II SA/Wa 814/23

II SA/Wa 814/23 - Wyrok WSA w Warszawie
Data orzeczenia
2024-02-28
orzeczenie nieprawomocne
Data wpływu
2023-04-25
Sąd
Wojewódzki Sąd Administracyjny w Warszawie
Sędziowie
Arkadiusz Koziarski
Joanna Kube /przewodniczący sprawozdawca/
Sławomir Fularski
Symbol z opisem
647  Sprawy związane z ochroną danych osobowych
Hasła tematyczne
Ochrona danych osobowych
Skarżony organ
Generalny Inspektor Ochrony Danych Osobowych
Treść wyniku
Oddalono skargę
Powołane przepisy
Dz.U. 2019 poz 125
art. 8 ust. 2 pkt 5, art. 13, art. 31 ust. 1 pkt 5
Ustawa z 14 grudnia 2018 r. o ochronie danych osobowych przetwarzanych w związku z zapobieganiem i zwalczaniem przestępczości
Dz.U. 2023 poz 1634
art. 151
Ustawa z dnia 30 sierpnia 2002 r. Prawo o postępowaniu przed sądami administracyjnymi - t.j.
Sentencja
Wojewódzki Sąd Administracyjny w Warszawie w składzie następującym: Przewodniczący Sędzia WSA Joanna Kube (spr.), Sędzia WSA Sławomir Fularski, Asesor WSA Arkadiusz Koziarski, Protokolant specjalista Elwira Sipak, po rozpoznaniu na rozprawie w dniu 28 lutego 2024 r. sprawy ze skargi Komendanta [...] na decyzję Prezesa Urzędu Ochrony Danych Osobowych z dnia [...] lutego 2023 r. nr [...] w przedmiocie przetwarzania danych osobowych oddala skargę
Uzasadnienie
Prezes Urzędu Ochrony Danych Osobowych (dalej: "Prezes UODO", organ) decyzją z dnia [...] lutego 2023 r. sygn. akt [...], na podstawie art. 104 § 1 ustawy z dnia 14 czerwca 1960 r. Kodeksu postępowania administracyjnego (Dz.U. z 2022 r. poz. 2000 z późn. zm.), dalej: "k.p.a.", oraz art. 5 ust. 1 pkt 6 i art. 8 ust. 1 pkt 5 w zw. z art. 12 oraz art. 24 ust. 1 pkt 2 i art. 31 ust. 1 pkt 5 ustawy z dnia 14 grudnia 2018 r. o ochronie danych osobowych przetwarzanych w związku z zapobieganiem i zwalczaniem przestępczości (Dz.U.
z 2019 r. poz. 125 z późn. zm.), po przeprowadzeniu postępowania administracyjnego w sprawie skargi P. K. (dalej: "skarżący") na nieprawidłowości w procesie przetwarzaniu jego danych osobowych przez Komendanta Głównego Policji, nakazał Komendantowi Głównemu Policji przywrócenie stanu zgodnego z prawem poprzez usunięcie z Krajowego Systemu Informacyjnego Policji, dalej: "KSIP", danych osobowych P. K., wprowadzonych do KSIP w ramach postępowania karnego prowadzonego w sprawie o czyn wypełniający znamiona przestępstwa określonego w art. 158 § 1 ustawy
z dnia 6 czerwca 1997 r. - Kodeks karny (Dz.U. z 2022 r. poz. 1138, dalej: "k.k."), zakończonego prawomocnym wyrokiem Sądu Rejonowego w [...] z dnia [...] grudnia 2014 r. w sprawie o sygn. akt [...].
W sprawie zainicjowanej skargą z dnia 10 marca 2022 r. na nieprawidłowości w procesie przetwarzania danych osobowych przez Komendanta Głównego Policji, Prezes UODO ustalił, że:
Wobec skarżącego zostało przeprowadzone w 2014 r. postępowanie karne
w sprawie o czyn z art. 158 § 1 k.k. Na zasadach określonych w ówcześnie obowiązującym art. 20 ust. 2a ustawy o Policji, w związku z przedstawieniem skarżącemu zarzutów, właściwe organy Policji dokonały tzw. rejestracji procesowej, tj. wprowadziły dane osobowe skarżącego do zbioru danych KSIP, jako o osobie podejrzanej o popełnienie przestępstw ściganych z oskarżenia publicznego. Postępowanie karne prowadzone przeciwko skarżącemu w 2014 r. o czyn z art. 158 § 1 k.k. zostało, wyrokiem Sądu Rejonowego w [...] z dnia [...] grudnia 2014 r. wydanym w sprawie o sygn. akt [...], warunkowo umorzone na okres próby 2 lat.
Z materiału dowodowego zgromadzonego w sprawie wynika, że Komendant Główny Policji, na podstawie art. 16 ust. 1 ustawy z dnia 14 grudnia 2018 r., dokonał weryfikacji danych skarżącego przetwarzanych w KSIP, w związku z wnioskiem skarżącego o usunięcie jego danych osobowych z KSIP, a następnie w związku ze skargą skarżącego do Prezesa UODO. W wyniku weryfikacji stwierdzono dalszą zasadność przetwarzania danych osobowych skarżącego.
W złożonych wyjaśnieniach Komendant Główny Policji wskazał, że ustawowym celem przetwarzania danych osobowych skarżącego jest zapobieżenie popełnieniu przez niego w przyszłości przestępstw, jak również w przypadku niemożności zapobieżenia, wykrycie ich. W związku z naruszeniem norm prawnokarnych przez skarżącego oraz rodzajem norm naruszonych, przyjął, że nie można stwierdzić, że dane osobowe skarżącego stały się zbędne dla realizacji zadań Policji, zwłaszcza tych wymienionych w art. 1 ust. 2 ustawy o Policji, m.in. ochrony życia i zdrowia ludzi oraz mienia przed bezprawnymi zamachami naruszającymi te dobra. Podkreślił, że wpływ na odmowę usunięcia danych osobowych skarżącego
z KSIP miał rodzaj dóbr chronionych prawem naruszonych popełnionym przez skarżącego przestępstwami oraz formy sprawstwa i umyślności popełnionego czynu. Zaznaczył, że naruszenie prawa dokonane przez skarżącego dotyczyło czynu
z art. 158 § 1 k.k.
W ocenie Komendanta Głównego Policji, cechy przestępstwa, którego dotyczyło postępowanie prowadzone wobec skarżącego, stanowi kolejny element uzasadniający dalsze przetwarzanie jego danych osobowych przez organy Policji
w KSIP. Podkreślił, że przetwarzanie to ma na celu, po pierwsze uniemożliwienie ponownego popełnienia takiego czynu, po drugie zaś właściwe dokonywanie dalszych prognoz kryminologicznych oraz czynności analitycznych, a także pełną realizację ustawowych zadań Policji.
Prezes UODO uzasadniając decyzję stwierdził, że dla realizacji celu, jakim jest ochrona bezpieczeństwa i porządku publicznego, a także wykrywanie przestępstw i wykroczeń oraz ścigania ich sprawców, zbędne jest przetwarzanie danych osobowych skarżącego jako osoby, wobec której Sąd warunkowo umorzył postępowanie w sprawie o czyn z art. 158 § 1 k.k.
W ocenie organu, dla dokonania oceny kryminologicznej skarżącego istotna pozostaje okoliczność, że sąd orzekając w sprawie dokonanego przez niego czynu zabronionego skorzystał z instytucji określonej w art. 66 § 1 k.k., tj. warunkowo umorzył postępowanie karne. Sąd wydając rozstrzygnięcie w takim kształcie dokonał de facto oceny kryminologicznej skarżącego. W kontekście powyższego stanowisko Komendanta Głównego Policji, że przetwarzanie danych osobowych skarżącego jest niezbędne w celu prowadzenia dalszych prognoz kryminologicznych, wydaje się kwestionować niejako stanowisko sądu, który jako organ do tego właściwy, takiej oceny uprzednio dokonał, warunkowo umarzając wobec niego postępowanie karne.
Zdaniem organu jedynym podmiotem uprawnionym do dokonywania oceny stopnia winy i społecznej szkodliwości popełnionego czynu jest sąd. To sąd stosując sprawiedliwościowe dyrektywy wymiaru kary dokonuje oceny czynu z punktu widzenia naganności zachowania się sprawcy oraz jego stosunku psychicznego do popełnionego czynu. Nadto, wartościując powyższe, sąd analizuje nie tylko stopień społecznej szkodliwości czynu, ale również dyrektywę prewencji indywidualnej, biorąc pod uwagę dotychczasowy tryb życia sprawcy, sposób popełnienia czynu
i zachowanie się po czynie.
Okoliczności faktyczne niniejszej sprawy wskazują, że okres próby
u skarżącego skończył się z upływem 2 lat od dnia uprawomocnienia się orzeczenia Sądu Rejonowego w [...] z dnia [...] grudnia 2014 r. w sprawie o sygn. akt [...].
Organ podkreślił również, że z ustaleń przeprowadzonego postępowania wynika, że pomimo, że dane osobowe skarżącego zostały pozyskane i wprowadzone do zbioru KSIP w 2014 r., w związku z prowadzonym wobec niego wówczas postępowaniem, to od tamtego czasu nie doszło do postawienia mu innego zarzutu
o charakterze prawnokarnym. W szczególności, obecnie nie toczy się przeciwko niemu żadne postępowanie karne. Dlatego też przetwarzanie danych skarżącego,
w celu zapobieżenia popełnieniu bezpośrednio przez skarżącego w przyszłości przestępstwa, albo wykrycia go, w przypadku niemożności zapobieżenia popełnienia takiego przestępstwa, wydaje się całkowicie nieuzasadnione.
Ponadto, Prezes UODO zauważył, że w toku niniejszego postępowania Komendant Główny Policji nie wykazał, w jaki sposób przetwarzanie danych osobowych skarżącego pomogło w realizacji celów oraz zadań ustawowych Policji.
Podkreślił również, że w kwestii przetwarzania danych osobowych przez Policję wypowiedział się Europejski Trybunał Sprawiedliwości, który w wyroku z dnia 4 grudnia 2008 r. (sygn. 30562/04 i 30566/04) stwierdził, iż bezterminowe przechowywanie przez władze danych szczególnie wrażliwych jest niedopuszczalne w demokratycznym społeczeństwie i prowadzi do naruszenia art. 8 Europejskiej Konwencji Praw Człowieka stanowiącego o prawie do ochrony życia prywatnego. Trybunał wskazał również, że prawo krajowe powinno zawierać odpowiednie mechanizmy ochronne, w celu zapobieżenia takiego wykorzystania informacji osobistych, które naruszałoby art. 8 Konwencji. Trybunał podniósł, iż potrzeba takiej ochrony wzrasta, gdy ma się do czynienia z procesem automatycznego przetwarzania danych, a wykorzystywanie ich do celów policyjnych nie może być usprawiedliwieniem mniejszej ochrony.
Prezes UODO reasumując stwierdził, że w świetle ustalonych okoliczności, przetwarzanie przez Komendanta Głównego Policji danych osobowych skarżącego
w KSIP odbywa z naruszeniem art. 13 oraz art. 31 ust. 1 pkt 5 ustawy z dnia 14 grudnia 2018 r. o ochronie danych osobowych przetwarzanych w związku
z zapobieganiem i zwalczaniem przestępczości, wobec czego niezbędne jest nakazanie przywrócenia stanu zgodnego z prawem w tym zakresie. Dlatego też, działając na podstawie art. 8 ust 2 pkt 5 ww. ustawy z dnia 14 grudnia 2018 r., nakazał Komendantowi Głównemu Policji przywrócenie stanu zgodnego z prawem poprzez usunięcie danych osobowych skarżącego z KSIP, wprowadzonych do tego rejestru w ramach postępowania karnego prowadzonego wobec skarżącego
w sprawie o czyn z art. 158 § 1 k.k.
W skardze do Sądu Komendant Główny Policji zakwestionował decyzję Prezesa UODO z dnia [...] lutego 2023 r., zarzucając jej naruszenie prawa materialnego oraz procesowego, w tym: art. 13 i art. 31 ust. 1 pkt 5 ustawy z dnia 14 grudnia 2018 r. o ochronie danych osobowych przetwarzanych w związku
z zapobieganiem i zwalczaniem przestępczości oraz art. 21nb, art. 20 ust. 1-1d, 1j
i ust. 2ad - 2ba, w związku z art. 1 ust. 1 i ust. 2 pkt 1-4 ustawy o Policji, a także art. 6, art. 7, art. 8, art. 77 § 1 i art. 80 w zw. z art. 104 § 1, art. 107 § 3 k.p.a. oraz w zw. z art. 8 ust. 2 pkt 5 ustawy z dnia 14 grudnia 2018 r. o ochronie danych osobowych przetwarzanych w związku z zapobieganiem i zwalczaniem przestępczości.
Komendant Główny Policji wniósł jednocześnie o uchylenie w całości zaskarżonej decyzji oraz uznanie, że Komendant Główny Policji zgodnie z prawem przetwarza, w tym przechowuje, dane osobowe w związku z popełnionym przez skarżącego w 2014 r. przestępstwem z art. 158 § 1 k.k. w KSIP, w celu realizacji ustawowych zadań Policji, w szczególności w zakresie ochrony bezpieczeństwa
i porządku publicznego, rozpoznawania, zapobiegania wykrywania i ścigania sprawców przestępstw i wykroczeń, a także uznanie, iż zaskarżona decyzja nie odpowiada przepisom prawa. Ponadto, Komendant Główny Policji wniósł
o zasądzenie na jego rzecz kosztów postępowania.
Zdaniem Komendanta Głównego Policji, Prezes UODO dokonał błędnej subsumpcji ustalonego przez siebie stanu faktycznego do przepisów prawa, tj. do art. 13 i art. 31 ust. 1 ust. 1 pkt 5 ustawy z dnia 14 grudnia 2018 r. o ochronie danych osobowych przetwarzanych w związku z zapobieganiem i zwalczaniem przestępczości, a co się z tym wiąże niewłaściwie je zastosował oraz w całości błędnie (niewłaściwie) zastosował przepisy art. 21nb w związku z art. 20 ust. 1 - 1d, ust. 2ad - 2ba ustawy o Policji oraz przepisy art. 13, art. 14 ust. 2, art. 16 oraz art. 31 ust. 1 ustawy z dnia 14 grudnia 2018 r., a także błędnie zastosował przepisy art. 8 ust. 2 pkt 5 tej ustawy, czego konsekwencją jest niezgodne z prawem rozstrzygniecie niniejszej sprawy zaskarżoną decyzją. Ponadto, nie do końca prawidłowo ustalił stan faktyczny. Dlatego rozstrzygniecie i uzasadnienie do zaskarżonej decyzji jest całkowicie oderwane od stanu faktycznego i prawnego niniejszej sprawy, nielogiczne, nie zachowujące zasad prawidłowego rozumowania oraz wskazań wiedzy, a także naruszające zasady praworządności.
Jednocześnie stwierdził, że zaskarżona decyzja narusza w sposób rażący obowiązujący porządek prawny nie respektując przepisów ustawy o Policji stanowiących podstawę prawną oraz regulujących przetwarzanie danych osobowych przez Policję w KSIP w celu realizacji jej zadań ustawowych, jak również rażąco narusza przepisy art. 13, art. 14 ust. 2, art. 16 i art. 31 ust. 1 ustawy z dnia 14 grudnia 2018 r. o ochronie danych osobowych przetwarzanych w związku
z zapobieganiem i zwalczaniem przestępczości. Zaskarżona decyzja rażąco narusza również prawo, nie respektując przepisów art. 26 ust. 1 ustawy z dnia 14 grudnia 2018 r. zakazujących przekazywania informacji, o których mowa w rozdziale 4 tej ustawy, w tym informacji o przyczynach odmowy usunięcia danych osobowych
z KSIP, w przypadku prawdopodobieństwa wystąpienia którejkolwiek z przesłanek określonych w tym przepisie, które to przesłanki w kontekście ustawowych zadań Policji występują w stanie faktycznym i prawnym niniejszej sprawy, zezwalając Komendantowi Głównemu Policji na odmowę udzielenia informacji dotyczących sposobu przetwarzania, w tym wykorzystywania, informacji, w tym danych osobowych, dotyczących skarżącego, przetwarzanych w KSIP do realizacji zadań ustawowych Policji (tj. zwalniając z wykazywania, czy a jeśli tak, to w jaki sposób przetwarzanie danych skarżącego przyczyniło się do realizacji zadań Policji), gdyż wiąże się to z ujawnieniem informacji o metodach i formach realizacji przez Policję jej zadań ustawowych, w tym o metodach i formach realizacji czynności operacyjno-rozpoznawczych, dochodzeniowo-śledczych oraz administracyjno-porządkowych,
w tym o technikach operacyjnych i śledczych oraz ujawnieniem informacji
o podejmowanych w tym zakresie działaniach Policji w celu realizacji zadań Policji.
Komendant Główny Policji wskazał, iż podstawy prawne oraz zasady przetwarzania informacji, w tym danych osobowych, przez Policję w KSIP regulują przepisy ustawy o Policji, które stanowią lex specialis w stosunku do przepisów ustawy o ochronie danych osobowych przetwarzanych w związku z zapobieganiem
i zwalczeniem przestępczości, zaś w zakresie nieuregulowanym w ustawie o Policji zastosowanie mają przepisy ustawy o ochronie danych osobowych przetwarzanych
w związku z zapobieganiem i zwalczeniem przestępczości, w tym przepisy art. 16 tej ustawy.
KSIP stanowi zestaw zbiorów danych, w którym Policja przetwarza informacje, w tym dane osobowe, w związku z realizacją jej zadań ustawowych oraz bez wiedzy i zgody osoby, której dane dotyczą, na podstawie przepisów art. 21 nb
w związku z art. 20 ust. 1 - 1 d i ust. 2ad - 2ba oraz art. 20a ust. 1 ustawy o Policji. KSIP prowadzi Komendant Główny Policji, który jest administratorem,
w rozumieniu przepisów o ochronie danych osobowych, w odniesieniu do informacji, w tym danych osobowych, przetwarzanych w tym systemie (art. 21nb ust. 1 i 2 ustawy o Policji).
Biorąc pod uwagę odmienny od zbiorów urzędowych status policyjnego zbioru danych - w KSIP informacje, w tym dane osobowe, przetwarza się w celu wykonywania zadań ustawowych Policji, w sposób dyskrecjonalny - udostępnianie przez Komendanta Głównego Policji, jako administratora danych, informacji
z policyjnego zbioru danych odbiorcom, tj. innym organom władzy publicznej, służbom lub instytucjom, jest możliwe wyłącznie w przypadku, gdy taki obowiązek wynika z innych przepisów szczególnych, które określają także zakres i cel udostępnienia. Zatem informacje, w tym dane osobowe, przetwarzane w KSIP Komendant Główny Policji udostępnia organom władzy publicznej, służbom, instytucjom na podstawie obowiązujących ustaw w granicach przysługujących tym organom, służbom, instytucjom uprawnień w zakresie przetwarzania danych osobowych w celach realizacji ich zadań, a także organom innych państw lub agencjom Unii Europejskiej, organizacjom międzynarodowym uprawnionym do otrzymywania określonych informacji, w tym danych osobowych, na podstawie przepisów prawa Unii Europejskiej lub ratyfikowanych umów międzynarodowych.
Dane osobowe przetwarzane w KSIP, w celach określonych w art. 1 pkt 1 ustawy o ochronie danych osobowych przetwarzanych w związku z zapobieganiem
i zwalczaniem przestępczości, weryfikuje się nie rzadziej niż co 10 lat od dnia zebrania, uzyskania, pobrania lub aktualizacji danych, zgodnie z art. 16 ust. 1 tej ustawy. Weryfikacja dokonywana jest w celu ustalenia, czy istnieją dane, których dalsze przechowywanie jest zbędne.
Komendant Główny Policji stwierdził, że zgodnie z art. 16 ustawy o ochronie danych osobowych przetwarzanych w związku z zapobieganiem i zwalczaniem przestępczości w związku z art. 21nb ust. 1 i 2 ustawy o Policji, weryfikacji danych osobowych przetwarzanych przez Policję w KSIP nie rzadziej niż co 10 lat od dnia ich zebrania, uzyskania, pobrania lub aktualizacji w celu ustalenia, czy istnieją dane, których dalsze przechowanie jest zbędne dla realizacji zadań ustawowych Policji dokonuje Komendant Główny Policji, jako administrator danych osobowych przetwarzanych w KSIP, a także jako centralny organ administracji rządowej właściwy w sprawach ochrony bezpieczeństwa ludzi oraz utrzymania bezpieczeństwa i porządku publicznego.
Tylko zatem Komendant Główny Policji lub upoważnione przez niego w tym zakresie organy Policji z racji uprawnień ustawowych do realizacji zadań Policji mają prawo weryfikować dane osobowe przetwarzane w KSIP pod kątem ich niezbędności
i przydatności do realizacji zadań Policji, tj. ustalania, które są zbędne dla realizacji tych zadań i powinny być usunięte z KSIP.
Uprawnień do weryfikowania danych osobowych przetwarzanych w KSIP
w zakresie ustalenia ich zbędności lub niezbędności i przydatności do realizacji zadań Policji nie posiada Prezes UODO, gdyż de facto organ ten nie realizuje zadań Policji i nie jest organem właściwym w sprawach ochrony bezpieczeństwa ludzi oraz utrzymania bezpieczeństwa i porządku publicznego. Tym samym Prezes UODO nie jest władny i legitymowany do tego by stwierdzać, że dane osobowe osoby, która popełniła przestępstwo, przetwarzane w KSIP są zbędne dla realizacji zadań Policji
w szczególności w obszarze ochrony bezpieczeństwa państwa i ludzi oraz porządku publicznego, wynikających z art. 1 ust. 1 i 2 ustawy o Policji.
Ponadto, Komendant Główny Policji wskazał na motyw 27 dyrektywy Parlamentu Europejskiego i Rady (UE) 2016/680 z dnia 27 kwietnia 2016 r.
w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych przez właściwe organy do celów zapobiegania przestępczości, prowadzenia postępowań przygotowawczych, wykrywania i ścigania czynów zabronionych
i wykonywania kar, w sprawie swobodnego przepływu takich danych oraz uchylającą decyzję ramową Rady 2008/977/WSiSW (Dz. Urz. UE L 119 z 04.05.2016, str. 89, dalej: "dyrektywa 2016/680"), zgodnie z którym zapobieganie przestępczości, prowadzenie postępowań przygotowawczych, wykrywanie i ściganie czynów zabronionych wymaga, aby właściwe organy przetwarzały dane osobowe - zebrane w kontekście zapobiegania konkretnym czynom zabronionym, prowadzenia postępowań przygotowawczych w ich sprawie, wykrywania ich lub ścigania,
w kontekście szerszym, dla lepszego zrozumienia działalności przestępczej oraz ustalenia powiązań pomiędzy różnymi wykrytymi czynami zabronionymi. W myśl motywu 26 ww. dyrektywy zdanie 6, aby zapobiec przechowywaniu danych przez okres dłuższy, niż jest to niezbędne, administrator powinien ustalić termin ich usuwania lub okresowego przeglądu. Powyższe motywy wymienionej dyrektywy należy odczytywać zgodnie z art. 5 tej dyrektywy, który stanowi, iż państwa członkowskie zapewniają, by przyjęto odpowiednie terminy usuwania danych osobowych lub okresowego przeglądu konieczności przechowywania danych osobowych. Przestrzeganiu tych terminów służą odpowiednie środki proceduralne. Przepis art. 5 dyrektywy należy jednocześnie odnieść do art. 8 ust. 1 tej dyrektywy, zgodnie z którym państwa członkowskie zapewniają, by przetwarzanie było zgodne
z prawem wyłącznie wówczas i w zakresie, w jakim jest ono niezbędne do wykonania zadania realizowanego przez właściwy organ w określonych w art. 1 ust. 1 oraz ma podstawę w prawie Unii lub prawie państwa członkowskiego.
Ponadto wskazał, że postanowienia art. 5 i art. 8 dyrektywy 2016/680 są kierowane do państw członkowskich Unii Europejskiej. Zatem to państwo członkowskie, zgodnie z obowiązującymi w danym państwie procedurami prawodawczymi, przyjmuje właściwe akty prawne określające podstawy prawne uprawniające organy do przetwarzania danych osobowych, cele dla których przetwarzane danych jest niezbędne, terminy usuwania danych osobowych lub okresowego przeglądu oraz procedury dotyczące dokonywania takiego okresowego przeglądu, w tym organy uprawnione do jego dokonywania.
Państwo polskie zgodnie z obowiązującym porządkiem konstytucyjnym przyjmuje akty prawne, w rozumieniu ww. postanowień dyrektywy 2016/680,
w drodze procedury prawodawczej legislacyjnej w formie ustaw lub rozporządzeń, jako źródeł prawa powszechnie obowiązującego. Ustawami, które wprowadzają przepisy art. 5 i 8 dyrektywy 2016/680 w odniesieniu do przetwarzania informacji,
w tym danych osobowych, przez Policję są ustawa o Policji oraz ustawy o ochronie danych osobowych przetwarzanych w związku z zapobieganiem i zwalczaniem przestępczości.
Zasady i tryb gromadzenia oraz udostępniania informacji określa zarówno ustawa o ochronie danych osobowych przetwarzanych w związku z zapobieganiem
i zwalczaniem przestępczości oraz ustawa o Policji, jak i szereg innych ustaw.
A zatem nie tylko ustawa o ochronie danych osobowych przetwarzanych w związku
z zapobieganiem i zwalczaniem przestępczości odnosi się do art. 51 Konstytucji RP. W zakresie gromadzenia i przetwarzania informacji przez Policję zastosowanie mają przepisy art. 20 i art. 21nb ustawy o Policji, które również odnoszą się do materii określonej w art. 51 Konstytucji RP. Z tego względu do przetwarzania przez Policję informacji o osobie oraz jej danych osobowych stosuje się w pierwszej kolejności przepisy ustawy o Policji, jako przepisy szczególne względem przepisów ustawy
o ochronie danych osobowych przetwarzanych w związku z zapobieganiem
i zwalczaniem przestępczości. Przepisy art. 21nb oraz art. 20 ust. 1-1d i ust. 2ad-2ba ustawy o Policji nie określają terminów usuwania oraz okresowej weryfikacji danych osobowych przetwarzanych w KSIP, poza terminami usuwania danych osobowych
z rejestru wykroczeń określonych w przepisach art. 20f ustawy o Policji. Zatem
w zakresie terminów weryfikacji danych osobowych przetwarzanych w KSIP zastosowanie ma przepis art. 16 ustawy o ochronie danych osobowych przetwarzanych w związku z zapobieganiem i zwalczaniem przestępczości określający termin dokonywania weryfikacji nie rzadziej niż co 10 lat od dnia zebrania, uzyskania, pobrania lub aktualizacji danych w celu ustalenia, czy istnieją dane, których dalsze przechowywanie jest zbędne. Przy czym weryfikacji, w celu ustalenia czy istnieją dane osobowe, których dalsze przechowywanie jest zbędne
w odniesieniu do danych osobowych przetwarzanych w KSIP, dokonuje się
w kontekście celów przetwarzania danych osobowych w KSIP przez Policję, określonych w art. 21 nb oraz art. 20 ust. 1-1d i ust. 2ad-2ba w zw. z art. 1 ust 1 i 2 ustawy o Policji, a zatem pod kątem niezbędności i przydatności dla realizacji zadań ustawowych Policji określonych w art. 1 ust. 1 i 2 ustawy o Policji. Weryfikacji tej,
z racji celów przetwarzania danych osobowych w KSIP wyznaczonych zadaniami ustawowymi Policji, dokonuje Komendant Główny Policji oraz uprawnione przez niego organy Policji, dokonując tej weryfikacji właśnie pod kątem niezbędności
i przydatności przetwarzanych informacji, w tym danych osobowych, dla realizacji zadań Policji. Taki charakter przetwarzania przez Policję informacji, w tym danych osobowych, wynika z istoty przeznaczenia i funkcjonowania Policji, jako umundurowanej i uzbrojonej formacji służącej społeczeństwu oraz przeznaczonej do ochrony bezpieczeństwa ludzi oraz utrzymania bezpieczeństwa i porządku publicznego.
Prezes UODO, w świetle przepisów Konstytucji i Dyrektywy 2016/680, nie jest zatem uprawniony do dokonywania weryfikacji danych osobowych przetwarzanych
w KSIP pod kątem ich niezbędności i przydatności do realizacji zadań ustawowych Policji, a tym samym do ustalania istnienia danych osobowych zbędnych dla realizacji tych zadań, gdyż de facto zasady i sposób tej weryfikacji, jak i cały proces tej weryfikacji, uregulowany został w ustawie o Policji, stanowi uprawnienie Policji oraz jest sensu stricto związany z realizacją zadań Policji. Zasady i sposób dokonywania weryfikacji danych osobowych przetwarzanych w KSIP, pod kątem ich niezbędności i przydatności do realizacji zadań ustawowych Policji, nie stanowią materii ustawy o ochronie danych osobowych przetwarzanych w związku
z zapobieganiem i zwalczaniem przestępczości. Proces weryfikacji danych osobowych przetwarzanych w KSIP, w celu ustalenia istnienia danych zbędnych oraz pod kątem niezbędności i przydatności przetwarzanych danych do realizacji zadań Policji, jest ściśle związany z zadaniami ustawowymi Policji oraz pozostaje
w zakresie jej uprawnień ustawowych i jako taki został w pełni pozostawiony Policji jako tej formacji, która odpowiada za bezpieczeństwo ludzi, bezpieczeństwo
i porządek publiczny ustanowiony w Konstytucji RP.
Prezes UODO nie jest zatem uprawniony do dokonywania weryfikacji danych osobowych przetwarzanych w KSIP pod kątem ich niezbędności i przydatności do realizacji zadań ustawowych Policji oraz do ustalania, czy i które dane osobowe przetwarzane w KSIP przez Policję są zbędne dla realizacji jej zadań ustawowych, jak również nie jest władny do tego by decydować o usunięciu danych osobowych
z KSIP zgromadzonych i przetwarzanych przez Policję legalnie w tym systemie, na podstawie przepisów prawa zgodnie z art. 13 i art. 14 ustawy o ochronie danych osobowych przetwarzanych w związku z zapobieganiem i zwalczaniem przestępczości oraz zgodnie z art. 21nb w zw. z art. 20 ust. 1-ld i ust. 2ad-2ba ustawy o Policji, zwłaszcza przed upływem 10 letniego terminu od dnia zebrania, uzyskania, pobrania lub aktualizacji danych, przewidzianego w art. 16 ustawy
o ochronie danych osobowych przetwarzanych w związku z zapobieganiem
i zwalczaniem przestępczości.
W niniejszej sprawie nie upłynął nawet 10 letni termin, który zobowiązuje Policję do dokonania weryfikacji danych osobowych przetwarzanych
w KSIP pod kątem ich niezbędności i przydatności dla realizacji zadań Policji oraz do ustalenia, czy przechowywanie danych osobowych skarżącego w KSIP jest zbędne dla realizacji tych zadań. Dane osobowe skarżącego zostały wprowadzone (zgromadzone) w KSIP w 2014 r. w związku z prowadzonym wobec niego postępowaniem karnym o przestępstwo z art. 158 § 1 k.k. Zatem od dnia zgromadzenia danych osobowych skarżącego w KSIP do dnia rozstrzygnięcia niniejszej sprawy zaskarżoną decyzją upłynęło niecałe 9 lat. Okres 9 lat, stosownie do przepisów art. 16 ustawy o ochronie danych osobowych przetwarzanych
w związku z zapobieganiem i zwalczaniem przestępczości, nie zobowiązuje Policji, ani tym bardziej nie uprawnia Prezesa UODO, do dokonywania weryfikacji danych osobowych skarżącego przetwarzanych w KSIP w związku z przestępstwem z art. 158 § 1 k.k., popełnionym w 2014 r., pod kątem ich niezbędności i przydatności do realizacji zadań Policji oraz do ustalania, czy istnieją dane zbędne dla realizacji tych zadań.
Skoro termin 10 lat obowiązkowej weryfikacji danych osobowych skarżącego, przetwarzanych w KSIP pod kątem ich niezbędności i przydatności dla realizacji zadań Policji oraz do ustalenia czy przechowywanie danych osobowych skarżącego w KSIP jest zbędne dla realizacji tych zadań, jeszcze nie upłynął, nie ma podstaw do tego i nie jest uprawnione żądanie i nakazanie usunięcia tych danych osobowych
z KSIP.
Komendant Główny Policji dodatkowo podniósł, że warunkowe umorzenie postępowanie karnego, które jest de facto stwierdzeniem popełnienia przestępstwa (stwierdzeniem sprawstwa) oraz brak informacji o skazaniu w Krajowym Rejestrze Karnym nie stanowi okoliczności i przesłanki przesądzającej o nieprawidłowości danych osobowych przetwarzanych w KSIP, a także przesłanki skutkującej uznaniem, iż dane osobowe przetwarzane w KSIP są zbędne dla realizacji zadań ustawowych Policji. Okoliczności te nie są zatem podstawą do usunięcia danych osobowych z KSIP.
KSIP nie jest rejestrem skazanych, a informacje, w tym dane osobowe, przetwarzane w KSIP nie obejmują informacji o skazaniu osoby za przestępstwo, ani nie zawierają informacji o wyrokach skazujących, uniewinniających, czy innych orzeczeniach wydanych w sprawach karnych. W KSIP Policja przetwarza informacje, w tym dane osobowe, które sama zgromadziła, pobrała i uzyskała realizując ustawowe zadania określone w art. 1 ust. 2 ustawy o Policji oraz w ramach swoich ustawowych uprawnień określonych w art. 20 ust. 1-ld i ust. 2ad-2ba ustawy o Policji. Do zadań Policji nie należy natomiast prowadzenie rejestru skazanych, którym jest Krajowy Rejestr Karny, jak również do zadań tych nie należy ewidencjonowanie wyroków skazujących czy innych wyroków i orzeczeń w sprawach karnych.
W odpowiedzi na skargę organ wniósł o jej oddalenie, podtrzymując dotychczasową argumentację.
Wojewódzki Sąd Administracyjny w Warszawie zważył, co następuje:
Skarga podlega oddaleniu, ponieważ zaskarżona decyzja jest zgodna
z prawem.
Prezes UODO ustalił w sposób wyczerpujący stan faktyczny sprawy i na jego podstawie rozstrzygnął sprawę co do istoty w oparciu o wskazaną w decyzji podstawę prawną w granicach przedmiotu postępowania wyznaczonego skargą wniesioną przez skarżącego.
Prezes UODO zasadnie przyjął, że cel przetwarzania przez Komendanta Głównego Policji danych osobowych skarżącego w KSIP został zrealizowany
i dlatego też dalsze przetwarzanie jego danych osobowych odbywa się
z naruszeniem art. 13 oraz art. 31 ust. 1 pkt 5 ustawy z dnia 14 grudnia 2018 r.
o ochronie danych osobowych przetwarzanych w związku z zapobieganiem
i zwalczaniem przestępczości, co wymagało nakazania przywrócenia stanu zgodnego z prawem w tym zakresie w oparciu o art. 8 ust. 2 pkt 5 tej ustawy.
Zgodnie z art. 41 ust. 3 dyrektywy 2016/680, państwa członkowskie mogą zapewnić, by organem nadzorczym, o którym mowa w niniejszej dyrektywie i na którym spoczywa obowiązek realizacji zadań organu nadzorczego mającego powstać na mocy ust. 1, mógł zostać organ nadzorczy ustanowiony na mocy RODO. Niewątpliwie niezależnym organem nadzorczym w zakresie przetwarzania danych osobowych jest Prezes UODO (art. 34 ust. 1 i ust. 2 ustawy z dnia 10 maja 2018 r.
o ochronie danych osobowych, Dz.U. z 2019 r. poz. 1781) w zw. art. 51 RODO.
Prezes UODO jest organem nadzorczym w zakresie przetwarzania danych osobowych. Ustawodawca przyznał Prezesowi UODO prawo do dokonania oceny zgodności działań organów Policji z przepisami w zakresie ochrony danych osobowych. W art. 5 ust. 1 pkt 1-12 ustawy z dnia 14 grudnia 2018 r. o ochronie danych osobowych przetwarzanych w związku z zapobieganiem i zwalczaniem przestępczości zostały enumeratywnie wymienione zadania Prezesa UODO, wśród których, oprócz szeroko rozumianych czynności związanych z monitorowaniem
i egzekwowaniem przepisów tej ustawy, do zadań Prezesa UODO należy również rozpatrywanie skarg osób, których dane osobowe są przetwarzane niezgodnie
z prawem i prowadzenie postępowań w tym zakresie (art. 5 ust. 1 pkt 6).
Organ ten był zatem uprawniony do dokonania własnej, autonomicznej oceny, czy przetwarzanie danych osobowych skarżącego, wprowadzonych do KSIP
w ramach postępowania karnego prowadzonego wobec niego w sprawie o czyn wypełniający znamiona przestępstwa określonego w art. 158 § 1 k.k., zakończonego prawomocnym wyrokiem Sądu Rejonowego w [...] z dnia [...] grudnia 2014 r. w sprawie o sygn. akt [...], jest zgodne z prawem, a w szczególności
z art. 13 ust. 1 ustawy z dnia 14 grudnia 2018 r., który stanowi, że właściwe organy przetwarzają dane osobowe wyłącznie w zakresie niezbędnym dla zrealizowania uprawnienia lub spełnienia obowiązku wynikającego z przepisu prawa.
Wprawdzie art. 16 ustawy z dnia 14 grudnia 2018 r. przewiduje, że weryfikacja danych osobowych w celu ustalenia, czy istnieją dane, których dalsze przechowywanie jest zbędne, stanowi zadanie administratora danych, który, stosownie do art. 31 ust. 1 pkt 5 tej ustawy zapewnia, aby dane osobowe były przechowywane w formie umożliwiającej identyfikację osób, których dane dotyczą, przez okres nie dłuższy, niż jest to niezbędne do celów ich przetwarzania, jednakże Prezes UODO w ramach swoich kompetencji ma obowiązek kontroli stosowania
i przestrzegania przepisów ustawy z dnia 14 grudnia 2018 r., w tym również przez organy Policji. W ramach tej kontroli ustawodawca przyznał Prezesowi UODO prawo do dokonania oceny zgodności działań organów Policji z przepisami w zakresie ochrony danych osobowych.
Prezes UODO ma prawo do kontrolowania przetwarzania danych osobowych - przetwarzanych w szeroko rozumianym zakresie zwalczania przestępczości -
z zachowaniem przepisów ustawy, tj. art. 8 ust. 3 ustawy z dnia 14 grudnia 2018 r. (J. Kudła, Ochrona danych osobowych przetwarzanych w związku z zapobieganiem
i zwalczaniem przestępczości - zagadnienia szczegółowe, LEX/el. 2018).
Za nieuzasadniony należy uznać zarzut Komendanta Głównego Policji, że Prezes UODO, wydając zaskarżoną decyzję, naruszył art. 13, art. 16 i art. 31 ust. 1 pkt 5 ustawy z dnia 14 grudnia 2018 r.
Ustawa z 14 grudnia 2018 r., mająca zastosowanie również do danych osobowych przetwarzanych przez organy Policji, zapewnia osobie, której dane osobowe są przetwarzane w celu określonym w art. 1 tej ustawy, szereg uprawnień pozwalających na skuteczną ochronę jej praw oraz gwarantują jej odpowiednie środki ochrony prawnej. Osoba taka powinna mieć możliwość realnego wykonywania przysługujących jej praw, zaś przyznane na mocy ww. ustawy uprawnienia nie powinny mieć charakteru iluzorycznego.
W art. 16 ust. 2 dyrektywy 2016/680 oraz w art. 24 ust. 1 pkt 2 implementującej ją ustawy z dnia 14 grudnia 2018 r. zostały zagwarantowane między innymi prawa osoby, której dane dotyczą, do usunięcia jej danych osobowych -
w przypadku, gdy dane te zostały zebrane lub są przetwarzane z naruszeniem przepisów ustawy.
Podkreślenia wymaga, że z wnioskiem o usunięcie danych, w świetle ww. przepisu art. 24 ust. 1 pkt 2, osoba, której dane dotyczą może wystąpić w każdym czasie, zaś administrator zobowiązany jest ocenić w związku z wpłynięciem tego wniosku, czy zachodzą podstawy do usunięcia danych i poinformować o wyniku tej oceny osobę, która wniosek złożyła. Zgodnie z art. 24 ust. 2 ustawy z dnia 14 grudnia 2018 r. uwzględniając wniosek, o którym mowa w ust, 1, administrator bez zbędnej zwłoki odpowiednio uzupełnia, aktualizuje lub sprostowuje dane osobowe albo dokonuje ich usunięcia.
Wymaga także podkreślenia, że obowiązkiem administratora - w niniejszym postępowaniu Komendanta Głównego Policji – jest, zgodnie z art. 31 ust. 1 ustawy
z dnia 14 grudnia 2018 r., zapewnienie, aby dane osobowe były: 1) przetwarzane zgodnie z prawem i rzetelnie oraz przy zastosowaniu niezbędnych środków technicznych i organizacyjnych, uwzględniając charakter, zakres, kontekst
i cele przetwarzania oraz ryzyko naruszenia praw lub wolności osób fizycznych
o różnym prawdopodobieństwie i wadze zagrożenia; 2) przetwarzane w konkretnych
i uzasadnionych celach; 3) adekwatne, stosowne i nienadmierne do celów, dla których są przetwarzane; 4) prawidłowe i w razie potrzeby uaktualniane;
5) przechowywane w formie umożliwiającej identyfikację osób, których dane dotyczą, przez okres nie dłuższy, niż jest to niezbędne do celów ich przetwarzania. Jeżeli dane osobowe są nieprawidłowe - w świetle celów ich przetwarzania - administrator podejmując wszelkie działania jest obowiązany do niezwłocznego ich usunięcia lub sprostowania (art. 31 ust. 2 ustawy z dnia 14 grudnia 2018 r.).
Warunek ograniczenia przechowywania danych osobowych został określony
w ww. art. 31 ust. 1 pkt 5 ustawy z dnia 14 grudnia 2018 r. Ponadto, zgodnie z art. 16 ustawy z dnia 14 grudnia 2018 r., administrator dokonuje weryfikacji danych osobowych w terminach określonych przez przepisy szczególne, regulujące działania właściwego organu, a jeżeli przepisy te nie określają terminu - nie rzadziej niż co 10 lat od dnia zebrania, uzyskania, pobrania lub aktualizacji danych (ust. 1). Weryfikacja dokonywana jest w celu ustalenia, czy istnieją dane, których dalsze przechowywanie jest zbędne. Zbędne dane usuwa się, z zastrzeżeniem art. 17 (ust. 2). Za zbędne dane należy uznać takie, które nie są już przydatne w świetle celów wyrażonych
w art. 1 pkt 1 ustawy z dnia 14 grudnia 2018 r. Warunek ograniczenia przechowywania uniemożliwia bezterminowe przechowywanie danych w przypadku osiągnięcia celu, w którym zostały zebrane. Bezterminowe przechowywanie danych osobowych mogłoby bowiem powodować naruszenie zasad przetwarzania, takich jak adekwatność, minimalizacja danych, związanie celem, rzetelność przetwarzania,
a także prawidłowości danych.
Powyższe sprawia, że dokonując weryfikacji danych osobowych administrator musi dokonać uprzednio dokładnej analizy stanu faktycznego pod kątem zapewnienia przetwarzania danych osobowych zgodnie z określonymi w ustawie
z dnia 14 grudnia 2018 r. zasadami ich przetwarzania. Dane osobowe, które są nieprawidłowe w świetle celów ich przetwarzania, muszą zostać niezwłocznie usunięte. Należy wskazać, że okres przechowywania danych osobowych nie powinien być dłuższy, niż jest to niezbędne do osiągnięcia przez administratora celu ich przetwarzania. Dane osobowe nie muszą być usunięte w najkrótszym terminie wyrażonym ogólnie, lecz najkrótszym w odniesieniu do celu zbierania danych (Grzelak A., Ochrona danych osobowych we współpracy państw członkowskich
w zwalczaniu przestępczości. W stronę standardu europejskiego, Warszawa 2015,
s. 399).
Tak więc przepis art. 16 ustawy z dnia 14 grudnia 2018 r., który nakłada na administratora danych obowiązek przeprowadzenia weryfikacji danych znajdujących się w jego dyspozycji nie rzadziej niż co 10 lat od dnia zebrania, uzyskania, pobrania lub aktualizacji danych, należy rozumieć w ten sposób, że weryfikacji administrator jest obowiązany dokonywać nie później niż po upływie 10 lat, co oznacza, że termin weryfikacji może nastąpić również wcześniej, zaś w przypadku złożenia wniosku
o usunięcie danych przed upływem 10 lat musi nastąpić wcześniej.
Całkowicie chybiona jest zatem argumentacja Komendanta Głównego Policji, który z treści art. 16 ust. 1 ustawy z dnia 14 czerwca 2018 r. wywodzi podstawę dla istnienia uprawnienia Policji do przetwarzania danych osobowych przez okres 10 lat (a wręcz "co najmniej 10 lat") od ich pozyskania.
Odnosząc się do zarzutów skargi, dotyczących błędniej oceny przez organ przesłanki zbędności danych z punktu widzenia realizacji przez Policję jej ustawowych zadań, należy zwrócić uwagę, że przepisy ustawy o Policji są na tyle ogólne, że biorąc tylko je pod uwagę, możliwe byłoby zakwalifikowanie wszystkich zebranych przez Policję danych osobowych jako niezbędnych dla realizacji jej zadań, co umożliwiałoby bezterminowe przechowywanie danych pomimo osiągnięcia celu,
w którym zostały zebrane (por. wyrok Wojewódzkiego Sądu Administracyjnego
w Warszawie z dnia 28 kwietnia 2022 r. sygn. akt II SA/Wa 3288/21).
Tymczasem kluczowym wyznacznikiem dla oceny dopuszczalności przetwarzania danych osobowych w KSIP jest – jak wspomniano – cel gromadzenia określonych informacji, co determinuje konieczność dokonywania każdorazowej, zindywidualizowanej oceny wniosków o usunięcie danych z tego zbioru, co słusznie zauważył organ. Ustalenie celu, w jakim dane są przetwarzane, kształtuje okres, przez jaki dane mogą być przetwarzane. Przy czym cel musi zostać określony konkretnie i musi być zasadny w świetle realizacji ustawowych zadań Policji, a nie określony w sposób ogólnikowy. Natomiast w przypadku ustania celu, dla którego dane są przetwarzane, niezbędne jest ich usunięcie.
Prezes UODO, w świetle poczynionych ustaleń, miał podstawy przyjąć, że Komendant Główny Policji nie uzasadnił jaki konkretnie cel determinuje dalsze przetwarzanie danych osobowych skarżącego w KSIP w związku
z prowadzonym przeciwko niemu postępowaniem karnym w sprawie o czyn z art. 158 § 1 k.k. Nie wykazał bowiem, w jaki sposób przetwarzanie jego danych osobowych przyczynia się do realizacji któregokolwiek z zadań określonych w art. 1 ust. 2 ustawy o Policji.
Trafnie podniósł, że od czasu pozyskania i wprowadzenia do zbioru KSIP
w 2014 r. w związku z prowadzonym postępowaniem karnym nie doszło do postawienia skarżącemu innego zarzutu o charakterze prawnokarnym. Argumentacja Komendanta Głównego Policji, uzasadniająca dalsze przetwarzanie
w KSIP danych osobowych skarżącego w przedmiotowym zakresie
w celu wykrywania przestępstw i wykroczeń oraz ścigania ich sprawców, podczas gdy zastosowano wobec niego warunkowe umorzenie kary i do tej pory nie doszło do postawienia mu innego zarzutu o charakterze prawnokarnym, nie jest przekonywująca.
Słusznie Prezes Urzędu zauważył, że jedynym podmiotem uprawnionym do dokonywania oceny stopnia winy i społecznej szkodliwości czynu przestępczego jest sąd. To sąd, stosując sprawiedliwościowe dyrektywy wymiaru kary, dokonuje oceny czynu z punktu widzenia naganności zachowania się sprawcy oraz jego stosunku psychicznego do popełnionego czynu. Sąd, poza stopniem społecznej szkodliwości czynu, analizuje również dyrektywę prewencji indywidualnej, biorąc pod uwagę dotychczasowy tryb życia sprawcy, sposób popełnienia czynu i zachowanie się po czynie. Zatem nie bez znaczenia dla oceny kryminologicznej skarżącego pozostaje okoliczność, że sąd orzekając w sprawie dokonanego przez niego czynu zabronionego skorzystał z instytucji określonej w art. 66 § 1 k.k., tj. warunkowo umorzył postępowanie karne. Sąd, wydając rozstrzygnięcie w takim kształcie, dokonał de facto oceny kryminologicznej skarżącego stwierdzając, że jego wina
i społeczna szkodliwość popełnionego czynu nie są znaczne, a jego postawa jako sprawcy niekaranego za przestępstwo umyślne, jego właściwości i warunki osobiste oraz dotychczasowy sposób życia uzasadniają przypuszczenie, że pomimo umorzenia postępowania będzie przestrzegał porządku prawnego, w szczególności nie popełni przestępstwa.
W kontekście powyższego stanowisko Komendanta Głównego Policji, że przetwarzanie danych skarżącego jest niezbędne w celu prowadzenia "dalszych prognoz kryminologicznych oraz czynności analitycznych", pozostaje
w kolizji z wydanym w sprawie karnej rozstrzygnięciem Sądu, który jako organ do tego właściwy, takiej oceny uprzednio dokonał, warunkowo umarzając wobec niego postępowanie karne.
Należało zatem przyjąć, że Komendant Główny Policji nie wykazał zaistnienia w stosunku do konkretnego przypadku, tj. w odniesieniu do wniosku skarżącego
o usunięcie jego danych osobowych z KSIP, wystąpienia przesłanek uzasadniających niezbędność dalszego przetwarzania jego danych osobowych
w KSIP.
Jak trafnie zauważył Prezes UODO, w kwestii przetwarzania danych osobowych przez Policję wypowiedział się Europejski Trybunał Sprawiedliwości, który w wyroku z dnia 4 grudnia 2008 r. (sygn. 30562/04 i 30566/04) stwierdził, iż bezterminowe przechowywanie przez władze danych szczególnie wrażliwych jest niedopuszczalne w demokratycznym społeczeństwie i prowadzi do naruszenia art. 8 Europejskiej Konwencji Praw Człowieka, stanowiącego o prawie do ochrony życia prywatnego. Trybunał wskazał również, że prawo krajowe powinno zawierać odpowiednie mechanizmy ochronne w celu zapobieżenia takiego wykorzystania informacji osobistych, które naruszałoby art. 8 Konwencji. Trybunał podniósł, iż potrzeba takiej ochrony wzrasta, gdy ma się do czynienia z procesem automatycznego przetwarzania danych, a wykorzystywanie ich do celów policyjnych nie może być usprawiedliwieniem mniejszej ochrony.
Reasumując, kontrola zaskarżonej decyzji w granicach sprawy nie dała podstaw do stwierdzenia, że została ona wydana z naruszeniem przepisów postępowania lub naruszeniem prawa materialnego. Brak jest podstaw do uznania, że w postępowaniu zakończonym wydaniem zaskarżonej decyzji nie wyjaśniono wszystkich kwestii mających wpływ na rozstrzygnięcie sprawy. Materiał dowodowy zgromadzony w toku postępowania zakończonego zaskarżoną decyzją stanowił wystarczającą podstawę do skorzystania przez Prezesa UODO z uprawnień naprawczych przewidzianych w art. 8 ust. 2 pkt 5 ustawy z dnia 14 grudnia 2018 r.
o ochronie danych osobowych przetwarzanych w związku z zapobieganiem
i zwalczaniem przestępczości, które przysługują organowi nadzorczemu w przypadku naruszenia przepisów ustawy przez operacje przetwarzania.
Uzasadnienie zaskarżonej decyzji odpowiada prawu. Zawiera wskazanie faktów, które organ uznał za udowodnione, dowodów, na których się oparł, a także wyjaśnienie podstawy prawnej decyzji, z przytoczeniem przepisów prawa.
Z tych wszystkich względów Wojewódzki Sąd Administracyjny w Warszawie, na podstawie art. 151 ustawy z dnia 30 sierpnia 2002 r. - Prawo o postępowaniu przed sądami administracyjnymi (t.j. Dz.U. z 2023 r., poz. 1634 z późn. zm.), orzekł jak w wyroku.