Dane obywatela w rękach państwa. RPO i PUODO pokazują lukę, której rząd nie może zamiatać analizą.

Rzecznik Praw Obywatelskich poparł stanowisko Prezesa Urzędu Ochrony Danych Osobowych i zwrócił się do ministra spraw wewnętrznych i administracji oraz ministra sprawiedliwości o zainicjowanie prac legislacyjnych nad ustawą dotyczącą danych osobowych przetwarzanych przy zapobieganiu i zwalczaniu przestępczości. To ustawa, która ma wdrażać tzw. dyrektywę policyjną, czyli unijne zasady ochrony danych w sprawach karnych, policyjnych i wykonawczych. Brzmi technicznie. W praktyce chodzi o to, czy obywatel, świadek, pokrzywdzony, podejrzany albo osoba przypadkowo wciągnięta w akta sprawy ma realne prawa wobec państwa, które przetwarza jego informacje.

W tej sprawie nie chodzi o blokowanie policji, prokuratury czy sądów. Państwo musi mieć narzędzia do ścigania przestępstw. Ale właśnie dlatego, że te narzędzia są silne, muszą być objęte jasnymi regułami, niezależnym nadzorem i skutecznymi środkami ochrony. PUODO wskazuje, że obecny model nie daje pełnych gwarancji praw osób, których dane są przetwarzane. RPO dodaje, że przez restrykcyjne wyłączenia polski ustawodawca dokonał formalnej, a nie merytorycznej implementacji prawa UE.

Ministerstwo Sprawiedliwości w piśmie do MSWiA nie zamknęło sprawy urzędowym spokojem. Przeciwnie: poinformowało, że analiza stanowiska PUODO, skonsultowana także z Prokuraturą Krajową, punktowo potwierdza wątpliwości interpretacyjne i luki prawne. To zdanie jest politycznie ciężkie. Oznacza, że problem nie jest publicystycznym wymysłem ani przesadą organów ochrony praw. Został dostrzeżony wewnątrz administracji rządowej.

• PUODO 16 marca 2026 r. wystąpił do MSWiA i MS o pogłębioną analizę i prace legislacyjne dotyczące ustawy wdrażającej dyrektywę 2016/680. • RPO 18 maja 2026 r. poparł ten kierunek i zwrócił się do obu ministrów o zainicjowanie prac legislacyjnych. • RPO wskazuje m.in. na nieuzasadnione wyłączenie spod ustawy służb specjalnych: ABW, AW, SKW, SWW i CBA, oraz na problem danych oznaczonych jako informacje niejawne. • PUODO sygnalizuje, że krajowe wyłączenia mogą powodować brak gwarancji takich jak prawo do informacji, skargi, dostępu do danych, sprostowania, usunięcia, ograniczenia przetwarzania i skutecznego środka prawnego. • Minister Sprawiedliwości 2 czerwca 2026 r. zwrócił się do MSWiA, wskazując, że to MSWiA było organem odpowiedzialnym za wdrożenie dyrektywy i przygotowanie ustawy. • MS zadeklarowało wsparcie merytoryczne, jeżeli MSWiA podejmie działania legislacyjne.

Najważniejszy mechanizm tej sprawy jest prosty: im poważniejsze słowo pada w uzasadnieniu, tym łatwiej obywatel znika z centrum regulacji. Bezpieczeństwo publiczne, zwalczanie przestępczości, działania operacyjne, informacje niejawne - to są pojęcia, które w państwie prawa mają realne znaczenie. Nie można ich lekceważyć. Ale można też użyć ich jako wielkiego wyłącznika: jeżeli sprawa dotyczy bezpieczeństwa, to obywatel ma mniej wiedzieć, mniej pytać, trudniej skarżyć i słabiej kontrolować.

RPO i PUODO pokazują, że właśnie tutaj powstało ryzyko. Służby specjalne zostały wyłączone spod ustawy w sposób, który RPO uznaje za nieuzasadniony, bo nie wszystkie ich zadania mieszczą się w pojęciu bezpieczeństwa narodowego. Dane niejawne zostały potraktowane tak szeroko, jakby sama tajność automatycznie wyłączała fundamentalne zasady rzetelnego i zgodnego z prawem przetwarzania. To jest odwrócenie logiki. Tajność może ograniczać techniczne formy jawności, ale nie powinna unieważniać samej idei odpowiedzialności.

W praktyce obywatel może znaleźć się w sytuacji, w której jego dane są w aktach, systemach, ewidencjach lub transgranicznych bazach, lecz droga do sprawdzenia, poprawienia albo zakwestionowania ich przetwarzania staje się niejasna. Państwo mówi: zaufaj nam. Tyle że w demokracji zaufanie do państwa nie polega na tym, że obywatel milczy. Polega na tym, że państwo daje mu procedurę, kontrolę i niezależny organ, który nie jest częścią tej samej machiny.

PUODO wskazuje na kilka poziomów problemu. Pierwszy to zakres ustawy: według organu nie obejmuje ona wszystkich obszarów przetwarzania danych w celach rozpoznawania, zapobiegania, wykrywania i zwalczania czynów zabronionych, które obejmuje dyrektywa. Drugi to prawa jednostki: w procedurze karnej mają brakować pełnych gwarancji takich jak prawo do informacji, dostępu do danych, ich sprostowania, usunięcia albo ograniczenia przetwarzania. Trzeci to nadzór: w niektórych obszarach system ma nie zapewniać pełnej, niezależnej kontroli.

Szczególnie ważna jest prokuratura. PUODO podnosi, że jeżeli przyjąć brak właściwości Prezesa UODO do przyjmowania zgłoszeń naruszeń i przeprowadzania kontroli, prokuratura mogłaby pozostać poza takim niezależnym nadzorem. To nie jest drobiazg. Prokuratura przetwarza dane wrażliwe, dane świadków, pokrzywdzonych, podejrzanych, osób trzecich, czasem dokumentację medyczną, dane rodzinne, finansowe i komunikacyjne. Jeśli obywatel nie ma jasnego, zewnętrznego punktu kontroli, jego prawo do prywatności staje się zależne od wewnętrznej dyscypliny instytucji.

Kolejny poziom to wielkoskalowe systemy informacyjne Unii Europejskiej: SIS, VIS, EES, ETIAS, ECRIS-TCN czy Eurodac. To już nie jest lokalna szuflada z aktami. To infrastruktura bezpieczeństwa, migracji, kontroli granicznej i współpracy policyjnej. PUODO podkreśla, że Polska uczestniczy w tych mechanizmach, a dostęp do danych mają m.in. ABW, CBA, sądy i prokuratura. Jeżeli krajowy nadzór jest niepełny, konsekwencje wychodzą poza jeden urząd. Dotykają wiarygodności Polski w europejskiej przestrzeni bezpieczeństwa.

Pierwsza niespójność dotyczy samego słowa „implementacja”. Państwo może przyjąć ustawę i odhaczyć obowiązek formalny, ale to nie znaczy, że stworzyło realną ochronę praw. RPO stawia zarzut precyzyjny: implementacja może być formalna, a nie merytoryczna. To zdanie powinno zapalić czerwone światło w każdym ministerstwie, które lubi mówić o europejskich standardach, a potem buduje wyjątki tak szerokie, że obywatel wpada między przepisy.

Druga niespójność dotyczy odpowiedzialności. Ministerstwo Sprawiedliwości przyznaje, że część wątpliwości i luk się potwierdza, ale wskazuje, że odpowiedzialnym za wdrożenie dyrektywy i przygotowanie ustawy był MSWiA. Formalnie to ważne. Politycznie to nie może być koniec rozmowy. Jeżeli dwa resorty wiedzą, że problem dotyczy praw podstawowych, to obywatela nie interesuje, który departament pierwszy napisze notatkę. Interesuje go, czy rząd potrafi zamienić diagnozę w projekt ustawy.

Trzecia niespójność dotyczy narracji o bezpieczeństwie. Władza często przedstawia prywatność jako przeszkodę w skuteczności państwa. Tymczasem prawdziwie sprawne państwo nie potrzebuje luk w nadzorze, żeby ścigać przestępstwa. Potrzebuje dobrych procedur, jasnych kompetencji i kontroli, która pozwala oddzielić niezbędne działanie od wygodnej dowolności. Bezpieczeństwo bez kontroli szybko zmienia się w argument, którego nie da się sprawdzić.

W tej sprawie widać technikę komunikacyjną, którą można nazwać zasłoną bezpieczeństwa. Mechanizm działa tak: najpierw temat zostaje opisany językiem bardzo specjalistycznym - dyrektywa, implementacja, wyłączenia, nadzór, systemy informacyjne. Potem pojawia się pojęcie bezpieczeństwa publicznego, które ma zamknąć spór. Na końcu obywatel, którego dane dotyczą, zostaje pokazany nie jako podmiot praw, ale jako element procesu. Dane trzeba przetwarzać, system musi działać, organy muszą mieć narzędzia. Wszystko prawda. Tylko że w tym zdaniu brakuje człowieka.

Drugi mechanizm to rozproszenie odpowiedzialności. RPO pisze do dwóch ministrów. PUODO wcześniej pisał do MSWiA i MS. Ministerstwo Sprawiedliwości odsyła ciężar odpowiedzialności do MSWiA, ale deklaruje pomoc. Komisje kodyfikacyjne mają wydać opinie. Wszystko odbywa się proceduralnie poprawnie, a jednak ryzyko jest oczywiste: problem może ugrzęznąć w eleganckiej korespondencji. To bardzo wygodny model dla administracji. Nikt nie mówi „nie”, ale obywatel nadal nie dostaje „tak” w postaci projektu.

Trzeci mechanizm to eufemizacja luki. „Wątpliwości interpretacyjne” brzmią miękko. „Luki prawne” brzmią technicznie. Ale w realnym życiu oznacza to, że osoba, której dane znalazły się w działaniach organów ścigania lub wymiaru sprawiedliwości, może nie mieć pełnej ochrony, jaką miała zapewnić dyrektywa. W państwie prawa język techniczny nie może być sposobem na obniżenie temperatury sprawy. Czasem najchłodniejszy termin administracyjny opisuje najbardziej palący problem obywatelski.

Dane w sprawach karnych to nie są zwykłe dane. Mogą dotyczyć podejrzeń, zeznań, relacji rodzinnych, zdrowia, ruchu granicznego, kontaktów, wizerunku, biometrii, obecności w systemach europejskich albo informacji z postępowań, w których ktoś występuje tylko jako świadek lub osoba poboczna. Błąd w takich danych może mieć konsekwencje praktyczne: od problemów w kontakcie z organami państwa po szkody reputacyjne i ryzyko decyzji opartych na niepełnych albo nieaktualnych informacjach.

Najbardziej niebezpieczne w tej sprawie jest to, że obywatel często nie wie, że jego dane są przetwarzane. Dlatego właśnie potrzebny jest niezależny nadzór. Nie po to, by ujawniać tajemnice operacyjne, ale po to, by ktoś poza instytucją przetwarzającą dane mógł sprawdzić, czy państwo działa proporcjonalnie, legalnie i z poszanowaniem praw jednostki. Jeżeli organ sam siebie kontroluje, obywatel ma prawo zapytać, czy to jeszcze nadzór, czy już urzędowa dekoracja.

1. Czy MSWiA formalnie rozpocznie prace legislacyjne i poda harmonogram zmian.
2. Czy projekt obejmie wyłączenia dotyczące służb specjalnych, informacji niejawnych, sądów i prokuratury.
3. Czy obywatel dostanie jasne prawa: informację, dostęp, sprostowanie, usunięcie, ograniczenie przetwarzania, skargę i skuteczny środek sądowy.
4. Czy powstanie realny, niezależny model nadzoru nad przetwarzaniem danych w obszarach objętych dyrektywą policyjną.
5. Czy Prezes UODO lub inny niezależny organ otrzyma skuteczne instrumenty kontroli i sankcji.
6. Czy rząd odniesie się do zaleceń Komisji Europejskiej, ewaluacji z 2021 i 2025 r. oraz znaczenia systemów SIS, VIS, EES, ETIAS, ECRIS-TCN i Eurodac.

Moim zdaniem to temat, który pokazuje jedną z najgroźniejszych cech państwa administracyjnego: potrafi ono mówić o obywatelu bez obywatela. Dane są jego, ale procedura jest państwowa. Ryzyko dotyczy jego prywatności, ale język należy do ministerstw. Skutki mogą spaść na niego, ale odpowiedzialność krąży między resortami. To nie jest model do zaakceptowania, zwłaszcza gdy chodzi o obszar, w którym państwo ma narzędzia przymusu.

Obecna władza nie może udawać, że problem jest wyłącznie spadkiem po poprzednikach. Gdy RPO, PUODO i Ministerstwo Sprawiedliwości wskazują luki, odpowiedzialność polityczna przechodzi na tych, którzy dziś mają możliwość naprawy prawa. Koalicja rządząca lubi mówić o praworządności. Tutaj ma test mniej efektowny niż spór o wielkie instytucje, ale bardzo konkretny: czy praworządność obejmuje także dane człowieka, które trafiają do systemów państwa?

Jeżeli sprawa zostanie odłożona, Polska może dalej funkcjonować z niepełnym modelem ochrony danych w obszarze, w którym skutki błędu są wyjątkowo ciężkie. To może uderzać w prawa jednostki, w skuteczność skarg, w wiarygodność nadzoru i w relacje z unijnymi systemami współpracy. Najgorszy scenariusz to państwo, które cyfryzuje wymiar sprawiedliwości szybciej, niż porządkuje gwarancje dla osób, których dane będą w tych cyfrowych systemach krążyć.

Jeżeli rząd potraktuje sprawę poważnie, może naprawić coś fundamentalnego: relację między bezpieczeństwem a prawami obywatela. Nie chodzi o to, by utrudniać ściganie przestępstw. Chodzi o to, by ściganie przestępstw nie tworzyło strefy, w której obywatel traci widoczność własnych praw. Państwo silne to nie państwo bez kontroli. Państwo silne to takie, które nie boi się kontroli, bo potrafi uzasadnić własne działania.

Najbardziej niebezpieczne dane to nie te, które państwo przetwarza jawnie. Najbardziej niebezpieczne są te, o których obywatel nie wie, których nie może sprawdzić i których nikt niezależny naprawdę nie kontroluje.