Prokuratura i sądy mogą bezkarnie ujawniać dane osobowe. Prezes UODO chce zmian, MS jednak milczy

Niewłaściwa implementacja unijnej dyrektywy sprawia, że dane osobowe znajdujące się w aktach spraw, w tym medyczne, są bez żadnej kontroli. Zdaniem organu ochrony danych konieczne jest „stworzenie zamkniętego katalogu przesłanek, na podstawie których w wyjątkowych wypadkach informacje zawierające dane osobowe z akt postępowania przygotowawczego będą udostępnione innym osobom”.

Przy okazji opiniowania projektu zmian w kodeksie karnym i kodeksie postępowania karnego (nr z wykazu: UD153) prezes Urzędu Ochrony Danych Osobowych postuluje, aby resort sprawiedliwości uzupełnił tę nowelizację o rozwiązania zapewniające ochronę danych osobowych przetwarzanych w związku z postępowaniami karnymi. Jego zdaniem nasz kraj niewłaściwie wdrożył dyrektywę 2016/680 (dyrektywę DODO), w efekcie czego osoby, których dane są przetwarzane m.in. do celów zapobiegania przestępczości i prowadzenia postępowań przygotowawczych, zostały pozbawione gwarancji w zakresie poszanowania ich prawa do prywatności.

Unijną regulację wdrożono w Polsce ustawą o ochronie danych osobowych przetwarzanych w związku z zapobieganiem i zwalczaniem przestępczości (tj. Dz.U. z 2019 r. poz. 125; dalej: ustawa DODO). Według prezesa UODO konstrukcja tej ustawy i brak przepisów szczególnych w k.p.k. sprawiają, że dane znajdujące się w aktach spraw „nie podlegają żadnym przepisom gwarantującym ochronę danych osobowych”.

Ujawnianie danych z rozdzielnika

Jak obecne przepisy sprawdzają się w praktyce?

Doktor Paweł Litwiński, adwokat, partner w kancelarii Barta Litwiński i członek Społecznego Zespołu Ekspertów przy PUODO, wskazuje, że problemem jest szeroki zakres wyłączeń spod ustawy DODO: podmiotowych (dane osobowe przetwarzane przez ABW, CBA oraz służby wywiadu i kontrwywiadu) i przedmiotowych (dane osobowe w aktach spraw).

– Do tego dochodzi źle skonstruowany nadzór nad przetwarzaniem danych przez sądy i prokuratury, które nie podlegają nadzorowi UODO – dodaje. W swojej praktyce miał nieraz do czynienia z naruszeniami ochrony danych, na które w ramach obecnych przepisów nie można odpowiednio zareagować.

– Prokuratura bezrefleksyjnie wysłała postanowienie z uzasadnieniem z rozdzielnika do wszystkich poszkodowanych. Rzecz dotyczyła czynów pedofilskich, więc każdy poszkodowany otrzymał dokładny opis tego, co podejrzany zrobił innym osobom, wraz z ich nazwiskami i aktualnymi adresami – mówi Paweł Litwiński. – Gdybyśmy byli chronieni przez prawidłowo implementowaną dyrektywę DODO, można by było w takiej sytuacji złożyć skargę do organu nadzorczego, który przeprowadziłby postępowanie wyjaśniające i najprawdopodobniej ukarał tę jednostkę prokuratury, która to zrobiła. Ponieważ jednak nie mamy prawidłowo wdrożonej dyrektywy, to skargę na prokuraturę wnosi się do... prokuratury nadrzędnej – wskazuje.

Nawet gdyby prokuratura nadrzędna chciała nałożyć w tym wypadku karę, to nie może tego zrobić – bo nie ma podstawy prawnej do karania za naruszenie ochrony danych osobowych.

– Konsekwencji w tej sprawie nie było, bo nie mogło być. Te osoby są pozbawione publicznoprawnej ochrony danych osobowych. Owszem, mogą iść do sądu cywilnego, ale to też najprawdopodobniej nic by nie dało właśnie ze względu na sposób implementacji dyrektywy DODO – stwierdza dr Litwiński.

Przytacza też przykład związany z podmiotowym wyłączeniem służb.

– Prowadząc postępowanie sprawdzające w kontekście dostępu do informacji niejawnych, służby pozyskały całość dokumentacji medycznej sprawdzanej osoby. To sprzeczne z zasadą minimalizacji danych. Ponieważ jednak działania służb nie są objęte przepisami o ochronie danych, nic nie można było z tym zrobić. Nie udało mi się przekonać sądu do tego, żeby zastosować tu bezpośrednio prawo europejskie – mówi Paweł Litwiński. – W efekcie takiej implementacji właściwie nic z tej dyrektywy nie mamy – podsumowuje.

Nagrania na konferencji prasowej

Prezes UODO nie ma wątpliwości, że polskie przepisy powinny zostać zmienione.

– Chodzi o kwestie dotyczące między innymi wykonania wyroków Europejskiego Trybunału Praw Człowieka i Trybunału Sprawiedliwości UE w zakresie zapewnienia odpowiedniego poszanowania prawa do prywatności – mówi nam Mirosław Wróblewski.

ETPC w wyroku w sprawie Kaczmarek przeciwko Polsce (16974/14 z 22 lutego 2024 r.) stwierdził naruszenie przez Polskę prawa do prywatności. Sprawa dotyczyła ujawnienia przez prokuraturę na konferencji prasowej w 2007 r. nagrania rozmowy telefonicznej żony podejrzanego i jej danych osobowych z materiałów postępowania karnego.

Prezes UODO podkreśla, że w tym wyroku ETPC „zakwestionował też samą konstrukcję art. 156 par. 5 k.p.k.”. Zgodnie z nim za zgodą prokuratora „w wyjątkowych wypadkach” akta postępowania przygotowawczego mogą być udostępnione „innym osobom” (niż strony, pokrzywdzeni, obrońcy, pełnomocnicy i przedstawiciele ustawowi), ale nie określa, jakie to mogą być wypadki.

Zdaniem organu ochrony danych konieczne jest „stworzenie zamkniętego katalogu przesłanek, na podstawie których w wyjątkowych wypadkach informacje zawierające dane osobowe z akt postępowania przygotowawczego będą udostępnione innym osobom”.

– Za w pełni słuszne uważam poglądy doktryny odnoszące się do konieczności dokonania nowelizacji ustawy DODO w zakresie katalogu wyłączeń podmiotowych – komentuje Piotr Liwszic, prawnik i autor serwisu Judykatura.pl. Nie aprobuje natomiast poglądu, że dane z akt spraw nie podlegają przepisom gwarantującym ochronę.

– W zakresie m.in. dostępu do danych osobowych znajdujących się w takich aktach pewnym rodzajem gwarancji jest np. regulacja odnosząca się do dostępu do akt (art. 156 k.p.k.) czy też uprawnienia do składania skarg przez osoby, których dane są przetwarzane „niezgodnie z prawem” (art. 175dd par. 2 pkt 1 ustawy o ustroju sądów powszechnych) – wskazuje Piotr Liwszic.

Dodaje, że organy nadzorcze – np. prezesi sądów okręgowych i apelacyjnych – mają uprawnienia do wydawania ostrzeżeń administratorowi czy wezwania go do przetwarzania danych do zgodności z RODO lub DODO. Ekspert przyznaje natomiast, że przy zmianie przepisów dobrze byłoby dać im też możliwość nakładania sankcji – np. administracyjnych kar pieniężnych.

– W mojej ocenie podniosłoby to jeszcze bardziej poziom zaangażowania adresatów ustawy w utrzymanie zgodności prawnej – stwierdza Piotr Liwszic. – Szczególnie że przepisy dyrektywy wskazywały na konieczność przyjęcia przez państwa członkowskie przepisów określających sankcje – dodaje.

Ministerstwo Sprawiedliwości milczy, jednak kropla drąży skałę

Na razie Ministerstwo Sprawiedliwości nie odniosło się do postulatów zgłoszonych przez prezesa UODO.

– Wdrażanie odpowiednich zasad ochrony danych osobowych w legislacji jest dużym problemem. I nie dotyczy to tylko tego projektu. Dlatego w ostatnim czasie zacieśniłem współpracę ze środowiskiem legislatorów, podpisałem w tym celu porozumienia z prezesami Rządowego Centrum Legislacji oraz Polskiego Towarzystwa Legislacji – zaznacza Mirosław Wróblewski.

UODO nie ma inicjatywy ustawodawczej. Jeśli więc projektodawca pominie jego uwagi, nie będzie szans na zmianę przepisów.

– Kropla drąży skałę. Z nadzieją przyjmuję stanowisko ministerstwa, że uwagi organu ds. ochrony danych zostaną poważnie rozważone – podsumowuje Mirosław Wróblewski. ©℗