Dane na temat realizacji praw osób, których dane dotyczą, w Schengen

W związku z modernizacją Systemu Informacyjnego Schengen, która miała miejsce w 2023 r., Komitet Skoordynowanego Nadzoru – Coordinated Supervision Committee (CSC) opracowuje i sporządza roczne sprawozdanie dla Europejskiej Rady Ochrony Danych na temat wykonywania praw osób, których dane dotyczą, postępowań sądowych i wzajemnego uznawania ostatecznych decyzji dotyczących SIS¹.

Nie jest to działanie przypisane CSC, ale stanowi sprawozdanie z działań państw członkowskich w odniesieniu do wykonywania praw osób, których dane dotyczą, w związku z przetwarzaniem danych w SIS na trzech poziomach: administratora danych, organu ochrony danych realizującego pośrednie prawo dostępu oraz sądów jako sądowego środka odwoławczego. W przypadku tego pierwszego sprawozdania okresem objętym sprawozdaniem jest okres od 7 marca 2023 r., tj. od dnia, w którym SIS weszło w zakres kompetencji CSC, do 31 grudnia 2023 r. Kolejne sprawozdania będą sporządzane w ujęciu rocznym (tj. od dnia 1 stycznia do dnia 31 grudnia) i będą zawierać ocenę i porównanie z rokiem poprzednim.

Opracowano wzór sprawozdania dla państw członkowskich na temat wykonywania praw osób, których dane dotyczą, związanych z SIS. Format wzoru do stosowania przez państwa członkowskie na potrzeby sprawozdawczości w zakresie praw osób, których dane dotyczą, związanych z rozporządzeniami w sprawie SIS określono w decyzji wykonawczej Komisji (UE) 2022/22061. Wzór sprawozdania znajduje się w dodatku 1 do niniejszego sprawozdania. Zróżnicowanie okresów sprawozdawczych i brakujących danych oznacza, że pełne porównanie między państwami członkowskimi a ogólnym wykonywaniem praw osób, których dane dotyczą, w ramach SIS jest problematyczne.

Wnioski o udzielenie dostępu do danych

Zgodnie z przepisami SIS², osoby, których dane dotyczą, mogą korzystać z prawa dostępu przewidzianego w art. 15 rozporządzenia 2016/679 (RODO) oraz w art. 14 dyrektywy 2016/680 (DODO). Należy zauważyć, że w odniesieniu do SIS RODO ma zastosowanie w przypadku³:

• • kontroli granicznej,
• • kontroli policyjnych i celnych,
• • badania warunków i podejmowania decyzji dotyczących wjazdu i pobytu obywateli państw trzecich na terytorium państw członkowskich,
• • kontroli bezpieczeństwa w odniesieniu do obywateli państw trzecich, którzy ubiegają się o ochronę międzynarodową,
• • rozpatrywania wniosków wizowych i podejmowania decyzji w sprawie tych wniosków.

Z kolei DODO stosuje się w przypadku przetwarzania danych do celów zapobiegania przestępstwom, ich wykrywania, prowadzenia w ich sprawie postępowań przygotowawczych lub ich ścigania lub wykonywania kar, w tym do celów ochrony przed zagrożeniami dla bezpieczeństwa publicznego i zapobiegania takim zagrożeniom.

Dlatego, w przypadku, kiedy obowiązuje RODO, osoba, której dane dotyczą, jest uprawniona do uzyskania od administratora potwierdzenia, czy przetwarzane są dane osobowe jej dotyczące, a jeżeli ma to miejsce, jest uprawniona do uzyskania dostępu do nich oraz następujących informacji:

• a) cele przetwarzania;
• b) kategorie odnośnych danych osobowych;
• c) informacje o odbiorcach lub kategoriach odbiorców, którym dane osobowe zostały lub zostaną ujawnione, w szczególności o odbiorcach w państwach trzecich lub organizacjach międzynarodowych;
• d) w miarę możliwości planowany okres przechowywania danych osobowych, a gdy nie jest to możliwe, kryteria ustalania tego okresu;
• e) informacje o prawie do żądania od administratora sprostowania, usunięcia lub ograniczenia przetwarzania danych osobowych dotyczącego osoby, której dane dotyczą, oraz do wniesienia sprzeciwu wobec takiego przetwarzania;
• f) informacje o prawie wniesienia skargi do organu nadzorczego;
• g) jeżeli dane osobowe nie zostały zebrane od osoby, której dane dotyczą – wszelkie dostępne informacje o ich źródle;
• h) informacje o zautomatyzowanym podejmowaniu decyzji, w tym o profilowaniu, o którym mowa
  w art. 22 ust. 1 i 4, oraz – przynajmniej w tych przypadkach – istotne informacje o zasadach ich podejmowania, a także o znaczeniu i przewidywanych konsekwencjach takiego przetwarzania dla osoby, której dane dotyczą.

W przypadku osoby, których dane są przetwarzane w trybie DODO, przysługuje jej prawo do uzyskania od administratora potwierdzenia, czy przetwarzane są dane osobowe jej dotyczące, a jeżeli takie dane są przetwarzane, prawo dostępu do danych osobowych i do następujących informacji:

• a) cele i podstawa prawna przetwarzania;
• b) kategorie odnośnych danych osobowych;
• c) informacje o odbiorcach lub kategoriach odbiorców, którym dane osobowe zostały ujawnione,
  w szczególności o odbiorcach w państwach trzecich lub organizacjach międzynarodowych;
• d) w miarę możliwości planowany okres przechowywania danych osobowych lub, gdy nie jest to możliwe, kryteria służące określeniu tego okresu;
• e) informacje o prawie do żądania od administratora sprostowania lub usunięcia danych osobowych lub ograniczenia przetwarzania danych osobowych dotyczących tej osoby;
• f) informacje o prawie wniesienia skargi do organu nadzorczego oraz dane kontaktowe organu nadzorczego;
• g) wskazanie, jakie dane osobowe są przetwarzane, oraz wszelkie dostępne informacje o ich pochodzeniu.

Jak wynika z danych CSC, wpłynęło 41 434 wniosków o udzielenie dostępu do danych, z czego administratorzy rozpatrzyli pozytywnie wnioski w 47% przypadków. Najwięcej wniosków wpłynęło do administratorów w Szwajcarii (6365), Austrii (6355), Słowenii (5084), Włoszech (4891), Rumunii (3825), Niemczech (3190) i Francji (2838). Największy odsetek rozpatrzonych wniosków zaobserwowano w Czechach (101%), Estonii (100%), Islandii (100%), Niemczech (99%), Niderlandach (99%), Malcie (99%), Luksemburgu (98%), Bułgarii (97%), Słowenii (97%), Szwecji (94%), Danii (88%), Francji (84%), Grecji (75%), Słowacji (71%), Węgrzech (70%), Belgii (68%), Portugalii (57%).

Pośrednie prawo dostępu za pośrednictwem organów nadzorczych

Administrator może podjąć decyzję o nieprzekazywaniu całości lub części informacji osobie, której dane dotyczą, w zakresie – a także przez tak długi okres – w jakim takie częściowe lub zgodnie z prawem krajowym, całkowite ograniczenie stanowi niezbędny i proporcjonalny środek w społeczeństwie demokratycznym, przy należytym uwzględnieniu praw podstawowych i uzasadnionych interesów osoby, której dane dotyczą, po to aby:

• a) uniemożliwić utrudnianie prowadzenia urzędowych lub sądowych dochodzeń, postępowań przygotowawczych lub procedur;
• b) uniemożliwić utrudnianie zapobiegania przestępstwom, ich wykrywania, prowadzenia w ich sprawie postępowań przygotowawczych lub ich ścigania lub wykonywania kar;
• c) chronić bezpieczeństwo publiczne;
• d) chronić bezpieczeństwo narodowe; lub
• e) chronić prawa i wolności innych osób.

W takich przypadkach osoba, której dane dotyczą, może również wykonywać swoje prawa za pośrednictwem organów ochrony danych⁴.

Dane CSC wskazują, że w 2023 r. organy ochrony danych rozpatrzyły pozytywnie wnioski o pośrednie prawo dostępu w 15% przypadków. Należy zauważyć, że – jak stwierdzono w Ewaluacjach Schengen – nie wszystkie państwa UE prawidłowo wdrożyły obowiązek zapewnienia pośredniego dostępu określonego w art. 17 dyrektywy o ochronie danych w sprawach karnych. Niestety, również w Polsce stwierdzono brak pełnej transpozycji wdrożenia przepisów w tym zakresie⁵, a zalecenie dostosowania tych przepisów uznano za priorytetowe⁶.

Najwięcej wniosków o dostęp do danych za pośrednictwem organów ochrony danych wpłynęło do Włoch (373), Francji (275), Bułgarii (98), Belgii (78) i Rumunii (76). W przypadku Bułgarii, Estonii, Niemiec, Malty wszystkie wnioski zostały pozytywnie rozpatrzone. Z kolei Francja pozytywnie rozpatrzyła 11% wniosków.

Prawo do sprostowania danych

Zgodnie z przepisami SIS⁷ osoby, których dane dotyczą, mogą korzystać z prawa do sprostowania danych przewidzianego w art. 16 RODO oraz w art. 16 ust. 1 DODO. Dane CSC wskazują, że zasadniczo wpłynęło mało wniosków o sprostowanie danych (50). W większości przypadków wnioski są rozpatrywane przez administratorów danych. Najwięcej wniosków o sprostowanie wpłynęło w Niderlandach (25), Węgrzech (9) i Portugalii (6). Z kolei najwięcej pozytywnie rozpatrzonych wniosków o sprostowanie odnotowuje Belgia (8), Dania (3), Bułgaria (2), Łotwa (1).

Pośrednie prawo do sprostowania danych za pośrednictwem organów nadzorczych

Zgodnie z przepisami DODO, w odniesieniu do przypadków odmowy sprostowania danych, osoba, której dane dotyczą, może wykonywać swoje prawa także za pośrednictwem właściwego organu nadzorczego. Jak wynika z danych CSC, zdarzały się przypadki, w których do organów ochrony danych wpłynęło więcej wniosków niż do samych administratorów – Francja (128:0), Belgia (78:2). Z danych CSC wynika również, że wnioski kierowane do organów nadzorczych nie zostały rozpatrzone pozytywnie.

Wnioski o usunięcie danych

Zgodnie z przepisami SIS⁸ osoby, których dane dotyczą, mogą korzystać z prawa do usunięcia danych przewidzianego w art. 17 RODO oraz w art. 16 ust. 2 DODO. Zgodnie z art. 17 RODO osoba, której dane dotyczą, ma prawo żądania od administratora niezwłocznego usunięcia dotyczących jej danych osobowych, a administrator ma obowiązek bez zbędnej zwłoki usunąć dane osobowe, jeżeli zachodzi jedna z następujących okoliczności:

• a) dane osobowe nie są już niezbędne do celów, w których zostały zebrane lub w inny sposób przetwarzane;
• b) osoba, której dane dotyczą, wnosi sprzeciw na mocy art. 21 ust. 1 wobec przetwarzania i nie występują nadrzędne prawnie uzasadnione podstawy przetwarzania lub osoba, której dane dotyczą, wnosi sprzeciw na mocy art. 21 ust. 2 wobec przetwarzania;
• c) dane osobowe były przetwarzane niezgodnie z prawem;
• d) dane osobowe muszą zostać usunięte w celu wywiązania się z obowiązku prawnego przewidzianego w prawie Unii lub prawie państwa członkowskiego, któremu podlega administrator.
  

Zgodnie z art. 16 ust. 2 DODO, państwa członkowskie nakładają na administratora wymóg usunięcia bez zbędnej zwłoki danych osobowych i zapewniają, by osoba, której dane dotyczą, miała prawo uzyskać od administratora usunięcie bez zbędnej zwłoki jej danych osobowych, jeżeli przetwarzanie narusza przepisy przyjęte na podstawie art. 4, 8 i 10, lub jeżeli dane osobowe muszą zostać usunięte w celu wypełnienia obowiązku prawnego ciążącego na administratorze. Natomiast zgodnie z art. 16 ust. 3 DODO, zamiast usunięcia, administrator ogranicza przetwarzanie, jeżeli:

• a) osoba, której dane dotyczą, kwestionuje prawidłowość danych osobowych, a ich prawidłowości lub nieprawidłowości nie można stwierdzić; lub
• b) dane osobowe muszą zostać zachowane do celów dowodowych.

Jeżeli przetwarzanie jest ograniczone na mocy pkt. a), przed zniesieniem tego ograniczenia administrator informuje o tym osobę, której dane dotyczą. Z danych CSC wynika, że w sumie wpłynęło 2441 wniosków o usunięcie danych, z czego 1044 do administratora we Francji, 438 w Niemczech, 320 w Portugalii, 265 w Czechach, 151 w Niderlandach. Najwięcej rozpatrzonych pozytywnie wniosków odnotowano we Francji (905) i Belgii (93).

Pośrednie prawo do usunięcia danych za pośrednictwem organów nadzorczych

Zgodnie z przepisami DODO, w odniesieniu do przypadków odmowy usunięcia danych, osoba, której dane dotyczą, może wykonywać swoje prawa także za pośrednictwem właściwego organu nadzorczego. Takie wnioski wpłynęły w Belgii (78), Francji (35), Grecji (13). Jednakże tylko w przypadku Portugalii organ nadzorczy wyegzekwował usunięcie danych jednej osoby, której dane dotyczą.

Postępowania sądowe

Każdej osobie przysługuje prawo do wniesienia do sądu, na mocy prawa krajowego państwa członkowskiego żądania o dostęp do informacji, ich sprostowanie, ich usunięcie lub ich uzyskanie lub o zapłatę odszkodowania w związku z wpisem dotyczącym tej osoby⁹. Państwa członkowskie zobowiązują się wzajemnie do wykonywania orzeczeń lub decyzji kończących postępowanie
w sprawie wydanych przez sądy. Jak wynika z danych CSC, w 13 przypadkach wszczęto postępowania sądowe, z czego 7 w Czechach, 3 we Francji, 2 w Szwecji i 1 w Niderlandach. Tylko w 4 przypadkach sąd orzekł na korzyść skarżącego: w Czechach 3 i we Francji 1. Te liczby mogą wskazywać, że statystyki gromadzone przez systemy wymiaru sprawiedliwości państw członkowskich nie obejmują obecnie tego rodzaju postępowań sądowych ze względu na fakt, że jest to nowy obowiązek sprawozdawczy.

Uwagi ogólne

Jakość i szczegółowość danych dostarczonych przez państwa członkowskie za ten okres sprawozdawczy była bardzo różna i w wielu przypadkach wymagane informacje nie zostały przekazane. Sprawozdawczość w zakresie tych statystyk jest nowym obowiązkiem państw członkowskich, jednak dla pomyślnego funkcjonowania SIS – i szeregu powiązanych wielkoskalowych systemów informatycznych UE – bardzo ważne jest, aby dane dotyczące praw osób, których dane dotyczą, były rejestrowane, zestawiane i terminowo przekazywane Europejskiej Radzie Ochrony Danych. Wszystkie państwa członkowskie muszą zapewnić pełne przygotowanie swoich procedur wewnętrznych, aby móc rejestrować te statystyki w formacie wymaganym decyzją wykonawczą Komisji i terminowo przekazywać je Europejskiej Radzie Ochrony Danych.

1. Zgodnie z art. 54 ust. 3 rozporządzenia (UE) 2018/1861 i art. 68 ust. 3 rozporządzenia (UE) 2018/1862. ↩︎
2. Art. 53 rozporządzenia 2018/1861 oraz art. 67 rozporządzenia 2018/1862. ↩︎
3. Art. 51 ust. 2 rozporządzenia 2018/1861 oraz art. 66 ust. 2 rozporządzenia 2018/1862. ↩︎
4. Art. 53 ust. 3 rozporządzenia 2018/1861 oraz art. 67 ust. 3 rozporządzenia 2018/1862. ↩︎
5. https://home-affairs.ec.europa.eu/document/download/aa985c3b-2c11-47e7-99e3-a7459e7c2bc8_en?filename=Schengen%20evaluation%20of%20Poland.pdf ↩︎
6. Zalecenie nr 45 Ewaluacji Schengen w Polsce. ↩︎
7. Art. 53 ust. 3 rozporządzenia 2018/1861 oraz art. 67 ust. 3 rozporządzenia 2018/1862. ↩︎
8. Zalecenie nr 45 Ewaluacji Schengen w Polsce. ↩︎
9. Art. 54 ust. 1 rozporządzenia 2018/1861 oraz art. 68 ust. 1 rozporządzenia 2018/1862. ↩︎