Biuletyn Informacji Publicznej RPO

• Rzecznik Praw Obywatelskich wraca do problemu ujawniania w listach gończych danych osób pokrzywdzonych przestępstwem
• Marcin Wiącek wnosi, aby Minister Sprawiedliwości zainicjował odpowiednie zmiany legislacyjne, zgodne ze standardem europejskim
• RPO napisał w tej sprawie do ministra sprawiedliwości-prokuratora generalnego Adama Bodnara

RPO Marcin Wiącek pisze do Ministra Sprawiedliwości w sprawie problemu ujawniania w listach gończych danych osób pokrzywdzonych przestępstwem. Kwestia ta była już przedmiotem interwencji RPO w 2023 r., kiedy w liście gończym na stronie internetowej Prokuratury Krajowej ujawniono personalia rodziny, która zginęła w wypadku. Media podawały, że rodzina ofiar nie życzyła sobie udostępniania ich danych osobowych.

RPO podjął tę sprawę, zwracając się do Prokuratora Krajowego o jej zbadanie w trybie nadzoru służbowego. Według odpowiedzi Prokuratora Krajowego z 6 listopada 2023 r., źródłem informacji w  liście gończym było postanowienie o przedstawieniu zarzutów uregulowane w K.pk., którego obowiązkowym elementem jest wskazanie imienia i nazwiska pokrzywdzonego, jeśli został on ustalony. Dodano, że art. 280 § 1 k.p.k. nie zawiera obowiązku anonimizacji danych osobowych pokrzywdzonego.

Prokurator Krajowy wskazał, że w jego ocenie do postępowania karnego nie znajdują zastosowania przepisy: 

• rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych);
• dyrektywy Parlamentu Europejskiego i Rady (UE) 2016/680 z 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych przez właściwe organy do celów zapobiegania przestępczości, prowadzenia postępowań przygotowawczych, wykrywania i ścigania czynów zabronionych i wykonywania kar, w sprawie swobodnego przepływu takich danych oraz uchylającej decyzję ramową Rady 2008/977/WSiSW;
• ustawy z 14 grudnia 2018 r. o ochronie danych osobowych przetwarzanych w związku z zapobieganiem i zwalczaniem przestępczości.

Prokurator Krajowy uznał, że w postępowaniu karnym dane osobowe są chronione zgodnie z zasadami wyznaczonymi przez normy prawa karnego procesowego.

Analiza odpowiedzi prowadzi do wniosku, że standard ochrony danych osobowych osób pokrzywdzonych przestępstwem nie został w pełni zidentyfikowany i zrekonstruowany.  Nie uwzględniono konstytucyjnych przesłanek ochrony prywatności, w które wpisany jest zakaz udostępniania informacji o obywatelach w dalej idącym zakresie niż jest to niezbędne w demokratycznym państwie prawnym (art. 51 ust. 2 Konstytucji RP).

Udostępnianie danych osobowych musi opierać się nie tylko na ustawowej podstawie, ale ograniczenie prywatności jednostki powinno być dokonywane w celu ochrony wartości z art. 31 ust. 3 Konstytucji RP i uwzględniać przesłankę proporcjonalności. Ponadto wprowadzane ograniczenie winno być dokonywane bez uszczerbku dla przepisów prawa europejskiego, zwłaszcza dyrektywy ws. praw, wsparcia i ochrony ofiar przestępstw, w której skonkretyzowano i rozwinięto prawo pokrzywdzonego i jego rodziny do życia prywatnego, w tym prawo do ochrony wizerunku.

Wymogi te mają charakter minimalny. Państwa członkowskie mogą rozszerzyć zakres praw określonych w dyrektywie ws. praw, wsparcia i ochrony ofiar przestępstw w celu zapewnienia wyższego poziomu ochrony. W ocenie RPO w omawianym zakresie te minimalne wymogi nie zostały jednak zapewnione. Abstrahując od oceny stopnia implementacji dyrektywy do krajowego porządku prawnego oraz prawidłowości tego procesu, należy mieć na względzie, dwie kwestie zasadnicze.

Po pierwsze, jeżeli państwo członkowskie nie wdrożyło dyrektywy w określonym terminie, w całości lub w części, lub dokonało tego w sposób, który osłabia użyteczny skutek takiego aktu – jednostki mogą powoływać się na przepisy aktu objętego obowiązkiem transpozycji na zasadzie bezpośredniej skuteczności przed sądem krajowym.

Po drugie, państwa członkowskie powinny przede wszystkim powstrzymać się od działań uniemożliwiających osiąganie celów dyrektywy do czasu jej implementacji w granicach pozostawionych do swobodnego uznania, zgodnie z koncepcją skuteczności realnej (pełnej skuteczności).

Z tych przyczyn, nawet w przypadku przyjęcia tezy zawartej w piśmie Prokuratora Krajowego, że RODO, dyrektywa 2016/680 oraz ustawa o ochronie danych osobowych przetwarzanych w związku z zapobieganiem i zwalczaniem przestępczości zostały wyłączone jako wzorzec do oceny poprawności przetwarzania danych osobowych w ramach postępowania karnego – należy pamiętać, że organy prokuratury powinny przestrzegać ustawy zasadniczej, m.in. art. 51 ust. 2 oraz art. 31 ust. 3 oraz zobowiązań traktatowych. 

Ujawnienie danych musi mieć podstawę prawną, być celowe, służyć ochronie innej wartości prawnej lub prawom osób trzecich, a także dokonywać się w poszanowaniu prawa europejskiego, przy jednoczesnym powstrzymaniu się (na zasadzie wynikającej z art. 4 ust. 3 TUE) od wszelkich praktyk, które mogą ograniczyć cele Unii, harmonizowane w drodze dyrektyw.

Wybrzmiewa to szczególnie wyraźnie, gdy cele harmonizowane przez Unię w drodze dyrektyw są jednocześnie uprzednio objęte rekomendacjami Komitetu Ministrów Rady Europy, a ich urzeczywistnienie leży w gestii właściwego organu, którego piastun jest jednocześnie członkiem rządu Państwa Członkowskiego. Zalecenia wydawane zgodnie z art. 15 lit. b Statutu Rady Europy, kierowane są bowiem do rządów i przypominają kierunkowo, że Państwa Członkowskie są zobowiązane do zapewnienia w obrębie swojej jurysdykcji każdemu obywatelowi praw i wolności gwarantowanych przez Konwencję o ochronie praw człowieka i podstawowych wolności, w tym wypadku art. 8 ust. 1.

Z tej perspektywy istotne znaczenie przypisać należy zaleceniu nr R (85) 11 Komitetu Ministrów Rady Europy z 28 czerwca 1985 r. w sprawie pozycji ofiary w ramach prawa i procesu karnego oraz zaleceniu nr R (87) 21 Komitetu Ministrów Rady Europy z 17 września 1987 r. o pomocy ofiarom i zapobieganiu wiktymizacji, zmierzającym do wprowadzenia odpowiednich w tym celu polityk.

Ofiara przestępstwa – zgodnie z rozumieniem przyjętym w rezolucji Zgromadzenia Ogólnego ONZ 40/34 – oznacza osobę, która, indywidualnie lub wspólnie z innymi osobami, poniosła szkodę, włączając w to uszczerbek fizyczny lub psychiczny, dolegliwość emocjonalną, stratę materialną lub znaczące naruszenie jej podstawowych praw, w rezultacie działań lub zaniechań stanowiących naruszenie przepisów prawa karnego będących w mocy na terenie Państw Członkowskich, włącznie z przepisami zakazującymi nadużycia władzy. Wyrażenie: „ofiara” w odpowiednich sytuacjach obejmuje również najbliższą rodzinę i osoby pozostające na utrzymaniu bezpośredniej ofiary.

Dokonana identyfikacja i rekonstrukcja standardu ochrony danych osobowych osób pokrzywdzonych przestępstwem wymaga odniesienia do krajowych przepisów prawnych. Z tej bowiem systemowej perspektywy, stanowisko ówczesnego Prokuratora Krajowego – RPO uważa za nieprzekonujące. Dlatego RPO podnosi ponownie, nie z tyle perspektywy obowiązków podmiotu udostępniającego, które nie zostały zresztą dookreślone w ustawie, ile z perspektywy prawa do prywatności:

Po pierwsze, obecnie brzmienie art. 280 k.p.k. nie precyzuje kwestii umieszczania danych osobowych pokrzywdzonych w listach gończych. Artykuł 280 § 1 k.p.k. w sposób jednoznaczny określa jedynie elementy listu gończego, wskazując, że jednym z nich jest „informacja o treści zarzutu postawionego oskarżonemu” (art. 280 § 1 pkt 3 k.p.k.). Pojęcie to nie jest pojęciem tożsamym z pojęciem „treści zarzutu”; nie ma więc – w mojej ocenie – konieczności przywoływania treści zarzutu w liście gończym w taki sposób, że będzie on stanowił de facto odwzorowanie „treści zarzutu”, która zawiera dane pokrzywdzonych. Z tego względu wykładania językowa nie stwarza podstaw do przyjęcia, że art. 280 § 1 pkt 3 k.p.k. może stanowić podstawę do ujawnienia w liście gończym danych osobowych pokrzywdzonych.

Po drugie, w ujęciu funkcjonalnym, dostrzec należy, że list gończy stanowi w istocie postanowienie o poszukiwaniu oskarżonego, które zostało publicznie ogłoszone. Źródłem zatrzymania oskarżonego jest natomiast postanowienie o tymczasowym aresztowaniu, a nie fakt rozpowszechnienia listu gończego o konkretnej treści, której wtórne zanonimizowanie spowoduje, że postanowienie to będzie bezskuteczne lub nieważne. W celu wykonania postanowienia o tymczasowym aresztowaniu  nie jest konieczne publikowanie danych osobowych pokrzywdzonych zarzucanym czynem. Decyzję o utrzymaniu, zmianie lub uchyleniu tego środka podejmie bowiem sąd, który wydał postanowienie o tymczasowym aresztowaniu. Także z tej perspektywy dane osobowe pokrzywdzonych nie są niezbędne do wydania listu gończego.

Po trzecie, w ujęciu celowościowym dostrzec należy, że ochrona danych osobowych pokrzywdzonego powinna m.in. uwzględniać cele procedury karnej, w rozumieniu art. 2 pkt 3 k.p.k., który stanowi, że przepisy tej procedury mają na celu takie ukształtowanie postępowania karnego, aby zostały uwzględnione prawnie chronione interesy pokrzywdzonego przy jednoczesnym poszanowaniu jego godności. I z tej perspektywy trudno zatem znaleźć uzasadnienie w ujawnianiu danych osobowych pokrzywdzonych w listach gończych nie konkretyzując celu podania tych danych.

Trudno uznać, by praktyka przywołana w stanowisku PK, miała swoje źródło w ustawie, była konieczna i podyktowana względami bezpieczeństwa państwowego, bezpieczeństwa publicznego lub dobrobytu gospodarczego kraju, ochroną porządku i zapobieganiem przestępstwom, ochroną zdrowia i moralności lub ochroną praw i wolności osób – jak stanowi o tym art. 8 ust. 2 EKPCz, do którego odwołano się w jednym z wyroków ETPC.

RPO prosi MS o zainicjowanie odpowiednich zmian legislacyjnych, które przyczynią się do osiągnięcia wskazanego wyżej standardu ochrony danych osób pokrzywdzonych przestępstwem w listach gończych, a jednocześnie o podjęcie wszelkich niezbędnych działań, które w okresie przejściowym przyczynią się do wdrożenia praktyk odpowiednich do zabezpieczenia tego standardu.

VII.501.168.2023