Krajowy System Informacyjny Policji (KSIP) jest centralnym zbiorem prowadzonym przez Komendę Główną Policji, w którym odnotowane są informacje o przestępstwach ściganych z oskarżenia publicznego, osobach poszukiwanych przez ograny ścigania, ale również informacje o zgubionych lub skradzionych rzeczach. System ten jest niezbędny do efektywnego działania organów ścigania ze względu na kluczową rolę szybkiej wymiany informacji o rzeczach i osobach będących w kręgu zainteresowania wymiaru sprawiedliwości. System KSIP jest również zintegrowany z System Informacyjnym Schengen (SIS), co zapewnia możliwość międzynarodowej wymiany informacji w zakresie bezpieczeństwa w Europie.
Czytaj też: RPO: Wszyscy umundurowani policjanci powinni mieć widoczne znaki identyfikacyjne
TSUE: Policja musi usuwać dane
Podstawą działania KSIP jest ustawa o Policji z 6 kwietnia 1990 r., a warunki jego funkcjonowania określa zarządzenie nr 70 Komendanta Głównego Policji w Sprawie Krajowego Systemu Informacyjnego Policji z 2 grudnia 2019 r. Paragraf 17 zarządzenia wskazuje, że przy rejestracji procesowej osoby można wskazać m.in takie dane jak: imię, nazwisko, datę urodzenia, numer PESEL lub inny narodowy numer identyfikacyjny, narodowość, numery dokumentów tożsamości oraz dane osobowe stanowiące dane wrażliwe, tj. dane osobowe ujawniające pochodzenie rasowe lub etniczne, stanowiące dane genetyczne, dane biometryczne w tym w zakresie wizerunku twarzy utrwalonego w postaci zdjęć sygnalitycznych lub danych daktyloskopijnych, dane dotyczące zdrowia oraz seksualności i orientacji seksualnej.
30 stycznia 2024 r. TSUE wydał wyrok w trybie prejudycjalnym w sprawie o sygn. C-118/22, dotyczącej zakresu przetwarzania danych osobowych w wewnętrznych systemach organów ścigania. Sprawa dotyczyła bułgarskiego mężczyzny, który został wpisany do bułgarskiego odpowiednika KSIP w ramach prowadzonego dochodzenia dotyczącego złożenia fałszywych zeznań. Mężczyzna następnie został prawomocnie skazany na karę roku ograniczenia wolności. Po odbyciu kary mężczyzna, korzystając z zatarcia skazania, żądał wykreślenia jego danych z rejestru policyjnego. Według prawa bułgarskiego dane były przechowywane w rejestrze policyjnym bez ograniczenia czasowego, do chwili śmierci, wobec czego sąd bułgarski oddalił wniosek.
Sprawa następnie trafiła do TSUE, który orzekł, że niezgodne z prawem unijnym jest ustawodawstwo krajowe umożliwiające organom ścigania przechowywanie danych osobowych do celów zapobiegania przestępczości, prowadzenia postępowań przygotowawczych, wykrywania i ścigania czynów zabronionych i wykonywania kar. W szczególności chodzi o dane biometryczne i genetyczne, dotyczące osób, które zostały prawomocnie skazane, bez nałożenia na administratora obowiązku okresowego przeglądu, czy takie przechowywanie jest nadal niezbędne. Dotyczy także przyznania wspomnianej osobie prawa do usunięcia tych danych, od chwili gdy ich przechowywanie nie jest już niezbędne do celów, dla których były one przetwarzane lub w stosownym przypadku do ograniczenia ich przetwarzania.
Ustawa o Policji do weryfikacji
Przechowywanie danych biometrycznych (tj. wizerunek twarzy, linie papilarne, siatkówka oraz tęczówka oka, geometria twarzy lub ręki, kształt ust, ucha czy rozmieszczenie zębów) i genetycznych (dane DNA, analizy z próbki biologicznej) osób skazanych za umyślne przestępstwo do chwili śmierci (tak jak regulowało prawo bułgarskie) jest więc sprzeczne z prawem Unii Europejskiej.
Po wyroku TSUE prezes Urzędu Ochrony Danych Osobowych 10 czerwca 2024 r. opublikował opinię, zgodnie z którą wyrok pociąga za sobą konieczność zmiany ustawy o Policji z 6 kwietnia 1990 r. w zakresie przepisów regulujących działanie KSIP. Artykuł 21 nb ustawy o Policji przewiduje, że Komendant Główny Policji prowadzi KSIP. W odniesieniu do informacji, w tym danych osobowych przewarzanych w KSIP, administratorem danych osobowych jest Komendant Główny Policji. Wskazany przepis jest jedyną regulacją o charakterze ustawowym dotyczącym KSIP.
Ustawa o Policji nie zawiera szczegółowych przepisów nakładających na Komendanta Głównego Policji obowiązek okresowego przeglądu danych zawartych w KSIP ani nie wskazują zakresu przetwarzanych danych osobowych oraz zasad ich przetwarzania. Wprawdzie zarządzenie nr 70 Komendanta Głównego Policji zawiera zakres przetwarzanych danych (par. 17) oraz postanowienia o weryfikacji informacji przetwarzanych w KSIP w zakresie ich przydatności lub zbędności do przetwarzania (par. 104-105 Zarządzenia nr 70), jednak stanowi wyłącznie regulację o charakterze wewnętrznym i nie należy do źródeł powszechnie obowiązującego prawa w Polsce.
Ponadto ustawa ta nie określa maksymalnego okresu przetwarzania danych osobowych w KSIP oraz nie przewiduje okoliczności nakładających na administratora obowiązek ich przeglądu oraz podjęcia decyzji o ich usunięciu. Z tych powodów warto zmienić te przepisy w zakresie weryfikacji przez administratora zasadności dalszego przetwarzania danych osobowych w KSIP, tak by zapewnić podmiotowi danych realne prawo żądania ich usunięcia. Obowiązujące przepisy nie określają również zakresu przetwarzania danych, jak i okresów retencji tych danych, wobec czego nie spełniają standardów wynikających z wskazanego wyżej orzeczenia TSUE wydanego w sprawie C-118/22.
dr Joanna Worona-Vlugt, adwokat w Gardocki i Partnerzy Adwokaci i Radcowie Prawni
-------------------------------------------------------------------------------------------------------------------
Linki w tekście artykułu mogą odsyłać bezpośrednio do odpowiednich dokumentów w programie LEX. Aby móc przeglądać te dokumenty, konieczne jest zalogowanie się do programu. Dostęp do treści dokumentów w programie LEX jest zależny od posiadanych licencji.
