Biuletyn Informacji Publicznej RPO

• Publiczny dostęp do danych identyfikujących osoby fizyczne, w tym PESEL-i, w bazach publicznych, może powodować poważne zagrożenia dla ochrony prawa do prywatności i danych osobowych
• Trybunały europejskie w aktualnym orzecznictwie wskazują na niebezpieczeństwo nieproporcjonalnej ingerencja w prawo do prywatności, która prowadzi do naruszenia praw podstawowych
• RPO prosi Ministra Sprawiedliwości aby zweryfikował dotychczasowe rozwiązania prawne dotyczące funkcjonowania publicznych rejestrów pod kątem ochrony prawa do prywatności i danych osobowych

Udostępnienie szczegółowych danych identyfikujących osoby fizyczne, w tym także numer PESEL, w bazach publicznych, za pomocą Internetu, może powodować poważne zagrożenia dla ochrony prawa do prywatności i danych osobowych.

Na takie niebezpieczeństwa wskazuje zarówno Europejski Trybunału Praw Człowieka (ETPCz), jak i Trybunał Sprawiedliwości Unii Europejskiej (TSUE) w swoim aktualnym orzecznictwie odnoszącym się do rejestrów publicznych.

Z tych orzeczeń wynika, że ingerencja w prawo do prywatności uznana została w badanych przypadkach za nieproporcjonalną, prowadzącą do naruszenia praw podstawowych.

W związku z wypracowanymi standardami w tym zakresie Marcin Wiącek przekazuje Ministrowi Sprawiedliwości uwagi mające na celu zapewnienie skutecznej ochrony wolności i praw człowieka i obywatela.

Orzecznictwo Trybunału Sprawiedliwości UE

Trybunał Sprawiedliwości UE w sprawach dotyczących funkcjonowania publicznych rejestrów w kontekście ochrony prawa do prywatności, podkreślał, że udostępnianie danych osobowych osobom trzecim stanowi ingerencję w prawa podstawowe ustanowione w art. 7 i 8 Karty Praw Podstawowych UE (KPP), niezależnie od tego, w jaki sposób te dane zostaną później wykorzystane.

TSUE wskazał przy tym, że „nie można dążyć do celu interesu ogólnego bez uwzględnienia okoliczności, że należy pogodzić go z prawami podstawowymi, których dotyczy środek, dokonując zapewniającego równowagę wyważenia między celem interesu ogólnego z jednej strony a rozpatrywanymi prawami z drugiej strony”.

RPO zwraca uwagę na wyrok TSUE z 22 listopada 2022 r. w połączonych sprawach C-37/20 i C-601/20, dotyczący rejestru beneficjentów rzeczywistych. Trybunał podkreślił w nim, że udostępnienie każdej osobie dostępu do danych zawartych w powszechnym rejestrze stanowi nieproporcjonalną ingerencję w prawo do prywatności i ochrony danych osobowych.

W wyroku z 9 listopada 2010 r. w sprawach C-92/09 i C-93/095 Trybunał orzekł, że nałożony przepisami unijnymi obowiązek publikowania na stronie internetowej danych dotyczących beneficjentów pomocy z unijnych funduszy rolnych i rozwoju obszarów wiejskich, w tym ich nazwiska i uzyskiwanych dochodów, stanowił nieuzasadnioną ingerencję w podstawowe prawo do ochrony danych osobowych.

Ponadto, w wyroku z dnia 22 czerwca 2021, w sprawie C-439/19, dotyczącej publicznego rejestru zawierającego informacje na temat punktów karnych za wykroczenia drogowe, TSUE wskazał, że przepisy RODO, a w szczególności art. 5 ust. 1, art. 6 ust. 1 lit. E) i art. 10 tego rozporządzenia, należy interpretować w ten sposób, że sprzeciwiają się one przepisom krajowym, które nakładają na organ publiczny prowadzący rejestr, w którym wpisywane są punkty karne nakładane na kierowców pojazdów za wykroczenia drogowe, obowiązek publicznego ujawniania tych danych, nie przewidują zaś obowiązku wykazania przez osobę żądającą dostępu szczególnego interesu w ich uzyskaniu.

Orzecznictwo Europejskiego Trybunału Praw Człowieka

Rzecznik wskazuje na wyrok Wielkiej Izby ETPCz z 9 marca 2023 r. w sprawie L.B. przeciwko Węgrom, (skarga nr 36345/16), w którym Trybunał uznał, że nieproporcjonalną ingerencję w prawo do prywatności, o którym mowa w art. 8 Konwencji, stanowi publikacja na stronie internetowej organu podatkowego listy zawierającej dane osobowe poważnych dłużników podatkowych, w tym ich adresu zamieszkania.

Trybunał podkreślał, że o ile można powiedzieć, że publikacja wykazu odpowiadała interesowi publicznemu, to nie przeanalizowano, w jakim zakresie publikacja wszystkich danych, o których mowa, a w szczególności adresu zamieszkania dłużnika podatkowego, była konieczna w celu osiągnięcia pierwotnego celu gromadzenia odpowiednich danych osobowych w interesie dobrobytu gospodarczego kraju.

ETPCz wskazał, że ochrona danych osobowych ma fundamentalne znaczenie dla korzystania przez osobę z jej prawa do poszanowania życia prywatnego i rodzinnego, gwarantowanego przez art. 8 Konwencji. Prawo krajowe musi zapewniać odpowiednie gwarancje zapobiegające takiemu wykorzystaniu danych osobowych, które może być niezgodne z gwarancjami zawartymi w art. 8 Konwencji.

W ocenie Trybunału, w badanej sprawie, nie wzięto pod uwagę potencjalnego zasięgu medium użytego do rozpowszechniania przedmiotowych informacji. Publikacja danych osobowych na stronie internetowej Urzędu Skarbowego oznaczała, że niezależnie od motywów, każdy na świecie, kto miał dostęp do Internetu, miał również nieograniczony dostęp do informacji o nazwisku i adresie zamieszkania każdego dłużnika podatkowego z wykazu, przy czym ryzyko ponownej publikacji było naturalną, prawdopodobną i przewidywalną konsekwencją pierwotnego opublikowanie. Chociaż Trybunał przyznał, że intencją ustawodawcy było zwiększenie przestrzegania przepisów prawa podatkowego, a także, że dodanie adresu zamieszkania podatnika zapewniło dokładność publikowanych informacji, wskazał, że nie wydaje się, aby ustawodawca rozważył podjęcie środków w celu opracowania odpowiednio dostosowanych rozwiązań w świetle zasady minimalizacji danych.

Wątpliwości PUODO

Wraz z wejściem w życie przepisów rozporządzenia 2016/679 (RODO) - na konieczność dokonania pełnego przeglądu wszystkich przepisów prawa powszechnie obowiązującego, w tym regulacji dotyczących Krajowego Rejestru Sądowego, w celu dostosowania ich do przepisów RODO, wskazywał Prezes Urzędu Ochrony Danych Osobowych.

PUODO zwracał uwagę na art. 87 RODO, którego celem jest szczególna ochrona krajowych numerów identyfikacyjnych, za który należy uznać nr PESEL. PUODO wskazał Ministrowi Sprawiedliwości na konieczność dokonania wyważenia między wartością, jaką jest właściwa ochrona obrotu gospodarczego, a wartością, jaką jest prawo osoby do prywatności. Jak wskazał Prezes Urzędu, RODO wymusza zmianę spojrzenia na wszelkie dane publikowane w sieci.

Wcześniejsze wystąpienia RPO

Rzecznik Praw Obywatelskich niejednokrotnie zwracał uwagę na konieczność podjęcia systemowych zmian w związku z funkcjonowaniem publicznych rejestrów - wskazując na zakres udostępnianych danych (w tym także nr PESEL) oraz na nieograniczony zasięg udostępnianych danych (m. in. w odniesieniu do rejestru elektronicznych ksiąg wieczystych, rejestru beneficjentów rzeczywistych, czy też rejestru umów osób pełniących funkcje publiczne).

Jawność tak szczegółowych danych osobowych, w tym także numeru PESEL, w publicznych bazach danych stwarza poważne ryzyko naruszenia prywatności jednostki. Co ważne, nr PESEL jest także wykorzystywany jako identyfikator przy dokonywaniu różnych czynności w relacjach z organami władzy publicznej oraz podmiotami prywatnymi.

RPO podkreślał, że wymogi odnośnie do dozwolonych konstytucyjnie ograniczeń w zakresie korzystania z konstytucyjnych wolności i praw wynikają z art. 31 ust. 3 Konstytucji RP, a w odniesieniu do prawa do ochrony danych osobowych, doprecyzowane zostały w art. 51 ust. 2 Konstytucji RP. Zgodnie z tym przepisem władze publiczne nie mogą pozyskiwać gromadzić i udostępniać innych informacji o obywatelach niż niezbędne w demokratycznym państwie prawnym. Jak wskazywał przy tym Trybunał Konstytucyjny, „zbieranie przez władze publiczne wyłącznie niezbędnych/koniecznych - a nie „wygodnych” - informacji o osobie gwarantuje odpowiednią ochronę prywatności.

Szeroki dostęp do danych osobowych w Krajowym Rejestrze Zadłużonych

W piśmie Rzecznik zwraca uwagę na regulacje dotyczące Krajowego Rejestru Zadłużonych, które aktualnie również przewidują upublicznienie numeru PESEL. Szeroki zakres udostępnianych danych identyfikujących osoby zadłużone w tym rejestrze budzi niepokój – zwłaszcza w kontekście przytoczonego wyroku ETPCz z dnia 9 marca 2023 r., nr 36345/16, który dotyczył upublicznienia wykazu najpoważniejszych dłużników podatkowych.

Niezależnie od tego, że dane osobowe zawarte w KRZ służą interesowi publicznemu i realizują obowiązek wynikający z przepisów prawa upadłościowego i restrukturyzacyjnego - jak wskazywano w uzasadnieniu do projektu ustawy o Krajowym Rejestrze Zadłużonych - z punktu widzenia niezbędności przetwarzania danych osobowych przez władze publiczne wątpliwości budzi udostępnianie w Internecie szczegółowych danych osobowych, tj. numeru PESEL powiązanego z imieniem, nazwiskiem, adresem, miejscem zamieszkania (lub siedziby).

Unijne rozporządzenie nr 2015/848 z dnia 20 maja 2015 r. w sprawie postępowania upadłościowego w odniesieniu do osób fizycznych przewiduje węższy zakres udostępnianych danych, obejmuje: imię i nazwisko dłużnika, numer wpisu do ewidencji (jeżeli dotyczy) oraz adres pocztowy, a gdy adres jest zastrzeżony - datę i miejsce urodzenia dłużnika. Państwa członkowskie UE mogą uzależnić dostęp do rejestru od weryfikacji, czy istnieje uzasadniona potrzeba dostępu do tych informacji.

Istnieje zatem wątpliwość, czy zaproponowane rozwiązanie w ustawie o Krajowym Rejestrze Zadłużonych, przewidujące udostępnienie w szerokim zakresie danych identyfikujących osoby fizyczne, nie stanowi nadmiernej i nieproporcjonalnej ingerencji w prawa do ochrony prywatności i danych osobowych.

Potrzebne są systemowe zmiany dla zapewnienia skutecznej ochrony prawa do prywatności i danych osobowych

Marcin Wiącek zwraca uwagę ministra sprawiedliwości Zbigniewa Ziobry na potrzebę dokonania systemowych zmian w aktualnych regulacjach dotyczących funkcjonowania publicznych rejestrów. Tak, aby zapewnić ochronę w zakresie prawa do prywatności i danych osobowych.

Kompleksowe działania w tym obszarze powinny także odbywać się równolegle do prac nad projektem ustawy o zmianie niektórych ustaw w związku z zapobieganiem kradzieży tożsamości.

RPO prosi o odniesienie się do przedstawionych uwag, w szczególności wskazujących na potrzebę zmian regulacji dotyczących Krajowego Rejestru Zadłużonych, którego prowadzenie leży w kompetencjach Ministra Sprawiedliwości.

VII.501.60.2023