Jak reagować na zapytania służb o dane osobowe?

Administratorzy danych często zgłaszają się do nas z wątpliwościami, jak reagować na różnego rodzaju zapytania o dane osobowe od służb, np. Policji. Problemami, które przysparzają najwięcej trudności są m.in. podstawy prawne ewentualnego udostępnienia czy zakres danych, o które wnioskuje dana służba. Liczymy, że dzięki naszemu artykułowi uda się rozwiać te i inne wątpliwości.

Jaki jest zakres stosowania przepisów: art.15 §3 KPK, art.217 KPK, art. 218a KPK, art.15 ust.1 pkt 7 oraz art. 20c ustawy o Policji?

Nie wchodząc w kwestie analizy dogmatycznoprawnej, poniżej postaram się w formie usystematyzowanej wskazać różnice między ww. przepisami.

Po kliknięciu w przepis rozwinie się szczegółowy opis

art. 15 par.3 KPK art. 217 KPK art. 15 ust. 1 pkt 7 UoP art. 20c UoP art. 218a KPK

Artykuł 15 par. 3 KPK

Kiedy: Postępowanie karne (postępowanie przygotowawcze, sądowe) i ws. wykroczeń – czynności dochodzeniowo-śledcze Policji.

Kto: Organ prowadzący postępowanie przygotowawcze (prokurator, Policja lub inne organy) i sąd.

Zakres: Udzielanie pomocy w zakresie i w terminie wyznaczonym przez organ prowadzący postępowanie karne w granicach dozwolonych prawem i z poszanowaniem dóbr prawnych, a także jeśli bez pomocy przeprowadzenie czynności procesowej jest niemożliwe albo znacznie utrudnione.

Obowiązek: Tak.

Sankcja: Kara do 3000 zł.

Podstawa aktualizująca obowiązek: Wezwanie.

Odwołanie: Zażalenie na postanowienie o nałożeniu grzywny.

Podstawa udostępnienia z RODO: Art. 6 ust. 1 lit. c RODO

Jaka jest relacja między art.15 ust. 1pkt 7 UoP a art. 20c UoP?

Odbierz pakiet bezpłatnych poradników i mikroszkoleń RODO

Dołącz do grona czytelników naszego biuletynu, odbierz bezpłatny pakiet i trzymaj rękę na pulsie.
ODBIERZ PAKIET
W praktyce art. 20c UoP jest najczęściej powoływany jako podstawa dostępu do danych internetowych z art. 18 UŚUDE. Dotyczyć on może również danych telekomunikacyjnych z art. 180c i art. 180d ustawy z dnia 16 lipca 2004 r. - Prawo telekomunikacyjne oraz danych pocztowych z art. 82 ust. 1 pkt 1 ustawy z dnia 23 listopada 2012 r. - Prawo pocztowe.

Policja niejednokrotnie powołuje się na art. 20c UoP przy próbie żądania danych internetowych, dlatego też administratorzy niejednokrotnie mają problem ze zrozumieniem relacji między ww. powołanym przepisami a art. 15 ust. 1 pkt 7 UoP.

W mojej ocenie art. 20c UoP jest osobnym uprawnieniem Policji. Świadczy o tym umiejscowienie w akcie prawnym, wskazanie innych celów i warunków udostępnienia.

Oznacza to, że powyższe żądanie z art. 20c UoP bez stosownego upoważnienia będzie nieprawidłowe, a podmiot do którego zwraca się Policja, nie ma obowiązku udzielenia informacji. W mojej ocenie jednak udostępnienie będzie możliwe na podstawie art. 15 ust.1 lit. 7 UoP, przy czym brak jest obowiązku prawnego i sankcji.

Jaki wpływ na uzyskanie danych internetowych ma etap postępowania?

Etap postępowania ma wpływ na sposób uzyskiwania danych internetowych. Należy pamiętać, że art. 20c UoP ma zastosowanie tylko w celu zapobiegania lub wykrywania przestępstw, przestępstw skarbowych albo w celu ratowania życia lub zdrowia ludzkiego bądź wsparcia działań poszukiwawczych lub ratowniczych, a zatem w toku czynności przedprocesowych (operacyjnych) dane internetowe może uzyskać jedynie Policja (CBA i inne służby na podstawie ustaw regulujących ich działanie). 20c UoP należy czytać łącznie z art. 18 ust. 6 UŚUDE, który stanowi o obowiązku nieodpłatnego udostępniania danych internetowych, w tym eksploatacyjnych, organom państwa uprawnionym na podstawie odrębnych przepisów, na potrzeby prowadzonych przez nie postępowań. Tylko w tym wypadku administrator będzie zatem objęty obowiązkiem udostępnienia danych internetowych.

W mojej ocenie, po wszczęciu postępowania przygotowawczego zasadą powinno być pozyskiwanie danych internetowych na podstawie 217 KPK. w zw. z art. 236a KPK bądź 218a KPK, jakkolwiek mogą się zdarzyć sytuacje, w których w ocenie organu prowadzącego postępowanie będzie możliwe powołanie się na art. 15 § 3 KPK bądź art. 20c UoP (jeśli organem tym jest Policja).

Jeśli chodzi o dane nieinternetowe, to w przypadku działań operacyjno-rozpoznawczych na etapie przedprocesowym zastosowanie ma jedynie UoP. Po wszczęciu postępowania w zakresie działań dochodzeniowo-śledczych podstawy z UoP i KPK mogą mieć zastosowanie, przy czym ich łączenie przez Policję jest błędne.

Jak powinna wyglądać podstawa prawna do uzyskania danych internetowych?

Przepisy kompetencyjne i wykonawcze nie określają treści wystąpienia, jakkolwiek wydaje się, że powinno ono zawierać wskazanie zakresu danych, podstawę prawną (tj. co najmniej art. 20c UoP), a także cel (zapobieganie lub wykrywanie przestępstw, przestępstw skarbowych albo ratowanie życia lub zdrowia ludzkiego bądź wsparcie działań poszukiwawczych lub ratowniczych) i dane występującego.

Wystąpienie może mieć formę pisemną bądź ustną.  Z reguły administratorów nie będzie dotyczyło udostępnienie przez sieć telekomunikacyjną.

W przypadku żądań z art. 15 ust. 1 pkt 7 UoP szczegóły treści żądań reguluje rozporządzenie z dnia 4 lutego 2020 r. Rady Ministrów w sprawie postępowania przy wykonywaniu niektórych uprawnień policjantów (Dz.U. z 2020 r. poz. 192). Zgodnie ze wskazanym aktem, żądanie udzielenia niezbędnej pomocy zawiera powołanie podstawy prawnej żądania, określenie rodzaju i zakresu niezbędnej pomocy oraz wskazanie policjanta korzystającego z pomocy. Oznacza to, że żądanie to powinno wskazywać wprost na art. 15 ust. 1 pkt 7.

Funkcja IOD - to się dobrze przekazuje

Czy można oprzeć żądanie na jednej podstawie prawnej w przypadku danych nieinternetowych jak internetowych?

Wszystko zależy od kontekstu żądania i etapu postępowania. W przypadku czynności operacyjnych, gdy dane dotyczą świadczenia usługi drogą elektroniczną i są wskazane w art. 18 UŚUDE, odpowiednią podstawą powinien być art. 20c UoP. W innych wypadkach – art. 15 ust. 1 pkt 7 UoP.

W toku postępowania karnego zasadą powinny być odpowiednie przepisy rozdziału 25 KPK, jednak w praktyce w zakresie czynności dochodzeniowo-śledczych może się zdarzyć powołanie na ustawę kompetencyjną danej służby.

Monitoring wizyjny nie będzie wchodził w zakres danych internetowych, zatem podstawą udostępnienia będą, w zależności od etapu postępowania i podmiotu wnioskującego, art. 15 ust. 1 pkt 7 UoP, art. 15§3 KPK lub art. 217 KPK.

Podsumowanie

Analizowane zagadnienie z punktu widzenia administratora danych osobowych i inspektora ochrony danych jest trudne i złożone. Wynika to z różnych podstaw, na jakie mogą powoływać się organy ścigania żądając udostępnienia danych, które mają różne i nieprecyzyjne zakresy żądanych informacji, dlatego też tabela przedstawiona na wstępie niniejszej opinii pokazuje najważniejsze różnice pomiędzy tymi podstawami i pozwala je usystematyzować.

Tabela wskazuje również, że z punktu widzenia RODO obowiązek pomocy nie rodzi większych problemów interpretacyjnych. W przypadku żądań opartych na przepisach, które konstytuują bezpośredni obowiązek przekazania informacji, podstawą przetwarzania zawsze będzie art. 6 ust. 1 lit. c RODO, jedynie w przypadku art. 15 ust. 1 pkt 7 UoP to art. 6 ust. 1 lit. f RODO wydaje się adekwatny (przy założeniu że przepis UoP nie nakłada obowiązku udostępnienia danych). Przypomnieć należy, że udostępnienie danych to również ich przetwarzanie i musi mieć ważną podstawę prawną.

Diagnoza zgodności RODO.
Zrób to sam

Wykorzystaj elastyczne narzędzie do inwentaryzacji, audytu, przeprowadzenia DPIA oraz analizy ryzyka.
POZNAJ DR RODO
Powyższe nie zmienia faktu, że inne zasady przetwarzania danych również mają zastosowanie, np. minimalizacja danych, rozliczalność, a także integralność i poufność. Pierwsza z zasad wskazuje, że nie powinniśmy udostępniać więcej danych niż wynika z wezwania, kolejna – że cały proces powinien być udokumentowany (zawsze żądamy wniosku pisemnego, dokumentujemy decyzje dot. udostępnienia, rejestrujemy udostępnienia, np. w rejestrze), a ostatnia z wymienionych zasad wskazuje, że udostępnienie powinno uwzględniać podstawowe zasady bezpiecznego przesyłania informacji przez Internet. Jeśli to możliwe, zalecam wypracowanie z policjantem proszącym o informacje bezpiecznej formy przesłania danych. Takim środkiem jest szyfrowanie i hasłowanie plików z przesłaniem hasła osobnym kanałem komunikacji. Takie rozwiązanie oferuje nam darmowy 7zip (szyfrowanie metodami kryptograficznym z możliwością nadania hasła) oraz wymyślone, silne hasło (powyżej 12 znaków, małe i wielkie litery, cyfry, znaki specjalne; można też posłużyć się generatorem haseł).  

W kwestii minimalizacji danych warto dodać, że uprawnienia Policji nie są bezwzględne i nie może ona żądać informacji nadmiarowych. Należy pamiętać, że żądanie nie może naruszać obowiązującego prawa, musi być związane z zadaniami Policji lub danym postępowaniem. Należy również pamiętać o konstytucyjnej zasadzie proporcjonalności i zasadach związanych z obowiązkiem ponoszenia ciężarów i świadczeń publicznych określonych ustawą (żądanie nie może przekształcić się w zaspokajanie potrzeb organu prowadzącego postępowanie kosztem obowiązanego). Co więcej, usługodawca usług świadczonych droga elektroniczną nie ma obowiązku przetwarzania wszystkich danych wskazanych w katalogu z art. 18 UŚUDE, dlatego też oczywiste jest, że w niektórych przypadkach odmowa udzielenia informacji będzie wynikała z nieposiadania danych osobowych żądanych przez organ.

Administrator, otrzymując dane żądanie, powinien w pierwszej kolejności dokonać oceny, jaki organ się z nim kontaktuje, w razie wątpliwości co do tożsamości czy umocowania pracownik procesujący pismo powinien zgłosić problem do IOD, ewentualnie uzyskać potwierdzenie tożsamości. Zdarzają się przypadki wyłudzania danych przez osoby podające się za różne służby; często na pierwszy rzut oka widać, że nie jest to uprawniony organ (np. dziwny adres e-mail, błędy w tekście, widoczne tłumaczenie maszynowe tekstu), ale zdarzają się również profesjonalnie sfałszowane pisma.  

Następnie konieczna jest ocena podstawy żądania oraz jego zakresu. W przypadku niewskazania podstawy, należy się zwrócić o jej wskazanie. W przypadku, jeśli jest to art. 15 ust. 1 pkt 7 UoP, a zakres jest obszerny i nieproporcjonalny, można ograniczyć się do części danych bądź odmówić udzielenia odpowiedzi. Istnieje również możliwość zażalenia na czynności do właściwego prokuratora.

W razie żądania udostępnienia danych internetowych związanych bezpośrednio z usługą świadczoną drogą elektroniczną należy powołać się na art. 20c UoP w zw. z art. 18 ust. 6 UŚUDE. Oczywiście, udostępnienie danych internetowych na podstawie innych przepisów wciąż jest możliwe, niekoniecznie jednak będzie obowiązkowe.

Warto pamiętać, że po rozpoczęciu postępowania karnego docelowo powinny być stosowane przepisy KPK, przy czym art. 15 § 3 nie powinien w mojej ocenie dotyczyć danych informatycznych.

W przypadku żądań wydanych na podstawie KPK i art. 20c UoP trzeba pamiętać, że co do zasady otrzymanie wezwania konstytuuje obowiązek udzielenia informacji bądź wydania środka dowodowego. Na podstawie KPK przysługuje jednak ścieżka odwoławcza, przy czym należy mieć na uwadze ograniczone możliwości kwestionowania żądania z art. 15 § 3 KPK. Żądanie z art. 20c UoP nie jest zaskarżalne w ogóle – ustawodawca przewidział tutaj kontrolę wewnętrzną (w ramach wewnętrznych procedur Policji, prowadzenie rejestrów wystąpień, upoważnienia) i zewnętrzną kontrolę sądową (raportowanie do właściwego sądu okręgowego).

W praktyce każde żądanie należy oceniać indywidualnie. Każdorazowo powinno się konsultować zapytanie z inspektorem ochrony danych lub inną osobą odpowiedzialną za obszar ochrony danych osobowych.  

quiz

Sprawdź co pamiętasz - za poprawną odpowiedź nagroda!

Co stanowi podstawę prawną z RODO udostępnienia danych osobowych na podstawie Kodeksu postępowania karnego?

Czytaj także:

Najczęstsze błędy przy zawieraniu umów powierzenia
Pamiętaj: sprawdź link, zanim klikniesz!
Never gonna give you up!
Check the link before you click
Never gonna give you up!