III OSK 3813/21

III OSK 3813/21 - Wyrok NSA
Data orzeczenia
2024-02-28
orzeczenie prawomocne
Data wpływu
2021-01-04
Sąd
Naczelny Sąd Administracyjny
Sędziowie
Hanna Knysiak - Sudyka
Mirosław Wincenciak
Tamara Dziełakowska /przewodniczący sprawozdawca/
Symbol z opisem
647  Sprawy związane z ochroną danych osobowych
Hasła tematyczne
Ochrona danych osobowych
Sygn. powiązane
II SA/Wa 2602/19 - Wyrok WSA w Warszawie z 2020-07-20
Skarżony organ
Generalny Inspektor Ochrony Danych Osobowych
Treść wyniku
Uchylono zaskarżony wyrok i oddalono skargę
Powołane przepisy
Dz.U. 2022 poz 2000
art. 105 § 1
Ustawa z dnia 14 czerwca 1960 r. Kodeks postępowania administracyjnego - t.j.
Dz.U. 2018 poz 1000
art. 5, art. 23 ust. 1 pkt 2
Ustawa z dnia 10 maja 2018 r. o ochronie danych osobowych
Dz.U. 2023 poz 1634
art. 151, art. 188, art. 203 pkt 2)
Ustawa z dnia 30 sierpnia 2002 r. Prawo o postępowaniu przed sądami administracyjnymi - t.j.
Dz.U.UE.L 2016 nr 119 poz 1 art. 5, art. 23 ust. 1 lit. a)-d), art. 39
Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z  przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE
Sentencja
Naczelny Sąd Administracyjny w składzie: Przewodniczący sędzia NSA Tamara Dziełakowska (spr.) Sędziowie: sędzia NSA Mirosław Wincenciak sędzia del. WSA Hanna Knysiak - Sudyka Protokolant asystent sędziego Adam Płusa po rozpoznaniu w dniu 28 lutego 2024 r. na rozprawie w Izbie Ogólnoadministracyjnej skargi kasacyjnej Prezesa Urzędu Ochrony Danych Osobowych od wyroku Wojewódzkiego Sądu Administracyjnego w Warszawie z dnia 20 lipca 2020 r., sygn. akt II SA/Wa 2602/19 w sprawie ze skargi R. W. na decyzję Prezesa Urzędu Ochrony Danych Osobowych z dnia (...) września 2019 r., nr (...) w przedmiocie umorzenia postępowania 1. uchyla zaskarżony wyrok i oddala skargę, 2. zasądza od R. W. na rzecz Prezesa Urzędu Ochrony Danych Osobowych kwotę 800 (osiemset) złotych tytułem zwrotu kosztów postępowania kasacyjnego.
Uzasadnienie
Wyrokiem z 20 lipca 2020 r., (sygn. akt II SA/Wa 2602/19) Wojewódzki Sąd Administracyjny w Warszawie na podstawie art. 145 § 1 pkt 1 lit. c ustawy z 30 sierpnia 2002 r. Prawo o postępowaniu przed sądami administracyjnymi (Dz.U. z 2019 r., poz. 2325 ze zm.; dalej jako "p.p.s.a.") w pkt 1 uchylił zaskarżoną decyzję Prezesa Urzędu Ochrony Danych Osobowych z [...] września 2019 r. oraz w pkt 2 w oparciu o art. 200 w zw. z art. 205 p.p.s.a. i § 14 rozporządzenia Ministra Sprawiedliwości z 22 października 2015 r. w sprawie opłat za czynności adwokackie (Dz. U. z 2017 r. poz. 1797 ze zm.) zasądził od Prezesa UODO na rzecz skarżącego R. W. kwotę 697 zł tytułem zwrotu kosztów postępowania.
Z uzasadnienia ww. orzeczenia wynika, że wnioskiem z 24 kwietnia 2019 r. skarżący zwrócił się do Komendanta Głównego Policji z prośbą o usunięcie jego danych osobowych przetwarzanych w Krajowym Systemie Informacyjnym Policji (dalej KSIP) oraz w Krajowym Centrum Informacji Kryminalnych (dalej KCIK).
Pismem z 9 maja 2019 r., dotyczącym żądania usunięcia danych z KCIK, organ przeprowadzając analizę przepisów prawa poinformował, że jako Szef KCIK nie jest obowiązany do informowania osoby, której dane osobowe może gromadzić i przetwarzać o fakcie ich przetwarzania, jak również zakresie przetwarzania czy też ich udostępniania.
Z kolei w piśmie Zastępcy Naczelnika Wydziału Obsługi Informacyjnej Biura Wywiadu i Informacji Kryminalnych Komendy Głównej Policji z 17 czerwca 2019 r., w odniesieniu do żądania skarżącego usunięcia jego danych osobowych z KSIP, również przeprowadzając obszerną analizę prawną oraz czynności weryfikacyjne, wyjaśniono ostatecznie, że dane te zostały usunięte z przedmiotowego rejestru - zgodnie z żądaniem.
W międzyczasie, bowiem w piśmie z 24 maja 2019 r. skarżący wywiódł do Prezesa UODO skargę na nieusunięcie przez administratora danych osobowych baz danych KSIP i KCIK, jego danych osobowych, powołując się przy tym na art. 14 ust. 1 oraz art. 25 pkt 3 i 4 ustawy z 6 lipca 2001 r. o przetwarzaniu informacji kryminalnych (Dz.U. z 2019 r., poz. 44 ze zm.; dalej "ustawa o KCIK"). Wyjaśnił, że sprawa ma związek z wyrokiem Sądu Rejonowego w Kętrzynie z 14 listopada 2002, sygn. akt II K 777/02 oraz że upłynął okres 15 lat umożliwiający przetwarzanie jego danych i ziściła się przesłanka ustania celu gromadzenia danych, co uzasadniało usunięcie danych z rejestrów.
Prezes UODO zobowiązał KGP do ustosunkowania do treści wniesionej skargi, co uczyniono pismem z 4 lipca 2019 r. Wyjaśniono w nim, że po analizie sprawy oraz dokonanej ocenie prawnej, dane skarżącego zostały usunięte z rejestru KSIP. W kontekście danych w KCIK organ stwierdził, że zgodnie z aktualnym stanem prawnym i faktycznym sprawy brak było podstaw do udzielenia dostępu do informacji przetwarzanych przez KGP jako Szefa KCIK w żądanym przez skarżącego zakresie, a co się z tym wiązało udzielenia informacji zarówno potwierdzających, jak też i zaprzeczających faktowi przetwarzania takowych informacji, jak również brak było podstaw do udostępnienia informacji o zakresie ich przetwarzania, czy udostępniania danych oraz innych informacji związanych z tym przetwarzaniem (w tym również dotyczących ich usunięcia). Konkludując, organ zaznaczył, że wbrew odmiennemu stanowisku wnioskodawcy w tej kwestii nie odmówił on usunięcia danych z baz KCIK, jak zostało to stwierdzone w treści skargi.
Po zakończeniu postępowania administracyjnego, działając na podstawie art. 105 ustawy z 14 czerwca 1960 r. Kodeks postępowania administracyjnego (Dz. U. z 2018 r., poz. 2096 ze zm.; dalej "k.p.a.") oraz art. 5 ust. 1 pkt 6 w zw. z art. 12 ustawy z 14 grudnia 2018 r. o ochronie danych osobowych przetwarzanych w związku z zapobieganiem i zwalczaniem przestępstw (Dz. U. z 2019 r., poz. 125 ze zm.; dalej "ustawa z 14 grudnia 2018 r.") Prezes UODO decyzją z (...) września 2019 r. umorzył postępowanie. Jak wynika z uzasadnienia organ przyjął, że postępowanie w sprawie jest bezprzedmiotowe, albowiem po pierwsze dane skarżącego zamieszczone w rejestrze KSIP zostały z niego usunięte - zgodnie z żądaniem wniosku, zaś po drugie dane w KCIK w zakresie ich przetwarzania odbywają się bez zgody i wiedzy osoby, której dane te dotyczą, stąd jak podnosił KGP nie był obowiązany do informowania o fakcie ich przetwarzania, zakresie ich przetwarzania, czy też udostępniania tych danych. Dodatkowo organ nie był obowiązany informować o treści informacji, o odbiorcach danych, o usunięciu informacji i o zakresie usuniętych danych ze zbioru danych, co miało wynikać z art. 2 ust. 2 oraz art. 6 pkt 4 ustawy o KCIK.
W konkluzji Prezes UODO stwierdził, że w analizowanym przypadku nie doszło do naruszenia przepisów wspomnianej ustawy z 14 grudnia 2018 r., co czyniło postępowanie bezprzedmiotowym.
W uzasadnieniu opisanego na wstępie wyroku Sąd zwrócił uwagę na treść art. 5 Rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z 26 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych)(Dz.U.UE.L.2016.119.1 ze zm.; dalej RODO), a w szczególności jego ust. 1 lit. e, który wskazuje na ograniczenie możliwości przetwarzania danych osobowych, przez okres nie dłuższy, niż jest to niezbędne do celów, w których dane te są przetwarzane, bądź też przez okres dłuższy, o ile będą one przetwarzane wyłącznie do celów archiwalnych w interesie publicznym, do celów badań naukowych lub historycznych lub do celów statystycznych na mocy art. 89 ust. 1, z zastrzeżeniem, że wdrożone zostaną odpowiednie środki techniczne i organizacyjne wymagane na mocy niniejszego rozporządzenia w celu ochrony praw i wolności osób, których dane dotyczą. Oprócz tego Sąd pierwszej instancji przywołał normę art. 39 RODO, z której wynika, że dane osobowe winny być adekwatne, stosowne i ograniczone do tego, co niezbędne do celów, dla których są one przetwarzane. To z kolei miało wymagać w szczególności zapewnienia ograniczenia okresu przechowywania danych do ścisłego minimum.
W ocenie WSA, organ udzielając skarżącemu odpowiedzi na jego wniosek w zakresie danych w KCIK ograniczył się jedynie do wskazania, że dane te pozyskane zostały w sposób legalny i w taki też sposób są one przetwarzane, powielając stanowisko, że nie był i nie jest on obowiązany do udzielania informacji czy Szef KCIK dane te w ogóle posiada oraz je przetwarza, zaś Prezes UODO stwierdził wyłącznie lakonicznie, że nie doszło do naruszenia przepisów ustawy z 14 grudnia 2018 r. Wobec tego z uwagi na brak wyjaśnienia podstawy zastosowania art. 105 § 1 k.p.a. doszło do naruszenia art. 107 § 3 k.p.a. poprzez brak zawarcia wyjaśnienia podstawy prawnej, zawierającej pełen tok rozumowania organu w zaskarżonej decyzji.
Z kolei w kwestii danych w KSIP, WSA przychylił się do argumentacji organu, iż w tej części postępowanie należało umorzyć, jako bezprzedmiotowe, skoro KGP zrealizował żądanie objęte wnioskiem skarżącego, tj. wykreślił jego dane ze wskazanego rejestru.
W skardze kasacyjnej od powyższego wyroku Prezes UODO wniósł o jego uchylenie w całości i przekazanie sprawy do ponownego rozpoznania Sądowi pierwszej instancji oraz zasądzenie kosztów postępowania według norm przepisanych i rozpoznanie skargi na rozprawie.
Przedmiotowemu wyrokowi zarzucono:
1) naruszenie przepisów postępowania, tj. art. 145 § 1 pkt 1 lit. c p.p.s.a. w zw. z art. 105 § 1 k.p.a. - poprzez błędne uznanie, że w sprawie nie zaistniała przesłanka bezprzedmiotowości postępowania z art. 105 § 1 k.p.a., a w konsekwencji niezasadne uchylenie zaskarżonej decyzji Prezesa UODO z 20 lipca 2020 r.,
2) naruszenie przepisów postępowania, tj. art. 145 § 1 pkt 1 lit. c p.p.s.a. w zw. z art. 107 § 3 k.p.a. - poprzez błędne przyjęcie, że organ sporządzając uzasadnienie zaskarżonej decyzji naruszył przepis art. 107 § 3 k.p.a., co w konsekwencji doprowadziło do uchylenia zaskarżonej decyzji Prezesa UODO z 20 lipca 2020 r.,
3) naruszenie art. 141 § 4 p.p.s.a. poprzez brak należytego wyjaśnienia podstawy prawnej rozstrzygnięcia, sporządzenie uzasadnienia wewnętrznie sprzecznego, niepoddającego się kontroli instancyjnej,
4) naruszenie przepisów prawa materialnego, tj. art. 2 ust. 2 oraz art. 6 pkt 4 ustawy o KCIK oraz § 27 ust. 1 w zw. z § 29 rozporządzenia Ministra Spraw Wewnętrznych i Administracji z 23 sierpnia 2018 r. w sprawie przetwarzania informacji przez Policję (Dz.U. z 2018 r. poz. 1636; dalej rozporządzenie) - poprzez błędne uznanie, że przepisy te nie wskazują na bezprzedmiotowość postępowania.
Powyższe zarzuty znalazły rozwinięcie w treści uzasadnienia skargi kasacyjnej.
Skarżący nie złożył odpowiedzi na skargę kasacyjną.
Naczelny Sąd Administracyjny zważył, co następuje:
Stosownie do art. 183 § 1 p.p.s.a., Naczelny Sąd Administracyjny rozpoznaje sprawę w granicach skargi kasacyjnej, biorąc pod rozwagę z urzędu jedynie nieważność postępowania. W rozpoznawanej sprawie nie zachodzi żadna z okoliczności skutkujących nieważnością postępowania, o jakich mowa w art. 183 § 2 p.p.s.a. i nie zachodzi żadna z przesłanek, o których mowa w art. 189 p.p.s.a., które NSA rozważa z urzędu dokonując kontroli zaskarżonego skargą kasacyjną wyroku. Wobec tego Naczelny Sąd Administracyjny rozpoznał sprawę w granicach postawionych zarzutów. Zarzuty te okazały się zasadne.
Przedmiotem sprawy jest ocena czy Prezes UODO zasadnie umorzył postępowanie ze skargi skarżącego na odmowę usunięcia jego danych z rejestrów KCIK i KSIP. Wątpliwości nie budzi poprawność wydanej decyzji w zakresie odnoszącym się do rejestru KSIP, albowiem jak wynika z niekwestionowanych w sprawie ustaleń dane skarżącego z tego rejestru zostały usunięte jeszcze przed wniesieniem skargi do organu. Tak też przyjął Sąd pierwszej instancji i organ tego nie kwestionuje. Tym samym dalsza analiza przedstawionego zagadnienia dotyczyć będzie wyłącznie zasadności żądania odnoszącego się do KCIK.
Przepis art. 1 ustawy o KCIK określa jej zakres przedmiotowy, który wyznacza zasady postępowania przy przetwarzaniu informacji kryminalnych w celu wykrywania i ścigania sprawców przestępstw oraz zapobiegania i zwalczania przestępczości, a także podmioty właściwe w tych sprawach. Administratorem danych w rejestrze KCIK jest Komendant Główny Policji jako Szef KCIK, co wynika bezpośrednio z art. 5 i 6 powołanej ustawy.
W myśl natomiast przepisu art. 4 pkt 1 ustawy o KCIK informacjami kryminalnymi są określone w art. 13 ust. 1 dane dotyczące spraw będących przedmiotem czynności operacyjno-rozpoznawczych, wszczętego lub zakończonego postępowania karnego, w tym postępowania w sprawach o przestępstwa skarbowe, oraz dotyczące innych postępowań lub czynności prowadzonych na podstawie ustaw przez podmioty określone w art. 19 i 20, istotnych z punktu widzenia czynności operacyjno-rozpoznawczych lub postępowania karnego. Zakres gromadzonych danych kryminalnych w KCIK nie obejmuje zatem prawomocnych rozstrzygnięć postępowań karnych lub karno-skarbowych.
Wedle dyspozycji art. 14 ust. 1 tejże ustawy informacje kryminalne przechowywane są w bazach danych KCIK przez okres 15 lat, który należy liczyć od dnia zarejestrowania informacji kryminalnych w tychże bazach, z zastrzeżeniem, że jeśli po dniu rejestracji nastąpiło przekazanie informacji kryminalnych przez Szefa KCIK, bieg terminów przechowywania danych, liczy się od dnia ich przekazania, co wynika z art. 14 ust. 4 i 5 ustawy o KCIK. Uregulowanie to prowadzi do konstatacji, że określony w nim termin nie jest terminem sztywnym, uzależnionym od pojedynczego zdarzenia warunkującego ujawnienie danych w bazie KCIK i może on ulec wydłużeniu, jeżeli dane te przekazane zostaną ponownie przez Szefa KCIK. Abstrahując więc od tego, że Szef KCIK w ogóle nie powinien udzielać żadnych informacji związanych z danymi widniejącymi w KCIK to tak czy inaczej nie sposób podzielić zapatrywania skarżącego, iż skoro minął okres 15 lat od daty wydania względem niego wyroku skazującego, tym samym spełniona została przesłanka warunkująca możliwość usunięcia jego danych z rejestru.
O tym bowiem czy konkretne dane są przydatne czy też nie decydują przesłanki wyrażone w art. 25 ustawy o KCIK, tj. jeżeli ich gromadzenie jest zabronione (pkt 1); zarejestrowane informacje kryminalne okazały się nieprawdziwe (pkt 2); ustał cel ich gromadzenia (pkt 3); upłyną okresy, o których mowa w art. 14 ust. 1-3 (pkt 4); jest to uzasadnione ze względu na bezpieczeństwo państwa lub jego obronność albo mogą spowodować identyfikację osób udzielających pomocy przy wykonywaniu czynności operacyjno-rozpoznawczych prowadzonych przez upoważnione do tego podmioty uprawnione (pkt 5).
Jak stanowi z kolei art. 2 ustawy o KCIK informacje kryminalne przetwarza się w celu wykrywania i ścigania sprawców przestępstw oraz zapobiegania i zwalczania przestępczości (ust. 1), bez wiedzy i zgody osoby, której dane dotyczą, oraz z zachowaniem zasad ich ochrony określonych w przepisach o ochronie informacji niejawnych (ust. 2), a ponadto przekazywane są jedynie podmiotom enumeratywnie określonym w art. 19 (ust. 3). Jest to kluczowy przepis w ramach rozpoznania niniejszej sprawy, albowiem na jego podstawie, możliwa była odmowa udzielenia jakichkolwiek informacji skarżącemu, na co zresztą powołał się organ.
Informacje objęte ochroną, zgodnie z przepisami ustawy z 5 sierpnia 2010 r. o ochronie informacji niejawnych (Dz.U.2019.742 t.j. ze zm.; dalej u.o.i.n.), nie podlegają udostępnieniu w trybie publicznym oraz każdej osobie lub każdemu podmiotowi, który zwróci się o taką informację, ponieważ ustawa wyklucza taką możliwość poza przypadkami określonymi w jej art. 4, tj. osobie dającej rękojmię zachowania tajemnicy i tylko w zakresie niezbędnym do wykonywania przez nią pracy lub pełnienia służby na zajmowanym stanowisku albo wykonywania czynności zleconych. Powołując się na stanowisko wyrażone w wyroku WSA w Warszawie z 12 lutego 2014 r., II SA/Wa 1749/14 zaznaczyć trzeba, że nikt nie może domagać się udostępnienia informacji niejawnych, nawet jeżeli posiada poświadczenie bezpieczeństwa do odpowiedniej klauzuli, jeżeli informacja taka nie jest niezbędna do wykonywania pracy lub pełnienia służby na zajmowanym stanowisku albo wykonywania czynności zleconych.
W tej materii pomocne pozostawało także uchylone rozporządzenie Ministra Sprawiedliwości z 23 sierpnia 2018 r. w sprawie przetwarzania informacji przez Policję, obowiązujące jednakże w dacie wydania zaskarżonej decyzji Prezesa UODO. Tryb gromadzenia informacji, w tym również danych osobowych, a także procedury zapewniające pobieranie, gromadzenie, uzyskiwanie informacji oraz organizację zbiorów w sposób umożliwiający kontrolę dostępu do nich i nadzór nad przetwarzaniem informacji wyznaczał § 4 rozporządzenia. Natomiast § 27 ust. 1 i 2 tegoż aktu określał, że dostęp do nadmienionych danych jest ściśle reglamentowany, tj. mogą go uzyskać jedynie osoby uprawnione, określone tym przepisem.
Z kolei dane, które stały się nieprzydatne do celów prewencyjnych, dowodowych czy wykrywczych mogły na skutek decyzji organu Policji zostać usunięte, w wyniku oceny o której mowa w § 29 rozporządzenia.
Przenosząc zaprezentowane rozważania na grunt rozpoznawanej sprawy, należy zauważyć, że przyjęte przez ustawodawcę rozwiązania stanowią przepisy szczególne (lex specialis) względem uregulowań zawartych choćby w ustawie z 6 września 2001 r. o dostępie do informacji publicznej (Dz.U.2019.1429 t.j. ze zm.; dalej u.o.d.i.p.), czy ustawie z 10 maja 2018 r. o ochronie danych osobowych (Dz.U.2018.1000 ze zm.; dalej u.o.d.o.), stąd też pierwszeństwo stosowania miały przepisy ustaw szczególnych o których mowa była powyżej. Co więcej, art. 5 ust. 1 u.o.d.i.p. wskazuje na możliwość ograniczenia prawa do informacji publicznej w zakresie i na zasadach określonych w przepisach o ochronie informacji niejawnych oraz o ochronie innych tajemnic ustawowo chronionych, co tym samym potwierdza słuszność stanowiska KGP, w zakresie w jakim odmówił zajęcia stanowiska dotyczącego danych w rejestrze KCIK. Analogiczne rozwiązanie odnaleźć można w art. 5 u.o.d.o., który w ust. 1 pkt. 2 ogranicza możliwość udostępnienia informacji publicznej, jeżeli naruszy to ochronę informacji niejawnych.
Przypomnieć w tym miejscu trzeba, że art. 61 ust. 1 zd. 1 Konstytucji RP stanowi, iż obywatel wprawdzie ma prawo do uzyskiwania informacji o działalności organów władzy publicznej oraz osób pełniących funkcje publiczne, jednakże prawo to nie ma charakteru absolutnego i Konstytucja RP dopuszcza jego ograniczenie między innymi z uwagi na ochronę porządku publicznego, czy bezpieczeństwa (art. 61 ust. 3 Konstytucji RP). Nie sposób zaprzeczyć, że nie mogą podlegać ujawnieniu informacje, których ujawnienie groziłoby porządkowi i bezpieczeństwu publicznemu lub narażało na szwank działania organów chroniących te wartości (por. wyrok NSA z 28 kwietnia 2016 r., I OSK 2620/14). Niewątpliwie udzielenie skarżącemu jakichkolwiek informacji dotyczących danych z bazy KCIK stanowiłoby wypaczenie idei funkcjonowania tego rejestru oraz jego celu, a także godziłoby w cele realizowane przez służby mające za zadanie ochronę porządku i bezpieczeństwa publicznego. Ponadto stanowiłoby to naruszenie zasad określonych w przepisach o ochronie informacji niejawnych, zwłaszcza wspomnianego już art. 4 ust. 1 u.o.i.n.
Na gruncie rozpoznawanej sprawy uwzględnić należało zatem nie tylko prawo do ochrony prywatności zainteresowanego, ale także potrzebę wynikających z art. 31 ust. 3 Konstytucji RP ograniczeń wolności i praw obywatelskich, które to ograniczenia mają służyć – jak w niniejszej sprawie – zapewnieniu bezpieczeństwa i porządku publicznego. W tym przedmiocie ocena zasadności wniosku zainteresowanego o nakazanie usunięcia jego danych osobowych z KCIK musi uwzględniać także uwarunkowania wynikające z innych regulacji prawnych funkcjonujących w systemie prawa, a nie tylko przykładowo z ustawy o ochronie danych osobowych, jako że poza sygnalizowanym art. 61 ust. 3 Konstytucji RP, także art. 31 ust. 3 ustawy zasadniczej wskazuje właśnie na ustawowe podstawy owych ograniczeń.
Zgodnie z art. 23 ust. 1 pkt 2 u.o.d.o., przetwarzanie danych jest dopuszczalne tylko wtedy, gdy jest to niezbędne dla zrealizowania uprawnienia lub spełnienia obowiązku wynikającego z przepisu prawa. Przepis ten statuuje więc jedną z legalnych podstaw przetwarzania danych osobowych. Wiążąc treść tego przepisu z kompetencjami organów Policji w zakresie zapewniania bezpieczeństwa i porządku publicznego, należy uznać, że stanowisko obu organów było słuszne, w zakresie w jaki stwierdzono, że dane skarżącego pozyskane zostały w sposób legalny i w taki też sposób są lub mogą być przetwarzane. W kontekście zasad i funkcji rejestru KCIK, informacja ta zdaniem Naczelnego Sądu Administracyjnego była wystarczająca do odmowy uczynienia zadość żądaniu skarżącego.
Odnieść się także należy do przywołanego przez WSA ustawodawstwa unijnego. Co do zasady zgodzić się należy, że przepis art. 5 ust. 1 lit. e RODO wyznacza kres możliwości przetwarzania danych osobowych, w tym w szczególności temporalny, czego uszczegółowieniem jest także art. 39 RODO, niemniej jednak trzeba zauważyć, że również i ten akt prawny zawiera przepisy umożliwiające ograniczenie zakresu obowiązków i praw związanych z przetwarzaniem danych osobowych. Jednym z takich przepisów jest art. 23, który w ust. 1 lit. a – d stanowi, że "[p]rawo Unii lub prawo państwa członkowskiego, któremu podlegają administrator danych lub podmiot przetwarzający, może aktem prawnym ograniczyć zakres obowiązków i praw przewidzianych w art. 12-22 i w art. 34, a także w art. 5 - o ile jego przepisy odpowiadają prawom i obowiązkom przewidzianym w art. 12-22 - jeżeli ograniczenie takie nie narusza istoty podstawowych praw i wolności oraz jest w demokratycznym społeczeństwie środkiem niezbędnym i proporcjonalnym, służącym bezpieczeństwu narodowemu (lit. a)); obronie (lit. b)); bezpieczeństwu publicznemu (lit. c)); zapobieganiu przestępczości, prowadzeniu postępowań przygotowawczych, wykrywaniu lub ściganiu czynów zabronionych lub wykonywaniu kar, w tym ochronie przed zagrożeniami dla bezpieczeństwa publicznego i zapobieganiu takim zagrożeniom (lit. d)); [...]".
Z powyższego w sposób jednoznaczny wynika, że uprawnienia podmiotu danych i obowiązki administratorów nie mają charakteru absolutnego i mogą podlegać ograniczeniom, co potwierdzają także przywołane przepisy ustawy zasadniczej w art. 31 ust. 3 oraz art. 61 ust. 3. Ich konsekwencją, a także konsekwencją prawa unijnego wyrażonego choćby w dyrektywie Parlamentu Europejskiego i Rady (UE) 2016/680 z 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych przez właściwe organy do celów zapobiegania przestępczości, prowadzenia postępowań przygotowawczych, wykrywania i ścigania czynów zabronionych i wykonywania kar, w sprawie swobodnego przepływu takich danych oraz uchylająca decyzję ramową Rady 2008/977/WSiSW (Dz.Urz. UE L 119, s. 89–131), było wprowadzenie przez ustawodawcę polskiego ustaw szczególnych, jak ustawa z 6 lipca 2001 r. o przetwarzaniu informacji kryminalnych czy ustawa z 14 grudnia 2018 r. o ochronie danych osobowych przetwarzanych w związku z zapobieganiem i zwalczaniem przestępstw, stanowiąca implementację dyrektywy Parlamentu Europejskiego i Rady (UE) 2016/680 z 27 kwietnia 2016 r., co do przesłanki określonej art. 23 ust. 1 lit. d) RODO.
Reasumując przedstawione zapatrywania prawne, należy stwierdzić, iż Prezes UODO rozpoznając sprawę, zasadnie w oparciu o przepis art. 105 § 1 k.p.a. umorzył postępowanie również w odniesieniu do żądania skarżącego usunięcia jego danych w rejestrze KCIK.
Z podanych względów zaskarżony wyrok nie mógł się ostać. Wyjaśnienie istoty sprawy upoważniało Naczelny Sąd Administracyjny do rozpoznania skargi. Z wyłożonych powodów została ona oddalona na zasadzie art. 151 p.p.s.a. w zw. z art.188 p.p.s.a.
O kosztach postępowania kasacyjnego orzeczono w oparciu o treść art. 203 pkt. 2) p.p.s.a.