Zbierane na każdym kroku – czy to przy zakupach w sklepie internetowym, wizyty u lekarza, czy podczas policyjnego dochodzenia – informacje o nas samych mogą po latach okazać się… przekleństwem. Dobitnie przekonał się o tym mężczyzna, który w 2004 roku został skazany za przestępstwo i automatycznie trafił do Krajowego Systemu Informacyjnego Policji. Zapewnie nie spodziewał się, że dekadę później – gdy wyrok zdąży się już zatrzeć – ten incydent z przeszłości wciąż będzie mu ciążył. Wojsko, do którego chciał się dostać, odmówiło mu, wskazując, że wciąż figuruje w KSIP. Na podobną barierę napotkała kobieta, która również domagała się usunięcia swoich danych z policyjnego systemu. Postępowania karne wobec niej zostały wprawdzie umorzone, ale i tak nie mogła podjąć pracy w organach wymiaru sprawiedliwości. Interwencja Generalnego Inspektora Ochrony Danych Osobowych na niewiele się zdała, w obydwu sprawach rozstrzygał sąd.

– Przypuszczam, że takich przypadków będzie coraz więcej, bo ilość informacji zbieranych przez wszelkiego rodzaju służby jest ogromna. Zwłaszcza, że odbywa się to nie tylko przy prowadzeniu konkretnych postępowań, co jest oczywiście zrozumiałe, ale i blankietowo, czyli w celach prewencyjnych, na tzw. wszelki wypadek. Stąd już tylko krok do poważnych nadużyć – sugeruje dr Agnieszka Grzelak ze Szkoły Głównej Handlowej w Warszawie, która właśnie tę kwestię postanowiła wziąć pod lupę. Do tej pory tematyce tej nie poświęcano zbyt wiele uwagi w badaniach naukowych. Owszem, zajmowano się ochroną danych, ale gromadzonych i przetwarzanych na potrzeby ochrony zdrowia, prawa pracy czy działalności handlowej. Tymczasem mało mówi się o informacjach zbieranych przez organy wymiaru sprawiedliwości czy ścigania, dotyczących tak ofiar, jak i sprawców, świadków, biegłych i innych uczestników postępowania karnego. A przecież i w tamtych, i w tym przypadku są to te same informacje, umożliwiające w sposób bezpośredni – przez choćby imię, nazwisko, adres, próbkę DNA – czy pośredni – na podstawie wnioskowania ze zbioru innych danych – identyfikować konkretną osobę. Osobnym segmentem są tzw. dane wrażliwe, czyli np. informacje o przekonaniach religijnych, poglądach politycznych, zachowaniach seksualnych, czy stanie zdrowia, których przetwarzanie jest zasadniczo zabronione, a nadto obowiązuje szczególny reżim ich traktowania.

Niezgodna retencja

W Polsce problem informacji zbieranych przez służby nie jest wcale błahy, a wynika w głównej mierze z wielości przepisów. Obowiązującą obecnie ustawę o ochronie danych osobowych przyjęto na bazie dyrektywy unijnej z 1995 roku, która ustala zasady ich zbierania, gromadzenia, przechowywania i udostępniania, ale nie ma zastosowania do współpracy państw w dziedzinie prawa karnego. Dopuszczono przy tym możliwość stosowania uregulowań zawartych w innych aktach prawnych. Dla policji alternatywą są kodeksy: karny i postępowania karnego, ale również konstytuująca tę służbę ustawa o policji. Wedle niej można korzystać z danych o osobie, w tym również w formie zapisu elektronicznego, uzyskanych przez inne organy, służby i instytucje państwowe w wyniku wykonywania czynności operacyjno-rozpoznawczych. Co więcej, przetwarzanie ich może odbywać się bez wiedzy i zgody osoby, której one dotyczą. W obliczu takiej wielowariantowości, wojewódzkie sądy administracyjne, rozstrzygające sprawy z tego zakresu, wydają swoje orzeczenia opierając się na ustawie o policji bądź ustawie o ochronie danych osobowych i odmiennie interpretują przepisy. Stąd wiele spraw problemowych.

– Dlatego uważam, że właśnie teraz, gdy trwa proces reformy danych osobowych w UE, warto na to zwrócić uwagę. Komisja Europejska przedstawiła projekt dyrektywy, która ma wyznaczyć minimalny standard ochrony danych osobowych w pracy służb policyjnych i sądów w państwach członkowskich UE – sygnalizuje dr Grzelak, adiunkt w Katedrze Prawa Europejskiego w Kolegium Ekonomiczno-Społecznym SGH, i podsuwa pierwszy z brzegu przykład unijnych uregulowań, których wdrożenie nastręczyło niemało kłopotów. Mowa o retencji danych, czyli sposobie inwigilacji obywateli, polegającym na rutynowym zatrzymywaniu przez operatorów informacji o tym, kto, z kim i kiedy łączył lub próbował połączyć się za pomocą środków komunikacji elektronicznej. Jak wskazuje Fundacja Panoptykon, te w gruncie rzeczy okruchy informacji, tzw. metadane, pozwalają odtworzyć szczegółowy obraz naszego życia: codziennych zwyczajów, powiązań biznesowych, relacji intymnych, szlaków komunikacyjnych, jednym słowem – mapę działań konkretnej osoby. Dane te (przechowywane przez 12 miesięcy) operatorzy mają obowiązek udostępniać uprawnionym podmiotom na ich żądanie, do celów związanych z szeroko pojętym bezpieczeństwem publicznym. „Policja i inne służby mogą po nie sięgać nawet w najbardziej błahych sprawach, jeżeli tylko uznają, że to konieczne do przeciwdziałania przestępczości. To najmocniej ingerujący w naszą prywatność instrument, który został dotąd przyjęty w Unii Europejskiej” – czytamy w przewodniku Fundacji. Nie dziwi zatem wyrok Trybunału Sprawiedliwości UE, który uznał, że dyrektywa retencyjna jest niezgodna z Kartą Praw Podstawowych UE, m.in. prawem do ochrony prywatności.

– W żaden sposób nie ograniczała ona dostępu do zebranych i przechowywanych danych, a także ich wykorzystania. W myśl jej przepisów, to poszczególne państwa mają za zadanie określić te gwarancje. Tymczasem to w samej dyrektywie powinny zostać ustalone ściślejsze zasady zbierania i przechowywania informacji – tłumaczy dr Grzelak, zaznaczając przy tym, że Trybunał nie podważał samej możliwości zbierania informacji, a w istocie podjął próbę wyważenia balansu między prawami jednostki a bezpieczeństwem publicznym. Gdy te dwie wartości spotykają się na kursie kolizyjnym, niezmiernie trudno uniknąć konfliktu.

– To nieodłączny problem stanowienia prawa. Oczywiście moim zamiarem nie jest napisanie przepisów ustawowych, bardziej obracam się w założeniach teoretycznych, i to głównie na poziomie standardu europejskiego, tym niemniej również borykam się z podstawową kwestią: czy będę w ogóle w stanie określić te granice – nie ukrywa swoich wątpliwości dr Grzelak. Na badania, w których chce wyznaczyć minimalne reguły przetwarzania danych osobowych, zarówno w organach wymiaru sprawiedliwości (sądy), jak i organach ścigania (policja) w Unii Europejskiej, zdobyła dwuletni grant NCN. Jej wnioski mogą być punktem wyjścia do dalszych działań, a być może nawet przełożą się na konkretne przepisy ustawodawcze.

Dane z zasadami

Wstępna kwerenda pokazała, że zróżnicowanie przepisów, będące podstawową przeszkodą w harmonizacji prawa, ma miejsce nie tylko na poziomie wewnątrzkrajowym, ale i między poszczególnymi państwami, a także, o dziwo, instytucjami unijnymi. I Europol, czyli ogólnoeuropejska policja, i bliźniaczy Eurojust, a więc organ współpracy sądów, a także System Informacji Schengen, mają swój odrębny reżim ochrony danych osobowych. Ich przepisy rozmijają się już na etapie ogólnych standardów, w zakresie chociażby zasad dotyczących jakości danych, okresu ich przechowywania czy organu, który nadzoruje prawidłowość i zgodność z prawem procedur przetwarzania. Różnic tych nie niwelują także przygotowane projekty aktów, które mają zreformować te instytucje.

– Postawiłam przed sobą zadanie opracowania takiego modelu, który wskaże, jakie wyjątki od stosowanych ogólnie reguł mogą być uzasadnione tym, że dane osobowe gromadzone i przetwarzane są przez policję, sąd albo ponadpaństwowe instytucje, takie jak Europol czy Eurojust, na potrzeby związane z zapewnieniem porządku publicznego bądź walką z przestępczością – precyzuje dr Grzelak.

Chodzi tu o zasady minimalizmu, określoności celu, rzetelności i legalności przetwarzania oraz proporcjonalności, a także prawa jednostki, której dane są gromadzone, odnośnie do dostępu do nich, poprawiania czy żądania usunięcia. Wiadomo, że policja będzie zbierać dane o obywatelach, ale jak długo ma prawo je przechowywać? Na ile właściwą jest procedura weryfikacji po kilku latach przydatności przechowywanych informacji i czy nie lepiej usunąć je wraz z zakończeniem działań? Wreszcie, czy ogólnie sformułowany cel walki z przestępczością jest wystarczającym uzasadnieniem do ich zbierania? Takich dylematów jest bez liku. Pojawiają się zresztą nie tylko w kontekście współpracy policyjno-sądowej. Moja rozmówczyni, pracująca również w Biurze Analiz Sejmowych, przywołuje projekt grupy posłów dotyczący rejestru sprawców przestępstw seksualnych, który miałby być publikowany na stronach Ministerstwa Sprawiedliwości. Budził sporo wątpliwości, nie tyle co do samej idei, co niezgodności ze standardami europejskimi. Wykraczał bowiem właśnie powyżej minimum, wymagając ujawniania danych osób trzecich (np. ojca czy matki). We Francji, gdzie taki system już funkcjonuje, obwarowany jest licznymi ograniczeniami, m.in. dostęp do niego mają jedynie organy zobowiązane do poufności. U nas miałby on być nieograniczony.

Wymowne statystyki

Podobnie wiele kontrowersji wzbudzają prawo do bycia zapomnianym, profilowanie czy właśnie retencja.

– W odniesieniu do retencji, Trybunał Sprawiedliwości orzekł, że przetwarzanie tych danych powinno odbywać się tylko w ściśle określonych przypadkach. Tymczasem warto przypomnieć, że polska policja sięgała do tych danych ponad milion razy. Dla porównania, w Niemczech służby sięgają po dane telekomunikacyjne aż 35-krotnie rzadziej niż u nas – zauważa dr Grzelak, dodając, niejako na uzasadnienie celowości swojego projektu, że to właśnie badacze – eksperci, prawnicy, naukowcy – od dawna informowali, że dyrektywa retencyjna jest niezgodna z prawami człowieka. W Austrii, Słowacji i Słowenii już ją unieważniono, Niemcy w ogóle jej nie wdrożyły, Szwecja została zobligowana do zapłacenia 3,5 mln euro, a Wielka Brytania – jakby na przekór – przyjęła ustawę sankcjonującą podważone przez Trybunał uprawnienia służb. W Polsce, która znowelizowała w tym celu prawo telekomunikacyjne, orzeczono niedawno niekonstytucyjność przepisów, wskazując, że policja i inne służby nie mogą sięgać po nie bez żadnej zewnętrznej kontroli – sądu, prokuratora lub niezależnego organu administracyjnego. Dla porównania, w Niemczech można pozyskiwać dane telekomunikacyjne tylko w drodze nakazu sądowego, którego ważność jest ograniczona do 3 miesięcy.

– Poziom ochrony praw jednostki w odniesieniu do przetwarzania danych przez właściwe organy we wszystkich państwach członkowskich powinien być jednakowy. A już choćby powyższy przypadek pokazuje, że tak nie jest. Czeka mnie zatem mozolna analiza aktów prawnych UE, przepisów państw członkowskich, a także orzeczeń sądów międzynarodowych. Zbadam, czy jest uzasadnienie dla tych różnic i na ile obecnie stosowane regulacje są zasadne – rysuje plan swojej pracy, uprzedzając, że nie ma państwa idealnego, w którym system ochrony danych osobowych byłby bez wad. Ot, choćby w Wielkiej Brytanii wciąż nieuregulowana jest kwestia zbierania danych w celu profilowania. Wykorzystuje się tam już m.in. drony i inne nowoczesne środki, bez uchwalenia przepisów, które regulowałyby ich użycie. W sprawie przeciwko Wielkiej Brytanii Europejski Trybunał Praw Człowieka orzekł, że bezterminowe przechowywanie danych zawartych w profilach DNA, próbkach komórkowych oraz odciskach linii papilarnych osób, wobec których zakończono postępowanie karne bez skazania, stanowi naruszenie prawa do ochrony życia prywatnego.

W obliczu takiej różnorodności pojawiają się głosy, że nie powinno się normować tych kwestii na poziomie unijnym. Każde państwo ma inne potrzeby, a standard mógłby odnosić się jedynie do współpracy transgranicznej. Moja rozmówczyni nie podziela jednak tego poglądu, zaznaczając, że europeizacja danych osobowych w obszarze współpracy policyjno-sądowej jest nie tylko możliwa, ale i konieczna.

– Skoro udało się z danymi medycznymi czy związanymi z prawem pracy, to i w tym zakresie należałoby takie standardy określić, by procedowanie nie odbywało się, tak jak teraz, na zasadzie precedensowej – podsumowuje. 