Policja nie może przechowywać danych bezterminowo, trzeba zmienić przepisy

4 sierpnia 2024  |  
Autor: dr Joanna Worona–Vlugt

Media

Ustawa o Policji wymaga pilnych zmian. Nie zawiera bowiem szczegółowych przepisów nakładających na Komendanta Głównego Policji obowiązek okresowego przeglądu danych zawartych w KSIP, nie wskazuje zakresu przetwarzanych danych osobowych ani zasad ich przetwarzania – pisze dr Joanna Worona-Vlugt, adwokat w Gardocki i Partnerzy Adwokaci i Radcowie Prawni na portalu prawo.pl.

Krajowy System Informacyjny Policji (KSIP) jest centralnym zbiorem prowadzonym przez Komendę Główną Policji, w którym odnotowane są informacje o przestępstwach ściganych z oskarżenia publicznego, osobach poszukiwanych przez ograny ścigania, ale również informacje o zgubionych lub skradzionych rzeczach. System ten jest niezbędny do efektywnego działania organów ścigania ze względu na kluczową rolę szybkiej wymiany informacji o rzeczach i osobach będących w kręgu zainteresowania wymiaru sprawiedliwości. System KSIP jest również zintegrowany z System Informacyjnym Schengen (SIS), co zapewnia możliwość międzynarodowej wymiany informacji w zakresie bezpieczeństwa w Europie.

TSUE: Policja musi usuwać dane

Podstawą działania KSIP jest ustawa o Policji z 6 kwietnia 1990 r., a warunki jego funkcjonowania określa zarządzenie nr 70 Komendanta Głównego Policji w Sprawie Krajowego Systemu Informacyjnego Policji z 2 grudnia 2019 r. Paragraf 17 zarządzenia wskazuje, że przy rejestracji procesowej osoby można wskazać m.in takie dane jak: imię, nazwisko, datę urodzenia, numer PESEL lub inny narodowy numer identyfikacyjny, narodowość, numery dokumentów tożsamości oraz dane osobowe stanowiące dane wrażliwe, tj. dane osobowe ujawniające pochodzenie rasowe lub etniczne, stanowiące dane genetyczne, dane biometryczne w tym w zakresie wizerunku twarzy utrwalonego w postaci zdjęć sygnalitycznych lub danych daktyloskopijnych, dane dotyczące zdrowia oraz seksualności i orientacji seksualnej.

30 stycznia 2024 r. TSUE wydał wyrok w trybie prejudycjalnym w sprawie o sygn. C-118/22, dotyczącej zakresu przetwarzania danych osobowych w wewnętrznych systemach organów ścigania. Sprawa dotyczyła bułgarskiego mężczyzny, który został wpisany do bułgarskiego odpowiednika KSIP w ramach prowadzonego dochodzenia dotyczącego złożenia fałszywych zeznań. Mężczyzna następnie został prawomocnie skazany na karę roku ograniczenia wolności. Po odbyciu kary mężczyzna, korzystając z zatarcia skazania, żądał wykreślenia jego danych z rejestru policyjnego. Według prawa bułgarskiego dane były przechowywane w rejestrze policyjnym bez ograniczenia czasowego, do chwili śmierci, wobec czego sąd bułgarski oddalił wniosek.

Sprawa następnie trafiła do TSUE, który orzekł, że niezgodne z prawem unijnym jest ustawodawstwo krajowe umożliwiające organom ścigania przechowywanie danych osobowych do celów zapobiegania przestępczości, prowadzenia postępowań przygotowawczych, wykrywania i ścigania czynów zabronionych i wykonywania kar. W szczególności chodzi o dane biometryczne i genetyczne, dotyczące osób, które zostały prawomocnie skazane, bez nałożenia na administratora obowiązku okresowego przeglądu, czy takie przechowywanie jest nadal niezbędne. Dotyczy także przyznania wspomnianej osobie prawa do usunięcia tych danych, od chwili gdy ich przechowywanie nie jest już niezbędne do celów, dla których były one przetwarzane lub w stosownym przypadku do ograniczenia ich przetwarzania.

Ustawa o Policji do weryfikacji

Przechowywanie danych biometrycznych (tj. wizerunek twarzy, linie papilarne, siatkówka oraz tęczówka oka, geometria twarzy lub ręki, kształt ust, ucha czy rozmieszczenie zębów) i genetycznych (dane DNA, analizy z próbki biologicznej) osób skazanych za umyślne przestępstwo do chwili śmierci (tak jak regulowało prawo bułgarskie) jest więc sprzeczne z prawem Unii Europejskiej.

Po wyroku TSUE prezes Urzędu Ochrony Danych Osobowych 10 czerwca 2024 r. opublikował opinię, zgodnie z którą wyrok pociąga za sobą konieczność zmiany ustawy o Policji z 6 kwietnia 1990 r. w zakresie przepisów regulujących działanie KSIP. Artykuł 21 nb ustawy o Policji przewiduje, że Komendant Główny Policji prowadzi KSIP. W odniesieniu do informacji, w tym danych osobowych przewarzanych w KSIP, administratorem danych osobowych jest Komendant Główny Policji. Wskazany przepis jest jedyną regulacją o charakterze ustawowym dotyczącym KSIP.

Ustawa o Policji nie zawiera szczegółowych przepisów nakładających na Komendanta Głównego Policji obowiązek okresowego przeglądu danych zawartych w KSIP ani nie wskazują zakresu przetwarzanych danych osobowych oraz zasad ich przetwarzania. Wprawdzie zarządzenie nr 70 Komendanta Głównego Policji zawiera zakres przetwarzanych danych (par. 17) oraz postanowienia o weryfikacji informacji przetwarzanych w KSIP w zakresie ich przydatności lub zbędności do przetwarzania (par. 104-105 Zarządzenia nr 70), jednak stanowi wyłącznie regulację o charakterze wewnętrznym i nie należy do źródeł powszechnie obowiązującego prawa w Polsce.

Ponadto ustawa ta nie określa maksymalnego okresu przetwarzania danych osobowych w KSIP oraz nie przewiduje okoliczności nakładających na administratora obowiązek ich przeglądu oraz podjęcia decyzji o ich usunięciu. Z tych powodów warto zmienić te przepisy w zakresie weryfikacji przez administratora zasadności dalszego przetwarzania danych osobowych w KSIP, tak by zapewnić podmiotowi danych realne prawo żądania ich usunięcia. Obowiązujące przepisy nie określają również zakresu przetwarzania danych, jak i okresów retencji tych danych, wobec czego nie spełniają standardów wynikających z wskazanego wyżej orzeczenia TSUE wydanego w sprawie C-118/22.

Sprawdź

4 sierpnia 2024

  |  dr Joanna Worona–Vlugt

Autor:

dr
Joanna
Worona–Vlugt

Adwokat

dr Joanna Worona–Vlugt

Mogą Cię 
zainteresować:

Media

Jakie są problemy z działaniem Krajowego Rejestru Zadłużonych?

30 września 2024

Jakie są problemy z działaniem Krajowego Rejestru Zadłużonych?
Media

Podczas klęsk żywiołowych trzeba uważać na dane osobowe

22 października 2024

Podczas klęsk żywiołowych trzeba uważać na dane osobowe
Media

Kradzież danych osobowych na poczet tzw. chwilówek

12 października 2024

Kradzież danych osobowych na poczet tzw. chwilówek
Media

Nadchodzi rewolucja w płacy minimalnej

3 października 2024

Nadchodzi rewolucja w płacy minimalnej
Media

Zakaz wysyłania e-maili po godzinach coraz bliżej

3 października 2024

Zakaz wysyłania e-maili po godzinach coraz bliżej
Media

Zarządzanie kryzysowe podczas powodzi

1 października 2024

Zarządzanie kryzysowe podczas powodzi
Media

Podczas klęsk żywiołowych trzeba uważać na dane osobowe

22 października 2024

Media

Kradzież danych osobowych na poczet tzw. chwilówek

12 października 2024

GP NEWSLETTER

Chcesz być na bieżąco ze zmianami prawa?
Zapisz się do naszego newslettera.