II SA/Wa 2404/23

II SA/Wa 2404/23 - Wyrok WSA w Warszawie
Data orzeczenia
2024-06-19
orzeczenie nieprawomocne
Data wpływu
2023-12-27
Sąd
Wojewódzki Sąd Administracyjny w Warszawie
Sędziowie
Arkadiusz Koziarski /sprawozdawca/
Łukasz Krzycki
Sławomir Fularski /przewodniczący/
Symbol z opisem
647  Sprawy związane z ochroną danych osobowych
Hasła tematyczne
Ochrona danych osobowych
Skarżony organ
Generalny Inspektor Ochrony Danych Osobowych
Treść wyniku
Oddalono skargę
Powołane przepisy
Dz.U. 2023 poz 1634
art. 151
Ustawa z dnia 30 sierpnia 2002 r. Prawo o postępowaniu przed sądami administracyjnymi - t.j.
Dz.U. 2019 poz 125
art. 5 ust. 1 pkt 6 w zw. z art. 12 i 13
Ustawa z 14 grudnia 2018 r. o ochronie danych osobowych przetwarzanych w związku z zapobieganiem i zwalczaniem przestępczości
Sentencja
Wojewódzki Sąd Administracyjny w Warszawie w składzie następującym: Przewodniczący Sędzia WSA Sławomir Fularski, Sędzia WSA Łukasz Krzycki, Asesor WSA Arkadiusz Koziarski (spr.), po rozpoznaniu w trybie uproszczonym w dniu 19 czerwca 2024 r. sprawy ze skargi A. G. na decyzję Prezesa Urzędu Ochrony Danych Osobowych z dnia [...] października 2023 r. nr [...] w przedmiocie odmowy uwzględnienia wniosku oddala skargę
Uzasadnienie
Prezes Urzędu Ochrony Danych Osobowych, dalej "PUODO", decyzją z dnia [...] października 2023 r. nr [...], wydaną na podstawie art. 104 § 1 oraz ustawy z dnia 14 czerwca 1960 r. Kodeks postępowania administracyjnego (Dz.U.
z 2023 r. poz. 775, z późn. zm.), dalej "k.p.a.", oraz art. 5 ust. 1 pkt 6 w zw. z art. 12 oraz art. 13 ustawy z dnia 14 grudnia 2018 r. o ochronie danych osobowych przetwarzanych w związku z zapobieganiem i zwalczaniem przestępczości (Dz. U. z 2023 r. poz. 1206) po przeprowadzeniu postępowania administracyjnego w sprawie skargi A.G. na nieprawidłowości w procesie przetwarzania jego danych osobowych przez Komendanta Głównego Policji w Krajowym Systemie Informacyjnym Policji, odmówił uwzględnienia wniosku.
W uzasadnieniu organ wyjaśnił, że do Urzędu Ochrony Danych Osobowych wpłynęła skarga A.G., dalej "skarżący", na nieprawidłowości w procesie przetwarzania jego danych osobowych przez Komendanta Głównego Policji, dalej "KGP", w Krajowym Systemie Informacyjnym Policji, dalej "KSIP". W treści skargi skarżący zakwestionował legalność przetwarzania jego danych osobowych w KSIP i zażądał nakazania KGP ich usunięcia z ww. systemu.
PUODO wskazał, że w toku przeprowadzonego postępowania wyjaśniającego
w niniejszej sprawie, ustalił następujący stan faktyczny:
1. Wobec skarżącego zostało przeprowadzone w roku 2006 r. postępowanie karne w sprawie o czyn z art. 270 § 1 ustawy z dnia 6 czerwca 1997 r. Kodeks kamy (Dz. U. z 2022 r. poz. 1138 ze zm.), dalej "k.k.". Na zasadach określonych w ówcześnie obowiązującym art. 20 ust. 2 ustawy z dnia 6 kwietnia 1990 r. o Policji (Dz.U. z 2023 r. poz. 171 ze zm.) w związku z przedstawieniem skarżącemu zarzutów właściwe organy Policji dokonały tzw. rejestracji procesowej, tj. wprowadziły dane osobowe skarżącego do zbioru danych KSIP jako o osobie podejrzanej o popełnienie przestępstwa ściganego z oskarżenia publicznego. Następnie dane osobowe skarżącego były przetwarzane przez Policję w 2009 r. w związku z postępowaniem karnym w sprawie o czyny z art. 50 ust. 1, art. 59 ust. 1 oraz art. 62 ust. 1 ustawy z dnia 29 lipca 2005 r. o przeciwdziałaniu narkomanii (Dz.U. z 2023 r. poz. 172).
2. Sąd Rejonowy w [...] wyrokiem z dnia [...] września 2011 r. (sygn. akt [...]) uznał skarżącego za winnego zarzucanych mu czynów i wymierzył mu karę łączną jednego roku i sześciu miesięcy pozbawienia wolności.
3. Skarżący pismem z dnia 8 czerwca 2022 r. zwrócił się do KGP o usunięcie jego danych osobowych z KSIP, powołując się na przepisy o ochronie danych osobowych.
4. Odpowiadając na wniosek skarżącego, KGP pismem z dnia 14 czerwca 2022 r. ([...]) poinformował skarżącego o podstawach prawnych przetwarzania przez Policję danych osobowych w KSIP oraz wskazał zakres i cel ich przetwarzania, a także zasady weryfikacji przydatności danych osobowych.
5. KGP dokonał weryfikacji danych skarżącego przetwarzanych w KSIP po otrzymaniu informacji o zakończeniu postępowania w sprawie przeciwko skarżącemu, następnie w związku z otrzymanym wnioskiem skarżącego o usunięcie jego danych osobowych z KSIP, a także w związku ze skargą skarżącego do PUODO. Weryfikacji dokonano w szczególności pod kątem przesłanek z art. 51 ust. 4 Konstytucji RP oraz pod kątem legalności i celowości przetwarzania danych osobowych. W wyniku przedmiotowych weryfikacji KGP stwierdził dalszą zasadność przetwarzania danych osobowych skarżącego.
6. KGP wyjaśnił, że w związku z naruszeniem norm prawnokarnych przez skarżącego oraz rodzajem norm naruszonych nie można stwierdzić, że dane osobowe skarżącego stały się zbędne dla realizacji zadań Policji, zwłaszcza wymienionych w art. 1 ust. 2 ustawy o Policji, m.in. ochrony życia i zdrowia ludzi oraz mienia przed bezprawnymi zamachami naruszającymi te dobra, a także wykrywania przestępstw
i wykroczeń oraz ścigania ich sprawców. Podkreślono, że nie bez znaczenia dla odmownej decyzji w zakresie usunięcia danych osobowych skarżącego z KSIP pozostaje również rodzaj dóbr chronionych prawem naruszonych popełnionymi przez skarżącego przestępstwem oraz formy sprawstwa i umyślności popełnionego czynu.
Następnie organ wskazał, że zasady i warunki ochrony danych osobowych przetwarzanych przez właściwe organy w celu rozpoznawania, zapobiegania, wykrywania i zwalczania czynów zabronionych, w tym zagrożeń dla bezpieczeństwa
i porządku publicznego, a także wykonywania tymczasowego aresztowania, kar, kar porządkowych i środków przymusu skutkujących pozbawieniem wolności zostały określone w ustawie z dnia 14 grudnia 2018 r. o ochronie danych osobowych przetwarzanych w związku z zapobieganiem i zwalczaniem przestępczości (Dz. U. z 2023 r. poz. 1206), dalej "ustawa z dnia 14 grudnia 2018 r." W myśl dyspozycji art. 13 ustawy z dnia 14 grudnia 2018 r. właściwe organy przetwarzają dane osobowe wyłącznie w zakresie niezbędnym dla zrealizowania uprawnienia lub spełnienia obowiązku wynikającego z przepisu prawa. Stosownie do art. 14 ww. ustawy za wyjątkiem określonych w niej przypadków uznaje się za niedopuszczalne przetwarzanie tzw. danych wrażliwych, tj. danych osobowych ujawniających pochodzenie rasowe, etniczne, poglądy polityczne, przekonania religijne, światopoglądowe, przynależność do związków zawodowych, a także danych genetycznych, danych biometrycznych przetwarzanych
w celu jednoznacznego zidentyfikowania osoby fizycznej, danych dotyczących zdrowia, danych dotyczących seksualności i orientacji seksualnej osoby fizycznej. Dopuszcza się przetwarzanie danych wrażliwych, jeżeli: 1) przepisy prawa zezwalają na ich przetwarzanie lub 2) jest to niezbędne dla ochrony życia lub zdrowia lub interesów osoby, której dane dotyczą, lub innej osoby lub 3) dane takie zostały upublicznione przez osobę, której dotyczą. W myśl art. 24 ust. 1 pkt 2 ww. ustawy osoba, której dane dotyczą, może wystąpić z wnioskiem do administratora o niezwłoczne usunięcie danych osobowych, w przypadku gdy dane te zostały zebrane lub są przetwarzane z naruszeniem przepisów ustawy.
PUODO wyjaśnił, że w celu realizacji ochrony państwowej obywateli w sytuacjach niezgodnego z prawem przetwarzania danych osobowych został on wyposażony w kompetencje władcze, umożliwiające sankcjonowanie stwierdzanych nieprawidłowości w procesie przetwarzania danych osobowych. Wydanie nakazu usunięcia uchybień w procesie przetwarzania danych osobowych następuje wówczas, gdy organ ochrony danych osobowych stwierdza naruszenie norm prawnych w zakresie przetwarzania danych osobowych. Wystąpienie przesłanek legalizujących przetwarzanie warunkuje uznanie kwestionowanych czynności przetwarzania za zgodne z prawem. W ocenie PUODO z tych względów w przedmiotowej sprawie należy ustalić, czy organy Policji posiadają odpowiednią podstawę prawną legalizującą przetwarzanie danych osobowych skarżącego, wypełniającą dyspozycję art. 13 lub 14 ustawy z dnia 14 grudnia 2018 r.
Organ podał, że zakres uprawnień oraz ustawowych zadań Policji określa ustawa o Policji. Zgodnie z art. 21nb ust 1 tej ustawy KGP prowadzi KSIP, będący zestawem zbiorów danych, w którym przetwarza się informacje, w tym dane osobowe, w związku
z realizacją zadań ustawowych Policji, wskazanych przede wszystkim w art. 1 ust. 2 ustawy o Policji. Zgodnie z tym przepisem do podstawowych zadań Policji należą m.in.:
1) ochrona życia i zdrowia ludzi oraz mienia przed bezprawnymi zamachami naruszającymi te dobra;
2) ochrona bezpieczeństwa i porządku publicznego, w tym zapewnienie spokoju
w miejscach publicznych oraz w środkach publicznego transportu i komunikacji publicznej, w ruchu drogowym i na wodach przeznaczonych do powszechnego korzystania;
3) inicjowanie i organizowanie działań mających na celu zapobieganie popełnianiu przestępstw i wykroczeń oraz zjawiskom kryminogennym i współdziałanie w tym zakresie z organami państwowymi, samorządowymi i organizacjami społecznymi;
4) wykrywanie przestępstw i wykroczeń oraz ściganie ich sprawców.
PUODO stwierdził, że w świetle powyższego prowadzenie KSIP przez KGP jest obowiązkiem wykonywanym w ramach realizacji zadań ustawowych Policji, który mieści się w zakresie przedmiotowym stosowania ustawy z dnia 14 grudnia 2018 r., dlatego niniejsza sprawa powinna zostać rozpatrzona w świetle przepisów tej ustawy.
Dalej organ podniósł, że Policja zgodnie z art. 20 ust. 1 ustawy o Policji,
z zachowaniem ograniczeń wynikających z art. 19, jest uprawniona do przetwarzania informacji, w tym danych osobowych. Przetwarzanie oraz wymiana informacji, w tym danych osobowych, może dotyczyć także danych osobowych, o których mowa w art. 14 ust. 1 ustawy z dnia 14 grudnia 2018 r. (tzw. danych osobowych wrażliwych), przy czym dane dotyczące wyników analizy kwasu deoksyrybonukleinowego (DNA) obejmują informacje wyłącznie o niekodującej części DNA (art. 20 ust. 1a ustawy o Policji). Stosownie do art. 20 ust. 2b ustawy o Policji informacje przetwarzane przez Policję mogą obejmować: dane wrażliwe, z tym że dane dotyczące kodu genetycznego obejmują informacje wyłącznie o niekodującej części DNA, odciski linii papilarnych, zdjęcia, szkice i opisy wizerunku, cechy i znaki szczególne, pseudonimy, a także informacje o: miejscu zamieszkania lub pobytu, wykształceniu, zawodzie, miejscu i stanowisku pracy oraz sytuacji materialnej i stanie majątku, dokumentach i przedmiotach, którymi sprawca się posługuje, sposobie działania sprawcy, jego środowisku i kontaktach, sposobie zachowania się sprawcy wobec osób pokrzywdzonych. Przy czym, zgodnie z art. 20 ust. 2c ustawy o Policji, danych osobowych, o których mowa w art. 14 ust. 1 ustawy z dnia 14 grudnia 2018 r., nie pobiera się, w przypadku gdy nie mają one przydatności wykrywczej, dowodowej lub identyfikacyjnej.
PUODO wskazał również, że zgodnie z art. 16 ustawy z dnia 14 grudnia 2018 r. administrator dokonuje weryfikacji danych osobowych w terminach określonych przez przepisy szczególne, regulujące działania właściwego organu, a jeżeli przepisy te nie określają terminu - nie rzadziej niż co 10 lat od dnia zebrania, uzyskania, pobrania lub aktualizacji danych (ust. 1). Weryfikacja dokonywana jest w celu ustalenia, czy istnieją dane, których dalsze przechowywanie jest zbędne. Zbędne dane usuwa się,
z zastrzeżeniem art. 17 (ust. 2). Za zbędne dane należy uznać takie, które nie są już przydatne w świetle celów wyrażonych w art. 1 pkt 1 ustawy z dnia 14 grudnia 2018 r. Ograniczenie przechowywania uniemożliwia bezterminowe przechowywanie danych pomimo osiągnięcia celu, w którym zostały zebrane. Bezterminowe przechowywanie danych osobowych mogłoby bowiem powodować naruszenie zasad przetwarzania, takich jak zasada adekwatności, minimalizacji danych, związania celem, rzetelności przetwarzania, a także prawidłowości danych. Ponadto w zakresie nieuregulowanym
w art. 16 ustawy z dnia 14 grudnia 2018 r. weryfikacji informacji, w tym danych osobowych, przetwarzanych w KSIP pod kątem przydatności dokonuje się w sposób określony w § 104 i 105 zarządzenia nr 70 Komendanta Głównego Policji z dnia 2 grudnia 2019 r. w sprawie Krajowego Systemu Informacyjnego Policji (Dz.Urz.KGP.2019.114 z późn. zm.).
Organ zaznaczył, że dokonując weryfikacji przetwarzanych danych osobowych, administrator musi uprzednio przeprowadzić dokładną analizę stanu faktycznego pod kątem zapewnienia przetwarzania danych osobowych zgodnie z zasadami określonymi w ustawie z dnia 14 grudnia 2018 r. Dane osobowe, które są nieprawidłowe w świetle celów ich przetwarzania, muszą zostać niezwłocznie usunięte (art. 31 ust. 2 ustawy z dnia 14 grudnia 2018 r.).
PUODO wyjaśnił, że w toku przeprowadzonego postępowania wyjaśniającego ustalił, iż wobec skarżącego zostało przeprowadzone w roku 2006 r. postępowanie karne w sprawie o czyn z art. 270 § 1 k.k. Na zasadach określonych w obowiązującym wówczas art. 20 ust. 2 ustawy o Policji w związku z przedstawieniem skarżącemu zarzutów właściwe organy Policji dokonały tzw. rejestracji procesowej, tj. wprowadziły dane osobowe skarżącego do zbioru danych KSIP jako o osobie podejrzanej o popełnienie przestępstwa ściganego z oskarżenia publicznego. Następnie dane osobowe skarżącego były przetwarzane przez Policję w 2009 r. w związku z postępowaniem karnym w sprawie o czyny z art. 50 ust. 1, art. 59 ust. 1 oraz art. 62 ust. 1 ustawy z dnia 29 lipca 2005 r.
o przeciwdziałaniu narkomanii. Sąd Rejonowy w [...] wyrokiem z dnia [...] września 2011 r. (sygn. akt [...]) uznał skarżącego za winnego zarzucanych mu czynów i wymierzył mu karę łączną jednego roku i sześciu miesięcy pozbawienia wolności.
Z materiału dowodowego zgromadzonego w sprawie wynika, że organy Policji, dokonały zgodnie z art. 16 ust. 1 ustawy z dnia 14 grudnia 2018 r. stosownej weryfikacji gromadzonych w KSIP danych skarżącego. KGP dokonał weryfikacji tych danych po otrzymaniu informacji o zakończeniu postępowania w sprawie przeciwko skarżącemu, następnie w związku z otrzymanym wnioskiem skarżącego o usunięcie jego danych osobowych z KSIP, a także w związku ze skargą skarżącego do PUODO. Weryfikacji dokonano w szczególności pod kątem przesłanek z art. 51 ust. 4 Konstytucji RP oraz pod kątem legalności i celowości przetwarzania danych osobowych. Organy Policji, dokonując powyższych weryfikacji, zgodnie z przepisami rozdziału 15 ww. zarządzenia nr 70 Komendanta Głównego Policji z dnia 2 grudnia 2019 r. uwzględniły m.in. czas, który upłynął od momentu wprowadzenia informacji, w tym danych osobowych, do zbiorów danych KSIP do momentu dokonywania oceny, oraz aktualność przesłanek legalności
i niezbędności dalszego przetwarzania informacji, w tym danych osobowych, do wykonania zadań ustawowych Policji. Ze zgromadzonego materiału dowodowego
w sprawie wynika, iż KGP stwierdził dalszą zasadność przetwarzania danych osobowych skarżącego.
Organ zwrócił uwagę, że w wyjaśnieniach KGP wskazał, iż ustawowym celem przetwarzania danych osobowych skarżącego jest zapobieżenie popełnieniu przez niego w przyszłości przestępstwa, jak również — w przypadku niemożności zapobieżenia — wykrycie go. W związku z naruszeniem norm prawnokarnych przez skarżącego oraz rodzajem norm naruszonych KGP uznał, że nie można stwierdzić, że dane osobowe skarżącego stały się zbędne dla realizacji zadań Policji, zwłaszcza wymienionych w art. 1 ust. 2 ustawy o Policji, m.in. ochrony życia i zdrowia ludzi oraz mienia przed bezprawnymi zamachami naruszającymi te dobra, a także wykrywania przestępstw
i wykroczeń oraz ścigania ich sprawców. Podkreślono, że nie bez znaczenia dla odmownej decyzji w zakresie usunięcia danych osobowych skarżącego z KSIP pozostaje również rodzaj dóbr chronionych prawem naruszonych popełnionym przez skarżącego przestępstwem oraz forma sprawstwa i umyślności popełnionego czynu. W ocenie KGP cechy przestępstw, których dotyczyły postępowania prowadzone wobec skarżącego, stanowią kolejny element uzasadniający dalsze przetwarzanie jego danych osobowych przez Policję w KSIP. KGP podkreślił, że przetwarzanie to ma na celu po pierwsze uniemożliwienie ponownego popełnienia takiego czynu, po drugie zaś właściwe dokonywanie dalszych prognoz kryminologicznych oraz czynności analitycznych, a także pełną realizację ustawowych zadań Policji.
PUODO wskazał, że ocena dokonywana przez PUODO służy zbadaniu zasadności skierowania pod adresem określonego podmiotu nakazu odpowiadającego dyspozycji art. 8 ust. 2 ustawy z dnia 14 grudnia 2018 r., służącego przywróceniu stanu zgodnego z prawem w procesie przetwarzania danych - jest więc ona uzasadniona
i potrzebna o tyle, o ile nieprawidłowości w procesie przetwarzania danych osobowych istnieją.
W ocenie organu w niniejszej sprawie nie ma podstaw do stwierdzenia, że dane osobowe skarżącego są obecnie przetwarzane przez KGP w sposób niezgodny z ustawą z dnia 14 grudnia 2018 r. Przetwarzanie danych osobowych skarżącego w zakresie objętym skargą znajduje oparcie w przesłance określonej w art. 13 ustawy z dnia 14 grudnia 2018 r. Przepis ten statuuje legalne podstawy przetwarzania danych osobowych. Wiążąc treść tego przepisu z kompetencjami organów Policji w zakresie zapewniania bezpieczeństwa i porządku publicznego, a także z prawem tych organów do przetwarzania danych osobowych osób podejrzanych o popełnienie przestępstwa, skazanych prawomocnym wyrokiem sądu, jak również tych, wobec których skazanie uległo zatarciu, należy dojść do wniosku, że przetwarzanie danych osobowych skarżącego w KSIP oparte jest obecnie na obowiązujących przepisach prawa.
Organ uznał za istotne to, że jak zostało wykazane w niniejszym postępowaniu, dane osobowe skarżącego zostały, zgodnie z przepisami, poddane stosownej weryfikacji i ocenie ich przydatności, co implikuje dalsze pozostawienie ich w KSIP. PUODO podzielił dotychczasowe stanowisko sądów administracyjnych podkreślające, że to organy Policji oceniają przydatność zebranych informacji zawierających dane osobowe, które są przetwarzane w związku z realizacją zadań ustawowych Policji. Natomiast PUODO nie jest władny do dokonywania oceny postępowania prowadzonego przez organy Policji,
a tym samym nie może oceniać przydatności danych zebranych w tych postępowaniach.
Na powyższą decyzję skarżący wniósł skargę do Wojewódzkiego Sądu Administracyjnego w Warszawie. Skarżący zarzucił, że decyzja ta jest niezgodna
z prawem i wniósł o jej uchylenie.
W odpowiedzi na skargę organ wniósł o oddalenie skargi, podtrzymując argumentację zawartą w zaskarżonej decyzji.
Wojewódzki Sąd Administracyjny w Warszawie zważył, co następuje:
Na wstępie należy wyjaśnić, że złożona w niniejszej sprawie skarga została rozpoznana na posiedzeniu niejawnym w trybie uproszczonym, stosownie do art. 119 pkt 2 ustawy z dnia 30 sierpnia 2002 r. Prawo o postępowaniu przed sądami administracyjnymi (Dz. U. z 2024 r. poz. 935), dalej "p.p.s.a." Zgodnie z powołaną regulacją, sprawa może być rozpoznana w trybie uproszczonym, jeżeli strona zgłosi wniosek o skierowanie sprawy do rozpoznania w trybie uproszczonym, a żadna z pozostałych stron w terminie czternastu dni od zawiadomienia o złożeniu wniosku nie zażąda przeprowadzenia rozprawy.
W odpowiedzi na skargę organ wniósł o rozpoznanie sprawy w trybie uproszczonym, zaś żadna z pozostałych stron nie zażądała przeprowadzenia rozprawy.
Zgodnie z art. 1 § 1 i § 2 ustawy z dnia 25 lipca 2002 r. Prawo o ustroju sądów administracyjnych (Dz. U. z 2022 r., poz. 2492, z późn. zm.) oraz art. 3 § 1 p.p.s.a., sądy administracyjne sprawują wymiar sprawiedliwości przez kontrolę działalności administracji publicznej. Kontrola ta polega na ocenie zgodności zaskarżonego aktu z przepisami postępowania administracyjnego, a także prawidłowości zastosowania i wykładni norm prawa materialnego. Kontrola ta jest dokonywana według stanu faktycznego i prawnego obowiązującego w dacie wydania zaskarżonego aktu.
W myśl art. 134 § 1 i 2 p.p.s.a. sąd rozstrzyga w granicach danej sprawy nie będąc związany zarzutami i wnioskami skargi oraz powołaną podstawą prawną,
z zastrzeżeniem art. 57a, przy czym sąd nie może wydać orzeczenia na niekorzyść skarżącego, chyba że stwierdzi naruszenie prawa skutkujące stwierdzeniem nieważności zaskarżonego aktu lub czynności.
Rozpatrując skargę wedle powyższych kryteriów Sąd uznał, że nie zasługuje ona na uwzględnienie.
Zaskarżoną w niniejszej sprawie decyzją organ odmówił uwzględnienia wniosku skarżącego, w którym kwestionował on legalność przetwarzania jego danych osobowych w KSIP i zażądał nakazania KGP ich usunięcia z ww. systemu.
W sprawie istotnym elementem stanu faktycznego, a przy tym niekwestionowanym przez żadną ze stron, jest to, że w roku 2006 r. wobec skarżącego zostało przeprowadzone postępowanie karne w sprawie o czyn z art. 270 § 1 k.k. Na zasadach określonych w obowiązującym wówczas art. 20 ust. 2 ustawy o Policji w związku z przedstawieniem skarżącemu zarzutów właściwe organy Policji dokonały tzw. rejestracji procesowej, tj. wprowadziły dane osobowe skarżącego do zbioru danych KSIP, jako o osobie podejrzanej o popełnienie przestępstwa ściganego z oskarżenia publicznego. Następnie dane osobowe skarżącego były przetwarzane przez Policję w 2009 r. w związku z postępowaniem karnym w sprawie o czyny z art. 50 ust. 1, art. 59 ust. 1 oraz art. 62 ust. 1 ustawy z dnia 29 lipca 2005 r. o przeciwdziałaniu narkomanii. W sprawie tej Sąd Rejonowy w [...] wyrokiem z dnia [...] września 2011 r., sygn. akt [...], uznał skarżącego za winnego zarzucanych mu czynów i wymierzył mu karę łączną jednego roku i sześciu miesięcy pozbawienia wolności.
Zgodnie z art. 21nb ust 1 ustawy o Policji Komendant Główny Policji prowadzi KSIP, będący zestawem zbiorów danych, w którym przetwarza się informacje, w tym dane osobowe, w związku z realizacją zadań ustawowych Policji. Zadania te określone są przede wszystkim w art. 1 ust. 2 ustawy o Policji. Zgodnie z tym przepisem do podstawowych zadań Policji należą m.in.: ochrona życia i zdrowia ludzi oraz mienia przed bezprawnymi zamachami naruszającymi te dobra (pkt 1); ochrona bezpieczeństwa i porządku publicznego, w tym zapewnienie spokoju w miejscach publicznych oraz w środkach publicznego transportu i komunikacji publicznej, w ruchu drogowym i na wodach przeznaczonych do powszechnego korzystania (pkt 2); inicjowanie i organizowanie działań mających na celu zapobieganie popełnianiu przestępstw i wykroczeń oraz zjawiskom kryminogennym i współdziałanie w tym zakresie z organami państwowymi, samorządowymi i organizacjami społecznymi (pkt 3); wykrywanie przestępstw i wykroczeń oraz ściganie ich sprawców (pkt 4); przetwarzanie informacji kryminalnych, w tym danych osobowych (pkt 8).
Jak słusznie zauważa organ w zaskarżonej decyzji prowadzenie KSIP przez KGP jest obowiązkiem wykonywanym w ramach realizacji zadań ustawowych Policji.
Zauważyć też należy, że zgodnie z art. 20 ust. 1 ustawy o Policji, z zachowaniem ograniczeń wynikających z art. 19, Policja jest uprawniona do przetwarzania informacji, w tym danych osobowych. Stosownie do treści art. 20 ust. 1a cytowanej ustawy przetwarzanie oraz wymiana informacji, w tym danych osobowych, może dotyczyć także danych osobowych, o których mowa w art. 14 ust. 1 ustawy z dnia 14 grudnia 2018 r. (tzw. danych osobowych wrażliwych), przy czym dane dotyczące wyników analizy kwasu deoksyrybonukleinowego (DNA) obejmują informacje wyłącznie o niekodującej części DNA. Zgodnie zaś z art. 20 ust. 2b ustawy o Policji informacje przetwarzane przez Policję mogą obejmować: dane wrażliwe, z tym że dane dotyczące kodu genetycznego obejmują informacje wyłącznie o niekodującej części DNA, odciski linii papilarnych, zdjęcia, szkice i opisy wizerunku, cechy i znaki szczególne, pseudonimy, a także informacje o: miejscu zamieszkania lub pobytu, wykształceniu, zawodzie, miejscu i stanowisku pracy oraz sytuacji materialnej i stanie majątku, dokumentach i przedmiotach, którymi sprawca się posługuje, sposobie działania sprawcy, jego środowisku i kontaktach, sposobie zachowania się sprawcy wobec osób pokrzywdzonych. Ponadto zgodnie z art. 20 ust. 2c ustawy o Policji, danych osobowych, o których mowa w art. 14 ust. 1 ustawy z dnia 14 grudnia 2018 r., nie pobiera się, w przypadku gdy nie mają one przydatności wykrywczej, dowodowej lub identyfikacyjnej.
W sprawie zastosowanie miały również przepisy powołanej wyżej ustawy z dnia 14 grudnia 2018 r., która określa zasady i warunki ochrony danych osobowych przetwarzanych przez właściwe organy w celu rozpoznawania, zapobiegania, wykrywania i zwalczania czynów zabronionych, w tym zagrożeń dla bezpieczeństwa i porządku publicznego, a także wykonywania tymczasowego aresztowania, kar, kar porządkowych i środków przymusu skutkujących pozbawieniem wolności (art. 1 pkt 1).
Stosownie do treści art. 13 ustawy z dnia 14 grudnia 2018 r. właściwe organy przetwarzają dane osobowe wyłącznie w zakresie niezbędnym dla zrealizowania uprawnienia lub spełnienia obowiązku wynikającego z przepisu prawa. Zgodnie natomiast z art. 14 ww. ustawy z dnia 14 grudnia 2018 r. za wyjątkiem określonych w niej przypadków uznaje się za niedopuszczalne przetwarzanie tzw. danych wrażliwych, tj. danych osobowych ujawniających pochodzenie rasowe, etniczne, poglądy polityczne, przekonania religijne, światopoglądowe, przynależność do związków zawodowych, a także danych genetycznych, danych biometrycznych przetwarzanych w celu jednoznacznego zidentyfikowania osoby fizycznej, danych dotyczących zdrowia, danych dotyczących seksualności i orientacji seksualnej osoby fizycznej. Dopuszcza się przetwarzanie danych wrażliwych, jeżeli: 1) przepisy prawa zezwalają na ich przetwarzanie lub 2) jest to niezbędne dla ochrony życia lub zdrowia lub interesów osoby, której dane dotyczą, lub innej osoby lub 3) dane takie zostały upublicznione przez osobę, której dotyczą. W myśl art. 24 ust. 1 pkt 2 ww. ustawy osoba, której dane dotyczą, może wystąpić z wnioskiem do administratora o niezwłoczne usunięcie danych osobowych, w przypadku gdy dane te zostały zebrane lub są przetwarzane z naruszeniem przepisów ustawy.
Zauważyć należy, że w kwestii przetwarzania danych osobowych przez Policję wypowiedział się Europejski Trybunał Sprawiedliwości, który w wyroku z dnia 4 grudnia 2008 r. (sygn. 30562/04 i 30566/04) stwierdził, iż bezterminowe przechowywanie przez władze danych szczególnie wrażliwych jest niedopuszczalne w demokratycznym społeczeństwie i prowadzi do naruszenia art. 8 Europejskiej Konwencji Praw Człowieka, stanowiącego o prawie do ochrony życia prywatnego. Trybunał wskazał również, że prawo krajowe powinno zawierać odpowiednie mechanizmy ochronne w celu zapobieżenia takiego wykorzystania informacji osobistych, które naruszałoby art. 8 Konwencji.
Taką regulację zawiera art. 16 ust. 1 ustawy z dnia 14 grudnia 2018 r., który stanowi, że administrator dokonuje weryfikacji danych osobowych w terminach określonych przez przepisy szczególne, regulujące działania właściwego organu, a jeżeli przepisy te nie określają terminu - nie rzadziej niż co 10 lat od dnia zebrania, uzyskania, pobrania lub aktualizacji danych. Weryfikacja dokonywana jest w celu ustalenia, czy istnieją dane, których dalsze przechowywanie jest zbędne. Zbędne dane usuwa się, z zastrzeżeniem art. 17 (art. 16 ust. 2 ustawy z dnia 14 grudnia 2018 r.).
Z kolei w art. 31 ust. 2 ustawy z dnia 14 grudnia 2018 r. na administratorów danych nałożony został obowiązek podejmowania wszelkich działań, aby dane osobowe, które są nieprawidłowe, w świetle celów ich przetwarzania, zostały niezwłocznie usunięte lub sprostowane.
W niniejszej sprawie sama zasadność umieszczenia danych osobowych skarżącego w KSIP nie budziła wątpliwości. Sporne natomiast jest to czy niezbędne jest ich dalsze przetwarzanie w tym systemie.
W toku postępowania organ ustalił, że KGP, stosownie do treści art. 16 ust. 1 ustawy z dnia 14 grudnia 2018 r., dokonał weryfikacji danych osobowych skarżącego przetwarzanych w KSIP. Weryfikacja ta miała miejsce po otrzymaniu informacji
o zakończeniu postępowania w sprawie przeciwko skarżącemu, następnie w związku
z otrzymanym wnioskiem skarżącego o usunięcie jego danych osobowych z KSIP,
a także w związku ze skargą skarżącego do PUODO. Weryfikacji dokonano
w szczególności pod kątem przesłanek z art. 51 ust. 4 Konstytucji RP oraz pod kątem legalności i celowości przetwarzania danych osobowych. Organy Policji, dokonując powyższych weryfikacji, uwzględniły m.in. czas, który upłynął od momentu wprowadzenia informacji, w tym danych osobowych, do zbiorów danych KSIP do momentu dokonywania oceny, oraz aktualność przesłanek legalności i niezbędności dalszego przetwarzania informacji, w tym danych osobowych, do wykonania zadań ustawowych Policji. KGP uznał za zasadne dalsze przetwarzania danych osobowych skarżącego.
Podnieść należy, że kluczowym wyznacznikiem dla oceny dopuszczalności przetwarzania danych osobowych w KSIP jest cel gromadzenia określonych informacji, co determinuje konieczność dokonywania każdorazowej, zindywidualizowanej oceny wniosków o usunięcie danych z tego zbioru. Ustalenie celu, w jakim dane są przetwarzane, kształtuje okres przez jaki dane mogą być przetwarzane.
W tym zakresie KGP wskazywał, że ustawowym celem przetwarzania danych osobowych skarżącego jest zapobieżenie popełnieniu przez niego w przyszłości przestępstwa, bądź w przypadku niemożności zapobieżenia, wykrycie go. KGP uwzględnił fakt naruszenia przez skarżącego norm prawnokarnych, a także rodzaj tych norm. W oparciu o to KGP uznał, że nie można stwierdzić, że dane osobowe skarżącego stały się zbędne dla realizacji zadań Policji, zwłaszcza wymienionych w art. 1 ust. 2 ustawy o Policji, m.in. ochrony życia i zdrowia ludzi oraz mienia przed bezprawnymi zamachami naruszającymi te dobra, a także wykrywania przestępstw i wykroczeń oraz ścigania ich sprawców. KGP podkreślił, że nie bez znaczenia dla odmownej decyzji w zakresie usunięcia danych osobowych skarżącego z KSIP pozostaje również rodzaj dóbr chronionych prawem naruszonych popełnionym przez skarżącego przestępstwem oraz forma sprawstwa i umyślności popełnionego czynu. W ocenie KGP cechy przestępstw, których dotyczyły postępowania prowadzone wobec skarżącego, stanowią kolejny element uzasadniający dalsze przetwarzanie jego danych osobowych przez Policję w KSIP. KGP podkreślił, że przetwarzanie to ma na celu po pierwsze uniemożliwienie ponownego popełnienia takiego czynu, po drugie zaś właściwe dokonywanie dalszych prognoz kryminologicznych oraz czynności analitycznych, a także pełną realizację ustawowych zadań Policji.
Sąd podziela ocenę organu wskazującą, że w tej sytuacji nie ma podstaw do stwierdzenia, iż dane osobowe skarżącego są obecnie przetwarzane przez KGP w sposób niezgodny z ustawą z dnia 14 grudnia 2018 r. Słusznie PUODO wywodzi, że przetwarzanie danych osobowych skarżącego w zakresie objętym skargą znajduje oparcie w przesłance określonej w art. 13 ustawy z dnia 14 grudnia 2018 r.
W świetle powyższych regulacji, wbrew poglądowi skarżącego, organy Policji są więc uprawnione do przetwarzania danych osób skazanych prawomocnym wyrokiem sądu, jak również tych, wobec których skazanie uległo zatarciu. Realizowanie bowiem celu, jakim jest zapewnienie bezpieczeństwa i porządku publicznego przez organy Policji, wykazuje przesłankę niezbędności przetwarzania danych osobowych w KSIP dla spełnienia obowiązku wynikającego z przepisu prawa (art. 1 ust. 2 ww. ustawy o Policji), co oznacza, że sam proces przetwarzania zawartych w tym zbiorze danych, nie wykracza poza dopuszczalny zakres ich przetwarzania określony w art. 13 ust. 1 ustawy z dnia 14 grudnia 2018 r.
Kryterium niezbędności przetwarzania danych osobowych w KSIP musi być bowiem odnoszone do ustawowych zadań Policji, których realizowaniu mają służyć przepisy art. 20 ust. 1 i 2b ustawy o Policji w zw. z art. 16 ustawy z dnia 14 grudnia
2018 r. Podkreślenia przy tym wymaga, że zgodnie z art. 20 ust. 1d zdanie drugie ustawy o Policji przetwarzanie informacji, w tym danych osobowych, przez Policję może mieć charakter niejawny, odbywać się bez zgody i wiedzy, osoby której dane dotyczą, oraz z wykorzystaniem środków technicznych.
Jednocześnie zauważyć należy, że mechanizm działania zasady proporcjonalności nakazuje, by realizacja tych zadań odbywała się z poszanowaniem generalnych zasad konstytucyjnych, czyli zasady Państwa prawnego (art. 2 Konstytucji RP) i zasady legalizmu, wywodzonej z art. 7 ustawy zasadniczej. W ocenie Sądu, zasadę tę gwarantuje właśnie wprowadzenie omówionych uregulowań ustawowych, które zezwalają organom Policji na przetwarzanie danych osobowych osób wchodzących w konflikt z prawem i postanowienia te nie naruszają zasady demokratycznego Państwa prawnego i zasady legalizmu, gdyż zapewnienie ładu i porządku publicznego oraz bezpieczeństwa obywateli jest interesem nadrzędnym Państwa, realizowanym między innymi przez organy Policji.
Jednoczesnego podkreślenia wymaga, że przy przetwarzaniu danych osobowych uwzględniać należy nie tylko prawo do ochrony prywatności zainteresowanego, ale także potrzebę wynikających z art. 31 ust. 3 Konstytucji RP, a więc dopuszczalność pewnych ograniczeń wolności i praw obywatelskich, o ile mają służyć zapewnieniu bezpieczeństwa i porządku publicznego.
Inaczej mówiąc, ocena zasadności wniosku o nakazanie usunięcia danych osobowych, jak w przypadku rozstrzyganej sprawy, z KSIP, musi zatem uwzględniać nie tylko ochronę interesu indywidualnego skarżącego, ale także uwarunkowania wynikające z innych regulacji prawnych funkcjonujących w systemie prawa, jako że art. 31 ust. 3 Konstytucji RP wskazuje właśnie na ustawowe podstawy owych ograniczeń.
Tym samym irracjonalne byłoby pozbawienie organów Policji dostępu do jak najpełniejszej informacji, którą Policja sama wytworzyła w sposób legalny. Jednocześnie zastrzec należy, że zebrane przez Policję informacje przechowywane są i mogą być wykorzystane tylko w związku z prowadzonymi czynnościami, służącymi Państwu.
Dostrzegając niebezpieczeństwo płynące z faktu zachowania zbioru, jak również trudności kontroli prawidłowego postępowania ze zbiorami, czy też możliwości ekscesywnego ich wykorzystania, nie można jednak uznać, by tego rodzaju obawy miały determinować decyzję o wcześniejszym usuwaniu z KSIP danych.
Podkreślenia wymaga, że przetwarzanie danych zawartych w KSIP ma służyć dobru ogólnemu, toteż dysponowanie informacjami zgromadzonymi w zbiorze przez okres czasu, w jakim informacje te są organom Policji potrzebne, jest wprost proporcjonalne do celu, który organy te realizują w związku z koniecznością zapewnienia ładu i porządku publicznego oraz bezpieczeństwa obywateli. Omawiane uregulowania wynikające z ustawy o Policji, jakkolwiek mogą subiektywnie ograniczać sferę prywatności osoby, wobec której nastąpiło zatarcie skazania, to jednak ograniczenia te podyktowane są niezbędnością w zapewnieniu bezpieczeństwa i porządku publicznego, a więc wynikają z interesu Państwa, na co – jak już wcześniej podkreślono - zezwala art. 31 ust. 3 Konstytucji RP, wskazując właśnie na ustawowe podstawy owych ograniczeń.
Nie można czynić zatem KGP, jako administratorowi danych zawartych w KSIP, zarzutu, że w sposób bezprawny przechowuje pozyskane dane osobowe skarżącego.
To organy Policji oceniają bowiem przydatność zebranych informacji do celu zapobieżenia popełnieniu przestępstwa, bądź w przypadku niemożności zapobieżenia, wykrycia go. Jak wyjaśniono wcześniej, ustawodawca celowo ograniczył się do określenia granicznego okresu 10 lat, obowiązującego do dokonania weryfikacji posiadanych w systemie informatycznym danych, jedynie pod kątem ich dalszej przydatności. Jeśli bowiem informacje o osobie zawarte w KSIP stają się nieprzydatne dla celów prewencyjnych, dowodowych czy wykrywczych, organ Policji może zdecydować o ich usunięciu, czyniąc to jednak nie rzadziej niż raz na 10 lat, przy uwzględnieniu oceny niezbędności przetwarzania danych pod kątem realizacji ustawowych zadań Policji.
Jak już podniesiono wyżej z akt sprawy, w tym wyjaśnień złożonych przez KGP wynika, iż w stosunku do skarżącego dokonano wymaganych ustawą weryfikacji.
Nie bez znacznie jest także fakt, że - biorąc pod uwagę odmienny od zbiorów urzędowych status policyjnego zbioru danych w KSIP - informacje, w tym dane osobowe, przetwarza się w celu wykonywania zadań ustawowych Policji, w sposób dyskrecjonalny. Oznacza to, że udostępnianie przez Komendanta Głównego Policji, jako administratora danych, informacji z policyjnego zbioru danych odbiorcom, tj. innym organom władzy publicznej, służbom lub instytucjom jest możliwe wyłącznie w przypadku, gdy taki obowiązek wynika z innych przepisów szczególnych, które określają także zakres i cel udostępnienia. Zasady udostępniania takich informacji określa art. 21 ustawy z dnia 14 grudnia 2018 r.
Sąd uznał zatem, że skarga nie jest zasadna, gdyż zaskarżona decyzja nie narusza norm prawa materialnego czy procesowego. Organ prawidło ustalił stan faktyczny sprawy, w wystarczający sposób zebrał i ocenił materiał dowodowy,
a następnie w przekonywujący sposób uzasadnił swoje rozstrzygnięcie. Postępowanie administracyjne zostało przeprowadzone zgodnie z zasadami ogólnymi k.p.a.,
a w szczególności art. 7, art. 8, art. 11 k.p.a., a także innymi normami, zwłaszcza art. 77 i art. 80 k.p.a., a zaskarżone rozstrzygnięcie zostało oparte na prawidłowej interpretacji norm prawa materialnego.
Mając powyższe na względzie Sąd na podstawie art. 151 p.p.s.a. oddalił skargę.