Dyrektywa policyjna ponownie znalazła się w centrum debaty o ochronie danych osobowych w Polsce. Powodem jest najnowszy komunikat Prezesa UODO z 7 kwietnia 2026 r., w którym organ nadzorczy wskazał, że przepisy polskiej ustawy wdrażającej dyrektywę 2016/680 nie zapewniają pełnych gwarancji ochrony praw osób, których dane są przetwarzane. To istotny sygnał, bo chodzi o jeden z najbardziej wrażliwych obszarów przetwarzania danych, czyli działania związane z zapobieganiem i zwalczaniem przestępczości.
Co to jest dyrektywa policyjna
Dyrektywa policyjna to potoczna nazwa dyrektywy (UE) 2016/680, określanej na poziomie unijnym także jako Law Enforcement Directive, w skrócie LED. Reguluje ona zasady ochrony danych osobowych przetwarzanych przez właściwe organy do celów zapobiegania przestępczości, jej wykrywania, ścigania oraz wykonywania kar. Komisja Europejska wskazuje, że ten akt ma jednocześnie chronić prawa osób fizycznych i tworzyć spójne ramy prawne dla współpracy organów ścigania oraz organów wymiaru sprawiedliwości w Unii Europejskiej.
Dyrektywa policyjna a RODO, to nie jest to samo
W praktyce dyrektywa policyjna bywa mylona z RODO, ale zakres obu regulacji jest inny. RODO dotyczy ogólnego przetwarzania danych osobowych w sektorze publicznym i prywatnym, natomiast dyrektywa policyjna obejmuje przetwarzanie prowadzone przez właściwe organy w obszarze egzekwowania prawa karnego. Nie oznacza to jednak słabszej ochrony. Wręcz przeciwnie, dyrektywa 2016/680 ma zapewniać wysoki i zharmonizowany poziom ochrony praw jednostki również tam, gdzie państwo ingeruje w prywatność w sposób dalej idący niż w zwykłych relacjach biznesowych.
Jak dyrektywa policyjna została wdrożona w Polsce
W Polsce dyrektywa policyjna została wdrożona ustawą z 14 grudnia 2018 r. o ochronie danych osobowych przetwarzanych w związku z zapobieganiem i zwalczaniem przestępczości. Ustawa określa zasady ochrony danych, prawa osób, obowiązki administratora i inspektora ochrony danych oraz reguły nadzoru nad przetwarzaniem. Jednocześnie już sama konstrukcja ustawy przewiduje istotne wyłączenia, a właśnie one od lat budzą zastrzeżenia UODO.
Co dokładnie zarzuca polskim przepisom UODO
Prezes UODO wskazuje, że wyłączenia przyjęte w ustawie krajowej powodują, że nie wszystkie obszary przetwarzania danych osobowych w celach rozpoznawania, zapobiegania, wykrywania i zwalczania czynów zabronionych zostały objęte realnymi gwarancjami ochrony danych. W konsekwencji dane osobowe zawarte w aktach sprawy oraz dane przetwarzane w toku czynności mogą pozostawać poza krajowym systemem gwarancji odpowiadających standardowi wynikającemu z dyrektywy policyjnej. UODO podkreśla również, że część sądowych organów nadzorczych wskazuje wprost na niewystarczające odzwierciedlenie standardów ochrony danych w przepisach procedury karnej.
Jakich praw może w praktyce brakować
Według stanowiska UODO problem dotyczy podstawowych praw osoby, której dane dotyczą. Chodzi zwłaszcza o prawo do informacji, prawo dostępu do danych, prawo do sprostowania, usunięcia i ograniczenia przetwarzania, prawo do wniesienia skargi do niezależnego organu nadzorczego oraz prawo do skutecznego środka prawnego przed sądem. Sama dyrektywa 2016/680 przewiduje takie gwarancje, choć dopuszcza ich ograniczenia w określonych sytuacjach, pod warunkiem że są one konieczne i proporcjonalne. Z perspektywy zgodności z prawem unijnym kluczowe jest więc nie to, czy można wprowadzać ograniczenia, lecz czy nie prowadzą one do faktycznego zaniku ochrony.
Problem nadzoru nad przetwarzaniem danych
Wątpliwości UODO dotyczą także modelu nadzoru. Organ wskazuje, że w przypadku danych przetwarzanych przez sądy podczas sprawowania wymiaru sprawiedliwości przepisy unijne przewidują szczególny model nadzoru, ale nie oznacza to pełnego wyłączenia potrzeby zapewnienia zgodności z dyrektywą policyjną. W odniesieniu do prokuratury UODO krytycznie ocenia z kolei rozwiązanie, w którym nadzór nad przetwarzaniem danych opiera się wyłącznie na wewnętrznych, hierarchicznie zależnych strukturach. Dodatkowo organ zwraca uwagę, że przetwarzanie danych związane z dostępem do wielkoskalowych systemów informacyjnych UE nie podlega w Polsce niezależnemu nadzorowi krajowemu w wymaganym zakresie.
Dyrektywa policyjna a sankcje, ważna luka w polskich przepisach
Jednym z najmocniejszych zarzutów Prezesa UODO jest brak odpowiednich instrumentów sankcyjnych. Zgodnie z art. 57 dyrektywy 2016/680 państwa członkowskie mają obowiązek przewidzieć sankcje za naruszenie przepisów wdrażających tę dyrektywę, a sankcje te powinny być skuteczne, proporcjonalne i odstraszające. Tymczasem, jak wskazuje UODO, polska ustawa nie wyposaża Prezesa UODO w instrumenty sankcyjne o takim charakterze. To ma znaczenie praktyczne, bo bez skutecznych środków egzekwowania prawa nawet poprawnie opisane obowiązki mogą okazać się niewystarczające.
Kwestia inspektora ochrony danych
UODO od dłuższego czasu zwraca też uwagę na problemy związane z zadaniami inspektora ochrony danych na gruncie przepisów wdrażających dyrektywę policyjną. W 2025 r. organ sygnalizował, że obecne rozwiązania mogą prowadzić do konfliktu interesów, ponieważ rola inspektora polega na wspieraniu administratora w stosowaniu przepisów, a nie na wyręczaniu go w realizacji jego obowiązków. To pokazuje, że problem z polskim wdrożeniem dyrektywy policyjnej nie sprowadza się wyłącznie do praw osób, lecz obejmuje także konstrukcję całego modelu compliance.
Czy obecna ustawa daje jakąkolwiek ochronę
Tak, i to warto jasno zaznaczyć. Polska ustawa nie jest aktem pustym. UODO przypominał wcześniej, że przewiduje ona m.in. obowiązek zawiadomienia organu nadzorczego o naruszeniu ochrony danych bez zbędnej zwłoki, nie później niż w ciągu 72 godzin, a także obowiązek zawiadomienia osoby, której dane dotyczą, jeżeli naruszenie może powodować wysokie ryzyko naruszenia jej praw lub wolności. Problem polega więc nie na całkowitym braku regulacji, lecz na tym, że obecny model nie zapewnia pełnej i spójnej implementacji standardu wynikającego z dyrektywy policyjnej.
Dlaczego temat dyrektywy policyjnej jest ważny także dla biznesu
Na pierwszy rzut oka dyrektywa policyjna dotyczy przede wszystkim organów publicznych, służb i wymiaru sprawiedliwości. W praktyce ten temat ma jednak szersze znaczenie. Pokazuje bowiem, jak państwo rozumie granice ingerencji w prywatność, standardy nadzoru, rozliczalność i skuteczność środków ochrony prawnej.
Dla organizacji prywatnych to także ważny sygnał, że zgodność z przepisami o ochronie danych nie może być pozorna ani wybiórcza. Jeżeli chcesz uporządkować procesy związane z ochroną danych osobowych w swojej organizacji, dobrym punktem wyjścia jest audyt RODO a w dalszej kolejności kompleksowe wdrożenie RODO, dopasowane do realnych ryzyk i sposobu działania firmy.
Co może wydarzyć się dalej
Temat nie jest zamknięty. Z komunikatów UODO wynika, że dyrektywa policyjna pozostaje przedmiotem dalszej oceny również na poziomie europejskim. W Biuletynie UODO z marca 2026 r. wskazano, że Komisja Europejska planuje opublikowanie raportu z ewaluacji stosowania dyrektywy 2016/680 w maju 2026 r. Oznacza to, że dyskusja o jakości wdrożenia dyrektywy policyjnej w państwach członkowskich, w tym w Polsce, będzie w najbliższym czasie jeszcze bardziej aktualna.
Podsumowanie
Dyrektywa policyjna nie jest dodatkiem do RODO ani marginalnym elementem systemu ochrony danych. To odrębny filar prawa unijnego dotyczący przetwarzania danych przez właściwe organy w obszarze ścigania i bezpieczeństwa publicznego. Stanowisko Prezesa UODO z 7 kwietnia 2026 r. pokazuje jasno, że w ocenie organu polska ustawa wdrażająca dyrektywę 2016/680 wymaga zmian, ponieważ nie zapewnia pełnych gwarancji ochrony praw osób, których dane dotyczą, nie rozwiązuje prawidłowo kwestii nadzoru i nie przewiduje skutecznych sankcji. Z punktu widzenia obywatela i państwa problem jest więc realny: nie chodzi o to, czy dane mogą być przetwarzane w celu zwalczania przestępczości, lecz czy odbywa się to w ramach systemu, który rzeczywiście gwarantuje ochronę praw jednostki.
FAQ
Czy dyrektywa policyjna to to samo co RODO?
Nie. Dyrektywa policyjna, czyli dyrektywa (UE) 2016/680, dotyczy przetwarzania danych przez właściwe organy do celów związanych z przestępczością i wykonywaniem kar, natomiast RODO ma zastosowanie do szerszego, ogólnego obszaru przetwarzania danych osobowych.
Kogo dotyczy dyrektywa policyjna?
Dotyczy ona właściwych organów przetwarzających dane w celu rozpoznawania, zapobiegania, wykrywania i zwalczania czynów zabronionych oraz wykonywania kar. W Polsce zasady te reguluje ustawa z 14 grudnia 2018 r.
Dlaczego UODO krytykuje polskie przepisy?
Bo według Prezesa UODO polska ustawa zawiera wyłączenia i rozwiązania nadzorcze, które nie zapewniają pełnych gwarancji praw osób, których dane dotyczą, a dodatkowo nie daje organowi nadzorczemu skutecznych instrumentów sankcyjnych wymaganych przez dyrektywę policyjną.
Czy obecna ustawa daje jakąkolwiek ochronę?
Tak, ustawa przewiduje m.in. obowiązek zgłoszenia naruszenia do Prezesa UODO w terminie do 72 godzin oraz obowiązek zawiadomienia osoby, gdy naruszenie może powodować wysokie ryzyko. Krytyka dotyczy tego, że ochrona nie jest kompletna i spójna w całym zakresie wymaganym przez dyrektywę policyjną.
| Redakcja BPPZ.pl
