
Krajowy System Informacyjny Policji wymaga zmian
Mirosław Wróblewski, prezes UODO poinformował Marcina Kierwińskiego, Ministra Spraw Wewnętrznych i Administracji, o konieczności wprowadzenia zmian w obowiązujących przepisach prawa regulujących funkcjonowanie Krajowego Systemu Informacyjnego Policji (KSIP).
Konieczność nowelizacji wiąże się z wyrokiem Trybunału Sprawiedliwości Unii Europejskiej z 30 styczna 2024 r. w sprawie C-118/22 Direktor na Glavna direktsia „Natsionalna politsia” pri Ministerstvo na vatreshnite raboti – Sofia. Trybunał badał postawione przez Najwyższy Sąd Administracyjny Bułgarii (bg. Varhoven administrativen sad) pytanie, czy przepisy dotyczące dyrektywy 2016/680 w sprawie przetwarzania danych osobowych dla celów zapobiegania przestępczości, zezwalają na stosowanie krajowych przepisów (w tym wypadku bułgarskich), umożliwiających praktycznie nieograniczone przetwarzanie danych osobowych przez właściwe organy państwowe, nawet po odbyciu kary i zatarciu skazania przez osobę, której dane dotyczą i która zażądała usunięcia danych z rejestru policyjnego.
Trybunał stwierdził, że przepisy dyrektywy oraz Karty Praw Podstawowych Unii Europejskiej stoją na przeszkodzie przepisom prawa krajowego, które przewidują przechowywanie przez organy policji danych osobowych:
- bez obowiązku okresowego przeglądu, czy takie przechowywanie jest nadal niezbędne,
- bez przyznania osobie, której dane dotyczą, prawa do usunięcia tych danych, od chwili, gdy ich przechowywanie nie jest niezbędne do celów, dla których były przetwarzane,
- lub w stosownym przypadku bez prawa do ograniczenia ich przetwarzania.
Wyrok TSUE a prawo krajowe
W polskim prawie przetwarzanie danych dotyczących skazania odbywa się na podstawie przepisów:
- ustawy z dnia 24 maja 2000 r. o Krajowym Rejestrze Karnym,
- ustawy z dnia 6 lipca 2001 r. o przetwarzaniu informacji kryminalnych,
- ustawy z dnia 6 kwietnia 1990 r. o Policji, regulującej funkcjonowanie Krajowego Systemu Informacyjnego Policji (dalej jako „KSIP”).
Zdaniem Prezesa UODO wyrok TSUE pociąga za sobą konieczność zmiany przepisów dotyczących KSIP.
W obecnym brzmieniu nie określają bowiem jasnych i precyzyjnych zasad związanych z przetwarzaniem danych we wskazanym rejestrze, w tym reguł dotyczących obowiązku okresowego przeglądu, czy określenia trybu realizacji prawa do usunięcia tych danych.
Obowiązek okresowego przeglądu danych osobowych przez Komendanta Głównego Policji ma wprowadzić dopiero nowelizacja art. 21nb ust. 1 ustawy o Policji, zgodnie z którą dane osobowe zgromadzone w KSIP, Policja przechowuje przez okres niezbędny do realizacji jej ustawowych zadań. Organy Policji dokonują weryfikacji tych danych po zakończeniu sprawy, w ramach której dane te zostały wprowadzone do zbioru, a ponadto nie rzadziej niż co 10 lat od dnia uzyskania lub pobrania informacji usuwają zbędne dane.
Zdaniem Prezesa UODO, mimo że nowelizację tego przepisu należy uznać za podwyższenie standardów ochrony danych osobowych, to nadal nie można jej uznać za w pełni satysfakcjonującą. Nie odnosi się ona bowiem do wszystkich danych przetwarzanych przez Policję (jedynie danych w zakresie zadań ustawowych, o których mowa w art. 1 ust. 1 i ust. 2 pkt 1-4 ustawy o Policji). Ponadto w dalszym ciągu nieprecyzyjnie reguluje okres przetwarzania danych jako „niezbędny do realizacji ustawowych zadań Policji”.
Nieprawidłowa implementacja „dyrektywy 2016/680”
Przesłanki usunięcia danych z policyjnej bazy danych nie są również zawarte w ustawie z dnia 14 grudnia 2018 r. o ochronie danych osobowych przetwarzanych w zw. z zapobieganiem i zwalczaniem przestępczości. Stosownie do treści art. 24 ust. 1 pkt 2 tej ustawy, żądanie (wniosek) usunięcia danych będzie skuteczne, w przypadku, gdy dane te zostały zebrane lub są przetwarzane z naruszeniem przepisów tej ustawy. Co istotne, przepis ten nie przesądza jednak jak rozumieć przesłankę usunięcia danych określoną jako „naruszenie przepisów ustawy”, co wynika z błędnej implementacji art. 16 ust. 2 dyrektywy 2016/680, który wyraźnie przesądza o jaki stopień niezgodności chodzi.
Nieprawidłowa implementacja art. 16 ust. 2 dyrektywy 2016/680 sprawia, że osoby, których dane dotyczą, zostały pozbawione jakiegokolwiek instrumentu prawnego (gwarantowanego przez przepisy unijnej dyrektywy) do skutecznego żądania usunięcia przez organy policyjne danych gromadzonych w KSIP. Ostatecznie bowiem to do Komendanta Głównego Policji należy ocena potrzeby dalszego przetwarzania danych w KSIP, który nie jest przy tym zobowiązany do podania szczegółowych przyczyn odmowy usunięcia danych.
Konieczność zmian w obowiązujących przepisach prawa regulujących KSIP
W oparciu o omawiany wyrok TSUE, a także przepisy dyrektywy 2016/680 należy zatem wprowadzić zmiany w obowiązujących przepisach prawa regulujących funkcjonowanie Krajowego Systemu Informacyjnego Policji, poprzez:
- jasne i precyzyjne określenie okresu przechowywania tych danych,
- określenie zasad ich okresowego przeglądu,
- a także ustalenie trybu żądania ich usunięcia lub ograniczenia ich przetwarzania w odniesieniu do osób, których dane są przetwarzane w rejestrze.
DPNT.413.11.2025
Orzeczenia i decyzje Prezesa UODO można znaleźć na stronie: https://orzeczenia.uodo.gov.pl/