Udostępnienie szczegółowych danych identyfikujących osoby fizyczne, w tym także numer PESEL, w bazach publicznych, za pomocą Internetu, może powodować poważne zagrożenia dla ochrony prawa do prywatności i danych osobowych
Na takie niebezpieczeństwa wskazuje zarówno Europejski Trybunału Praw Człowieka (ETPCz), jak i Trybunał Sprawiedliwości Unii Europejskiej (TSUE) w swoim aktualnym orzecznictwie odnoszącym się do rejestrów publicznych.
Z tych orzeczeń wynika, że ingerencja w prawo do prywatności uznana została w badanych przypadkach za nieproporcjonalną, prowadzącą do naruszenia praw podstawowych.
W związku z wypracowanymi standardami w tym zakresie Marcin Wiącek przekazuje Ministrowi Sprawiedliwości uwagi mające na celu zapewnienie skutecznej ochrony wolności i praw człowieka i obywatela.
Orzecznictwo Trybunału Sprawiedliwości UE
Trybunał Sprawiedliwości UE w sprawach dotyczących funkcjonowania publicznych rejestrów w kontekście ochrony prawa do prywatności, podkreślał, że udostępnianie danych osobowych osobom trzecim stanowi ingerencję w prawa podstawowe ustanowione w art. 7 i 8 Karty Praw Podstawowych UE (KPP), niezależnie od tego, w jaki sposób te dane zostaną później wykorzystane.
TSUE wskazał przy tym, że „nie można dążyć do celu interesu ogólnego bez uwzględnienia okoliczności, że należy pogodzić go z prawami podstawowymi, których dotyczy środek, dokonując zapewniającego równowagę wyważenia między celem interesu ogólnego z jednej strony a rozpatrywanymi prawami z drugiej strony”.
RPO zwraca uwagę na wyrok TSUE z 22 listopada 2022 r. w połączonych sprawach C-37/20 i C-601/20, dotyczący rejestru beneficjentów rzeczywistych. Trybunał podkreślił w nim, że udostępnienie każdej osobie dostępu do danych zawartych w powszechnym rejestrze stanowi nieproporcjonalną ingerencję w prawo do prywatności i ochrony danych osobowych.
W wyroku z 9 listopada 2010 r. w sprawach C-92/09 i C-93/095 Trybunał orzekł, że nałożony przepisami unijnymi obowiązek publikowania na stronie internetowej danych dotyczących beneficjentów pomocy z unijnych funduszy rolnych i rozwoju obszarów wiejskich, w tym ich nazwiska i uzyskiwanych dochodów, stanowił nieuzasadnioną ingerencję w podstawowe prawo do ochrony danych osobowych.
Ponadto, w wyroku z dnia 22 czerwca 2021, w sprawie C-439/19, dotyczącej publicznego rejestru zawierającego informacje na temat punktów karnych za wykroczenia drogowe, TSUE wskazał, że przepisy RODO, a w szczególności art. 5 ust. 1, art. 6 ust. 1 lit. E) i art. 10 tego rozporządzenia, należy interpretować w ten sposób, że sprzeciwiają się one przepisom krajowym, które nakładają na organ publiczny prowadzący rejestr, w którym wpisywane są punkty karne nakładane na kierowców pojazdów za wykroczenia drogowe, obowiązek publicznego ujawniania tych danych, nie przewidują zaś obowiązku wykazania przez osobę żądającą dostępu szczególnego interesu w ich uzyskaniu.
Orzecznictwo Europejskiego Trybunału Praw Człowieka
Rzecznik wskazuje na wyrok Wielkiej Izby ETPCz z 9 marca 2023 r. w sprawie L.B. przeciwko Węgrom, (skarga nr 36345/16), w którym Trybunał uznał, że nieproporcjonalną ingerencję w prawo do prywatności, o którym mowa w art. 8 Konwencji, stanowi publikacja na stronie internetowej organu podatkowego listy zawierającej dane osobowe poważnych dłużników podatkowych, w tym ich adresu zamieszkania.
Trybunał podkreślał, że o ile można powiedzieć, że publikacja wykazu odpowiadała interesowi publicznemu, to nie przeanalizowano, w jakim zakresie publikacja wszystkich danych, o których mowa, a w szczególności adresu zamieszkania dłużnika podatkowego, była konieczna w celu osiągnięcia pierwotnego celu gromadzenia odpowiednich danych osobowych w interesie dobrobytu gospodarczego kraju.
ETPCz wskazał, że ochrona danych osobowych ma fundamentalne znaczenie dla korzystania przez osobę z jej prawa do poszanowania życia prywatnego i rodzinnego, gwarantowanego przez art. 8 Konwencji. Prawo krajowe musi zapewniać odpowiednie gwarancje zapobiegające takiemu wykorzystaniu danych osobowych, które może być niezgodne z gwarancjami zawartymi w art. 8 Konwencji.
W ocenie Trybunału, w badanej sprawie, nie wzięto pod uwagę potencjalnego zasięgu medium użytego do rozpowszechniania przedmiotowych informacji. Publikacja danych osobowych na stronie internetowej Urzędu Skarbowego oznaczała, że niezależnie od motywów, każdy na świecie, kto miał dostęp do Internetu, miał również nieograniczony dostęp do informacji o nazwisku i adresie zamieszkania każdego dłużnika podatkowego z wykazu, przy czym ryzyko ponownej publikacji było naturalną, prawdopodobną i przewidywalną konsekwencją pierwotnego opublikowanie.
Chociaż Trybunał przyznał, że intencją ustawodawcy było zwiększenie przestrzegania przepisów prawa podatkowego, a także, że dodanie adresu zamieszkania podatnika zapewniło dokładność publikowanych informacji, wskazał, że nie wydaje się, aby ustawodawca rozważył podjęcie środków w celu opracowania odpowiednio dostosowanych rozwiązań w świetle zasady minimalizacji danych.
Szeroki dostęp do danych osobowych w Krajowym Rejestrze Zadłużonych
Rzecznik Praw Obywatelskich zwraca uwagę na regulacje dotyczące Krajowego Rejestru Zadłużonych, które aktualnie również przewidują upublicznienie numeru PESEL. Szeroki zakres udostępnianych danych identyfikujących osoby zadłużone w tym rejestrze budzi niepokój – zwłaszcza w kontekście przytoczonego wyroku ETPCz z dnia 9 marca 2023 r., nr 36345/16, który dotyczył upublicznienia wykazu najpoważniejszych dłużników podatkowych.
Niezależnie od tego, że dane osobowe zawarte w KRZ służą interesowi publicznemu i realizują obowiązek wynikający z przepisów prawa upadłościowego i restrukturyzacyjnego - jak wskazywano w uzasadnieniu do projektu ustawy o Krajowym Rejestrze Zadłużonych - z punktu widzenia niezbędności przetwarzania danych osobowych przez władze publiczne wątpliwości budzi udostępnianie w Internecie szczegółowych danych osobowych, tj. numeru PESEL powiązanego z imieniem, nazwiskiem, adresem, miejscem zamieszkania (lub siedziby).
Unijne rozporządzenie nr 2015/848 z dnia 20 maja 2015 r. w sprawie postępowania upadłościowego w odniesieniu do osób fizycznych przewiduje węższy zakres udostępnianych danych, obejmuje: imię i nazwisko dłużnika, numer wpisu do ewidencji (jeżeli dotyczy) oraz adres pocztowy, a gdy adres jest zastrzeżony - datę i miejsce urodzenia dłużnika. Państwa członkowskie UE mogą uzależnić dostęp do rejestru od weryfikacji, czy istnieje uzasadniona potrzeba dostępu do tych informacji.
Istnieje zatem wątpliwość, czy zaproponowane rozwiązanie w ustawie o Krajowym Rejestrze Zadłużonych, przewidujące udostępnienie w szerokim zakresie danych identyfikujących osoby fizyczne, nie stanowi nadmiernej i nieproporcjonalnej ingerencji w prawa do ochrony prywatności i danych osobowych.
Marcin Wiącek zwraca uwagę ministra sprawiedliwości Zbigniewa Ziobry na potrzebę dokonania systemowych zmian w aktualnych regulacjach dotyczących funkcjonowania publicznych rejestrów. Tak, aby zapewnić ochronę w zakresie prawa do prywatności i danych osobowych.
Kompleksowe działania w tym obszarze powinny także odbywać się równolegle do prac nad projektem ustawy o zmianie niektórych ustaw w związku z zapobieganiem kradzieży tożsamości.
RPO prosi o odniesienie się do przedstawionych uwag, w szczególności wskazujących na potrzebę zmian regulacji dotyczących Krajowego Rejestru Zadłużonych, którego prowadzenie leży w kompetencjach Ministra Sprawiedliwości.
Odpowiedź Marcina Warchoła, sekretarza stanu w MS
Jak słusznie wskazują w swoim orzecznictwie Europejski Trybunał Praw Człowieka oraz Trybunał Sprawiedliwości Unii Europejskiej w przypadku rejestrów publicznych zachodzi potrzeba zbadania, czy udostępnianie określonych danych, służące realizacji interesu ogólnego (w szczególności wzmocnieniu transparentności i bezpieczeństwa obrotu prawnego), nie stanowi nadmiernej ingerencji w prawo do prywatności i dane osobowe obywateli. W realiach dynamicznego rozwoju tzw. społeczeństwa informacyjnego, charakteryzującego się powszechną dostępnością do danych za pośrednictwem sieci teleinformatycznych, w szczególności Internetu rozstrzygnięcie kolizji tych wartości jest kwestią nader istotną.
Odnosząc się bezpośrednio do problematyki stanowiącej przedmiot Pańskiego wystąpienia w pierwszym rzędzie pragnę wskazać, że do zadań Ministra Sprawiedliwości należą sprawy związane z projektowaniem rozwiązań legislacyjnych dotyczących jedynie tych z rejestrów publicznych, których prowadzenie mieści się w zakresie określonym przez art. 24 ustawy z dnia 4 września 1997 r. o działach administracji rządowej (Dz. U. z 2022 r. poz. 2512, z późn. zm.) w związku z § 1 ust. 2 rozporządzenia Ministra Sprawiedliwości z dnia 18 listopada 2019 r. w sprawie szczegółowego zakresu działania Ministra Sprawiedliwości (Dz. U. z 2019 r. poz. 2271). Chodzi tu przede wszystkim o rejestry sądowe.
Powołany w wystąpieniu z dnia 20 kwietnia 2023 r. wyrok TSUE z dnia 22 listopada 2022 r. zapadły w połączonych sprawach C-37/20 i C-601/20 odnosi się na gruncie polskim do Centralnego Rejestru Beneficjentów Rzeczywistych. Zgodnie z art. 56 ustawy z dnia 1 marca 2018 r. o przeciwdziałaniu praniu pieniędzy oraz finansowaniu terroryzmu (Dz. U. 2022 r. poz. 593, z późn. zm.), zwanej dalej „u.p.p.p.”, w sprawach dotyczących tego rejestru właściwy jest Minister Finansów.
De lege lata rejestr ten jest jawny (art. 67 u.p.p.p.). To zatem przede wszystkim Minister Finansów jest właściwy do podjęcia prac legislacyjnych zmierzających do dostosowania przepisów powołanej ustawy do wskazanego wyżej orzeczenia TUSE.
Nie oznacza to jednak, że w przypadku rejestrów sądowych nie zachodzi potrzeba dokonania przeglądu regulacji określających sposób udostępniania danych osobowych. Podkreślenia jednak wymaga, że problem nadmiarowego udostępniania niektórych danych osobowych dotyczy całego systemu rejestrów publicznych, którego jedynie część stanowią rejestry sądowe.
Należy pamiętać, iż większość regulacji rejestrowych, a także powiązanych z nimi rozwiązań organizacyjno-technicznych służących udostępnianiu treści rejestrów, została zaprojektowana jeszcze zanim zapadły powołane w wystąpieniu z dnia 20 kwietnia 2023 r. orzeczenia Europejskiego Trybunału Praw Człowieka oraz Trybunału Sprawiedliwości Unii Europejskiej. Ministerstwo Sprawiedliwości stoi na stanowisku, że regulacje zmierzające do rozwiązania problemów dotyczących wszystkich rejestrów publicznych powinny mieć charakter ogólnosystemowy i być koordynowane na poziomie wszystkich naczelnych i centralnych organów administracji publicznej. Ministerstwo Sprawiedliwości deklaruje wzięcie aktywnego udziału w wypracowaniu takich regulacji. Przykładem problemu wymagającego rozwiązania na gruncie wszystkich rejestrów publicznych jest określenie zasad udostępnienia numerów PESEL.
Udostępnienie takich numerów nieograniczonemu kręgowi podmiotów może z jednej strony budzić wątpliwości związane z możliwością naruszenia przepisów dotyczących ochrony danych osobowych, z drugiej zaś bez ich udostępnienia utrudniona jest sprawna identyfikacja osób fizycznych ujawnionych w rejestrach (np. członków organów podmiotu) przez innych uczestników obrotu prawnego.
Przypomnienia również wymaga, że znaczna cześć regulacji dotyczących rejestrów sądowych stanowi implementację prawa Unii Europejskiej (np. dyrektywy Parlamentu Europejskiego i Rady (UE) 2017/1132 z dnia 14 czerwca 2017 r. w sprawie niektórych aspektów prawa spółek (Dz. Urz. UE L 169 z 30.06.2017, str. 46-127)), bądź uzupełnia regulacje prawa Unii Europejskiej (por. rozporządzenie Parlamentu Europejskiego i Rady (UE) 2015/848 z dnia 20 maja 2015 r. w sprawie postępowania upadłościowego (Dz. Urz. UE L 141 z 05.06.2015, str. 19)).
Przykładowo można wskazać, że dyrektywa Parlamentu Europejskiego i Rady (UE) 2017/1132 nakłada na państwa członkowskie obowiązek podjęcia niezbędnych środków w celu zapewniania obowiązkowego ujawniania przez spółki określonych dokumentów i informacji. Przepis art. 14 powołanej dyrektywy stanowi, że ujawnieniu podlegają dane osób, które są upoważnione do reprezentowania spółki wobec osób trzecich oraz do reprezentowania jej w postępowaniu sądowym lub uczestniczą w zarządzaniu, nadzorowaniu lub kontrolowaniu spółki.
Zgodnie z orzecznictwem Trybunału Sprawiedliwości Unii Europejskiej jawność danych przewidziana w dyrektywę „służy umożliwieniu dostępu do informacji wszystkim zainteresowanym osobom trzecim, bez potrzeby wykazywania prawa lub interesu zasługującego na ochronę i zapewnia ochronę interesów osób trzecich względem spółek akcyjnych i spółek z ograniczoną odpowiedzialnością, a także pewność prawa i uczciwości transakcji handlowych” (por. wyrok Trybunału Sprawiedliwości Unii Europejskiej z dnia 9 marca 2017 r. w sprawie C-398/15). W powołanym wyroku Trybunał stwierdził, że celem dyrektywy 2017/1132 jest zapewnienie pewności prawa w stosunkach między spółką a osobami trzecimi w przypadku wzmocnienia wymiany handlowej między państwami członkowskimi po utworzeniu rynku wewnętrznego oraz wskazał, iż ważne jest, aby wszystkie osoby pragnące nawiązać i kontynuować stosunki gospodarcze ze spółkami mającymi siedzibę w innych państwach członkowskich mogły łatwo zapoznać się z podstawowymi danymi dotyczącymi zakładania spółek handlowych oraz uprawnień osób upoważnionych do ich reprezentowania, co wymaga, aby wszystkie istotne informacje zostały wyraźnie wymienione w rejestrze (podobnie w wyroku z dnia 12 listopada 1974 r., Haaga, 32/74, EU:C:1974:116, pkt 6).
Rzecznik Trybunału Sprawiedliwości Unii Europejskiej w pkt 47 opinii wydanej w sprawie C-398/15 zwrócił natomiast uwagę, że z orzecznictwa Trybunału wynika, że prawo do ochrony danych osobowych nie stanowi prerogatywy o charakterze absolutnym i powinno być oceniane w świetle jego funkcji społecznej. Ponadto art. 52 ust. 1 Karty Praw Podstawowych Unii Europejskiej dopuszcza wprowadzenie ograniczeń w wykonywaniu praw takich jak prawa ustanowione w art. 7 i 8 karty, o ile przewidziane są one ustawą, szanują istotę tych praw i wolności i z zastrzeżeniem zasady proporcjonalności są konieczne i rzeczywiście odpowiadają celom interesu ogólnego uznawanym przez Unię Europejską lub potrzebom ochrony praw i wolności innych osób (por. wyrok z dnia 9 listopada 2010 r., Volker und Markus Schecke i Eifert C 92/09 i C 93/09, EU:C:2010:662, pkt 48 i przytoczone tam orzecznictwo).
Uregulowanie szczegółowego zakresu i sposobu udostępniania danych zawartych w rejestrach sądowych w sposób zapewniający poszanowanie prawa do prywatności i ochronę danych osobowych stanowi zatem także zagadnienie ogólnoeuropejskie.
W związku z powyższym należy odpowiednio wyważyć wynikające z obowiązujących przepisów prawa obowiązki (ochrony danych osobowych oraz zapewnienia transparentności danych osób prawnych, w tym osób uprawnionych do ich reprezentacji) i wprowadzić optymalne rozwiązania przy uwzględnieniu przesłanki niezbędności. Sposób przetwarzania danych osobowych powinien być bowiem adekwatny do realizowanego celu (por. wyrok z dnia 16 grudnia 2008 r., w sprawie C-524/06).
Odnosząc się do Pańskich uwag dotyczących potrzeby wprowadzenia zmian prawnych w rejestrach, w szczególności zaś w Krajowym Rejestrze Zadłużonych, uprzejmie informuję, że w ramach Ministerstwa Sprawiedliwości prowadzone są obecnie zaawansowane prace analityczno-koncepcyjne, których celem jest wzmocnienie ochrony danych osobowych. Prace te obejmują z jednej strony analizę zagadnień o charakterze legislacyjnym, w szczególności problemów, na które Prezes Urzędu Ochrony Danych Osobowych oraz Rzecznik Praw Obywatelskich zwracali uwagę we wcześniejszych wystąpieniach, z drugiej zaś koncentrują się na wypracowaniu rozwiązań o charakterze organizacyjno-technicznym.
Nie można bowiem zapominać, że rejestry sądowe to z reguły niezwykle obszerne, gromadzone przez szereg lat zbiory danych. Zbiory te prowadzone są zarówno w postaci papierowej, jak i w systemach teleinformatycznych. Zmiany zasad udostępniania danych zawartych w rejestrach sądowych wiążą się zatem niejednokrotnie z koniecznością przeprowadzenia czasochłonnych prac projektowych, a następnie wdrożeniowych i istotną modyfikacją systemów teleinformatycznych. Nie bez znaczenia w tym kontekście pozostaje również konieczność zapewnienia środków koniecznych dla sfinansowania takich prac.
Reasumując pragnę poinformować, że Ministerstwo Sprawiedliwości podziela stanowisko Rzecznika Praw Obywatelskich dotyczące konieczności wprowadzenia zmian prawnych zmierzających do wzmocnienia ochrony danych osobowych w Krajowym Rejestrze Zadłużonych oraz innych rejestrach. Właściwe komórki organizacyjne Ministerstwa Sprawiedliwości prowadzą obecnie prace koncepcyjno-analityczne zmierzające do wypracowania niezbędnych rozwiązań organizacyjno-technicznych.
W oparciu o wyniki tych prac zostaną przygotowane projekty aktów normatywnych, które w ramach późniejszych procesów legislacyjnych będą przekazywane do zaopiniowania m.in. Rzecznikowi Praw Obywatelskich oraz Prezesowi Urzędu Ochrony Danych Osobowych.
LS
RPO
foto: Pixabay