Dyrektywa 2016/680 w praktyce krajowej: gdzie kończy się implementacja, a zaczynają problemy systemowe? (cz. I)

W lutowym numerze Biuletynu UODO omówiliśmy wkład Europejskiej Rady Ochrony Danych do ewaluacji dyrektywy 2016/680 (DODO), wskazując najważniejsze wyzwania związane z jej stosowaniem na poziomie unijnym. Niniejszy artykuł koncentruje się na poziomie krajowym – przedstawia doświadczenia Polski związane z wdrażaniem i ze stosowaniem dyrektywy, ze szczególnym uwzględnieniem obszaru sądowego.

Dyrektywa 2016/680 reguluje przetwarzanie danych osobowych przez właściwe organy w obszarze zapobiegania i zwalczania przestępczości, ustanawiając wspólne ramy ochrony danych w sektorze egzekwowania prawa. Została ona wdrożona w Polsce ustawą z 10 maja 2018 r. o ochronie danych osobowych oraz ustawą z 14 grudnia 2018 r. o ochronie danych osobowych przetwarzanych w związku z zapobieganiem i ze zwalczaniem przestępczości. W zakresie nadzoru nad przetwarzaniem danych przez sądy i prokuraturę zastosowanie znajdują przepisy ustaw ustrojowych.

Wkład Polski do ewaluacji stosowania dyrektywy za okres 2022–2025 został przygotowany na bazie doświadczenia Prezesa UODO oraz organów nadzorczych właściwych dla sądów i prokuratur. Poniżej przedstawiono kluczowe problemy zidentyfikowane na etapie wdrażania i stosowania dyrektywy w Polsce, ze szczególnym uwzględnieniem wymiaru sprawiedliwości oraz krajowego modelu nadzoru nad przetwarzaniem danych osobowych przez właściwe organy. Na styku tych zagadnień ujawnia się szersze napięcie między zapewnieniem niezależności wymiaru sprawiedliwości a koniecznością zagwarantowania skutecznego i niezależnego nadzoru nad przetwarzaniem danych osobowych.

Wyłączenia w wymiarze sprawiedliwości

Zgodnie z art. 1 pkt 3 ustawy z 14 grudnia 2018 r. nie określa ona sposobu prowadzenia nadzoru nad ochroną danych osobowych przetwarzanych przez sądy i prokuraturę oraz nie stosuje się do dokumentacji znajdującej się w aktach spraw prowadzonych na podstawie kodeksów postępowania i ustaw szczególnych. W praktyce oznacza to, że przetwarzanie danych osobowych przez sądy i prokuraturę w ramach zadań związanych z zapobieganiem i ze zwalczaniem przestępczości podlega przede wszystkim regulacjom szczególnym, w tym przepisom proceduralnym.

Część organów ochrony danych właściwych dla sądów wskazuje, że mechanizmy służące zapewnieniu poufności akt sądowych są wystarczające dla ochrony danych osobowych, a dalsze zmiany nie są konieczne. Odmienne stanowisko prezentują Prezes UODO oraz część sądowych organów nadzorczych, podkreślając, że obowiązujące regulacje proceduralne, w szczególności przepisy postępowania karnego, nie odzwierciedlają w pełni standardów wynikających z dyrektywy 2016/680. W szczególności wskazuje się na brak skutecznych i praktycznie wykonalnych gwarancji realizacji praw osób, których dane dotyczą, takich jak prawo do informacji, dostępu do danych, ich sprostowania, usunięcia lub ograniczenia przetwarzania.

Niejasny zakres wyłączenia – problem interpretacyjny

Dodatkowym problemem pozostaje brak ustawowej definicji pojęcia „sprawowania wymiaru sprawiedliwości”, które wyznacza zakres wyłączeń spod niezależnego nadzoru organu ochrony danych. W praktyce prowadzi to do sytuacji, w których czynności o charakterze techniczno-administracyjnym, takie jak wysyłka korespondencji, przechowywanie dokumentów czy transport akt, są kwalifikowane jako element sprawowania wymiaru sprawiedliwości, a w konsekwencji wyłączane spod nadzoru. Prezes UODO wielokrotnie wskazywał, że tego rodzaju czynności nie mieszczą się w istocie sprawowania wymiaru sprawiedliwości i powinny podlegać niezależnemu nadzorowi.

Jednocześnie obserwuje się zróżnicowaną praktykę interpretacyjną pomiędzy sądami różnych instancji. Sądy apelacyjne częściej przyjmują szerokie rozumienie wyłączenia, podczas gdy sądy okręgowe i rejonowe niekiedy stosują wykładnię bardziej zawężającą. Prowadzi to do rozbieżności w stosowaniu prawa, osłabienia spójności systemu nadzoru oraz zmniejszenia pewności prawnej.

Na tym tle szczególnego znaczenia nabiera praktyczne stosowanie ustawy z 14 grudnia 2018 r. w strukturach sądów. Choć przepisy ustrojowe przypisują sądom określone zadania i uprawnienia organu nadzorczego wynikające z ustawy grudniowej, w praktyce większość organów właściwych dla sądów nie identyfikuje obszarów, w których ustawa ta powinna znajdować zastosowanie. Odmiennie kształtuje się praktyka w prokuraturze, gdzie – przy analogicznym modelu nadzoru – właściwe organy przyjmują, że są uprawnione do sprawowania nadzoru w trybie dyrektywy 2016/680. Stan ten wskazuje na systemowy problem interpretacyjny, w którym formalne przypisanie kompetencji nadzorczych nie przekłada się na ich realne i konsekwentne wykonywanie.

Sprawowanie nadzoru nad przetwarzaniem danych – problemy systemowe

Model nadzoru nad przetwarzaniem danych w sądach i prokuraturze ma charakter kaskadowy – organy wyższego szczebla sprawują kontrolę nad jednostkami niższego rzędu. W przypadku sądów funkcjonowanie tego modelu jest równoważone przez konstytucyjne gwarancje niezależności sędziowskiej. Odmiennie przedstawia się sytuacja w prokuraturze, gdzie silna struktura hierarchiczna rodzi poważne wątpliwości co do spełnienia wymogu niezależności organu nadzorczego w rozumieniu dyrektywy 2016/680.

Znaczenie ma również status prokuratury w systemie konstytucyjnym. Prokuratura nie sprawuje wymiaru sprawiedliwości sensu stricto, co prowadzi do wniosku, że wyłączenia przewidziane dla sądów nie powinny mieć do niej zastosowania. W konsekwencji przetwarzanie danych przez prokuraturę powinno podlegać pełnemu reżimowi niezależnego nadzoru.

Niezależnie od powyższych kwestii strukturalnych problematyczne pozostaje zapewnienie skutecznego wykonywania kompetencji nadzorczych. Choć dyrektywa 2016/680 przewiduje szeroki katalog zadań organów nadzorczych, w praktyce ich realizacja napotyka istotne ograniczenia wynikające z niejednoznacznego zakresu kompetencji oraz przyjmowanych interpretacji przepisów krajowych. W Polsce część zadań została skoncentrowana w rękach Prezesa UODO, podczas gdy organy funkcjonujące w strukturach sądów i prokuratury nie posiadają pełni zakresu kompetencji przewidzianych w dyrektywie, co prowadzi do fragmentacji systemu nadzoru i utrudnia zapewnienie jednolitego standardu ochrony danych.

Doświadczenia innych państw członkowskich wskazują, że podobne trudności interpretacyjne występują jedynie w ograniczonej grupie państw, podczas gdy w większości system nadzoru w tym obszarze funkcjonuje bez istotnych problemów.

Wnioski

Doświadczenia Polski pokazują, że kluczowym wyzwaniem nie jest już sama implementacja przepisów, lecz zapewnienie ich skutecznego i spójnego stosowania. Najpoważniejsze problemy mają charakter systemowy i dotyczą w szczególności zakresu wyłączeń w wymiarze sprawiedliwości, modelu nadzoru oraz braku jednolitych standardów interpretacyjnych.

W następnym numerze Biuletynu zostaną przedstawione kolejne aspekty stosowania dyrektywy 2016/680 w Polsce, w tym uprawnienia organów nadzorczych, model sankcyjny oraz przede wszystkim problemy związane z realizacją praw osób, których dane dotyczą.