A teraz coś z jeszcze innej beczki, czyli kilka słów o orzeczeniu, w którym TSUE wyłożył, że dozwolone jest przetwarzanie przez policję danych biometrycznych i genetycznych sprawców nawet drobnych przestępstw — ale też przechowując określone informacje w kartotece trzeba brać pod uwagę kim jest sprawca, jakiego czynu się dopuścił. Co więcej policja nie może zapominać o obowiązku usuwania danych, które są już zbyteczne w wykonywaniu zadań w zakresie zwalczania przestępczości.
wyrok Trybunału Sprawiedliwości UE z 20 listopada 2025 r. w/s Policejní prezidium (C-57/23)
1) W odniesieniu do zbierania, przechowywania oraz usuwania danych biometrycznych i genetycznych pojęcie „prawa państwa członkowskiego” w rozumieniu [art. 8 i 10 dyrektywy 2016/680] należy rozumieć jako dotyczące przepisu o charakterze generalnym ustanawiającego minimalne warunki zbierania, przechowywania i usuwania takich danych, takiego jak przepis interpretowany w orzecznictwie sądów krajowych, pod warunkiem że orzecznictwo to jest dostępne i wystarczająco przewidywalne.
2) [Dyrektywa 2016/680] nie stoi na przeszkodzie uregulowaniom krajowym, które zezwalają – bez rozróżnienia – na zbieranie danych biometrycznych i genetycznych każdej osoby oskarżonej o popełnienie umyślnego czynu zabronionego lub podejrzanej o popełnienie takiego czynu zabronionego, o ile, po pierwsze, cele tego zbierania nie wiążą się z wymogiem wprowadzenia rozróżnienia między tymi dwiema kategoriami osób, a po drugie, administratorzy są zobowiązani, zgodnie z prawem krajowym, w tym orzecznictwem sądów krajowych, do przestrzegania wszystkich zasad i szczególnych wymogów ustanowionych w art. 4 i 10 dyrektywy.
3) [Dyrektywa 2016/680] nie stoi na przeszkodzie uregulowaniom krajowym, na mocy których konieczność dalszego przechowywania danych biometrycznych i genetycznych jest oceniana przez organy policji na podstawie przepisów wewnętrznych, mimo że uregulowania te nie przewidują maksymalnego okresu przechowywania, pod warunkiem że wspomniane uregulowania określają odpowiednie terminy okresowego przeglądu konieczności przechowywania tych danych oraz że w ramach tego przeglądu zostanie oceniona bezwzględna niezbędność przedłużenia ich przechowywania.
opis stanu faktycznego:
- zaczęło się od wszczęcia przez czeską policję dochodzenia w sprawie przestępstwa, w toku którego pobrano od podejrzanego (funkcjonariusza publicznego, który dopuścił się czynu w typie „białego kołnierzyka”) — bez jego zgody — m.in. odciski palców i wymaz ze śluzówki policzka, zrobiono mu zdjęcia i sporządzono rysopis, a zebrane w ten sposób dane identyfikacyjne trafiły do policyjnej bazy;
- mężczyzna został skazany za popełniony występek (3 lata więzienia w zawieszeniu), ale wniósł też skargę, w której zarzucił, iż dalsze przetwarzanie przez policję jego danych biometrycznych i genetycznych stanowi bezprawną ingerencję w prawo do prywatności, zatem zażądał usunięcie informacji z kartoteki;
- sąd I instancji przychylił się do jego zarzutów: sprawcy zarzucano czyn relatywnie niewielkiej wagi, mężczyzna był wcześniej niekarany, jest też niewielkie ryzyko recydywy — a więc nawet jeśli istniała przesłanka do pobrania jego danych biometrycznych, to na dalszym etapie obowiązkiem policji było zweryfikować, czy celowe jest dalsze ich przechowywanie;
- natomiast sąd odwoławczy, rozpatrując odwołanie policji, zwrócił uwagę, iż czeskie prawo nie rozróżnia sprawców według ciężaru zarzutów, lecz nakazuje pobieranie danych biometrycznych jak leci, od wszystkich, zaś kwestię okresu przechowywania pobranych danych pozostawia w gestii policji — i z tymi wątpliwościami zwrócił się do TSUE;
z dyrektywy 2016/680 w/s ochrony osób fizycznych w związku z przetwarzaniem danych osobowych przez właściwe organy do celów zapobiegania przestępczości […]
art. 4 ust. 1. Państwa członkowskie zapewniają, by dane osobowe były:
c) adekwatne, stosowne i nienadmierne do celów, dla których są przetwarzane; […]
e) przechowywane w formie umożliwiającej identyfikację osób, których dane dotyczą, przez okres nie dłuższy, niż jest to niezbędne do celów ich przetwarzania; […]
art. 10. Przetwarzanie danych osobowych ujawniających pochodzenie rasowe lub etniczne, poglądy polityczne, przekonania religijne lub światopoglądowe lub przynależność do związków zawodowych oraz przetwarzanie danych genetycznych, danych biometrycznych w celu jednoznacznego zidentyfikowania osoby fizycznej, danych dotyczących zdrowia lub danych dotyczących seksualności i orientacji seksualnej osoby fizycznej jest dozwolone wyłącznie wtedy, jeżeli jest bezwzględnie niezbędne, podlega odpowiednim zabezpieczeniom dla praw i wolności osoby, której dane dotyczą, oraz:
a) jest dopuszczone prawem Unii lub prawem państwa członkowskiego;
b) jest niezbędne dla ochrony żywotnych interesów osoby fizycznej, której dane dotyczą, lub innej osoby; lub
c) takie przetwarzanie dotyczy danych osobowych w sposób oczywisty upublicznionych przez osobę, której dane dotyczą.
wyrok TSUE:
- w wydanym dziś wyroku TSUE stwierdził, że dyrektywa regulująca zasady przetwarzania danych osobowych przez organy ścigania nie wprowadza zakazu generalnego zbierania („bez rozróżnienia”) danych biometrycznych i genetycznych osób podejrzanych i oskarżonych o popełnienie czynu zabronionego;
- jednakże policja jako administrator danych co do zasady ma obowiązek separować dane osób o różnych kategoriach ze względu na status w postępowaniu (np. podejrzanych od oskarżonych) — acz liczy się też krajowa nomenklatura prawna (prawo czeskie jako podejrzanego określa osobę, której w postępowaniu uproszczonym przedstawiono zarzuty);
- zawsze jednak dane zbierane przez policję powinny być zgodne z zasadą minimalizacji — adekwatne, stosowne i nie mogą być nadmierne wobec realizowanego celu — zaś w przypadku danych wrażliwych musi być bezwzględnie niezbędne; oznacza to, że cele przetwarzania danych biometrycznych i genetycznych nie mogą być określone ogólnikowo, lecz precyzyjnie i konkretnie (art. 8 dyrektywy)
- stąd też należy przyjąć, że przetwarzanie przez policję danych szczególnych kategorii jest dopuszczalne, jeśli założony cel nie jest osiągalny przy zastosowaniu innych (mniej naruszających prywatność) środków (por. wyrok TSUE z 26 stycznia 2023 r., C-205/21);
- jeśli więc kartoteka jest prowadzona w celu ewentualnej przyszłej identyfikacji sprawców przestępstw, ocena niezbędności powinna uwzględniać m.in. charakter i ciężar przestępstwa, powiązania sprawcy z innymi zdarzeniami kryminalnymi oraz „indywidualny profil” podsądnego;
- (tłumacząc z prawniczego na ludzkie: skoro mowa była o przestępstwie urzędniczym, to można powiedzieć, że sprawcy nie identyfikowano na podstawie odcisków palców, rysopisu i kodu DNA, bo takie dane mogą się przydać przy przestępstwie pospolitym lub niektórych ciężkich zbrodni — ale przecież nie można też wykluczyć, że sprawca należał do grupy przestępczej i był zamieszany w inne przestępstwa, albo też że będzie próbował uciekać);
- nie jest także sprzeczny z dyrektywą przepis prawa krajowego pozostawiający do decyzji policji ocenę konieczności dalszego przechowywania danych biometrycznych i genetycznych;
- chociaż nie jest dozwolone przetwarzanie danych przez policję przez czas nieokreślony — horyzont czasowy baz osobowych wyznacza niezbędność do realizacji celów w postaci zwalczania przestępczości — to jednak przepisy krajowe nie muszą określać „sztywnego” terminu usuwania danych z kartotek policyjnych, albowiem całkowicie wystarczające jest jeśli to prawo będzie wyznaczać odpowiednie okresy przeglądów danych;
- przepisem wyznaczającym terminy weryfikacji danych mogą być także wewnętrzne — zgodne z dyrektywą — regulacje policyjne, nawet jeśli dotyczą danych biometrycznych i genetycznych; w przypadku sporu ciężar dowodu i tak będzie spoczywał na administratorze;
- wcale nie na marginesie TSUE przyjął także, że „prawem” krajowym określającym warunki zgodności przetwarzania danych osobowych z prawem (art. 8 dyrektywy) może być także orzecznictwo sądów administracyjnych;
- sęk w tym, że czeska ustawa o policji nie precyzuje ani warunków przechowywania i usuwania danych z kartotek, ani rodzajów informacji pozyskiwanych z próbek, są wytyczne komendanta głównego (które nie mają charakteru normatywnego i nie zostały opublikowane) — ale jurysprudencja przyjęła, iż pojęcie „ustawy” (w rozumieniu art. 8 ust. 2 Karty Praw Podstawowych UE oraz art. 8 ust. 2 EKPCz) powinno być rozumiane w znaczeniu materialnym, a nie formalnym, zatem charakter prawotwórczy może mieć także orzecznictwo sądowe, które jest jasne, precyzyjne i przewidywalne;
- (tłumacząc z prawniczego na ludzkie: skoro są w systemie Common Law prawo czasem piszą sądy, to nie można raptem zacząć się upierać, że tylko prawo uchwalone przez parlament jest prawem — podobnie nie można ignorować utrwalonego orzecznictwa „dośpiewującego” luki w unormowaniu).
Zamiast komentarza: to kolejne orzeczenie, w którym wyraźnie się mówi, że policja ma obowiązek czyścić swoje kartoteki z niepotrzebnych informacji — w kontekście działań polskiej policji zapewne długo nic się nie zmieni (por. „Czy sprawca przestępstwa, który chce się ubiegać o posadę w policji, może żądać wyczyszczenia jego kartoteki?”).