Przepisy o danych biometrycznych w centralnym rejestrze dowodów osobistych do poprawy
Należałoby uwzględnić w polskim prawie stanowisko TSUE zawarte w wyroku w sprawie odcisków palców i wizerunku w dowodach osobistych. Takie stanowisko prezes UODO Mirosław Wróblewski przedstawił w piśmie do ministra ds. Unii Europejskiej Adama Szłapki.
Minister poprosił UODO o stanowisko w sprawie skutków wyroku Trybunału Sprawiedliwości Unii Europejskiej z 21 marca 2024 r. w sprawie C- 61/22 Landeshauptstadt Wiesbaden (dowody osobiste – obowiązek umieszczania i przechowywania odcisków palców w dowodach osobistych – ochrona danych osobowych).
TSUE w tym wyroku unieważnił unijne rozporządzenie w sprawie poprawy zabezpieczeń dowodów osobistych obywateli Unii i dokumentów pobytowych wydawanych obywatelom Unii i członkom ich rodzin korzystającym z prawa do swobodnego przemieszczania się (rozporządzenie Parlamentu Europejskiego i Rady 2019/1157 z dnia 20 czerwca 2019 r.). Dał do 1 stycznia 2027 r. czas na zmianę przepisów – do tego czasu stare pozostają w mocy.
Przyczyną unieważnienia jest błąd proceduralny (zła podstawa prawna). Trybunał zauważył jednak, jakie rozstrzygnięcia są kluczowe – i jak ma wyglądać nowy akt. Chodzi o sposób przetwarzania danych biometrycznych na potrzeby dowodów osobowych w Unii Europejskiej. Mają one zawierać wizerunek twarzy i dwa odciski palców w interoperacyjnych formatach cyfrowych. Ponieważ są to dane szczególnie wrażliwe, pozwalające zidentyfikować człowieka, TSUE podkreśla, że rozporządzenie (motyw 21) nie pozwalało, by zebrane w ten sposób dane umieszczać w krajowych bazach danych. W momencie, gdy obywatel odbierze dowód osobisty, dane z systemu centralnego powinny być usunięte. Ich miejsce jest wyłącznie w dowodzie osobistym.
Niemniej prawodawcy w krajach członkowskich zezwalali na powstawanie takich baz centralnych. W Polsce jest podobnie, mamy centralny Rejestr Dowodów Osobistych. Na podstawie art. 55 ustawy o dowodach osobistych w Rejestrze gromadzone są w szczególności dane biometryczne w postaci wizerunku twarzy i dwóch odcisków palców. Organ nadzorczy, w trakcie prac legislacyjnych zgłaszał uwagi i wyraził krytyczną ocenę na temat przetwarzania danych biometrycznych w zakresie odcisków palców w jednej scentralizowanej bazie. Wskazał również, że projektowane rozwiązania powodują ryzyko naruszenia praw i wolności osób, co uzasadnia przeprowadzenie oceny skutków przetwarzania dla ochrony danych osobowych.
Prezes UODO przypomina, że w czasie prac nad rozporządzeniem precyzującym sposób prowadzenia Rejestru Dowodów Osobistych zgłaszał uwagi: zakładana przez projektodawcę skala i sposoby przetwarzania danych i informacji rodziła ryzyko naruszenia praw i wolności osób, których dane dotyczą. Uwag tych Minister Cyfryzacji nie uwzględnił.
Teraz trzeba będzie to zrobić w związku z wyrokiem TSUE: „Przetwarzanie wizerunku twarzy i odcisków palców na dowodzie ma swoje podstawy w ustawie o dowodach osobistych, niemniej przetwarzanie tych danych nie ma wystarczających gwarancji w tym akcie z punktu widzenia przestrzegania przez ustawodawcę polskiego zasady proporcjonalności w zakresie ingerencji w prawo do prywatności oraz ochrony danych osobowych i realizacji celów tzw. interesu ogólnego w postaci walki z fałszowaniem dowodów osobistych i oszustw dotyczących tożsamości”. „Dla realizacji tego celu ogólnego nie jest bowiem niezbędne przechowywanie odcisków palców i wizerunku przekazanych przez podmiot danych dla celów uzyskania dowodu osobistego w innych celach, realizacji których służy funkcjonowanie Rejestru”.
Opinia Prezesa UODO dotycząca wyroku C- 61/22 dostępna jest w załączonym poniżej pliku.
DOL.0623.8.2023