Biuletyn Informacji Publicznej RPO

• Konieczne jest szczegółowe, ustawowe uregulowanie funkcjonowania Krajowego Systemu Informacyjnego Policji - scentralizowanego zbioru danych osób podejrzanych i oskarżonych oraz pokrzywdzonych i w różny sposób zaangażowanych w postępowania karne lub o wykroczenia
• Chodzi m.in. o wprowadzenie maksymalnych terminów przechowywania danych, wzmocnienie kontroli zewnętrznej i nakaz informowania osoby o wpisaniu jej danych do systemu, z prawem do żądania ich usunięcia
• Rzecznik Praw Obywatelskich pisze w tej sprawie do ministra spraw wewnętrznych i administracji Marcina Kierwińskiego

Coraz większego znaczenia nabiera problematyka policyjnych rejestrów danych – "big data", przyrastających zbiorów danych. Policja i inne służby mogą gromadzić znaczną liczbę danych osobowych, w tym wrażliwych – genetycznych, biometrycznych, dotyczących pochodzenia rasowego lub etnicznego - i przetwarzać je bez wiedzy jednostki. Celem ich przetwarzania jest "zapobieganie i zwalczanie przestępczości". W ramach współpracy UE przewidziano obowiązek zapewnienia wymiany/dostępu do baz danych obejmujących dane genetyczne, daktyloskopijne, wizerunek, a także związane z umożliwieniem zautomatyzowanego przetwarzania i przeszukiwania danych. 

Z perspektywy praw i wolności jednostki, zarówno zautomatyzowane przetwarzanie bez jej wiedzy, jak i przechowywanie danych w różnych rejestrach przez czas trudny do oszacowania, stwarza realne zagrożenie nieproporcjonalnej i nadmiernej ingerencji w prawo do prywatności. 

W Polsce dane o osobach zaangażowanych w jakiejkolwiek roli w postępowanie karne, o wykroczenia, czy w działania Policji o charakterze administracyjno-porządkowym mogą być przetwarzane m.in. w Krajowym Rejestrze Karnym, Krajowym Centrum Informacji Kryminalnych, Rejestrze Sprawców Przestępstw na Tle Seksualnym, Systemie Wspomagania Dowodzenia Policji, zbiorze danych DNA, zbiorze danych daktyloskopijnych oraz automatycznie przetwarzającym dane daktyloskopijne, a także w KSIP.

Jest to scentralizowany zbiór danych osobowych nie tylko osób podejrzanych, oskarżonych, ale także pokrzywdzonych i innych zaangażowanych w postępowanie karne lub o wykroczenia. Działa niezależnie od innych systemów policyjnych - usunięcie danych np. z KRK czy systemu danych daktyloskopijnych nie oznacza, że zostaną one automatycznie usunięte z KSIP.

W obszernym piśmie RPO Marcin Wiącek przedstawia MSWiA szczegółową analizę systemu wraz z swymi rekomendacjami.  

Rekomendacje RPO 

Po pierwsze, konieczne jest uregulowanie funkcjonowania KSIP w zakresie praw i obowiązków obywateli w akcie o randze ustawy, a nie w zarządzeniu KGP. Ustawy i rozporządzenia są publikowane w Dzienniku Ustaw i każdy może się z nimi zapoznać, a odszukanie w Internecie zarządzeń Komendanta Głównego Policji może być utrudnione. Przede wszystkim chodzi o unormowanie zasad zbioru danych osobowych w sposób zgodny ze standardami wynikającymi z art. 51 Konstytucji. Nie jest wystarczające odesłanie ustawowe z art. 21nb ustawy o Policji. Odnosi się to szczególnie do przetwarzania i przechowywania danych biometrycznych i genetycznych. Zmiany wprowadzone zostały ustawą o udziale RP w Systemie Wjazdu/Wyjazdu pomijają bowiem kwestię przetwarzania danych genetycznych, a ponadto – jej stosowanie jest powiązane z uruchomieniem systemu EES (start operacyjny: 12 października 2025 r.; pełna operacyjność: 10 kwietnia 2026 r.).

Po drugie, celowe jest wprowadzenie zróżnicowanych zasad gromadzenia, przetwarzania i przechowywania danych osobowych w zależności od wagi przestępstwa. Decyzja o usunięciu tych danych nie może być w pełni uznaniowa, skoncentrowana na przesłance przydatności danych. Być może celowe byłoby doprecyzowanie tej przesłanki tak, by ograniczyć zakres uznania administracyjnego, a także wprowadzić możliwość zautomatyzowanego usuwania danych osobowych, tj. wprowadzić reguły retencji i usuwania oparte na ustawowych kryteriach (waga czynu, wynik postępowania, upływ czasu, brak recydywy), z możliwością ich technicznej automatyzacji przy zachowaniu kontroli tej decyzji przez odpowiedni organ.

Po trzecie, konieczne jest wprowadzenie maksymalnych terminów przechowywania danych w KSIP, zwłaszcza, gdy dane osobowe zostały usunięte z innych rejestrów – KCIK, SWD, rejestru wykroczeń itp. Odnosi się to przede wszystkim do rejestracji procesowej, rejestracji osób zatrzymanych i legitymowanych. Obecnie dane w KSIP mogą być przechowywane mimo usunięcia ich z innych rejestrów, a przesłanką jest ocena przydatności. Konieczność sporządzenia kryminologicznej oceny danej osoby, zwłaszcza jeśli popełniła czyn zabroniony kilkanaście czy kilkadziesiąt lat temu, nie uzasadnia utrzymywania sytuacji, gdy informacje o osobie – w tym dane wrażliwe – mogą być w łatwy sposób pozyskane przez funkcjonariuszy (a niekiedy mogą wpływać na sposób traktowania jednostki w praktyce czynności policyjnych).

Po czwarte, niezbędne jest wzmocnienie kontroli zewnętrznej nad KSIP – w szczególności Urzędu Ochrony Danych Osobowych  i sądów administracyjnych. Ocena sądów administracyjnych koncentrująca się na formalnych aspektach sprawy jest nieefektywna z perspektywy ochrony praw jednostek przed nieuprawnioną ingerencją w sferę życia prywatnego. Możliwe jest np. doprecyzowanie ustawowych przesłanek retencji, przesłanek usuwania danych, by możliwa była sądowa ocena merytoryczna np. decyzji KGP o odmowie usunięcia danych zarejestrowanych w KSIP. A wskazanie kompetencji Prezesa UODO do usuwania danych z KSIP przecięłoby spory i istotnie ograniczyłoby pole do kwestionowania przez KGP tego uprawnienia Prezesa UODO i odmawiania wykonania decyzji o usunięciu danych. Warte rozważenia warte jest także rozszerzenie uprawnienia sądów karnych do oceny zasadności pobrania danych biometrycznych i genetycznych na podstawie art. 74 § 2 k.p.k. i ewentualne umożliwienie sądowi nakazania usunięcia tych danych.

Po piąte, wskazane wydaje się wzmocnienie uprawnień informacyjnych jednostki, przez np. poinformowanie jej o wpisaniu danych do KSIP i konsekwencjach tego wpisu, a także – po upływie jakiego terminu może ona domagać się usunięcia danych.

RPO Marcin Wiącek zwraca się do ministra analizę tych problemów i rozważenie zainicjowania odpowiednich zmian legislacyjnych.

II.519.916.2025