Czy przepisy przewidujące wieczne, tj. aż do śmierci, przetwarzanie danych sprawców przestępstw w policyjnych rejestrach są zgodne z prawem unijnym? Czy jednak przechowywanie w policyjnej bazie danych osób karanych, w celach operacyjnych, dla potrzeb prowadzenia dochodzeń w przyszłości — bez możliwości wcześniejszego usunięcia — nie daje się obronić w kontekście przysługującego każdemu prawa do ochrony życia prywatnego?
wyrok Trybunału Sprawiedliwości UE z 30 stycznia 2024 r. (C‑118/22)
[Dyrektywa 2016/680] stoi przeszkodzie ustawodawstwu krajowemu przewidującemu przechowywanie przez organy policji — do celów zapobiegania przestępczości, prowadzenia postępowań przygotowawczych, wykrywania i ścigania czynów zabronionych i wykonywania kar — danych osobowych, w szczególności danych biometrycznych i genetycznych, dotyczących osób, które zostały prawomocnie skazane za umyślne przestępstwo ścigane z oskarżenia publicznego, aż do chwili śmierci osoby, której dane dotyczą, w tym w przypadku zatarcia skazania tej osoby, bez nałożenia na administratora obowiązku okresowego przeglądu, czy takie przechowywanie jest nadal niezbędne, ani przyznania wspomnianej osobie prawa do usunięcia tych danych, od chwili gdy ich przechowywanie nie jest już niezbędne do celów, dla których były one przetwarzane, lub w stosownym przypadku do ograniczenia ich przetwarzania.
Sprawa zaczęła się od wyroku skazującego za składanie fałszywych zeznań i wpisania danych skazanego do prowadzonej przez bułgarską policję bazy danych sprawców przestępstw…
…oraz złożonego po zatarciu skazania — z powołaniem się na pozyskane z ichniego KRK zaświadczenie o niekaralności — wniosku o usunięcie wpisu z policyjnego rejestru.
Spór trafił do sądu, który uznał, że zatarcie skazania nie uprawnia do żądania usunięcia danych skazanego z akt policyjnych, zatem informacje mogą być przetwarzane wiekuiście (tj. aż do śmierci sprawcy przestępstwa).
Badając skargę kasacyjną zainteresowanego sąd zwrócił uwagę, że dyrektywa o przetwarzaniu danych osobowych w celu zwalczania przestępczości wyraźnie mówi o terminach usuwania danych z rejestrów. Oznacza to, że przepisy krajowe nie mogą zakładać ich nieograniczonego przetwarzania, bez możliwości usunięcia nawet po zatarciu skazania — zamiast tego powinny określać konkretny termin, po którym dalsze przechowywanie danych sprawców w policyjnej bazie jest zbędne.
z dyrektywy 2016/680 w/s ochrony osób fizycznych w związku z przetwarzaniem danych osobowych przez właściwe organy do celów zapobiegania przestępczości, prowadzenia postępowań przygotowawczych, wykrywania i ścigania czynów zabronionych i wykonywania kar, w sprawie swobodnego przepływu takich danych
art. 5. Państwa członkowskie zapewniają, by przyjęto odpowiednie terminy usuwania danych osobowych lub okresowego przeglądu konieczności przechowywania danych osobowych. Przestrzeganiu tych terminów służą odpowiednie środki proceduralne.
art. 13 ust. 2. Państwa członkowskie zapewniają, by oprócz informacji, o których mowa w ust. 1, w konkretnych przypadkach administrator przekazywał osobie, której dane dotyczą, następujące dalsze informacje umożliwiające wykonywanie przysługujących jej praw:
b) okres przechowywania danych osobowych lub, gdy nie jest to możliwe, kryteria służące określeniu tego okresu;
art. 16 ust. 2. Państwa członkowskie nakładają na administratora wymóg usunięcia bez zbędnej zwłoki danych osobowych i zapewniają, by osoba, której dane dotyczą, miała prawo uzyskać od administratora usunięcie bez zbędnej zwłoki jej danych osobowych, jeżeli przetwarzanie narusza przepisy przyjęte na podstawie art. 4, 8 i 10, lub jeżeli dane osobowe muszą zostać usunięte w celu wypełnienia obowiązku prawnego ciążącego na administratorze.
Odnosząc się do przedstawionego zagadnienia Trybunał Sprawiedliwości UE stwierdził, że sprzeczne z prawem unijnym jest ogólne i niezróżnicowane przetwarzanie, aż do ich śmierci, danych biometrycznych i genetycznych (m.in. odcisków palców, fotografii, próbek DNA, ale też „zwykłych” danych osobowych) osób skazanych za przestępstwo umyślne ścigane z oskarżenia publicznego. Niezgodna z dyrektywą jest także odmowa usunięcia lub ograniczenia przetwarzania danych, albowiem dyrektywa wyraźnie mówi o takim uprawnieniu, np. w odniesieniu do danych, które nie są już niezbędne. Usprawiedliwieniem dla bezterminowego przechowywania informacji w policyjnych bazach nie może być potrzeba operacyjnego sprawdzenia, czy jakaś osoba już notowana jako sprawca przestępstwa nie dopuściła się kolejnego czynu zabronionego w przyszłości.
W uzasadnieniu wyroku TSUE podkreślił, iż zamiast traktować każdego karanego jako potencjalnego sprawcę kolejnego przestępstwa, należy uwzględniać różne czynniki zwiększające i zmniejszające ryzyko powrotu do przestępstwa — które to ryzyko nie zawsze ustaje dopiero w momencie śmierci osoby. Założenie przeciwne oznacza naruszenie zasady minimalizacji danych, tj. wymogu przechowywania informacji o skazaniu w sposób adekwatny i nienadmierny w stosunku do celów przetwarzania.
Zamiast komentarza i dla wzmocnienia przekazu: zdaje się, że p.p. Wąsik i Kamiński z Krajowego Rejestru Karnego już zniknęli — ale KCIK przetwarza informacje kryminalne przez 15 lat od dnia ich zarejestrowania, a jak się KSIP zaprze, to chyba nigdy nie skasuje — bo wszystko, co mu nakazuje ustawa, to dokonywać weryfikacji zebranych danych nie rzadziej niż co 10 lat, ale usuwać należy tylko dane „uznane za zbędne”.