Czym jest System Informacyjny Schengen (SIS)?

System Informacyjny Schengen (zwany również SIS) ustanowiony został jako narzędzie rekompensujące zniesienie kontroli na granicach pomiędzy państwami Obszaru Schengen. Jego istota polega na zapewnieniu, aby każde z państw będących stroną Konwencji Wykonawczej do Układu z Schengen posiadało ten sam zestaw informacji pozwalający na dostęp, przy pomocy zautomatyzowanych środków wyszukiwania, do wpisów dotyczących osób i przedmiotów w celu kontroli granicznej oraz innych kontroli policyjnych i celnych prowadzonych w ramach danego kraju oraz w celu wydawania wiz, dokumentów pobytowych i wykonywania przepisów prawnych o cudzoziemcach w kontekście stosowania Konwencji Wykonawczej do Układu z Schengen.

Podstawami prawnymi utworzenia i funkcjonowania Systemu Informacyjnego Schengen drugiej generacji (SIS) są:

• Rozporządzenie (WE) nr 1987/2006, zwane dalej „rozporządzeniem SIS”^[1]
• Decyzja Rady 2007/533/WSiSW zwane dalej „decyzją SIS”^[2]

Należy również zauważyć, że do 28 grudnia 2021 r. SIS zacznie funkcjonować na podstawie trzech nowych rozporządzeń :

• Rozporządzenie (UE) 2018/1860 (powrót nielegalnie przebywających obywateli państw trzecich)^[3]
• Rozporządzenie (UE) 2018/1861 (odprawy graniczne)^[4]
• Rozporządzenie (UE) 2018/1862 (współpraca policyjna)^[5]

Jakie dane osobowe i  w jakich celach przetwarzane są w Systemie Informacyjnym Schengen?

Zgodnie z art. 20 Decyzji SIS i art. 20 Rozporządzenia SIS informacje o osobach, w odniesieniu do których dokonano wpisu, nie zawierają innych danych niż:

1. imię i nazwisko, pseudonimy;
2. wszelkie szczególne, obiektywne cechy fizyczne niepodlegające zmianom;
3. miejsce i data urodzenia;
4. płeć;
5. fotografie;
6. odciski palców;
7. obywatelstwo;
8. informacja, czy dana osoba jest uzbrojona, agresywna lub czy jest uciekinierem;
9. powód wpisu;
10. organ dokonujący wpisu;
11. odesłanie do decyzji będącej powodem wpisu;
12. działania, jakie należy podjąć;
13. odsyłacz do innych wpisów dokonanych w SIS II;
14. rodzaj przestępstwa.

Powyższe dane przetwarzane są w celu dokonywania w SIS II wpisów dotyczących osób lub przedmiotów, które podlegają następującym kategoriom:

• Odmowa pozwolenia na wjazd lub pobyt (Art. 24 rozporządzenia SIS II) – wpisy te dotyczą obywateli państw trzecich, którzy nie są uprawnieni do wjazdu bądź pobytu na terytorium strefy Schengen;
• Osoby poszukiwane w celu aresztowania (Art. 26 Decyzji SIS II) – wpisy te dotyczą osób, wobec których wydano Europejski Nakaz Aresztowania lub wniosek ws. ekstradycji;
• Osoby zaginione (Art. 32 Decyzji SIS II) – celem tych wpisów jest odnalezienie osób zaginionych, w tym dzieci, i objęcie ich odpowiednią ochroną, jeśli jest to konieczne;
• Osoby, których obecność jest wymagana do celów procedury sądowej (Art. 34 Decyzji SIS II) –  celem tych wpisów jest miejsca zamieszkania lub pobytu osób, których obecność jest wymagana do celów procedury sądowej np. świadków lub osób, którym ma zostać doręczone wezwanie do stawienia się w celu odbycia kary pozbawienia wolności;
• Osoby lub przedmioty wprowadzane w celu przeprowadzania kontroli niejawnych lub kontroli szczególnych (Art. 36 Decyzji SIS II) – celem tych wpisów jest uzyskanie informacji o osobach lub przedmiotach w celu ścigania przestępstw oraz zapobiegania zagrożeniom bezpieczeństwa publicznego lub narodowego;
• Przedmioty przeznaczonych do zajęcia lub wykorzystania jako dowód w postępowaniu karnym (Art. 38 Decyzji SIS II) – wpisy te dotyczą przedmiotów np. pojazdów, dokumentów podróżnych, kart kredytowych, tablic rejestracyjnych, które są poszukiwanych w celu ich zajęcia lub wykorzystania jako dowód w postępowaniu karnym.

Kto ma dostęp do informacji przetwarzanych w Systemie Informacyjnym Schengen?

Zgodnie z treścią art. 27 rozporządzenia SIS II i art. 40 decyzji SIS II dostęp do danych wprowadzonych do Systemu Informacyjnego Schengen oraz prawo ich bezpośredniego przeglądania zastrzeżone są wyłącznie dla organów odpowiedzialnych za kontrole graniczne oraz inne kontrole policyjne i celne prowadzone w ramach danego kraju, jak również koordynację takich kontroli. Wskazać jednak należy, że prawo bezpośredniego dostępu do danych przetwarzanych w Systemie Informacyjnym Schengen przyznane zostało również krajowym organom sądowym, w tym odpowiedzialnym za oskarżanie w postępowaniu karnym oraz przesłuchania na etapie przed sporządzeniem aktu oskarżenia, w zakresie dotyczącym wykonywania ich zadań.

Organy odpowiedzialne za wydawanie wiz, organy centralne odpowiedzialne za rozpatrywanie wniosków wizowych oraz organy odpowiedzialne za wydawanie dokumentów pobytowych i za wykonywanie przepisów dotyczących obywateli państw trzecich w ramach stosowania dorobku unijnego w zakresie przemieszczania się osób mają prawo dostępu i bezpośredniego przeglądania danych dotyczących wpisów dotyczących cudzoziemców, którym odmawia się prawa wjazdu, oraz urzędowych blankietów, które zostały skradzione, wykorzystane w niewłaściwy sposób lub utracone, a także wydanych dokumentów tożsamości (paszportów, dowodów tożsamości, praw jazdy), które zostały skradzione, wykorzystane w niewłaściwy sposób lub utracone.

Dodatkowo Europejski Urząd Policji (Europol) i Eurojust w ramach swoich mandatów mają ograniczony dostęp do niektórych danych w Systemie Informacyjnym Schengen dot. m.in. osób poszukiwanych w celu aresztowania, osób, których obecność jest wymagana w postępowaniu karnym czy osób zaginionych.

Dostęp do danych przetwarzanych w SIS II w Rzeczpospolitej Polskiej

Dostęp do danych przetwarzanych w Systemie Informacyjnym Schengen dla poszczególnych służb i organów administracyjnych w Rzeczpospolitej Polskiej regulowany jest przepisami ustawy o udziale Rzeczypospolitej Polskiej w Systemie Informacyjnym Schengen oraz Wizowym Systemie Informacyjnym (Dz. U. Nr 165, poz. 1170 ze zm). W art. 3 i art. 4 tej ustawy wymieniono enumeratywnie listę krajowych organów, które mają prawo dostępu do SIS II w Polsce. Są to m.in.: Policja, Straż Graniczna, sądy i prokuratury, Szef Urzędu do Spraw Cudzoziemców, Agencja Bezpieczeństwa Wewnętrznego, Centralne Biuro Antykorupcyjne, konsulowie,

Jak długo dane osobowe przechowywane są w Systemie Informacyjnym Schengen?

Rozporządzenie SIS II (art. 29) i Decyzja SIS II (art. 44) stanowią, że dane osobowe przetwarzane w celu wykrywania osób powinny być przechowywane jedynie przez okres konieczny do osiągnięcia celów, dla których zostały wprowadzone. Państwo członkowskie, które wprowadziło wpis, musi najdalej w ciągu 3 lat od dnia wprowadzenia danych ocenić ich dalszą przydatność. W przypadku nadzoru niejawnego osób prowadzonego na podstawie art. 36 decyzji SIS II okres ten został zawężony do roku od dnia wprowadzenia danych. Wskazać przy tym należy, że zarówno okres 3-letni, jak i roczny nie wyznaczają czasu dozwolonego przetwarzania danych, ale jedynie wprowadzają konieczność okresowej oceny niezbędności danych w stosunku do celu ich przetwarzania. Rzeczywisty czas przetwarzania danych w Systemie Informacyjnym Schengen może być zatem krótszy bądź dłuższy od terminu 3-letniego czy rocznego i uzależniony jest od tego czy udało się zrealizować cel, w jakim dane są przetwarzane w systemie.

Jakie prawa przysługują osobom fizycznym w związku z przetwarzaniem ich danych osobowych w Systemie Informacyjnym Schengen?

Osobom, których dane są przetwarzane w systemie SIS II, przysługują następujące prawa wynikające z rozporządzenia SIS II i decyzji SIS II:

• prawo do dostępu do danych, które ich dotyczą;
• prawo do poprawienia danych niezgodnych ze stanem faktycznym lub usunięcia danych wprowadzonych niezgodnie z prawem;
• prawo do złożenia skargi do organu ochrony danych osobowych lub do sądu.

Każdy, kto korzysta z dowolnego z tych praw, może złożyć wniosek do właściwego organu w wybranym przez siebie państwie, niezależnie od państwa członkowskiego, w którym dokonano wpisu do SIS II.

Prawo dostępu

Każda osoba, której dane dotyczą, na podstawie art. 41 ust. 1 rozporządzenia SIS II i art. 58 ust.1 decyzji SIS II ma prawo dostępu do dotyczących jej danych, przetwarzanych w SIS II. Prawo dostępu jest wykonywane zgodnie z przepisami państwa członkowskiego, w którym składany jest wniosek. Procedury różnią się w zależności od kraju oraz przepisów dotyczących przekazywania danych wnioskodawcom.

W przypadku gdy dane państwo członkowskie otrzyma wniosek o dostęp do wpisu, którego samo nie dokonało, musi umożliwić państwu, które dokonało wpisu, zajęcie stanowiska w sprawie możliwości udostępnienia danych wnioskodawcy. Dana osoba informowana jest możliwie szybko, a w każdym razie nie później niż 60 dni od daty złożenia przez nią wniosku o dostęp, lub wcześniej, jeżeli prawo krajowe przewiduje krótszy okres. Informacje nie są przekazywane osobie, której dotyczą dane, jeżeli jest to konieczne do realizacji uprawnionych działań w związku z wpisem lub dla ochrony praw i wolności osób trzecich.

Prawo do poprawienia albo usunięcia danych

Zgodnie z art. 41 ust. 5 rozporządzenia SIS II i 58 ust. 5 decyzji SIS II, gdy przetwarzane dane są nieprawidłowe lub zostały przekazane niezgodnie z prawem, osoba, której dane te dotyczą, ma prawo do żądania poprawienia lub usunięcia tych danych.

Zgodnie z art. 34 ust. 2 rozporządzenia SIS II i art. 49 ust. 2 decyzji SIS II, do zmiany lub usunięcia wprowadzonych danych uprawnione jest wyłącznie państwo członkowskie, które dokonało wpisu. W związku z tym jeżeli wniosek jest składany w państwie członkowskim, które nie dokonało wpisu, wówczas zainteresowane państwa członkowskie współpracują ze sobą w celu znalezienia rozwiązania poprzez wymianę informacji i dokonanie odpowiednich weryfikacji.

Prawo do złożenia skargi do organu ds. ochrony danych lub wszczęcia postępowania sądowego

Artykuł 43 rozporządzenia SIS II i art. 59 decyzji SIS II przewidują środki odwoławcze przysługujące osobom fizycznym w przypadku nieuwzględnienia ich wniosku. Osoba, której dane dotyczą, może wystąpić do sądów lub organów właściwych na mocy prawa krajowego dowolnego z państw członkowskich z wnioskiem o dostęp do informacji, poprawienie, usunięcie lub o odszkodowanie w związku z dotyczącym go wpisem.

W jaki sposób z powyższych praw można korzystać na terenie Rzeczypospolitej Polskiej?

Prawa osób, których dane dotyczą, wykonywane są w Rzeczypospolitej Polskiej na podstawie przepisów rozporządzenie 2016/679 zwanego dalej „RODO”^[6] albo na podstawie ustawy z 14 grudnia 2018 r., zwanej dalej „ustawą”^[7] (w zależności od celu przetwarzania danych, np. kategorii wpisu).

Prawo dostępu do danych

Na podstawie art. 23 ustawy osobie, której dane dotyczą, przysługuje, na jej wniosek, prawo dostępu do jej danych osobowych. Uwzględniając wniosek o dostęp do danych osobowych, administrator udostępnia lub przekazuje wnioskodawcy ich kopię albo sporządzony w przystępnej formie wyciąg z tych danych.

Na podstawie art. 15 RODO osoba, której dane dotyczą, jest uprawniona do uzyskania od administratora potwierdzenia, czy przetwarzane są dane osobowe jej dotyczące, a jeżeli ma to miejsce, jest uprawniona do uzyskania dostępu do nich oraz następujących informacji:

a) cele przetwarzania;

b) kategorie odnośnych danych osobowych;

c) informacje o odbiorcach lub kategoriach odbiorców, którym dane osobowe zostały lub zostaną ujawnione, w szczególności o odbiorcach w państwach trzecich lub organizacjach międzynarodowych;

d) w miarę możliwości planowany okres przechowywania danych osobowych, a gdy nie jest to możliwe, kryteria ustalania tego okresu;

e) informacje o prawie do żądania od administratora sprostowania, usunięcia lub ograniczenia przetwarzania danych osobowych dotyczącego osoby, której dane dotyczą, oraz do wniesienia sprzeciwu wobec takiego przetwarzania;

f)  informacje o prawie wniesienia skargi do organu nadzorczego;

g) jeżeli dane osobowe nie zostały zebrane od osoby, której dane dotyczą – wszelkie dostępne informacje o ich źródle;

h) informacje o zautomatyzowanym podejmowaniu decyzji, w tym o profilowaniu, o którym mowa w art. 22 ust. 1 i 4, oraz – przynajmniej w tych przypadkach – istotne informacje o zasadach ich podejmowania, a także o znaczeniu i przewidywanych konsekwencjach takiego

i) przetwarzania dla osoby, której dane dotyczą.

Odmowa udzielenia informacji o przetwarzaniu danych osobowych

Na podstawie art. 26 ustawy nie przekazuje się informacji, o których mowa w przepisach niniejszego rozdziału, oraz nie udostępnia się danych osobowych, jeżeli mogłoby to powodować:

1) ujawnienie informacji uzyskanych w wyniku czynności operacyjno-rozpoznawczych;

2) utrudnienie lub uniemożliwienie rozpoznawania, zapobiegania, wykrywania lub zwalczania czynów zabronionych;

3) utrudnienie prowadzenia postępowania karnego, karnego wykonawczego, karnego skarbowego lub w sprawach o wykroczenia lub wykroczenia skarbowe;

4) zagrożenie życia, zdrowia ludzkiego lub bezpieczeństwa i porządku publicznego;

5) zagrożenie bezpieczeństwa narodowego, w tym obronności lub bezpieczeństwa oraz ekonomicznych podstaw funkcjonowania państwa;

6) istotne naruszenie dóbr osobistych innych osób.

Na podstawie art. 5 ustawy z 10 maja 2018 r. o ochronie danych osobowych (Dz.U. z 2019 r. poz. 1781) administrator wykonujący zadanie publiczne nie przekazuje informacji, o których mowa w art. 15 ust. 1-3 rozporządzenia 2016/679, jeżeli służy to realizacji zadania publicznego i niewykonanie obowiązków, o których mowa w art. 15 ust. 1-3 rozporządzenia 2016/679, jest niezbędne dla realizacji celów, o których mowa w art. 23 ust. 1 tego rozporządzenia, oraz wykonanie tych obowiązków:

1) uniemożliwi lub znacząco utrudni prawidłowe wykonanie zadania publicznego, a interes lub podstawowe prawa lub wolności osoby, której dane dotyczą, nie są nadrzędne w stosunku do interesu wynikającego z realizacji tego zadania publicznego lub

2) naruszy ochronę informacji niejawnych.

Prawo do sprostowania albo usunięcia danych

Na podstawie art. 24 ustawy osoba, której dane dotyczą, może wystąpić z wnioskiem do administratora o niezwłoczne:

1) uzupełnienie, uaktualnienie lub sprostowanie danych osobowych - w przypadku gdy dane te są niekompletne, nieaktualne lub nieprawdziwe;

2) usunięcie danych osobowych - w przypadku gdy dane te zostały zebrane lub są przetwarzane z naruszeniem przepisów niniejszej ustawy.

Administrator informuje wnioskodawcę o sprostowaniu lub usunięciu danych lub o odmowie ich sprostowania lub usunięcia. W przypadku odmowy sprostowania lub usunięcia danych osobowych administrator poucza osobę, której dane dotyczą, o możliwości wniesienia skargi, jeżeli jej dane osobowe są przetwarzane niezgodnie z prawem

Na podstawie art. 16 RODO osoba, której dane dotyczą, ma prawo żądania od administratora niezwłocznego sprostowania dotyczących jej danych osobowych, które są nieprawidłowe. Z uwzględnieniem celów przetwarzania, osoba, której dane dotyczą, ma prawo żądania uzupełnienia niekompletnych danych osobowych, w tym poprzez przedstawienie dodatkowego oświadczenia.

Na podstawie art. 17 RODO osoba, której dane dotyczą, ma prawo żądania od administratora niezwłocznego usunięcia dotyczących jej danych osobowych, a administrator ma obowiązek bez zbędnej zwłoki usunąć dane osobowe, jeżeli zachodzi jedna z następujących okoliczności:

a) dane osobowe nie są już niezbędne do celów, w których zostały zebrane lub w inny sposób przetwarzane;

b) osoba, której dane dotyczą, cofnęła zgodę, na której opiera się przetwarzanie zgodnie z art. 6 ust. 1 lit. a) lub art. 9 ust. 2 lit. a), i nie ma innej podstawy prawnej przetwarzania;

c) osoba, której dane dotyczą, wnosi sprzeciw na mocy art. 21 ust. 1 wobec przetwarzania i nie występują nadrzędne prawnie uzasadnione podstawy przetwarzania lub osoba, której dane dotyczą, wnosi sprzeciw na mocy art. 21 ust. 2 wobec przetwarzania;

d) dane osobowe były przetwarzane niezgodnie z prawem;

e) dane osobowe muszą zostać usunięte w celu wywiązania się z obowiązku prawnego przewidzianego w prawie Unii lub prawie państwa członkowskiego, któremu podlega administrator;

f)  dane osobowe zostały zebrane w związku z oferowaniem usług społeczeństwa informacyjnego, o których mowa w art. 8 ust. 1.

Jednakże powyższy przepis nie znajduje zastosowania, w zakresie w jakim przetwarzanie jest niezbędne:

a) do korzystania z prawa do wolności wypowiedzi i informacji;

b) do wywiązania się z prawnego obowiązku wymagającego przetwarzania na mocy prawa Unii lub prawa państwa członkowskiego, któremu podlega administrator, lub do wykonania zadania realizowanego w interesie publicznym lub w ramach sprawowania władzy publicznej powierzonej administratorowi;

c) z uwagi na względy interesu publicznego w dziedzinie zdrowia publicznego zgodnie z art. 9 ust. 2 lit. h) oraz i) i art. 9 ust. 3;

d) do celów archiwalnych w interesie publicznym, do celów badań naukowych lub historycznych lub do celów statystycznych zgodnie z art. 89 ust. 1, o ile prawdopodobne jest, że prawo, o którym mowa w ust. 1, uniemożliwi lub poważnie utrudni realizację celów takiego przetwarzania; lub

e) do ustalenia, dochodzenia lub obrony roszczeń.

Administrator SIS w Polsce

W Polsce prawa osób, których dane dotyczą są wykonywane w sposób bezpośredni. Oznacza to, że osoby, których dane dotyczą muszą kierować swoje wnioski do administratora danych. W myśl art. 10 ustawy z dnia 24 sierpnia 2007 r. o udziale Rzeczypospolitej Polskiej w Systemie Informacyjnym Schengen oraz Wizowym Systemie Informacyjnym, w Polsce administratorem danych przetwarzanych w Systemie Informacyjnym Schengen jest Komendant Główny Policji.

Wnioski o dostęp, sprostowanie albo usunięcie muszą być kierowane do:

a) drogą pocztową:

Centralny Organ Techniczny KSI

Komenda Główna Policji

ul. Puławska 148/150

02-624 Warszawa

Polska

b) za pośrednictwem elektronicznej skrzynki podawczej na platformie ePUAP

Praktyczne wskazówki:

Wnioski o wykonanie praw dostępu, sprostowania albo usunięcia przesłane bezpośrednio do Prezesa UODO będą przekazane według właściwości do Komendanta Głównego Policji, co może skutkować przedłużeniem czasu potrzebnego na uzyskanie odpowiedzi.

W celu realizacji swoich prawa można skorzystać ze wzorów załączonych poniżej.

Szczegółowe informacje o wymogach formalnych wniosku dostępne są na stronie internetowej Komendy Głównej Policji.

Skarga do Prezesa UODO

Aby zapewnić odpowiedni poziom ochrony prawnej osób, których dane są przechowywane w Wizowym Systemie Informacyjnym, Prezes Urzędu Ochrony Danych Osobowych sprawuje nadzór nad tym, czy wykorzystywanie danych nie narusza praw osób, których one dotyczą. Każda osoba, której dane są przetwarzane w Systemie Informacyjnym Schengen, ma prawo wnieść skargę do Prezesa Urzędu Ochrony Danych Osobowych na wykonywanie przepisów o ochronie danych osobowych.

Szczegółowe informacje o sposobie złożenia skargi można znaleźć tutaj

2021-06-02