Sprawy generalne Rzecznika Praw Obywatelskich

wystąpienie do Ministra Spraw Wewnętrznych i Administracji w sprawie przetwarzania danych osobowych w policyjnych rejestrach.

Wystąpienie dotyczy problematyki policyjnych rejestrów danych, w szczególności wielkoskalowych zbiorów danych osobowych (big data), oraz ich zgodności z konstytucyjnymi i unijnymi standardami ochrony prawa do prywatności i danych osobowych. Rzecznik zwrócił uwagę, że Policja oraz inne służby publiczne dysponują coraz szerszymi możliwościami gromadzenia i przetwarzania danych, obejmujących również dane szczególnie wrażliwe, takie jak dane genetyczne, biometryczne czy informacje dotyczące pochodzenia rasowego lub etnicznego, przy czym przetwarzanie to odbywa się często bez wiedzy osób, których dane dotyczą.

Rzecznik wskazał, że zasadniczym celem przetwarzania danych w policyjnych rejestrach jest zapobieganie i zwalczanie przestępczości, jednak skala, zakres i techniczne możliwości łączenia oraz automatycznego przeszukiwania danych, w tym w ramach mechanizmów współpracy w Unii Europejskiej, znacząco zwiększają ryzyko nadmiernej i nieproporcjonalnej ingerencji w sferę życia prywatnego jednostki. W tym kontekście Rzecznik podkreślił, że długotrwałe przechowywanie danych osobowych w wielu rejestrach, często bez jasno określonych terminów ich usunięcia, stwarza stan trwałej niepewności prawnej po stronie osób objętych takimi zbiorami.

Szczególna uwaga została poświęcona funkcjonowaniu Krajowego Systemu Informacyjnego Policji jako scentralizowanego zbioru danych, który gromadzi i przetwarza informacje o osobach podejrzanych, oskarżonych, pokrzywdzonych oraz innych osobach mających jakikolwiek kontakt z działaniami Policji. Rzecznik zauważył, że KSIP pełni rolę nadrzędnego systemu integrującego dane pochodzące z różnych policyjnych rejestrów, a jednocześnie funkcjonuje w znacznym zakresie na podstawie aktu o charakterze wewnętrznym, jakim jest zarządzenie Komendanta Głównego Policji. W ocenie Rzecznika tak ukształtowany model regulacyjny budzi poważne wątpliwości z punktu widzenia konstytucyjnej zasady ustawowej regulacji zasad i trybu gromadzenia oraz udostępniania danych osobowych.

Rzecznik zwrócił uwagę, że w obowiązujących przepisach brak jest precyzyjnych i jednoznacznych reguł dotyczących zakresu danych gromadzonych w KSIP, zasad ich retencji oraz momentu i trybu ich usuwania. W szczególności dotyczy to danych biometrycznych i genetycznych, których przetwarzanie – zgodnie z prawem Unii Europejskiej – powinno podlegać podwyższonym standardom ochrony i wymogowi bezwzględnej konieczności. Rzecznik wskazał, że mechanizmy corocznej weryfikacji przydatności danych, przewidziane w aktach wewnętrznych Policji, nie mogą zastępować ustawowych ograniczeń czasowych ani zapewniać wystarczającej ochrony przed nadmiernym i automatycznym przetwarzaniem danych.

W wystąpieniu podkreślono również znaczenie orzecznictwa Trybunału Sprawiedliwości Unii Europejskiej, które konsekwentnie akcentuje wymóg istnienia jasnej, dostępnej i przewidywalnej podstawy prawnej dla ingerencji w prawa podstawowe, a także konieczność wprowadzenia skutecznych mechanizmów kontroli – w tym sądowej – nad przetwarzaniem danych osobowych przez organy publiczne. Rzecznik zauważył, że obecny model nadzoru nad KSIP, oparty w dużej mierze na kontroli wewnętrznej oraz ograniczonych kompetencjach zewnętrznych organów nadzorczych, nie zapewnia wystarczających gwarancji ochrony praw jednostki.

W konkluzji Rzecznik wskazał na potrzebę podjęcia działań legislacyjnych zmierzających do kompleksowego uregulowania zasad funkcjonowania policyjnych rejestrów danych, w szczególności KSIP, w akcie rangi ustawowej. Zdaniem Rzecznika konieczne jest wprowadzenie jednoznacznych zasad gromadzenia, przetwarzania i przechowywania danych osobowych – zwłaszcza danych wrażliwych – z uwzględnieniem wagi czynu, roli osoby w postępowaniu oraz upływu czasu, a także wzmocnienie zewnętrznej i sądowej kontroli nad przetwarzaniem danych. Rzecznik zwrócił się do Ministra Sprawiedliwości o dokonanie analizy przedstawionych problemów oraz rozważenie zainicjowania zmian legislacyjnych, które zapewniłyby zgodność krajowych rozwiązań z Konstytucją RP oraz prawem Unii Europejskiej, a następnie o poinformowanie o zajętym stanowisku w tej sprawie.

 

Wystąpienie dołączone do tego dokumentu:

Data odpowiedzi:

Opis odpowiedzi:

Sekretarz Stanu w Ministerstwie Spraw Wewnętrznych i Administracji poinformował, że przetwarzanie danych osobowych w Krajowym Systemie Informacyjnym Policji odbywa się na podstawie przepisów ustawy o Policji oraz ustawy o ochronie danych osobowych przetwarzanych w związku z zapobieganiem i zwalczaniem przestępczości. Administratorem danych w KSIP jest Komendant Główny Policji. Dane te, w tym wrażliwe oraz biometryczne, mogą być przetwarzane wyłącznie w zakresie niezbędnym do realizacji ustawowych zadań Policji, w szczególności w celu zapobiegania i zwalczania przestępczości oraz zapewnienia bezpieczeństwa publicznego. Ponadto dane osobowe przechowywane w systemie podlegają okresowej weryfikacji pod kątem ich przydatności dla realizacji zadań Policji, nie rzadziej niż co 10 lat, a dane zbędne są usuwane. Osoba, której dane dotyczą, może wnioskować o ich sprostowanie, uzupełnienie lub usunięcie, jeżeli zostały zebrane lub są przetwarzane z naruszeniem przepisów prawa. Jednocześnie Sekretarz Stanu zaznaczył, że obowiązujące przepisy nie przewidują automatycznego informowania osób o wprowadzeniu ich danych do KSIP ani automatycznego usuwania danych np. w związku z zakończeniem postępowania.
Podkreślił również, że KSIP nie jest rejestrem osób skazanych, lecz systemem służącym gromadzeniu informacji o prowadzonych przez Policję sprawach. Wobec powyższego oraz kwestii poruszonych w wystąpieniu Rzecznika Praw Obywatelskich Ministerstwo Spraw Wewnętrznych i Administracji rozważa możliwość doprecyzowania w ustawie o Policji kryteriów weryfikacji i przesłanek usuwania danych z KSIP w celu dalszego podniesienia standardów ochrony danych osobowych.