CSC przedstawia raport z działania Systemu Informacyjnego Schengen za rok 2024

System Informacyjny Schengen zajmuje szczególne miejsce wśród wielkoskalowych systemów informatycznych Unii Europejskiej – nie tylko ze względu na zakres przetwarzanych danych i znaczenie operacyjne dla obszaru wolności, bezpieczeństwa i sprawiedliwości, lecz również z uwagi na odrębny, szczególny reżim prawny w zakresie sprawozdawczości.

Rozporządzenia (UE) 2018/1861 oraz 2018/1862 ustanawiają obowiązek corocznej sprawozdawczości skoncentrowanej na praktyce wykonywania praw osób, których dane dotyczą, w państwach członkowskich. W przekształconej wersji SIS ustawodawca unijny wprowadził obowiązek przekazywania do EROD danych statystycznych dotyczących wykonywania prawa dostępu, sprostowania i usunięcia danych.

Dane te są przekazywane przez państwa członkowskie, a zadaniem CSC jest ich zebranie, analiza oraz opracowanie rocznego sprawozdania dla EROD, obejmującego również informacje o postępowaniach sądowych. Sprawozdania państw członkowskich obejmują trzy poziomy wykonywania praw:

·działania administratorów danych;

·środki odwoławcze realizowane przez organy ochrony danych;

·środki ochrony sądowej.

Rok 2024 był drugim rokiem publikacji sprawozdania CSC dotyczącego statystyk wykonywania praw osób, których dane dotyczą w SIS. Doświadczenia zebrane w tym cyklu potwierdzają jednak, że jakość, kompletność i terminowość przekazywanych danych pozostają zróżnicowane. W wielu przypadkach dane nie były raportowane w pełnym zakresie, część sprawozdań została złożona po terminie, a niektóre państwa członkowskie nie przekazały sprawozdań w ogóle. Wskazywane przyczyny obejmowały m.in. brak jasno przypisanych kompetencji w zakresie gromadzenia statystyk SIS, brak scentralizowanych narzędzi do agregowania danych z systemów sądowych czy niepełne wdrożenie przepisów szczególnych. Dlatego też raport z działalności za 2024 r. został opublikowany dopiero na początku lutego 2026 r.

Realizacja prawa dostępu w SIS

W 2024 r. w skali europejskiej dominowały wnioski o dostęp do danych przetwarzanych w dziedzinie odpraw granicznych – 29 151 wniosków, z czego w 89% przypadków udzielono dostępu do danych. Na drugim miejscu znajdują się wnioski osób, których dane nie są przetwarzane w SIS – 28 121 przypadków, przy czym w 60% udzielono informacji potwierdzającej brak wpisu.

Trzecią kategorię stanowią wnioski dotyczące wpisów dokonywanych do celów powrotu nielegalnie przebywających obywateli państw trzecich – 4 501 wniosków, z czego w 95% przypadków udzielono dostępu. W odniesieniu do wpisów w dziedzinie współpracy policyjnej i współpracy wymiarów sprawiedliwości odnotowano łącznie 800 wniosków o dostęp, przy wskaźniku udzielenia dostępu na poziomie 86%.

Na tym tle wyniki Polski przedstawiają się zróżnicowanie. W przypadku wpisów dotyczących powrotu nielegalnie przebywających obywateli państw trzecich dostęp do danych został udzielony w 100% przypadków. W odniesieniu do wpisów z zakresu współpracy policyjnej i współpracy wymiarów sprawiedliwości wskaźnik ten wyniósł 94%.

W przypadku wniosków osób, których dane nie są przetwarzane w SIS, Polska udzieliła informacji w 36% przypadków, natomiast w odniesieniu do danych przetwarzanych w dziedzinie odpraw granicznych – w 20% przypadków.

Ograniczenia prawa dostępu i rola organów nadzorczych

Zgodnie z rozporządzeniami SIS państwo członkowskie może – w określonych sytuacjach – podjąć decyzję o nieprzekazywaniu w całości lub części informacji osobie, której dane dotyczą. Ograniczenie to musi być zgodne z prawem krajowym oraz stanowić niezbędny i proporcjonalny środek w społeczeństwie demokratycznym, w szczególności w celu:

·zapobieżenia utrudnianiu urzędowych lub sądowych dochodzeń, postępowań przygotowawczych lub procedur;

·zapobieżenia utrudnianiu zapobiegania przestępstwom, ich wykrywania, ścigania lub wykonywania kar;

·ochrony bezpieczeństwa publicznego;

·ochrony bezpieczeństwa narodowego;

·ochrony praw i wolności innych osób.

W takich przypadkach osoba, której dane dotyczą, może wykonywać swoje prawa za pośrednictwem właściwego organu nadzorczego (tzw. dostęp pośredni).

Dane za 2024 r. pokazują, że mechanizm ten jest wykorzystywany w praktyce, jednak odsetek przypadków zakończonych przyznaniem pośredniego dostępu jest zróżnicowany. Najwięcej wniosków skierowanych do organów nadzorczych dotyczyło wpisów w dziedzinie odpraw granicznych – 603 przypadki, z czego jedynie w 12% zrealizowano pośredni dostęp do danych.

W 312 przypadkach zwrócono się do organów nadzorczych w sytuacji, w której osoba nie figurowała w SIS – w tej kategorii potwierdzono podmiotom danych brak wpisu w 18% spraw. W odniesieniu do wpisów w dziedzinie współpracy policyjnej i wymiarów sprawiedliwości odnotowano 111 wniosków, przy czym pośredni dostęp został udzielony jedynie w 2% przypadków. Najwyższy odsetek przyznanego dostępu pośredniego dotyczył wpisów dokonywanych do celów powrotu nielegalnie przebywających obywateli państw trzecich – spośród 25 wniosków dostęp przyznano w 80% spraw.

Dane te pokazują, że w szczególności w obszarze współpracy policyjnej i sądowej poziom ujawniania informacji jest bardzo niski, co może wynikać z częstszego powoływania się na przesłanki związane z bezpieczeństwem publicznym lub skutecznością postępowań karnych. Jednocześnie mechanizm dostępu pośredniego pozostaje istotnym gwarantem kontroli nad legalnością przetwarzania danych w sytuacjach, gdy bezpośrednie przekazanie informacji jest ograniczone.

Jednakże w przypadku Polski obowiązujące przepisy krajowe nie przewidują mechanizmu dostępu pośredniego w rozumieniu rozporządzeń SIS. Osoby, których dane dotyczą, mogą dochodzić swoich praw bezpośrednio wobec administratora oraz wnieść skargę do Prezesa UODO, jednak nie mają możliwości wykonywania swoich praw za pośrednictwem organu nadzorczego w razie odmowy dostępu, sprostowania lub usunięcia danych. W toku ewaluacji Schengen, której Polska podlegała w 2024 r., wskazano, że obecne rozwiązanie nie zapewnia pełnej realizacji art. 53 ust. 3 rozporządzenia (UE) 2018/1861, art. 67 ust. 3 rozporządzenia (UE) 2018/1862 oraz art. 19 rozporządzenia (UE) 2018/1860, i sformułowano wobec Polski zalecenie wdrożenia mechanizmu dostępu pośredniego.

Nadzór, statystyki i działania koordynacyjne

W 2024 r. Komitet Skoordynowanego Nadzoru (CSC) prowadził szereg działań o charakterze systemowym, skoncentrowanych na długofalowym kształtowaniu ram nadzoru nad funkcjonowaniem Systemu Informacyjnego Schengen (SIS). Jednym z kluczowych obszarów była kontynuacja prac nad wykładnią przepisów dotyczących cyklu audytu SIS. Dyskusje prowadzone na forum CSC dotyczyły zakresu audytu, jego kompleksowości, częstotliwości oraz stosowania międzynarodowych standardów audytu przez krajowe organy ochrony danych i Europejskiego Inspektora Ochrony Danych. Prace te, zapoczątkowane jeszcze przed 2024 r., były w omawianym roku dalej rozwijane i ukierunkowane na wypracowanie wspólnego, spójnego podejścia nadzorczego.

Równolegle CSC prowadził wymianę informacji z Komisją Europejską w kontekście nowych ram Ewaluacji Schengen (SCHEVAL). W 2024 r. omawiano m.in. doświadczenia z pierwszych ocen przeprowadzanych według nowej metodyki, rolę ekspertów ds. ochrony danych w zespołach oceniających, planowanie przyszłych inspekcji oraz stopień integracji systemów EES i ETIAS z mechanizmem oceny Schengen.

Istotnym elementem działalności CSC była również współpraca z Agencją eu-LISA. Regularne kontakty z inspektorem ochrony danych Agencji umożliwiały bieżącą wymianę informacji dotyczących funkcjonowania nowego SIS, w tym doświadczeń z pierwszego roku jego operacyjnego działania. Informacje te stanowiły ważny kontekst dla dalszych działań nadzorczych i pozwalały identyfikować potencjalne wyzwania o charakterze technicznym i organizacyjnym.

Działania tematyczne CSC – artykuły 36 i 40 SIS

Istotnym obszarem aktywności CSC w 2024 r. były działania tematyczne dotyczące szczególnie wrażliwych kategorii wpisów w SIS. W odniesieniu do wpisów opartych na art. 36 rozporządzenia (UE) 2018/1862, dotyczących niejawnego nadzoru, CSC kontynuował działania zapoczątkowane jeszcze przez Grupę ds. Koordynacji Nadzoru nad SIS II. Po wznowieniu prac po okresie pandemii COVID-19 krajowe organy ochrony danych przekazały informacje z przeprowadzonych działań nadzorczych, które zostały poddane analizie na forum CSC. Efektem było opublikowanie w październiku 2024 r. sprawozdania zawierającego wnioski dotyczące poziomu zgodności i zalecenia odnośnie do jakości dokumentacji, okresów przechowywania danych oraz aspektów merytorycznych i technicznych wpisów.

W odniesieniu do art. 40 rozporządzenia 2018/1862, umożliwiającego wprowadzanie do SIS danych biometrycznych nieznanych osób poszukiwanych, CSC od początku monitoruje statystyki dotyczące tych wpisów. Niewielka liczba wpisów i ograniczona liczba państw członkowskich korzystających z tej możliwości wskazują, że na obecnym etapie nie zachodzi potrzeba podejmowania skoordynowanych działań, przy jednoczesnym utrzymaniu bieżącego monitoringu i wymiany informacji.

Znaczenie sprawozdawczości SIS dla systemu nadzoru

Szczególny reżim sprawozdawczy SIS pokazuje, że ochrona praw osób, których dane dotyczą, została wpisana w architekturę systemu i nie ogranicza się wyłącznie do reaktywnego nadzoru. Coroczne sprawozdania, oparte na danych krajowych, pozwalają EROD i CSC identyfikować problemy systemowe oraz wspierać państwa członkowskie w doskonaleniu swoich procedur.

Dla krajowych organów ochrony danych oznacza to konieczność dalszego wzmacniania współpracy z właściwymi organami, tak aby sprawozdawczość SIS była kompletna, porównywalna i terminowa. W dłuższej perspektywie doświadczenia te będą miały znaczenie również dla innych wielkoskalowych systemów informatycznych UE, w których podobne mechanizmy sprawozdawcze dopiero się kształtują.

Pełna treść raportu CSC za 2024 r. dotyczącego działań nadzorczych oraz wykonywania praw osób, których dane dotyczą w SIS, jest dostępna na stronie Europejskiej Rady Ochrony Danych (EROD) w sekcji poświęconej CSC.