganiu tej zasady są przypadki, kiedy oświadczenia zawierające dane osobowe opierają się na subiektywnym osądzie osób fizycznych (np. świadków) i w związku z tym trudno zweryfikować ich prawidłowość. Aby zagwarantować jakość danych, w dyrektywie 2016/680 wprowadzono więc wymóg, by dane osobowe oparte na faktach były rozróżniane, tak dalece jak to możliwe, od danych osobowych opartych na indywidualnych ocenach (art. 7 ust. 1 dyrektywy 2016/680) . Na mocy powołanej dyrektywy wprowadzono również obowiązek podejmowania rozsądnych działań dla zagwarantowania, że nieprawidłowe, nieaktualne lub niekompletne dane osobowe nie będą przesyłane lub udostępniane. Wiąże się to z każdorazowym obowiązkiem weryfikacji danych przez właściwy organ przed ich przesłaniem lub udostępnieniem (art. 7 ust. 1 dyrektywy 2016/680). Ponadto, zgodnie z art. 7 ust. 2 tej dyrektywy konieczne jest, aby w miarę możliwości we wszystkich przypadkach przesyłania danych osobowych dodać niezbędne dodatkowe informacje pozwalające właściwemu organowi odbierającemu ocenić stopień prawdziwości, kompletności, wiarygodności i aktualności danych osobowych. Reakcją na nieprawidłowe lub bezprawnie przesłane dane powinno być natomiast niezwłoczne sprostowanie, usunięcie lub ograniczenie ich przetwarzania (art. 7 ust. 3 dyrektywy 2016/680).
Z dbałością o jakość danych wiąże się też obowiązek wprowadzenia terminów przechowywania i przeglądu danych (art. 5 dyrektywy 2016/680). Dyrektywa pozostawia państwom członkowskim swobodę w zakresie ustalenia tych terminów, wymagając jedynie, aby były one „odpowiednie”.

Jakość danych w Eurojust zapewnia art. 6 reg. Eurojust, zgodnie z którym instytucja ta gwarantuje, że dane osobowe są poprawne, a w razie konieczności uaktualniane. Artykuł ten wprowadza także obowiązek podejmowania wszelkich stosownych kroków w celu zapewnienia usunięcia lub poprawienia błędnych lub niekompletnych danych, mając na uwadze cele, w jakich były one gromadzone . Dużo bardziej precyzyjne rozwiązania w tym zakresie zawiera decyzja Europolu, który w celu ochrony jakości informacji wprowadza oceny zarówno informacji (wyrażone za pomocą kodów: A, B, C, X), jak i ich źródeł (wyrażone za pomocą kodów: 1, 2, 3, 4). Za pomocą powyższych kodów źródła informacji są oceniane w następujący sposób:
• (A): gdy nie ma wątpliwości co do autentyczności, wiarygodności i kompletności źródła, lub jeżeli informacja jest dostarczona przez źródło, które okazało się wiarygodne we wszystkich przypadkach;
• (B): gdy informacja jest dostarczana przez źródło, które w większości przypadków okazało się wiarygodne;
• (C): gdy informacja jest dostarczona przez źródło, które w większości przypadków okazało się niewiarygodne;
• (X): gdy nie można ocenić wiarygodności źródła (art. 12 ust. 1 wyk. Europol).

Ocena źródeł informacji przebiega natomiast za pomocą następującej klasyfikacji:
• (1): informacje, których prawidłowość nie budzi wątpli-
wości;
• (2): informacje, które źródło zna osobiście, ale które nie są osobiście znane przekazującemu je urzędnikowi;
• (3): informacje, których źródło nie zna osobiście, ale które potwierdzone są przez inne informacje zapisane wcześniej;
• (4): informacje, których źródło nie zna osobiście i których nie można potwierdzić (art. 12 ust. 2 wyk. Europol).

Rozwiązania przyjęte przez Europol zapewniają więc wysoki poziom dbałości o jakość danych i z tego względu mogą się stać inspiracją legislacyjną dla krajowego ustawodawcy w tym zakresie. Podobnie należy potraktować rozwiązania dotyczące terminów analizy i przechowywania danych – zgodnie z art. 20 dec. Europol, Europol przechowuje dane w plikach z danymi jedynie przez okres niezbędny do wykonywania swoich zadań. Przegląd danych jest jednak wymagany nie później niż po 3 latach od wprowadzenia danych. W przypadku decyzji o dalszym ich przechowywaniu konieczne jest jednak wyważenie interesów Europolu w wykonywaniu swoich zadań i uzasadnionych interesów w zakresie ochrony danych osoby, której dane dotyczą i której dane są przechowywane. Co więcej, naruszenie tych wymogów skutkuje uruchomieniem kontroli wewnętrznej (art. 7 wyk. Europol).
Na tym tle należy stwierdzić, że polskie przepisy nie zapewniają obecnie standardu dbałości o jakość danych określonego w dyrektywie . Przede wszystkim, w przepisach krajowych brak podobnych rozwiązań jak w Europolu, które pozwolą ocenić zarówno wiarygodność samej informacji, jak i jej źródła, i w efekcie zwiększyć poziom dbałości o jakość danych. Warto więc postulować wprowadzenie do prawa krajowego klasyfikacji opartej na kodach, jak ma to miejsce w Europolu. Ponownego rozważenia będą również wymagały terminy przechowywania i przeglądu danych, które określają ustawy szczególne. Przykładowo, ustawa o Policji zakłada, że dane osobowe zebrane w celu wykrycia przestępstwa przechowuje się przez okres niezbędny do realizacji ustawowych zadań Policji, a organy dokonują weryfikacji tych danych po zakończeniu sprawy, w ramach której dane te zostały wprowadzone do zbioru, a ponadto nie rzadziej niż do 10 lat od uzyskania informacji (art. 20 ust. 17 ustawy w Policji). W ustawie o CBA termin weryfikacji potrzeby dalszego przetwarzania danych ustalony jest nie rzadziej niż co 5 lat (art. 22a ust. 8). Obie cytowane ustawy zawierają zatem ograniczenie przechowywania danych (którym jest okres niezbędny do realizacji zadań ustawowych), a także wymóg przeglądu danych. Z perspektywy dyrektywy 2016/680, na podstawie której wymagane jest, aby terminy przechowywania i okresowego przeglądu były „odpowiednie”, różnice w zakresie długości wyżej wymienionych okresów nie powinny stanowić problemu. Standardu dyrektywy 2016/680 wciąż nie gwarantują jednak wszystkie ustawy objęte jej zakresem . Ponadto, dyrektywa 2016/680 wymaga też, by przestrzeganiu tych terminów służyły odpowiednie środki proceduralne (art. 5 in fine), co obecnie nie wynika z krajowych przepisów. Ponownie inspiracją mogą się tu stać regulacje Europolu, które zakładają w takim przypadku uruchomienie kontroli przez wspólny organ nadzorczy. Warto też zasygnalizować, że odpowiedni termin przechowywania danych powinien, jak ma to miejsce w Europolu, uwzględniać podmiot tychże danych. Dobrym rozwiązaniem wydaje się zatem podkreślenie w podstawie prawnej związanej z okresem przechowywania danych, że okresy te powinny brać pod uwagę zarówno interesy danych organów w wykonywaniu swoich zadań, jak i interesy w zakresie ochrony danych osoby, której dane dotyczą i są przechowywane.

3. Zasada kategoryzacji danych
Na podstawie dyrektywy 2016/680 wprowadzono dwie płaszczyzny kategoryzacji danych, rozróżniając je z uwagi na podmiot oraz na rodzaj danych.
Kategoryzacja z uwagi na podmiot wiąże się z wprowadzeniem kategorii osób, których dane dotyczą (art. 6 dyrektywy 2016/680), do których należą:
a) osoby, w stosunku do których istnieją poważne podstawy, by przypuszczać, że popełniły lub zamierzają popełnić czyn zabroniony;
b) osoby skazane za czyn zabroniony;
c) pokrzywdzeni czynem zabronionym lub osoby, w przypadku których określone fakty wskazują, że mogą się stać ofiarą czynu zabronionego;
d) osoby inne w stosunku do czynu zabronionego, takie jak osoby, które mogą zostać wezwane do złożenia zeznań w ramach postępowania przygotowawczego w sprawie czynu zabronionego lub na dalszych etapach postępowania karnego, osoby, które mogą dostarczyć informacji o czynach zabronionych lub osoby, które mają kontakty lub powiązania z jedną z osób, o których mowa w lit. a i b.

Dyrektywa 2016/680 nie precyzuje jednocześnie dalszych wymogów, jakie wynikają z powyższej klasyfikacji (np. okresu przechowywania tych danych, reguł dostępu do nich). Wiele wniosków, jak wykorzystać kategoryzację z uwagi na podmiot, można jednak wysnuć z przepisów dotyczących Eurojustu i Europolu (o czym będzie mowa poniżej).
Kategoryzacja z uwagi na rodzaj danych wiąże się natomiast z określeniem danych, które z racji ich charakteru są szczególnie wrażliwe w świetle podstawowych praw i wolności. Wymagają one ponadto szczególnej ochrony, gdyż kontekst ich przetwarzania może rodzić poważne ryzyko naruszenia podstawowych praw i wolności. Do danych tych zalicza się dane ujawniające: pochodzenie rasowe lub etniczne; poglądy polityczne; przekonania religijne lub światopoglądowe; przynależność do związków zawodowych; dane genetyczne i biometryczne przetwarzane w celu jednoznacznego zidentyfikowania osoby fizycznej; zdrowie, seksualność i orientację seksualną osoby fizycznej (art. 10 dyrektywy 2016/680). Przetwarzanie powyższych danych jest ograniczone i może mieć miejsce wyłącznie, jeśli zostaną spełnione poszczególne wa-runki:
• jest to bezwzględnie niezbędne, podlega odpowiednim zabezpieczeniom dla praw i wolności osoby, której dane dotyczą. Zabezpieczenie to może obejmować możliwość zbierania takich danych tylko w połączeniu z innymi danymi dotyczącymi danej osoby fizycznej, możliwość odpowiedniego zabezpieczenia takich danych, ściślejsze uregulowanie dostępu pracowników właściwego organu do danych lub zakaz przesyłania danych. Co ważne, sama zgoda osoby, której dane dotyczą, na ich przetwarzanie nie powinna stanowić podstawy prawnej przetwarzania takich wrażliwych danych przez właściwe organy (na taką interpretację wskazuje motyw 37 preambuły dyrektywy 2016/680);
• jest dopuszczalne prawem UE lub prawem krajowym państwa członkowskiego, niezbędne dla ochrony żywotnych interesów osoby, której dane dotyczą lub innej osoby, lub takie przetwarzanie dotyczy danych osobowych w sposób oczywisty upubliczniony przez osobę, której dane dotyczą (art. 10 dyrektywy 2016/680).

Powyższe szczególne rodzaje danych powinny być też objęte podwyższonym standardem bezpieczeństwa danych (art. 29 ust. 1 dyrektywy 2016/680).
Zarówno Eurojust, jak i Europol operują na podstawie podobnych do określonych w dyrektywie 2016/680 reguł kategoryzacji danych, łącząc z nimi szczególne zasady ich przetwarzania. Jak już wskazano powyżej, podstawowym skutkiem powyższego rozróżnienia podmiotowego jest zróżnicowanie w zakresie rodzaju danych, które mogą być zbierane.
Europol dzieli kategorie podmiotowe na: podejrzanych; osoby, które mogą być wezwane do złożenia zeznań w śledztwach i dochodzeniach w związku z rozpatrywanymi przestępstwami lub w dalszym postępowaniu karnym; osoby będące ofiarami jednego z rozpatrywanych przestępstw lub osoby, w odniesieniu do których pewne fakty dają podstawy, aby uważać, że mogą się stać ofiarami takiego przestępstwa; kontakty i osoby powiązane oraz osoby, które mogą dostarczyć informacji na temat rozpatrywanych przestępstw
(art. 14 dec. Europol). Zakres ten zatem pokrywa się z kategoriami wyszczególnionymi w dyrektywie 2016/680. Regulacje Europolu precyzyjnie określają także, jakie dane mogą być gromadzone w odniesieniu do danej kategorii podmiotowej (art. 6 wyk. Europol).
Przykładowo, do danych podejrzanych należą: a) dane osobowe (m.in. obecne i poprzednie imiona i nazwiska, przybrane lub fałszywe nazwisko, płeć, data i miejsce urodzenia, obywatelstwo, stan cywilny), b) cechy fizyczne (m.in. blizny, tatuaże), c) środki ustalenia tożsamości (m.in. numer paszportu, profil DNA, odciski palców),
d) zawód i umiejętności (m.in. obecne i poprzednie miejsce zatrudnienia i zawód, wykształcenie, kwalifikacje), e) informacje ekonomiczne i finansowe (m.in. rachunki bankowe, karty kredytowe, posiadana gotówka, posiadane aktywa), f) dane dotyczące zachowania (m.in. styl życia, odwiedzane miejsca, broń, ocena pod względem niebezpieczeństwa, nadużywanie narkotyków), g) kontakty i osoby powiązane, h) wykorzystywane środki komunikacji, i) wykorzystywane środki transportu, j) informacje dotyczące działalności przestępczej (m.in. poprzednie wyroki skazujące, sposoby działania, rola w organizacji przestępczej, geograficzny zakres działalności przestępczej), k) odniesienia do innych baz danych, w których są przechowywane informacje dotyczące danej osoby (m.in. Europol, Policja, podmioty prywatne),
l) informacje dotyczące osób prawnych związanych z danymi. Eurojust dzieli natomiast kategorie podmiotowe na dwie grupy: podejrzanych (art. 15 ust. 1 dec. Eurojust) oraz świadków i ofiary (art. 15 ust. 2 dec. Eurojust).
Zarówno Eurojust, jak i Europol, wskazują też na potrzebę wyróżniania szczególnych danych (których zakres pokrywa się z zakresem określonym w art. 10 dyrektywy 2016/680) oraz wynikających z tego szczególnych form ich ochrony. Możliwość gromadzenia tego rodzaju danych może mieć miejsce jedynie w niezbędnych wypadkach, wzmożona jest również kontrola ich gromadzenia oraz bezpieczeństwo tych danych. Zgodnie z art. 17 reg. Eurojust należy niezwłocznie powiadomić inspektora ochrony danych o wyjątkowym przypadku zgromadzenia niniejszych danych. Ponadto, jeżeli dane te dotyczą świadków lub ofiar, to decyzja o ich przetwarzaniu jest podejmowana przez Kolegium (art. 17 reg. Eurojust, art. 15 ust. 4 dec. Eurojust). Europol też przewiduje restrykcje w tym zakresie. Zgodnie z art. 5 wyk.Europol gromadzenie takich danych musi być umotywowane oraz bezwzględnie konieczne, ponadto w przypadku, gdy dotyczą one innych podmiotów aniżeli podejrzany, dane takie mogą być przetwarzane wyłącznie na wniosek co najmniej dwóch państw członkowskich uczestniczących w danym projekcie analitycznym.
Oceniając przepisy prawa polskiego, należy ponownie stwierdzić, że wymagają one poważnych zmian w celu osiągnięcia omawianego standardu dyrektywy. W zakresie kategoryzacji podmiotowej brak obecnie rozróżnienia wskazanego w dyrektywie, nie mówiąc o związanym z tym określeniu danych, które mogą ulegać gromadzeniu i przetwarzaniu. Przykładowo, w art. 20 ust. 2a ustawy o Policji wymieniono kategorie osób, których dane mogą być zbierane, nie wskazując jednak – jak ma to miejsce w Europolu – na rodzaje danych, które mogą być zbierane w stosunku do danego podmiotu. Niestety w wielu ustawach, np. w ustawie o CBA, brak jest jakiejkolwiek wzmianki o kategoriach osób, których dane mogą być zbierane i przetwarzane, a także zakresie tych danych. Natomiast w kontekście kategoryzacji przedmiotowej standard dyrektywy gwarantuje art. 27 u.o.d.o., na mocy którego zabronione jest zbieranie danych, o których mowa w art. 10 dyrektywy 2016/680, chyba że jest to niezbędne z powodów wymienionych w art. 27 ust. 2 u.o.d.o. Do danych tych odnoszą się również przepisy szczegółowe, m.in. art. 20 ust. 18 ustawy o Policji, art. 22a ust. 10 ustawy o CBA, art. 10a ustawy o Straży Granicznej. Niemniej warto, aby polski ustawodawca rozważył, wzorem regulacji Europolu i Eurojustu, wzmożoną kontrolę nad gromadzeniem i bezpieczeństwem takich danych, np. obowiązek zgłoszenia niniejszego faktu administratorowi danych, czy też obowiązek uzyskania uprzedniej zgody właściwego organu nadzorczego.

4. Zasada bezpieczeństwa danych
Zgodnie z art. 29 ust. 1 dyrektywy 2016/680 obowiązek wdrożenia odpowiednich środków technicznych i organizacyjnych, w tym wewnętrznych procedur i polityk ochrony danych osobowych, spoczywa na administratorze danych, który dla zagwarantowania poziomu bezpieczeństwa danych powinien uwzględniać stan wiedzy, koszt wdrożenia, charakter, zakres, kontekst i cele przetwarzania oraz ryzyko i wagę naruszenia praw i wolności osób fizycznych . Realizacja tego obowiązku wymaga stałej kontroli i aktualizacji z uwagi na fakt, że uwzględnianie środków technicznych i organizacyjnych ochrony danych powinny być uwzględniane zarówno w fazie określania sposobów przetwarzania, jak i samego przetwarzania (art. 20 ust. 1 dyrektywy 2016/680). Co wyjątkowo istotne, bezpieczeństwo przetwarzania wiąże się nie tylko z jakością systemu czy sprzętu używanego do przetwarzania, lecz także z uniemożliwianiem osobom nieuprawnionym dostępu do sprzętu używanego do przetwarzania. Również w tym wypadku sprawdzić się może kategoryzacja danych, z którą związane będzie zawężenie kręgu osób uprawnionych do przetwarzania konkretnych danych (np. danych danego podmiotu czy danych wrażliwych). Ponadto, korzystanie przez administratora z podmiotów przetwarzających może mieć miejsce wyłącznie, jeśli podmioty te dają wystarczającą gwarancję wdrożenia odpowiednich środków technicznych i organizacyjnych oraz zapewniają, że przetwarzanie będzie odpowiadać wymogom dyrektywy oraz chronione będą prawa osób, których dane dotyczą. Podmiot przetwarzający nie może również korzystać z usług innego podmiotu przetwarza-jącego bez wcześniejszej zgody administratora (art. 22 dyrektywy 2016/680).

Z bezpieczeństwem ochrony danych wiąże się też obowiązek administratora polegający na zgłoszeniu organowi nadzorczemu naruszenie ochrony danych osobowych w terminie 72 godzin po stwierdzeniu naruszenia (art. 30 dyrektywy 2016/680), a także obowiązek zawiadomienia osoby, której dane dotyczą, o naruszeniu jej danych osobowych (art. 31 dyrektywy 2016/680). Należy również zauważyć, że w zakresie dbałości o bezpieczeństwo danych poza sferą przepisów duże znaczenie będzie miało odpowiednie szkolenie pracowników oraz organizacja zasad pracy (na co nacisk kładzie Eurojust).

Obowiązki w zakresie bezpieczeństwa danych zbliżone do tych wprowadzonych na podstawie dyrektywy 2016/680 zostały wprowadzone też w Eurojust, gdzie szczególne znaczenie ma polityka bezpieczeństwa danych i ustanawianie niezbędnych środków technicznych, a także opracowywanie rozwiązań natury organizacyjnej w celu ochrony danych osobowych. Co istotne, duży nacisk położono na czynnik ludzki; zarówno na dbałość o organizację pracy opartą na selekcji osób mających dostęp do konkretnej kategorii danych oraz prawo do ich przetwarzania (art. 22 dec. Eurojust), jak i szkolenia pracowników Eurojustu w zakresie polityki bezpieczeństwa (art. 7 reg. Eurojust).
W przepisach krajowych do bezpieczeństwa danych odnosi się zwłaszcza rozdział 5 u.o.d.o., gdzie są też określone obowiązki administratora danych, m.in. obowiązek stosowania technicznych i organizacyjnych środków zapewniających ochronę przetwarzania danych odpowiednią do zagrożeń oraz kategorii danych objętych ochroną, a w szczególności zabezpieczenia danych przed ich udostępnieniem osobom nieupoważnionym, zebraniem przez osobę nieuprawnioną, przetwarzaniem z naruszeniem ustawy oraz zmianą, utratą, uszkodzeniem lub zniszczeniem (art. 36 u.o.d.o.). Przepisy te w dużej części należy uznać za zgodne ze standardem dyrektywy 2016/680. Brakującą regulacją jest jednak obowiązek zgłoszenia organowi nadzorczemu naruszenia ochrony danych osobowych w terminie 72 godzin po stwierdzeniu tego naruszenia oraz zawiadomienie osoby, której dane dotyczą, o naruszeniu ochrony danych osobowych.

V. Wzmocnienie praw osób, których dane dotyczą
Jednym z głównych założeń dyrektywy 2016/680 jest wzmocnienie praw osób, których dane dotyczą. Prawa te określono w rozdziale III dyrektywy i dotyczą one zwłaszcza prawa do informacji o przetwarzanych wobec danej osoby danych osobowych. Na szczególne uwzględnienie zasługują:
a) prawo dostępu do informacji o warunkach przetwarzania danych (art. 13 dyrektywy 2016/680), m.in. tożsamości i danych kontaktowych administratora, wskazania celów przetwarzania danych czy o prawie do wniesienia skargi do organu nadzorczego oraz dane kontaktowe organu nadzorczego. Informacje do osoby, której dane dotyczą, powinny być łatwo dostępne (także na stronie internetowej administratora) i zrozumiałe, przy użyciu jasnego i prostego języka (motyw 39 preambuły dyrektywy 2016/680). W konkretnych przypadkach administrator ma również obowiązek m.in. wskazania podstawy prawnej do przetwarzania danych osobowych czy okresu ich przechowywania (art. 13 ust. 2 dyrektywy 2016/680). Informacje takie mogą być udostępnione m.in. na stronie internetowej właściwego organu (motyw 42 preambuły dyrektywy 2016/680);
b) prawo dostępu przysługujące osobie, której dane dotyczą (art. 14 dyrektywy 2016/680). Prawa te dotyczą m.in. informacji o celach i podstawie prawnej przetwarzania, kategorii odnośnych danych osobowych, informacji o odbiorcach, którym dane osobowe zostały ujawnione czy wskazania, jakie dane osobowe są przetwarzane oraz wszelkie dostępne informacje o ich pochodzeniu. Prawo dostępu może zostać ograniczone w przypadkach określonych w art. 15 dyrektywy 2016/680, jeśli ograniczenie to jest działaniem niezbędnym i proporcjonalnym w społeczeństwie demokratycznym (np. w celu uniemożliwienia utrudniania czynności postępowania przygotowawczego czy ochrony bezpieczeństwa publicznego). Dla realizacji tego prawa wystarczy przekazać osobie, której dane dotyczą, pełne podsumowanie tych danych w zrozumiałej formie, czyli w formie pozwalającej jej poznać te dane, sprawdzić ich prawidłowość oraz zweryfikować zgodność ich przetwarzania. Jak wskazano w motywie 45 preambuły dyrektywy 2016/680, podsumowanie to może mieć formę kopii przetwarzanych danych osobowych. Informacje te nie powinny jednak ujawniać tożsamości osób fizycznych, w szczególności poufnych źródeł informacji (por. zalecenia zawarte w motywie 43 preambuły dyrektywy 2016/680);
c) prawo do sprostowania lub usunięcia danych osobowych oraz ograniczenia ich przetwarzania (art. 16 dyrektywy 2016/680). Do wykonania niniejszego prawa zobowiązany jest administrator danych.

Charakter przetwarzania danych w sprawach karnych musi się wiązać z ograniczeniami prawa dostępu do tych danych. Ograniczenia takie mogą dotyczyć całości lub części danych i zawsze powinny mieć ku temu odpowiednią podstawę prawną, a także spełniać wymóg niezbędności i proporcjonalności w społeczeństwie demokratycznym oraz pozostawać w zgodzie z prawami podstawowymi i uzasadnionymi interesami danej osoby fizycznej. Ograniczenia prawa dostępu mogą być uzasadnione m.in. obawą utrudniania postępowań przygotowawczych czy sądowych, zakłócania wykrywania i ścigania czynów zabronionych czy ochrony bezpieczeństwa publicznego oraz praw i wolności innych osób (art. 15 ust. 1 dyrektywy 2016/680). Obowiązek poinformowania osoby, której dane dotyczą, o każdej odmowie lub ograniczeniu dostępu wraz z przyczynami tej odmowy spoczywa na administratorze danych (art. 15 ust. 3 dyrektywy 2016/680). Ponadto, jak sugeruje motyw 44 preambuły dyrektywy 2016/680, ograniczenia, opóźnienia prawa dostępu do danych czy pominięcie informowania osób, których dane dotyczącym powinny być za każdym razem indywidualnie weryfikowane przez administratora danych w konkretnym przypadku.
Dopuszczalne jest jednak pominięcie powyższych informacji, jeżeli ich udzielenie mogłoby godzić w którykolwiek z celów odmowy dostępu do danych. W takim jednak wypadku konieczne jest spełnienie poniższych wymogów:
• administrator jest zobowiązany dokumentować faktyczne i prawne powody, na jakich opiera się ta decyzja, w celu ich późniejszego udostępnienia organom nadzorczym;
• administrator jest zobowiązany poinformować osobę, której dane dotyczą, o możliwości wniesienia skargi do organu nadzorczego lub środka prawnego do sądu (art. 15 ust. 3 dyrektywy 2016/680).

W przypadku odmowy lub ograniczenia wykonywania powyższych praw, podmiot danych ma prawo zwrócić się od organu nadzorczego (art. 17 dyrektywy 2016/680). Organ ten ma obowiązek sprawdzenia zgodności przetwarzania z prawem oraz poinformowanie podmiotu danych o wynikach tej kontroli, a także o prawie wniesienia środka prawnego do sądu. Co istotne, zadania te organ nadzorczy wykonuje bezpłatnie (art. 46 ust. 3 dyrektywy 2016/680).
Prawo krajowe spełnia większość przepisów dyrektywy 2016/680 w odniesieniu do praw osób, których dane dotyczą (por. rozdział 4 u.o.d.o.). Na gruncie obowiązującej ustawy o ochronie danych osobowych zagwarantowane jest zarówno prawo do uzyskania informacji o ogólnych warunkach przetwarzania danych, jak i prawo uzyskania informacji o danych zgromadzonych w odniesieniu do konkretnej osoby (art. 32 u.o.d.o.). Doprecyzowania wymaga jednak procedura dostępu do informacji za pomocą organu nadzorczego (obecnie GIODO nie działa jako pośrednik w tych sprawach), a także procedura w przypadku odmowy udzielenia dostępu do danych. W sposób zgodny z powyższą dyrektywą określone są bowiem podstawy ograniczenia prawa dostępu (art. 34 u.o.d.o.), administrator nie ma jednak obowiązku tak skrupulatnego uzasadniania swojej decyzji, jak wymaga tego art. 15 dyrektywy 2016/680.

VI. Wprowadzenie środków ochrony prawnej osób, których dane dotyczą
Efektywne wykonywanie praw związanych z ochroną danych osobowych ma zapewniać dodatkowo pakiet środków ochrony prawnej przysługujących podmiotowi danych, do których należą:
a) prawo wniesienia skargi do organu nadzorczego (art. 52 dyrektywy 2016/680), w przypadku, kiedy osoba, której dane dotyczą, sądzi, że dotyczące jej przetwarzanie danych osobowych narusza przepisy dyrektywy. Organ nadzorczy powinien rozpatrzeć niniejszą skargę w terminie 3 miesięcy;
b) prawo do skutecznego środka prawnego od decyzji organu nadzorczego (art. 53 dyrektywy 2016/680), w przypadku, kiedy organ ten nie rozpatrzył skargi, o której mowa powyżej, lub nie poinformował osoby, której dane dotyczą, o postępach,
lub wynikach rozpoznania niniejszej skargi w terminie 3 miesięcy;
c) prawo do skutecznego środka prawnego przed sądem przeciwko administratorowi lub podmiotowi przetwarzającemu w przypadku, kiedy przetwarzanie danych nastąpiło w sposób niezgodny z dyrektywą (art. 54 dyrektywy 2016/680).
W przypadku stwierdzenia naruszeń przetwarzania danych, które doprowadziły do poniesienia szkody majątkowej lub niemajątkowej, podmiotowi danych przysługuje prawo otrzymania odszkodowania od administratora danych (lub innego organu, który odpowiedzialny jest za poniesioną szkodę – art. 56 dyrektywy 2016/680). Dyrektywa zobowiązuje również państwa członkowskie do wprowadzenia sankcji za naruszanie postanowień dyrektywy, które muszą być skuteczne, proporcjonalne i odstraszające (art. 57 dyrektywy 2016/680).

Standardy dyrektywy 2016/680 w tym zakresie znajdują w większości odwzorowanie w prawie krajowym. Swoich praw w przypadku naruszenia ochrony danych osobowych można bowiem dochodzić na drodze administracyjnej, składając w tej sprawie skargę do GIODO (art. 18 u.o.d.o.), zagwarantowane jest też prawo do ponownego rozpatrzenia sprawy oraz skarga do sądu administracyjnego (art. 21 u.o.d.o.). Możliwe jest również wszczęcie postępowań karnych w przypadku niedopuszczalnego przetwarzania danych (rozdział 8 u.o.d.o.). Rozważenia wymaga jednak, czy przepisy karne zawarte obecnie w ustawie o ochronie danych osobowych są wystarczająco skuteczne, proporcjonalne i odstraszające.@page_break@

VII. Wnioski
Przeprowadzona analiza nie wyczerpuje oczywiście zagadnienia ochrony danych osobowych gromadzonych w związku z przetwarzaniem danych osobowych przez właściwe organy do celów zapobiegania przestępczości, prowadzenia postępowań przygotowawczych, wykrywania i ścigania czynów zabronionych i wykonywania kar ani transpozycji dyrektywy 2016/680. Niemniej już na tej podstawie i po zestawieniu standardów dyrektywy z obowiązującymi przepisami krajowymi, a także – w zakresie zasad przetwarzania danych osobowych – ze standardami Eurojustu i Europolu, możliwe jest sformułowanie ogólnych wniosków i rekomendacji dla ustawodawcy.
Po pierwsze, w wielu kwestiach prawo krajowe spełnia już standardy dyrektywy 2016/680. Należy tu wskazać m.in. na jeden z filarów tego instrumentu, tj. prawa podmiotu danych. Krajowe przepisy wprowadzają obowiązek m.in. udzielenia informacji o danych (a także podstawy odmowy udzielenia takiej informacji) czy procedurę w przypadku naruszeń danych, m.in. za pośrednictwem GIODO. Należy zatem uznać, że w tym zakresie nie będą konieczne rewolucyjne zmiany.
Brakującym elementem są jednak przepisy odnoszące się stricte do specyfiki przetwarzania danych w sprawach karnych. Należy tu wymienić m.in. podstawę prawną uwzględniającą zgodność z prawem, rzetelność, cele i proporcjonalność przetwarzania takich danych, kategoryzację danych z uwagi na podmiot i idące za tym ograniczenia zakresu zbierania oraz udostępniania, ochrony i usuwania danych; dbałość o jakość danych, m.in. poprzez wprowadzenie klasyfikacji informacji i ich źródeł, a także terminy przechowywania i przeglądu danych. Szczególnie potencjał kategoryzacji danych zdaje się być niewykorzystany przez polskiego ustawodawcę i należy postulować wprowadzenie regulacji wzorowanych w tym zakresie na rozwiązaniach Europolu (m.in. rozróżnienie rodzaju danych gromadzonych w odniesieniu do ich podmiotów), podobnie jak wzmocnienie dbałości o jakość danych poprzez wprowadzenie klasyfikacji oceny źródeł informacji.
Rozważenia wymaga również koncepcja wprowadzenia jednej ustawy wdrażającej dyrektywę 2016/680, która miałaby zastosowanie do wszystkich organów prowadzących działania objęte niniejszym instrumentem. Rozwiązanie takie mogłoby się okazać trafne z kilku powodów. Po pierwsze, znakomita część przepisów (m.in. rzetelność, zgodność z prawem i proporcjonalność przetwarzania, kategoryzacja danych, bezpieczeństwo danych) ma charakter uniwersalny, wyeliminowano by zatem wiele powtórzeń w ustawach dotyczących poszczególnych organów i ich nadmiernego rozbudowania o przepisy o ochronie danych. Po drugie, uniknięto by zbytniego rozdrobnienia przepisów dotyczących ochrony danych, które już obecnie są rozproszone w ustawie o ochronie danych, przepisach niektórych ustaw odnoszących się do działań poszczególnych organów oraz rozporządzeniach wydanych na ich podstawie. Po trzecie, określenie w jednej ustawie podstaw gromadzenia i przetwarzania danych, ograniczonych zadaniami ustawowymi poszczególnych organów oraz warunków ich dalszego przekazywania i wykorzystywania w innych sprawach zarówno przez organ, który zgromadził te dane, jak i inne organy, ma potencjał znacznego wzmocnienia ochrony przepływu danych oraz wzmocnienia rzetelności i proporcjonalności ich przetwarzania.

Summary
Data protection in criminal matters – recommendations
in the context of transposition of Directive 2016/680/EU
In recent years, fast technological progress and globalisation have resulted in new challenges in the area of data protection. Not only has the scale of gathering and exchanging such data grown exponentially, but the technologies available enable their processing to an unprecedented extent by the law-enforcement authorities. Due to the fact that the right to data protection is one of those enshrined in the EU Charter of Fundamental Rights, the EU quickly responded to the needs of the growing scale of gathering and processing of personal data, guaranteeing a comprehensive strategy of their protection, both in EU Member States and in relationships with thirds countries. Importantly, in the package of instruments guaranteeing uniform level of data protection across the EU, Directive 2016/680 removed from control the provisions in the areas of police and judicial cooperation in criminal matters, due to the particularities of these areas and the potential differences in the extent of natural persons’ exercise of certain data protection rights. This article aims to outline the basic assumptions of the instrument in question and comparing them to the existing national provisions. The conducted analysis leads to an answer to the question whether national data protection standards correspond to European ones and, if not, what needs to change.

dr Martyna Kusak
Autorka jest adiunktem w Katedrze Postępowania Karnego na Wydziale Prawa i Administracji Uniwersytetu Adama Mickiewicza w Poznaniu, posiada też status post-doc collaborator w Institute
for International Research on Criminal Policy
Uniwersytetu w Gandawie (Belgia).

Artykuł pochodzi z miesięcznika Europejski Przegląd Sądowy 2017/10>>