Jakie prawa przysługują osobom, których dane są przetwarzane w SIS

JAKIE PRAWA PRZYSŁUGUJĄ OSOBOM, KTÓRYCH DANE SĄ PRZETWARZANE W SIS

Osoby, których dane dotyczą, mogą korzystać z praw związanych z ich danymi osobowymi przetwarzanymi w SIS, przewidzianych w art. 15, 16 i 17 RODO[1] oraz w art. 14 i 16 ust. 1 i 2 dyrektywy (UE) 2016/680[2], oraz zgodnie z rozporządzeniami w sprawie SIS[3] . Ponadto osoby, których dane dotyczą, są uprawnione do korzystania ze środków ochrony prawnej w celu wyegzekwowania takich praw[4].

W związku z tym osobom, których dane dotyczą, przysługują następujące prawa:

• prawo dostępu do dotyczących ich danych przetwarzanych w SIS,
• prawo do sprostowania nieprawidłowych danych,
• prawo do usunięcia danych, jeśli były one przechowywane niezgodnie z prawem,
• prawo wniesienia do sądu lub właściwego organu żądania o dostęp do informacji, ich sprostowania, usunięcia lub ich uzyskanie lub o zapłatę odszkodowania w związku z wpisami ich dotyczącymi.

Każda osoba korzystająca z któregokolwiek z tych praw może zwrócić się do właściwych organów w wybranym przez siebie państwie Schengen. Jest to możliwe, ponieważ wszystkie krajowe bazy danych (N.SIS) są identyczne z bazą danych systemu centralnego (CS.SIS)[5]. W związku z tym z praw tych można korzystać w dowolnym państwie Schengen, niezależnie od tego, które państwo dokonało wpisu.

Państwo członkowskie otrzymujące wniosek od osoby, której dane dotyczą, musi jednak wcześniej skonsultować się z państwem członkowskim, które dokonało wpisu, zanim przekaże osobie jakiekolwiek informacje na temat jej danych przetwarzanych w SIS.

Aby pomóc osobom, których dane dotyczą, w wykonywaniu ich praw, Komitet Skoordynowanego Nadzoru opublikował Przewodnik, w którym znajduje się wykaz organów krajowych właściwych do rozpatrywania wniosków osób, których dane dotyczą, sposób ich rozpatrywania, w tym wszelkie wymogi krajowe, oraz środki udostępniane w tym celu.

Niezależnie od szczególnych procedur krajowych dotyczących rozpatrywania wniosków o dostęp, sprostowanie lub usunięcie danych przetwarzanych w SIS, odpowiedź osobie, której dane dotyczą, jest udzielana w ściśle określonym wspólnym terminie. Osoba, której dane dotyczą, jest informowana jak najszybciej, a w każdym razie w ciągu jednego miesiąca od otrzymania wniosku, o działaniach podjętych w związku z wykonaniem tego prawa. W razie potrzeby okres ten może zostać przedłużony o kolejne dwa miesiące, a w takim przypadku osoba, której dane dotyczą, jest informowana o każdym takim przedłużeniu w ciągu jednego miesiąca od otrzymania wniosku, wraz z podaniem przyczyn opóźnienia[6].

Prawo dostępu

Prawo dostępu to możliwość uzyskania przez każdego, kto tego zażąda, informacji o tym, czy dane jej dotyczące, są przetwarzane przez organizację publiczną lub prywatną oraz do otrzymywania informacji na temat tych danych. Jest to prawo podstawowe, zapisane w art. 8 ust. 2 Karty praw podstawowych UE, a jego wykonywanie ma zasadnicze znaczenie dla wprowadzenia w życie innych praw do ochrony danych oraz ogólnej ochrony wolności i praw osób fizycznych.

Prawo dostępu do danych przetwarzanych w SIS jest przewidziane w art. 53 ust. 1 rozporządzenia (UE) 2018/1861 oraz art. 67 ust. 1 rozporządzenia (UE) 2018/1862[7], które odnoszą się do prawa dostępu przewidzianego w art. 15 RODO i art. 14 dyrektywy (UE) 2016/680.

Oznacza to, że osoby, których dane dotyczą, mają prawo do uzyskania potwierdzenia, czy dane osobowe ich dotyczące są przetwarzane w SIS, a w takim przypadku do dostępu do danych osobowych i następujących informacji:

• cel przetwarzania;
• kategorie odnośnych danych osobowych;
• informacje o odbiorcach lub kategoriach odbiorców, którym dane osobowe zostały ujawnione, w szczególności w państwach trzecich lub organizacjach międzynarodowych;
• planowany okres przechowywania danych osobowych;
• informacje o prawie do żądania sprostowania nieprawidłowych danych lub usunięcia danych przechowywanych niezgodnie z prawem;
• informacje o prawie wniesienia skargi;
• informacje o źródle informacji, gdy dane są zbierane od strony trzeciej.

Jednakże, prawo dostępu jest wykonywane zgodnie z prawem państwa członkowskiego, w którym złożono wniosek, i mogą istnieć ograniczenia w dostępie do danych, tj. decyzja o nieudzielaniu informacji w całości lub w części osobie, której dane dotyczą. Jest to możliwe w zakresie, w jakim takie ograniczenie stanowi niezbędny i proporcjonalny środek w społeczeństwie demokratycznym, przy należytym uwzględnieniu praw podstawowych i uzasadnionych interesów osoby, której dane dotyczą, po to aby:

• uniemożliwić utrudnianie prowadzenia urzędowych lub sądowych dochodzeń, postępowań przygotowawczych lub procedur,
• uniemożliwić utrudnianie zapobiegania przestępstwom, ich wykrywania, prowadzenia w ich sprawie postępowań przygotowawczych lub ich ścigania lub wykonywania kar,
• chronić bezpieczeństwo publiczne,
• chronić bezpieczeństwo narodowe lub
• chronić prawa i wolności innych osób[8].

W takim przypadku wnioskodawca jest informowany na piśmie, bez zbędnej zwłoki, o każdej odmowie lub ograniczeniu, chyba że podanie takiego uzasadnienia godziłoby w którykolwiek z wyżej wymienionych celów. Organ otrzymujący wniosek o dostęp informuje wnioskodawcę, że może on wnieść skargę do organu ochrony danych lub skorzystać ze środka ochrony prawnej przed sądem.

W przypadku decyzji o całkowitej lub częściowej odmowie dostępu osobom, których dane dotyczą, mogą wykonywać swoje prawa w SIS za pośrednictwem krajowego organu nadzorczego ds. ochrony danych.

Prawo do sprostowania i usunięcia danych

Oprócz prawa dostępu istnieje również prawo do sprostowania danych osobowych, które są nieprawidłowe lub niekompletne oraz prawo do żądania usunięcia danych osobowych przechowywanych niezgodnie z prawem[9].

Zgodnie z ramami prawnymi Schengen jedynie państwo członkowskie odpowiedzialne za dokonanie wpisu w SIS może go zmienić lub usunąć[10].

Jeżeli wniosek został złożony w państwie członkowskim, które nie dokonało wpisu, właściwe organy państw członkowskich współpracują ze sobą w celu rozpatrzenia sprawy, wymieniając informacje i dokonując niezbędnych weryfikacji.

Wnioskodawca powinien przedstawić podstawy wniosku o sprostowanie lub usunięcie danych i zebrać wszelkie istotne informacje na jego poparcie.

Środki ochrony prawnej: prawo do wniesienia skargi do organu ochrony danych lub wszczęcia postępowania sądowego

Artykuły 54 rozporządzenia (UE) 2018/1861 i 68 rozporządzenia (UE) 2018/1862 przedstawiają środki ochrony prawnej przysługujące osobom fizycznym, gdy ich wniosek nie został spełniony. Każdej osobie przysługuje prawo do wniesienia do sądu lub właściwego organu na mocy prawa krajowego państwa członkowskiego żądania o dostęp do informacji, ich sprostowanie, ich usunięcie lub ich uzyskanie lub o zapłatę odszkodowania w związku z wpisem dotyczącym tej osoby.

W przypadku konieczności rozpatrzenia skargi z elementem transgranicznym, organy nadzorcze powinny współpracować ze sobą w celu zagwarantowania praw osób, których dane dotyczą.

Szczegółowe informacje o sposobie złożenia skargi można znaleźć tutaj.