UE chce ochrony wizerunku także w policji

Unia Europejska zamierza wprowadzić dyrektywę regulującą kwestie ochrony danych osobowych w policji. Czego konkretnie będzie ona dotyczyła?

Do tej pory UE regulowała tylko te sytuacje, w których prokuratura, policja czy sądy z różnych krajów wymieniały się między sobą informacjami. Przed rokiem KE zaproponowała pakiet zmian dotyczący ochrony danych osobowych, w skład którego wchodzi rozporządzenie ogólne dotyczące ochrony danych osobowych, oraz właśnie projekt dyrektywy w sprawie ochrony osób fizycznych w zakresie przetwarzania danych osobowych przez właściwe organy do celów zapobiegania przestępstwom, prowadzenia dochodzeń w ich sprawie, wykrywania ich i ścigania albo wykonywania kar kryminalnych oraz swobodnego przepływu tych danych. Rozwiązania prawne dotychczas stosowane w kontaktach między państwami UE na podstawie decyzji ramowych zostały przekształcone w przepisy dyrektywy, ale oprócz tego projekt zawiera wiele nowości szczególnie interesujących z polskiego punktu widzenia. Bowiem europejskie minimum określone dyrektywą ma dotyczyć nie tylko wymiany informacji pomiędzy krajami, lecz także postępowań wewnątrz każdego z państw członkowskich UE. Dzięki temu powstanie szablon ochrony danych osobowych dla instytucji policyjnych i wymiaru sprawiedliwości w każdym kraju. To najważniejsza zmiana. Do tej pory bowiem nasze przepisy dotyczące przetwarzania danych osobowych w policji czy służbach specjalnych były szczątkowe. Można powiedzieć, że wprowadzaliśmy je tylko wtedy, gdy były wymuszane przez Unię Europejską, bo np. wchodził system Schengen albo zaczynały obowiązywać decyzje ramowe o wymianie informacji między organami ścigania w krajach unijnych. Teraz po raz pierwszy mamy szansę na wdrożenie kompleksowego zestawu minimalnych zasad ochrony danych osobowych, który w policji, sądach czy prokuraturze każdy powinien stosować.

Czyli zmiany będą istotne nie tylko dla policji. Kogo jeszcze obejmą?

Poza policją, sądami i prokuraturą również służby specjalne i straż graniczną w tych przypadkach, w których zajmują się one zwalczaniem przestępstw lub zapobieganiem im - np. przy nielegalnym przekraczaniu granicy czy przemycie. W podobnym zakresie dyrektywa będzie wpływała również na organy celne czy skarbowe.

Rozumiem, że dyrektywę trzeba będzie wprowadzić do polskich przepisów. W jakim terminie?

Większość regulacji powinna wejść w życie w ciągu dwóch lat od przyjęcia dyrektywy, niektóre w ciągu pięciu. Czyli jeżeli dyrektywa zostanie przyjęta w 2014 r., pierwsze nowe regulacje powinny zacząć obowiązywać w 2016 r. Po wejściu ich w życie najmniej zmieni się sytuacja sądów i prokuratur, dlatego że instytucje te już od wielu lat mają system związany z ochroną danych osobowych i kontrolę zewnętrzną prowadzoną m.in. przez generalnego inspektora ochrony danych osobowych. Na pewno trzeba będzie ustalić, czy dotychczasowe przepisy są zgodne z unijnymi, ale w tym przypadku zmiany nie będą wielkie.

Natomiast jeśli chodzi o policję, a szczególnie służby specjalne, takie jak ABW czy CBA, te zmiany będą spore właśnie w zakresie ich działalności "policyjnej". Przede wszystkim będą one polegały na poddaniu przetwarzania danych osobowych w tych instytucjach zewnętrznej, niezależnej kontroli. Do tej pory tego albo w ogóle nie ma, albo - jak w CBA - powoływany jest wewnętrzny organ kontroli. Dobrze, że taki organ w CBA istnieje, ale to nie jest zewnętrzna kontrola. Mógłby ją sprawować albo GIODO, albo - tak jak jest np. w Anglii - odrębny organ, który będzie tak niezależny jak GIODO i który będzie zajmował się kontrolowaniem służb.

Czy nie spodziewa się pan sprzeciwów w związku z wprowadzaniem nowych regulacji?

Doświadczenia GIODO wskazują na to, że tam gdzie nie ma wyraźnych przepisów, jak powinna wyglądać ochrona danych osobowych, panuje bałagan. Pozytywnym przykładem jest CBA, w którym powołany został pełnomocnik wewnętrzny. CBA stwierdziło, że w sumie dobrze się stało, bo poukładali sobie to, co mają w bazach i określili, do jakich celów wykorzystują te bazy, które mają. Również służbom nie zależy na tym, żeby z danych, które są w różnych miejscach, korzystali bez kontroli poszczególni członkowie tych służb. Lepiej, gdy system jest uporządkowany, a dane obywateli są bezpieczne i używane tylko wtedy i w tym celu, do którego zostały zebrane, a nie do generalnego profilowania osób.

Czy zebrane dane można będzie wykorzystywać w innym celu, niż zostały zgromadzone?

W niektórych sytuacjach tak. Są przepisy, które mówią, że niekiedy takie dane mogą być przechowywane przez dłuższy okres niż prowadzenie samego śledztwa. Dzisiaj nie ma żadnej zewnętrznej kontroli, która mogłaby stwierdzić, że dane są rzeczywiście niszczone wtedy, kiedy przestają być przydatne dla konkretnego śledztwa. Po wejściu przepisów wymaganych dyrektywą uzyskamy taką możliwość. Nie znaczy to, że jako obywatele będziemy mieli osobiście dostęp do tych danych, ale będziemy mieli możliwość wysłania wyspecjalizowanego organu, który sprawdzi, co z naszymi danymi się dzieje. Jednocześnie wymusi to sytuacje, do której GIODO od lat próbuje dążyć. Chodzi o to, żeby dane, które nie są wykorzystywane do śledztwa, nie mogły być przez wiele lat albo nawet wieczyście wykorzystywane przez prokuraturę czy służby.

Na przykład?

Choćby w Krajowym Systemie Informacyjnym Policji (KSIP), który GIODO może częściowo kontrolować, dane są przechowywane przez czas, w którym są potrzebne dla policji. To jest zdecydowanie zbyt ogólne określenie. Z jednej strony obejmuje sytuacje, gdy ktoś został oskarżony o zbrodnie seksualne albo o przestępstwa pedofilskie, a z drugiej np. niepewne posądzenie np. o zniesławienie.

W pierwszym przypadku takie dane może nawet przez dziesiątki lat powinny być przechowywane w bazach policyjnych po to, żeby pokazywać, że coś nie tak było z daną osobą, tyle że takie rozwiązanie powinno być wyraźnie opisane w ustawie. Natomiast nie jest w porządku, jeśli na tej samej zasadzie w bazie KSIP przechowywane są dane, że 20 lat temu ktoś został posądzony o zniesławienie, a to posądzenie było tak słabe, że nawet policja postanowiła umorzyć postępowanie. Taki wpis w KSIP blokuje osobie, której dotyczy, możliwość zatrudnienia się np. w charakterze sekretarki w prokuraturze czy w straży miejskiej. Chcielibyśmy, żeby z prawa wprost wynikało, przez jaki czas policja czy służby mają prawo przechowywać informacje dotyczące podejrzenia o popełnienie konkretnego przestępstwa. Być może w przypadku przestępstw seksualnych czy niektórych zbrodni dane mogłyby być przetwarzane przez wiele lat, a może nawet przez cały okres życia danej osoby, ale to powinny być sytuacje wyjątkowe, opisane podobnie jak te, w których dziś policja może zarządzić podsłuch. Natomiast nie powinno być generalnej zasady, że dane przechowywane są na zawsze.

Czy podobnie jest w innych służbach?

W przypadku służb specjalnych w ogóle nie wiem, jak jest, ponieważ nie mam prawa tego w żaden sposób kontrolować.

Czy zmiany te będą się wiązać z dużymi kosztami?

Przede wszystkim zmiany będą się wiązać z porządkami. Będą wymagały pracy organizacyjnej i świadomości tego, że istnieją organy zewnętrzne, które mogą sprawdzić, czy mamy porządek. Uważam, że każda regulacja wynikająca z tej dyrektywy jest lepsza niż jej brak. Zwłaszcza że przepisy wewnętrzne mają nie tylko kraje Europy Zachodniej, lecz także choćby Czechy i Węgry.

@RY1@i02/2013/046/i02.2013.046.088000200.803.jpg@RY2@

Wojciech Rafał Wiewiórowski, generalny inspektor ochrony danych osobowych

@RY1@i02/2013/046/i02.2013.046.088000200.804.jpg@RY2@

Służbom nie zależy na tym, żeby z danych korzystali bez kontroli poszczególni ich członkowie. Lepiej, gdy system jest uporządkowany, a dane obywateli są bezpieczne i używane tylko w tym celu, do którego zostały zebrane, a nie do generalnego profilowania osób

Rozmawiała Zofia Joźwiak