Prof. Grzegorz Sibiga: Mamy lukę w prawie. Ustawa o ochronie ludności poza RODO [WYWIAD]

Z kolei w zakresie danych znajdujących się w kilku ewidencjach ustawa o ochronie ludności i obronie cywilnej wymaga nadania klauzuli „zastrzeżone” w rozumieniu ustawy o ochronie informacji niejawnych. Nadanie takiej klauzuli oznacza, że do tych danych nie stosuje się przepisów o ochronie danych osobowych, lecz reżim ustawy o ochronie informacji niejawnych.

W efekcie mamy dualizm. W odniesieniu do danych objętych klauzulą niejawności obowiązuje szczególny reżim ochrony informacji niejawnych. Natomiast w odniesieniu do pozostałych danych osobowych (nieobjętych klauzulą) służących do wykonania obowiązków ustawowych nie stosuje się żadnych regulacji przewidujących całościową ochronę danych.

Nie wprowadzono też w ustawie żadnych alternatywnych przepisów regulujących ochronę danych osobowych w tym drugim obszarze, poza epizodycznymi odniesieniami do pojedynczych warunków ochrony danych osobowych. Mamy więc do czynienia z poważną luką prawną.

Jak bardzo groźna dla obywatela jest taka luka?

Organy administracji gromadzą i przetwarzają dane osobowe w związku z realizacją zadań z zakresu obrony cywilnej i ochrony ludności, i to w bardzo dużej skali, ale brak jest jednoznacznej podstawy określającej, jaki reżim ochrony danych osobowych należy w tym zakresie stosować.

Ustawa zawiera bardzo szeroki katalog zadań, których realizacja wiąże się z gromadzeniem ogromnej ilości danych osobowych. Chodzi m.in. o prowadzenie ewidencji, działania ratunkowe, organizowanie szkoleń, planowanie ćwiczeń, udzielanie pomocy w przypadku klęsk żywiołowych czy utrzymywanie gotowości operacyjnej.

Na różnych poziomach państwa, od gmin po centralną administrację rządową, powstają więc rozbudowane zbiory danych, w których znajdują się liczne kategorie danych osobowych.

RODO zostało zaprojektowane jako system zapewniający kompleksową ochronę danych osobowych. W analizowanym obszarze taka kompleksowa ochrona po prostu nie występuje. Warunki ochrony danych pozostają co najmniej niejasne, a obowiązki administratorów – niedookreślone.

Nie obowiązują ani podstawowe zasady przetwarzania danych osobowych przewidziane w RODO (np. rzetelności, minimalizacji czy poufności), ani cały pakiet uprawnień osób, których dane dotyczą (choćby prawa do sprostowania). Nie funkcjonuje także cały system obowiązków administratora, w tym dotyczących bezpieczeństwa danych. Najlepiej zobrazuje to przykład środków technicznych i organizacyjnych zabezpieczających dane, które powinien dobierać administrator, stale szacując ryzyko. Dla tych danych ten wymóg nie obowiązuje.

Skoro nie stosuje się też RODO, to prezes Urzędu Ochrony Danych Osobowych nie posiada swoich kompetencji do kontroli i przywracania stanu prawidłowego. W przypadku bezprawnego wykorzystania danych przetwarzanych na podstawie tej ustawy złożenie skargi do prezesa UODO mogłoby okazać się bezskuteczne, ponieważ brak byłoby podstawy prawnej do jej rozpoznania. Nie ma wyraźnych przepisów, które można byłoby egzekwować, nie ma podstaw do kontroli ani do wydania decyzji przywracającej stan zgodny z prawem.

W trakcie prac nad ustawą prezes UODO nie miał tego typu zastrzeżeń.

Rzeczywiście – problem ten nie został dostrzeżony przez właściwe organy, nie tylko prezesa UODO, do którego obowiązków należy opiniowanie projektów legislacyjnych, ale także przez ministra cyfryzacji. Zgodnie z ustawą o działach administracji rządowej minister ten odpowiada za kształtowanie polityki ochrony danych osobowych w państwie. Z poziomu rządu powinien więc identyfikować takie luki systemowe i inicjować działania im przeciwdziałające, a przynajmniej usuwające takie sytuacje. Trudno jednak wskazać jakiekolwiek ślady podjęcia w tej sprawie inicjatywy, mimo że kwestie te należą do kompetencji resortu, w tym jego departamentu zarządzania danymi.

Czy taki problem istnieje tylko w wypadku tej jednej ustawy?

Nie jest to pierwsza sytuacja, w której pojawia się problem zakresu stosowania RODO. Cały czas toczą się spory m.in. przed prezesem UODO i sądami administracyjnymi dotyczące tego, czy RODO znajduje zastosowanie do działalności prezesa Instytutu Pamięci Narodowej i wynikającego z niej przetwarzania danych osobowych. Dzieje się tak mimo że już 6 lat temu wskazywano na brak jednoznacznych regulacji ustawowych dotyczących tego zagadnienia.

Mimo świadomości istnienia tej luki uchwalane są kolejne akty prawne, które generują potrzebę przetwarzania danych osobowych, a jednocześnie nie mieszczą się w zakresie stosowania RODO.

W Polsce nie obowiązują żadne uniwersalne, alternatywne przepisy o ochronie danych osobowych na wypadek, gdy dana materia pozostaje poza zakresem prawa Unii Europejskiej i tym samym poza zakresem RODO. System ochrony danych w Polsce opiera się bowiem na RODO, a w tzw. sektorze policyjnym na unijnej dyrektywie 2016/680. Nie mamy własnej, całościowej regulacji krajowej, która w sposób kompleksowy zabezpieczałaby dane w sytuacjach wyłączonych spod prawa UE.

Dla zapewnienia realnej ochrony ograniczone gwarancje w art. 51 konstytucji oraz wybiórcze przepisy niższego rzędu zdecydowanie są niewystarczające. Zresztą, w swoich gwarancjach konstytucja przewiduje, że szczegółowe zasady i tryb w tym względzie powinny zostać określone w ustawach zwykłych. Tych regulacji dotyczących ochrony danych w analizowanym obszarze po prostu brakuje.

Czyli pana zdaniem potrzebne są nowe przepisy?

Ten problem prawny istnieje od początku obowiązywania RODO, ale w przypadku wcześniejszych ustaw jego zakres był znacznie węższy. Teraz mamy do czynienia z regulacją ustawową z 2024 r. o bardzo szerokim zastosowaniu i dużym znaczeniu.

W niektórych państwach (np. Szwecja, Finlandia) rozwiązano ten problem, rozszerzając przynajmniej w pewnym zakresie – stosowanie kluczowych przepisów RODO na obszary nieobjęte prawem Unii Europejskiej. Dokonał tego ustawodawca krajowy w tych państwach. W Polsce takiego rozwiązania systemowego dotąd nie przyjęto, poza jednym ustawowym przypadkiem Prezydenta RP w zakresie jego działań nieobjętych bezpieczeństwem narodowym, co świadczy o tym, że punktowo, ale problem rozpoznano.

Jednak zmiana w prawie nie powinna ograniczać się wyłącznie do jednej ustawy powodującej przetwarzanie danych osobowych. Potrzebujemy wypracowania całościowego i uniwersalnego kierunku ustanowienia zasad ochrony danych osobowych dla działalności nieobjętej prawem Unii Europejskiej, w szczególności w sferze bezpieczeństwa narodowego. Nie możemy pozbawiać osób ochrony ich danych osobowych, choćby z tego względu, że prawo do ochrony danych ma rangę konstytucyjną i stanowi element uniwersalnych standardów praw człowieka. Trzeba to jednak pogodzić z niezbędnymi ograniczeniami związanymi z bezpieczeństwem i porządkiem publicznym.

W praktyce widzę dwa możliwe rozwiązania problemu po potwierdzeniu przez prezesa UODO oraz ministra cyfryzacji istnienia luki systemowej.

W pierwszej opcji ustawodawca może stworzyć autonomiczne, krajowe przepisy regulujące ochronę danych w obszarach wyłączonych spod RODO, tak aby odpowiadały one konstytucyjnym gwarancjom i podstawowym standardom ochrony. W drugim rozwiązaniu można przynajmniej częściowo rozszerzyć zakres stosowania RODO na działalność nieobjętą prawem UE, mimo wyłączenia przewidzianego w art. 2 ust. 2 lit. a RODO, co dotyczy też bezpieczeństwa narodowego. Dopiero w zakresie zasad ochrony kolidujących z bezpieczeństwem narodowym można ograniczyć stosowanie RODO.

Nie powinniśmy natomiast pozostawiać tej sfery w „szarej strefie”, w której RODO się nie stosuje, a jednocześnie brak jest innych jasnych i kompleksowych zasad ochrony danych.