Wraz z wejściem w życie nowelizacji ustawy o Krajowym Rejestrze Karnym rozszerzy się zakres obowiązków Urzędu Ochrony Danych Osobowych. Zmiana ta wiąże się z uruchomieniem systemu ECRIS-TCN – unijnego rozwiązania mającego na celu usprawnienie wymiany informacji o wyrokach skazujących wydanych wobec obywateli państw trzecich oraz bezpaństwowców na terytorium Unii Europejskiej.
ECRIS-TCN, czyli European Criminal Records Information System for Third Country Nationals, to scentralizowany system informatyczny UE. Jego głównym zadaniem będzie umożliwienie państwom członkowskim szybkiego ustalenia, które inne państwo członkowskie posiada dane o wyrokach konkretnej osoby. W praktyce ma to wyeliminować konieczność kierowania zapytań do wszystkich krajów wspólnoty jednocześnie, co znacząco przyspieszy procedury związane z wymianą informacji o skazaniach.
Nowe rozwiązanie ma służyć przede wszystkim skuteczniejszemu zwalczaniu przestępczości transgranicznej. Dzięki centralizacji informacji organy krajowe będą mogły sprawniej identyfikować lokalizację danych dotyczących osób spoza Unii Europejskiej, co z kolei zwiększy efektywność współpracy w obszarze wymiaru sprawiedliwości i bezpieczeństwa.
W Polsce funkcję organu nadzorczego odpowiedzialnego za monitorowanie zgodności przetwarzania danych w ramach ECRIS pełni Prezes UODO. Oznacza to, że urząd będzie odpowiadał nie tylko za rozpatrywanie skarg, ale również za wspieranie realizacji praw osób, których dane dotyczą. Do jego zadań należeć będą także kontrole przetwarzania danych oraz stała współpraca z innymi organami nadzorczymi w Unii Europejskiej oraz z Europejskim Inspektorem Ochrony Danych.
Znaczenie tych kompetencji rośnie, ponieważ system ECRIS-TCN będzie obejmował przetwarzanie danych osobowych, w tym również danych biometrycznych. Taki zakres informacji wymaga szczególnej dbałości o zgodność działań administracji z przepisami dotyczącymi ochrony prywatności i praw podstawowych. UODO podkreśla przy tym, że skuteczne funkcjonowanie systemu musi opierać się na pełnym poszanowaniu przepisów o ochronie danych, a nie tylko na samej sprawności technicznej.
Zgodnie z unijnym rozporządzeniem 2019/816 przewidziano obowiązek regularnego audytowania procesów przetwarzania danych, które mają być prowadzone co najmniej raz na trzy lata. Przepisy wskazują jednocześnie, że organom nadzorczym należy zapewnić odpowiednie zasoby niezbędne do wykonywania powierzonych im obowiązków, co w praktyce oznacza konieczność przygotowania organizacyjnego i kadrowego do obsługi nowych zadań.
Istotne pozostaje również to, że w zależności od celu przetwarzania danych w systemie zastosowanie znajdą różne reżimy prawne. W niektórych przypadkach podstawą będą przepisy dyrektywy UE 2016/680 dotyczącej ochrony danych w sprawach karnych, a w innych ogólne rozporządzenie o ochronie danych osobowych, czyli RODO. To dodatkowo zwiększa wagę prawidłowego nadzoru nad funkcjonowaniem całego systemu.
Nowelizacja ustawy ma wejść w życie po upływie 14 dni od dnia ogłoszenia, jednak same przepisy dotyczące ECRIS będą stosowane dopiero od momentu uruchomienia systemu, które planowane jest na drugi kwartał 2026 roku. Oznacza to, że najbliższe miesiące będą okresem intensywnych przygotowań zarówno po stronie instytucji odpowiedzialnych za wymianę danych, jak i organu nadzorczego, który będzie czuwał nad legalnością ich przetwarzania.
