Prezes UODO interweniuje w sprawie Krajowego Systemu Informacyjnego Policji

• Prezes UODO uznał, iż polskie przepisy dotyczące KSIP nie zapewniają zgodności z dyrektywą Parlamentu Europejskiego i Rady (UE) 2016/680 z 27.4.2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych przez adekwatne organy do celów zapobiegania przestępczości, prowadzenia postępowań przygotowawczych, wykrywania i ścigania czynów zabronionych i wykonywania kar, w sprawie swobodnego przepływu takich danych oraz uchylającej decyzję ramową Rady 2008/977/WSiSW (Dz.Urz. UE L z 2016 r. Nr 119, s. 89) ani z Kartą Praw Podstawowych UE (Dz.Urz. UE C z 2010 r. Nr 83, s. 389; dalej: KPP).
• Obecny stan prawny nie przewiduje maksymalnych okresów przechowywania danych ani pełnych gwarancji prawa do ich usunięcia.
• UODO oczekuje wprowadzenia zmian ustawowych obejmujących obowiązek przeglądu, usuwania oraz ograniczania przetwarzania danych w policyjnych bazach.

Podstawa interwencji UODO

Wystąpienie Prezesa UODO zostało wydane na podstawie art. 57 ust. 1 lit. c rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z 27.4.2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) (Dz.Urz. UE L z 2016 r. Nr 119, s. 1; dalej: RODO), który nakłada na organ nadzorczy obowiązek monitorowania i egzekwowania stosowania przepisów o ochronie danych osobowych oraz art. 52 ust. 2 ustawy z 10.5.2018 r. o ochronie danych osobowych (t.j. Dz.U. z 2019 r. poz. 1781; dalej: OchrDanychU).

Impulsem do podjęcia działań był wyrok Trybunału Sprawiedliwości Unii Europejskiej z 30.1.2024 r., Direktor na Glavna direktsia „Natsionalna politsia” pri Ministerstvo na vatreshnite raboti-Sofia, C-118/22, Legalis, dotyczący zasad przetwarzania i przechowywania danych osobowych przez organy ścigania w Bułgarii. TSUE wskazał, iż przepisy krajowe nie mogą przewidywać przechowywania danych osobowych – w tym danych biometrycznych i genetycznych – przez organy policji aż do śmierci osoby, której dane dotyczą, jeżeli nie towarzyszy temu obowiązek okresowego przeglądu zasadności ich dalszego przechowywania ani prawo tej osoby do żądania ich usunięcia lub ograniczenia przetwarzania.

Trybunał przypomniał, iż gromadzenie i przetwarzanie danych osobowych przez policję stanowi ingerencję w prawa podstawowe do prywatności i ochrony danych osobowych, niezależnie od tego, czy dane te są wrażliwe, czy nie. Czas przechowywania danych powinien być ograniczony do niezbędnego minimum, zgodnie z zasadą proporcjonalności wynikającą z art. 5 dyrektywy 2016/680, a państwa członkowskie są zobowiązane do ustanowienia przepisów gwarantujących okresowy przegląd lub usuwanie danych, których dalsze przetwarzanie nie jest konieczne.

Stan prawny w Polsce

W polskim porządku prawnym dane dotyczące skazań i postępowań karnych przetwarzane są na podstawie trzech ustaw:

Jedynym przepisem odnoszącym się bezpośrednio do KSIP jest art. 21nb ust. 1 PolicjaU, który nie nakłada na Komendanta Głównego Policji – jako administratora danych – obowiązku okresowego przeglądu ani nie określa maksymalnego okresu przechowywania danych.

Dopiero ustawa z 18.10.2024 r. o udziale Rzeczypospolitej Polskiej w Systemie Wjazdu/Wyjazdu (Dz.U. z 2024 r. poz. 1688) wprowadziła do ustawy o Policji nowy art. 21nb ust. 1b PolicjaU. Zgodnie z nim dane osobowe w KSIP mają być przechowywane „przez okres niezbędny do realizacji ustawowych zadań Policji”, a ich weryfikacja powinna następować po zakończeniu sprawy, w ramach której zostały wprowadzone do systemu, oraz co najmniej raz na 10 lat od dnia ich pozyskania.

Ocena nowelizacji przez UODO

Prezes UODO wskazuje, iż zmiana ta wprowadziła pewien standard ochrony danych osobowych w Policji, jednak nie spełnia w pełni wymagań wynikających z wyroku TSUE. W szczególności:

Ponadto przepisy PolicjaU nie określają zakresu danych przetwarzanych w KSIP ani maksymalnych okresów ich przetwarzania. w tej chwili katalog danych określa jedynie Zarządzenie nr 70 Komendanta Głównego Policji z 2.12.2019 r. w sprawie KSIP, które ma charakter wewnętrzny i nie stanowi źródła prawa powszechnie obowiązującego w rozumieniu art. 87 Konstytucji RP.

Wątpliwości interpretacyjne i niepełna implementacja dyrektywy 2016/680

W piśmie zwrócono uwagę, iż art. 24 ust. 1 pkt 2 ustawy z 14.12.2018 r. o ochronie danych osobowych przetwarzanych w związku z zapobieganiem i zwalczaniem przestępczości (t.j. Dz.U. z 2023 r. poz. 1206) nie został prawidłowo dostosowany do art. 16 ust. 2 dyrektywy 2016/680.

Zgodnie z dyrektywą państwa członkowskie powinny zapewnić, aby administrator usuwał dane bez zbędnej zwłoki w przypadku przetwarzania niezgodnego z prawem lub po ustaniu celu przetwarzania. Tymczasem przepis krajowy odwołuje się jedynie do „naruszenia przepisów ustawy”, co nie wskazuje jasno, kiedy takie usunięcie ma nastąpić. W konsekwencji osoby, których dane są przetwarzane w KSIP, nie dysponują realnym środkiem prawnym pozwalającym domagać się ich usunięcia.

Z utrwalonego orzecznictwa sądów administracyjnych wynika ponadto, iż decyzja o usunięciu danych z KSIP należy do uznania Komendanta Głównego Policji, który nie ma obowiązku uzasadniania odmowy ich usunięcia. Takie rozwiązanie jest sprzeczne z wymogami dyrektywy, zgodnie z którą administrator powinien pisemnie informować osobę o przyczynach odmowy sprostowania lub usunięcia danych.

Zakres proponowanych zmian

Prezes UODO w swoim wystąpieniu wskazuje na konieczność dokonania kompleksowej nowelizacji przepisów dotyczących KSIP. Postuluje w szczególności:

1. Ustawowe określenie maksymalnych okresów przechowywania danych w policyjnych bazach.
2. Wprowadzenie obowiązku okresowego przeglądu wszystkich danych przetwarzanych w KSIP, niezależnie od rodzaju sprawy.
3. Uregulowanie katalogu danych przetwarzanych w KSIP w akcie rangi ustawowej, a nie w zarządzeniu Komendanta Głównego Policji.
4. Wskazanie jasnych przesłanek i trybu usuwania danych, w tym sytuacji, gdy cel przetwarzania ustał lub dane są nieaktualne.
5. Zagwarantowanie prawa osoby do uzyskania informacji o odmowie usunięcia lub sprostowania danych, wraz z uzasadnieniem decyzji.

Zdaniem Prezesa UODO dopiero takie rozwiązania zapewnią zgodność prawa krajowego z art. 5 i 16 dyrektywy 2016/680 oraz art. 7 i 8 KPP, gwarantujących poszanowanie życia prywatnego i ochronę danych osobowych.

Porównanie ze stanem prawnym sprzed nowelizacji z 2024 r.

Przed wejściem w życie nowelizacji PolicjaU z 2024 r. brak było jakichkolwiek przepisów nakazujących przegląd danych przetwarzanych w KSIP. Dane mogły być przechowywane bezterminowo, a ich usunięcie następowało wyłącznie w przypadkach oczywistego naruszenia prawa.

Nowelizacja z 2024 r. wprowadziła obowiązek weryfikacji danych co 10 lat, co stanowiło pierwszy krok w kierunku poprawy zgodności z dyrektywą 2016/680. Jednak, jak zauważa UODO, regulacja ta nie obejmuje wszystkich kategorii danych i nie daje podmiotom danych żadnych gwarancji proceduralnych związanych z kontrolą dalszego przetwarzania.

Wnioski i dalsze działania

Prezes UODO uznał, iż przepisy o funkcjonowaniu KSIP nie zapewniają zgodności z prawem Unii Europejskiej i nie respektują zasady proporcjonalności z art. 52 ust. 1 KPP. System umożliwia przetwarzanie danych osobowych w oparciu o szerokie uznanie administracyjne, bez ustawowego określenia zasad przeglądu i usuwania danych.

Na podstawie art. 52 ust. 3 OchrDanychU Prezes UODO zwrócił się do Ministra Spraw Wewnętrznych i Administracji o udzielenie pisemnej odpowiedzi w terminie 30 dni od daty otrzymania pisma.

UODO podkreśla, iż dostosowanie przepisów o KSIP do wymagań dyrektywy 2016/680 jest niezbędne, aby zapewnić zgodność polskiego systemu przetwarzania danych policyjnych z prawem unijnym oraz zagwarantować obywatelom realną ochronę ich praw w obszarze przetwarzania danych przez organy ścigania.