Jak długo Policja ma prawo przechowywać dane osób przeciwko którym prowadzono postępowanie? Zdaniem sądu i w świetle obowiązującej ustawy o policji: tak długo, jak sama uważa za stosowne. Taki stan nie powinien istnieć w demokratycznym państwie prawa.
Marcin D. znalazł się w Krajowym Systemie Informacyjnym Policji (KSIP) z powodu skazania w 2004 r. za przestępstwo kryminalne. Skazanie zostało zatarte, ale gdy po ukończeniu studiów Marcin D. chciał się dostać do wojska, dostał odmowę, gdyż figurował w KSIP. Policja odpowiedziała mu, że nie jest zobowiązana do informowania o rodzaju danych w systemie. W wyniku skargi Marka D. generalny inspektor ochrony danych osobowych nakazał komendantowi głównemu policji usunięcie indywidualnych danych z KSIP. Sąd orzekł, że Policja ma prawo gromadzić dane osób, wobec których prowadzone było postępowanie karne. Potrzeba ochrony przed przestępczością i zapewnienia bezpieczeństwa publicznego, a więc interes publiczny musi przeważać nad interesem indywidualnym.
Komentarz
Jak długo Policja ma prawo przechowywać dane osób przeciwko którym prowadzono postępowanie? Zdaniem sądu i w świetle obowiązującej ustawy o policji: tak długo, jak sama uważa za stosowne. Taki stan nie powinien istnieć w demokratycznym państwie prawa.
Bardzo szerokie, wykonywane bez zewnętrznej kontroli, uprawnienia policji i służb specjalnych oraz możliwe na tym polu naruszenia prywatności to systemowy problem polskiej demokracji. Nie ulega wątpliwości, że bezpieczeństwo publiczne jest jednym z względów, które mogą uzasadniać ograniczenie prawa do prywatności. Pojawia się jednak pytanie, czy obecnie istniejące ograniczenia są rzeczywiście konieczne w demokratycznym państwie oraz czy nie naruszają istoty wolności i praw. Komentowany wyrok WSA niestety potwierdza, że obecny stan prawa nie gwarantuje jednostce wystarczającej ochrony przed ingerencją władzy publicznej – w tym wypadku policji – w sferę jej prywatności i wymaga rewizji z punktu widzenia zgodności z Konstytucją.
Spór pomiędzy Generalnym Inspektorem Ochrony Danych Osobowych (GIODO) a Komendantem Głównym Policji dotyczył fundamentalnej kwestii: pogodzenia wymogów bezpieczeństwa publicznego i walki z przestępczością z ochroną konstytucyjnego prawa do prywatności i ochrony danych. GIODO nakazał komendantowi głównemu policji usunięcie indywidualnych danych z Krajowego Systemu Informacyjnego Policji (KSIP), w wyniku czego sprawa trafiła do sądu. Sąd jednak przychylił się do logiki dominującej po stronie organów egzekwowania prawa i uznał prawo policji do arbitralnego decydowania o tym, kiedy ingerencja w prawa i wolności jednostki jest konieczna. W odniesieniu do ochrony danych osobowych ta logika prowadzi do wniosku, że policja może sama decydować o tym, jak długo i w jakich celach dane powinny być przechowywane. Tym samym sąd potwierdził, że nie mają do działań policji zastosowania ogólne zasady ochrony danych osobowych, takie jak celowość czy adekwatność w przetwarzaniu danych.
Nie ma wątpliwości, co do tego, że wyrażone w art. 47 i 51 Konstytucji Rzeczpospolitej Polskiej prawo do prywatności oraz ochrony danych osobowych podlega ograniczeniom, w szczególności ze względu na wartość, jaką jest bezpieczeństwo publiczne. Jednak art. 31 Konstytucji wyraźnie stwierdza, że tego typu ograniczenia w zakresie korzystania z konstytucyjnych wolności i praw mogą być ustanawiane tylko w ustawie i tylko wtedy, gdy są „konieczne w demokratycznym państwie”. Nie mogą też naruszać istoty wolności i praw. Przeanalizujmy zatem, jak ten konstytucyjny test wypełnia ograniczenie prawa do prywatności przewidziane w przypadku przetwarzania przez policję danych osób podejrzanych o popełnienie przestępstwa.
Ustawa o policji wprost upoważnia ją do wkraczania w chronioną konstytucyjnie sferę prywatności jednostki. Zgodnie z artykułem 20, „policja może pobierać, uzyskiwać, gromadzić, przetwarzać i wykorzystywać w celu realizacji zadań ustawowych informacje, w tym dane osobowe, o osobach podejrzanych o popełnienie przestępstw ściganych z oskarżenia publicznego, nieletnich dopuszczających się czynów zabronionych przez ustawę jako przestępstwa ścigane z oskarżenia publicznego, osobach o nieustalonej tożsamości lub usiłujących ukryć swoją tożsamość oraz o osobach poszukiwanych, także bez ich wiedzy i zgody. (…) Dane osobowe zebrane w celu wykrycia przestępstwa przechowuje się przez okres, w którym są one niezbędne dla realizacji ustawowych zadań wykonywanych przez Policję. Organy Policji dokonują weryfikacji tych danych nie rzadziej niż co 10 lat od dnia uzyskania informacji, usuwając dane zbędne.” Niewątpliwie istnieje zatem podstawa prawna ograniczenia prawa do prywatności osób podejrzanych o popełnienie przestępstwa.
Również cel tego ograniczenia: przeciwdziałanie przestępczości i ściganie sprawców – należy uznać za realizację konstytucyjnie chronionej wartości, jaką jest zagwarantowanie bezpieczeństwa publicznego. Natomiast o wiele większy problem pojawia się na etapie analizowania konieczności środków, które przewiduje ustawa o policji. O ile nie ulega wątpliwości, że samo zbieranie danych o osobach podejrzanych o popełnienie przestępstwa – nawet danych wrażliwych, w sposób niejawny i bez ich zgody – może okazać się konieczne na etapie wyjaśniania sprawy i prowadzenia śledztwa (co nie znaczy, że i ten etap pracy policji nie powinien podlegać weryfikacji), o tyle uprawnienia policji w zakresie przechowywania raz zebranych danych budzą wiele wątpliwości. Czy rzeczywiście jest konieczne, dla zagwarantowania bezpieczeństwa publicznego, przechowywanie danych osobowych przez kilkanaście lub nawet kilkadziesiąt lat, nawet jeśli sprawa została umorzona?
Stan faktyczny w komentowanej sprawie udowadnia, że takie sytuacje mają miejsce w rzeczywistości. I nie może to dziwić, skoro jedynym obowiązkiem policji w odniesieniu do przechowywanych danych osób podejrzanych jest weryfikacja – nie rzadziej niż raz na dziesięć lat – czy dane nie okazały się zbędne, bez jakiejkolwiek zewnętrznej kontroli i bez określonych w ustawie kryteriów „zbędności” bądź „niezbędności”. Ten brak reguł na poziomie ustawowym, w zestawieniu z interesem własnym i służb (nigdy nie wiadomo kiedy i jakie informacje okażą się przydatne), otwiera ogromne pole do nadużyć na polu ochrony prywatności. Należy przy tym pamiętać, że policja zbiera dane na bardzo szeroką skalę i z wszelkich dostępnych źródeł: kontroli operacyjnej, dostępnych baz danych (publicznych i prywatnych), analizy połączeń telekomunikacyjnych, monitoringu wizyjnego, źródeł osobowych i przesłuchań. Mamy zatem do czynienia z ogromnym zbiorem danych, w tym danych wrażliwych, nad którym nie ma kontroli ani GIODO ani żaden inny, niezależny od policji organ.
Taki stan nie powinien istnieć w demokratycznym państwie prawnym, co potwierdza m.in. orzecznictwo Europejskiego Trybunału Praw Człowieka (ETPCz) i Europejskiego Trybunału Sprawiedliwości (ETS).
Po pierwsze, powinny istnieć przepisy określające jednoznacznie i szczegółowo kryteria gromadzenia danych o osobach podejrzanych i mechanizm ich weryfikacji – a więc także usuwania zbędnych danych. Takiego mechanizmu brakuje nie tylko w policji, ale także w systemach informacyjnych innych służb i organów państwowych. Prawo powinno gwarantować silne i transparentne procedury kontroli i nadzoru nad systemami przetwarzania danych przez służby. Potrzebę wprowadzenia większej kontroli nad działaniami służb i gromadzonym przez nie materiałem operacyjnym potwierdza bogate w tym zakresie orzecznictwo ETPCz1.
Jak stwierdzono w wyroku w sprawie Segerstedt-Wiberg i inni przeciwko Szwecji2: „służby wywiadowcze mogą legalnie istnieć w społeczeństwie demokratycznym, uprawnienia do inwigilacji obywateli są akceptowalne na podstawie Konwencji jedynie w zakresie, w jakim są one ściśle konieczne dla ochrony instytucji demokratycznych. Ingerencja taka musi być wsparta odpowiednimi i wystarczającymi powodami oraz musi być proporcjonalna do uzasadnionego prawnie celu lub celów, które są realizowane. Organy władzy krajowej cieszą się marginesem uznania, którego zakres będzie zależeć nie tylko od charakteru uzasadnionego prawnie celu, który jest realizowany, lecz także od konkretnego charakteru przedmiotowej ingerencji”. Natomiast ze słynnej sprawy S v. Marper3 można wywieść wniosek, że przechowywanie danych osobowych „na wszelki wypadek”, bez względu na obiektywną konieczność, samo w sobie stanowi naruszenie prawa do prywatności.
Po drugie, działania policji i służb specjalnych powinny zostać poddane kontroli GIODO. Taką potrzebę można wysnuć bezpośrednio z Karty Praw Podstawowych oraz pośrednio z orzecznictwa Europejskiego Trybunału Sprawiedliwości. Artykuł 8 Karty wyraźnie stwierdza, że potrzebny jest „w pełni niezależny” organ powołany do ochrony danych. W świetle orzecznictwa ETS4 widać, że standard ten obejmuje nie tylko niezależność instytucjonalną takiego organu (np. sposób dokonywania wyboru i odwołania), ale także zakres przyznanych mu kompetencji. Organ ochrony danych osobowych dla niezawisłego pełnienia swojej funkcji potrzebuje przede wszystkim realnego wpływu na działania podmiotów, które ma kontrolować. Dlatego należy rozważyć poddanie kontroli GIODO działania służb specjalnych w zakresie przestrzegania przez te podmioty podstawowych zasad przetwarzania danych osobowych. Z brakiem kontroli nad służbami specjalnymi wiąże się także problem niedostatecznego nadzoru nad funkcjonowaniem baz danych tworzonych w wyniku ich współpracy (w tym międzynarodowych systemów wymiany informacji). W tym zakresie za model rozwiązania może posłużyć EUROPOL i kontrolujący jego operacje Wspólny Organ Nadzorczy.
Katarzyna Szymielewicz
1) Sprawy Bykov v. Rosja (orzeczenie z dn. 11 marca 2009, skarga nr 4378/02), Segerstedt-Wiberg i inni v. Szwecja (zob. poniżej), Rotaru v. Rumunia (orzeczenie z dn. 4 maja 2000 r., nr skargi 28341/95)
2) Orzeczenie ETPCz z dn. 6 czerwca 2006 r. w sprawie Segerstedt-Wiberg i inni przeciwko Szwecji (skarga nr. 62332/00)
3) Sprawa S. i Marper v. Wielka Brytania (orzeczenie z dn. 4 grudnia 2008, nr skargi 30562/04)
4) Sprawa nr C-518/07