Pobranie od materiału biologicznego do badań DNA w regulacjach międzynarodowych

Trybunał zauważył, że kilka regulacji prawnych o charakterze międzynarodowym odnosi się bezpośrednio do ochrony materiału biologicznego i informacji zawartych w DNA w związku z postępowaniem karnym. Ponadto należy jedynie zasygnalizować, że do ochrony danych osobowych uzyskanych z próbek DNA znajduje zastosowanie również konwencja nr 108 Rady Europy z 28 stycznia 1981 r. o ochronie osób w związku z automatycznym przetwarzaniem danych osobowych (Convention for the Protection of Individuals with regard to Automatic Processing of Personal Data) oraz rekomendacja Komitetu Ministrów Rady Europy R(87)15 z 17 września 1987 r. regulująca wykorzystanie danych osobowych w sektorze policji [Recommendation No. R(87)15 of the Committee of Ministers to member states regulating the use of personal data in the police sector].

W motywach rekomendacji Komitetu Ministrów Rady Europy R(92)1 z 10 lutego 1992 r. w sprawie wykorzystywania analizy kwasu dezoksyrybonukleinowego (DNA) w postępowaniu karnym [Recommendation No. R(92)1 of the Committee of Ministers to member states on the use of analysis of deoxyribonuclenic acid (DNA) within the framework of the criminal justice system; dalej: rekomendacja R(92)1] wskazano, że techniki analizy DNA oferują zalety dla postępowania karnego, w szczególności w postaci potwierdzenia niewinności lub winy ("the determination of innocence or guilt"), niemniej ich stosowanie powinno w pełni uwzględniać podstawowe zasady, jak godność ludzka i szacunek dla ciała ludzkiego, prawo do obrony oraz zasadę proporcjonalności w prowadzeniu postępowania karnego ("inherent dignity of the individual and the respect for the human body, the rights of the defence and the principle of proportionality in the carrying out of criminal justice").

Rekomendacja R(92)1 stanowi, że próbki pobierane do analizy DNA oraz informacje uzyskane w wyniku takiej analizy dla celów ścigania przestępstw nie mogą być wykorzystywane do innych celów ("Samples collected for DNA analysis and the information derived from such analysis for the purpose of the investigation and prosecution of criminal offences must not be used for other purposes"). Jeżeli prawo krajowe zezwala na pobieranie próbek bez zgody podejrzanego, takie próbki powinny być pobierane tylko, jeżeli okoliczności sprawy uzasadniają takie działanie ("such sampling should only be carried out if the circumstances of the case warrant such action"). Jednocześnie korzystanie z analizy DNA powinno być dozwolone we wszystkich stosownych wypadkach, bez względu na powagę popełnionego czynu ("Recourse to DNA analysis should be permissible in all appropriate cases, independent of the degree of seriousness of the offence").

W raporcie wyjaśniającym do rekomendacji R(92)1 wskazano, że zbiór próbek materiału biologicznego sam w sobie nie stanowi danych osobowych podlegających przepisom o ochronie danych osobowych, zaś próbki mogą być uznane za takie dopiero po przeprowadzeniu analizy i uzyskaniu z nich informacji. W konsekwencji samo pobieranie próbek materiału biologicznego do analizy DNA również nie podlega przepisom o ochronie danych osobowych ["The collection of the samples do not per se constitute personal data for the purposes of data protection legislation. At the very most, they are capable of being so regarded when the samples are analysed and information is deduced from them. This is why the collection itself of the samples is not carried out in accordance with data protection legislation" - Explanatory Memorandum to Recommendation (92) on the use of analysis of deoxyribonucleic acid (DNA) within the framework of the criminal justice system, pkt 46].

Rekomendacja Komitetu Ministrów Rady Europy R(97)5 w sprawie ochrony danych medycznych [Recommendation No. R(97)5 of the Committee of Ministers to member states on the protection of medical data; dalej: rekomendacja R(97)5] w punkcie 4.8 wskazuje, że przetwarzanie danych genetycznych dla celów postępowania sądowego lub procedury karnej powinno być objęte szczególną regulacją prawną zapewniającą odpowiednie gwarancje. Dane te powinny służyć wyłącznie: ustaleniu, czy istnieje związek genetyczny w ramach przedstawiania dowodu, zapobieżeniu konkretnemu niebezpieczeństwu lub ściganiu konkretnych przestępstw. W żadnym wypadku dane te nie powinny być używane dla określenia cech genetycznych ("Processing of genetic data for the purpose of a judicial procedure or a criminal investigation should be the subject of a specific law offering appropriate safeguards. The data should only be used to establish whether there is a genetic link in the framework of adducing evidence, to prevent a real danger or to suppress a specific criminal offence. In no case should they be used to determine other characteristics which may be linked genetically").

Rezolucja Rady UE z 30 listopada 2009 r. w sprawie wymiany wyników analiz DNA zaleca państwom członkowskim, aby przy wymianie wyników analizy DNA ograniczały wyniki tej analizy do segmentów chromosomu, które nie zawierają informacji genetycznej, tj. które wedle obecnej wiedzy nie dostarczają informacji na temat określonych cech dziedzicznych (cz. III, pkt 1).

Trybunał zwrócił uwagę na rozporządzenie PE i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych), które będzie miało zastosowanie w polskim porządku prawnym od 25 maja 2018 r. (Dz. Urz. UE L 119 z 4.05.2016 r., s. 1; dalej: ogólne rozporządzenie o ochronie danych). W motywie 34 tego rozporządzenia dane genetyczne definiuje się jako "dane osobowe dotyczące odziedziczonych lub nabytych cech genetycznych osoby fizycznej, uzyskane z analizy próbki biologicznej danej osoby fizycznej, w szczególności z analizy chromosomów, kwasu dezoksyrybonukleinowego (DNA) lub kwasu rybonukleinowego (RNA) lub z analizy innych elementów umożliwiających pozyskanie równoważnych informacji". Ogólne rozporządzenie o ochronie danych wprowadza generalny zakaz przetwarzania danych genetycznych (art. 9 ust. 1), dopuszczając je jednak - na zasadzie wyjątku - m.in. jeżeli jest to niezbędne do ustalenia, dochodzenia lub obrony roszczeń lub w ramach sprawowania wymiaru sprawiedliwości przez sądy (art. 9 ust. 2 lit. f) lub też jeżeli jest to niezbędne ze względów związanych z ważnym interesem publicznym, na podstawie prawa Unii lub prawa państwa członkowskiego, które są proporcjonalne do wyznaczonego celu, nie naruszają istoty prawa do ochrony danych i przewidują odpowiednie i konkretne środki ochrony praw podstawowych i interesów osoby, której dane dotyczą (art. 9 ust. 2 lit. g).

Trybunał zauważył również, że obecnie obowiązująca dyrektywa 95/46/WE PE i Rady z dnia 24 października 1995 r. w sprawie ochrony osób fizycznych w zakresie przetwarzania danych osobowych i swobodnego przepływu tych danych (Dz. Urz. UE L 281 z 23.11.1995 r., s. 31; dalej: dyrektywa 95/46/WE), która została implementowana do polskiego porządku prawnego w ustawie o ochronie danych osobowych, nie kwalifikuje danych genetycznych jako szczególnej kategorii danych w rozumieniu art. 8 dyrektywy 95/46/WE, zaś kwalifikacja danych o kodzie genetycznym jako danych wrażliwych przez polskiego ustawodawcę w art. 27 ust. 1 u.o.d.o. wykracza poza wymogi przewidziane w dyrektywie 95/46/WE (por. J. Barta, P. Fajgielski, R. Markiewicz, Ochrona danych osobowych. Komentarz, Warszawa 2015, teza 1 do art. 27).

Trybunał zwrócił również uwagę na dyrektywę PE i Rady (UE) 2016/680 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych przez właściwe organy do celów zapobiegania przestępczości, prowadzenia postępowań przygotowawczych, wykrywania i ścigania czynów zabronionych i wykonywania kar, w sprawie swobodnego przepływu takich danych oraz uchylającą decyzję ramową Rady 2008/977/WSiSW, która winna być implementowana do polskiego porządku prawnego do 6 maja 2018 r. (Dz. Urz. UE L 119 z 4.05.2016 r., s. 89; dalej: dyrektywa 2016/680). W motywie 23 dyrektywy 2016/680 dane genetyczne definiuje się jako "dane osobowe dotyczące odziedziczonych lub nabytych cech genetycznych osoby fizycznej, które ujawniają niepowtarzalne informacje o fizjologii lub zdrowiu tej osoby fizycznej i wynikające z analizy próbki biologicznej danej osoby, a w szczególności z analizy chromosomów, kwasu dezoksyrybonukleinowego (DNA) lub kwasu rybonukleinowego (RNA) lub z analizy wszelkich innych materiałów umożliwiających pozyskanie równoważnych informacji".

Motyw 27 dyrektywy 2016/680 wskazuje, że "[z]apobieganie przestępczości, prowadzenie postępowań przygotowawczych, wykrywanie i ściganie czynów zabronionych wymaga, aby właściwe organy przetwarzały dane osobowe - zebrane w kontekście zapobiegania konkretnym czynom zabronionym, prowadzenia postępowań przygotowawczych w ich sprawie, wykrywania ich lub ścigania - w kontekście szerszym, dla lepszego zrozumienia działalności przestępczej oraz ustalenia powiązań pomiędzy różnymi wykrytymi czynami zabronionymi", niemniej - stosownie do motywu 29 - "[d]ane osobowe należy zbierać w konkretnych, wyraźnych i prawnie uzasadnionych celach mieszczących się w zakresie zastosowania niniejszej dyrektywy i nie należy ich przetwarzać w celach niezgodnych z zapobieganiem przestępczości, prowadzeniem postępowań przygotowawczych, wykrywaniem i ściganiem czynów zabronionych i wykonywaniem kar, w tym z ochroną przed zagrożeniami dla bezpieczeństwa publicznego i zapobieganiem takim zagrożeniom".

Dyrektywa 2016/680 stanowi, że przetwarzanie danych genetycznych jest dozwolone wyłącznie wtedy, jeżeli jest bezwzględnie niezbędne, podlega odpowiednim zabezpieczeniom praw i wolności osoby, której dane dotyczą, oraz jest dopuszczone prawem Unii lub prawem państwa członkowskiego, jest niezbędne dla ochrony żywotnych interesów osoby fizycznej, której dane dotyczą, lub innej osoby lub takie przetwarzanie dotyczy danych osobowych w sposób oczywisty upublicznionych przez osobę, której dane dotyczą (art. 10).

Wyrok TK z dnia 11 października 2016 r., SK 28/15, OTK-A 2016/79

Standard: 4090