Decyzja
ZSOŚS.440.112.2018
Na podstawie art. 104 § 1 ustawy z dnia 14 czerwca 1960 r. Kodeks postępowania administracyjnego (Dz. U. z 2018 r. poz. 2096, ze zm.), art. 12 pkt 2, art. 22 oraz art. 23 ust. 1 pkt 2 ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (Dz. U. z 2016 r. poz. 922 ze zm.), w związku z art. 100 ustawy z dnia 14 grudnia 2018 r. o ochronie danych osobowych przetwarzanych w związku z zapobieganiem i zwalczaniem przestępczości (Dz. U. z 2019 r. poz. 125), po przeprowadzeniu postępowania administracyjnego w sprawie skargi Pana G. B., zam. w Ż., w przedmiocie odmowy udzielenia informacji przez Komendanta Głównego Policji o przetwarzaniu danych osobowych w bazach Krajowego Centrum Informacji Kryminalnych,
odmawiam uwzględnienia wniosku
Uzasadnienie
Do Biura Generalnego Inspektora Ochrony Danych Osobowych (obecnie: Urząd Ochrony Danych Osobowych) wpłynęła w dniu [...] października 2017 r. skarga Pana G. B., zam. w Ż. (dalej „Skarżący”), dotycząca odmowy udzielenia informacji przez Komendanta Głównego Policji (dalej „Komendant Główny”) o przetwarzaniu danych osobowych Skarżącego w bazach Krajowego Centrum Informacji Kryminalnych (dalej „KCIK”). Należy przy tym wskazać, iż z dniem wejścia w życie ustawy z dnia 10 maja 2018 r. o ochronie danych osobowych, tj. 25 maja 2018 r., Generalny Inspektor Ochrony Danych Osobowych stał się Prezesem Urzędu Ochrony Danych Osobowych (dalej „Prezes UODO”). Zgodnie zaś z art. 100 ustawy z dnia 14 grudnia 2018 r. o ochronie danych osobowych przetwarzanych w związku z zapobieganiem i zwalczaniem przestępczości (Dz. U. z 2019 r. poz. 125), postępowania prowadzone przez Prezesa UODO, wszczęte i niezakończone przed dniem wejścia tej ustawy w życie, prowadzone są na podstawie przepisów dotychczasowych, tj. przepisów ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (Dz. U. z 2016 r. poz. 922 ze zm.).
W skardze Skarżący wskazał, że Komendant Główny bez podstawy prawnej odmawia Skarżącemu udzielenia informacji w przedmiocie przetwarzania jego danych osobowych w bazach KCIK. Skarżący zakwestionował w skardze prawo Komendanta Głównego do odmowy udzielenia Skarżącemu informacji w przedmiocie przetwarzania jego danych osobowych w bazach KCIK i wniósł o nakazanie Komendantowi Głównemu udzielenia tej informacji. W skardze Skarżący zarzucił Komendantowi Głównemu naruszenie:
- art. 7 i art. 51 ust. 3 Konstytucji Rzeczypospolitej Polskiej z dnia 2 kwietnia 1997 r. (Dz. U. z 1997 r. Nr 78, poz. 483 ze zm.),
- art. 18 ust. 2 w związku z art. 4 pkt 4 ustawy z dnia 6 lipca 2001 r. o przetwarzaniu informacji kryminalnych, zwanej dalej „ustawą o KCiK” (Dz. U. z 2019 r. poz. 44 ze zm.; poprzedni tytuł aktu: ustawa o gromadzeniu, przetwarzaniu i przekazywaniu informacji kryminalnych),
- art. 33 ust. 1 ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (Dz. U. z 2016 r. poz. 922 ze zm.), zwanej dalej „uodo”, w związku z art. 18 ust. 2 ustawy o KCiK,
- art. 34 uodo w związku z art. 18 ust. 2 ustawy o KCiK.
W toku postępowania wszczętego w wyniku skargi, Prezes UODO przeprowadził kontrolę w Komendzie Głównej Policji, uzyskał wyjaśnienia odnośnie okoliczności sprawy, zapoznał się z materiałem dowodowym i dokonał następujących ustaleń.
Skarżący, pismem z [...] sierpnia 2017 r., złożył do Komendanta Głównego wniosek o udzielenie informacji w przedmiocie przetwarzania jego danych osobowych w bazach danych KCIK. W odpowiedzi na wspomniane pismo, Komendant Główny w piśmie z [...] września 2017 r. odmówił Skarżącemu udzielenia ww. informacji oraz poinformował Skarżącego, że gromadzenie, przetwarzanie i przekazywanie informacji kryminalnych na zasadach określonych w ustawie o KCIK, odbywa się bez wiedzy osób, których one dotyczą, a informacje te podlegają ochronie określonej w przepisach o ochronie informacji niejawnych. Komendant Główny wskazał także, iż „ustawa o KCIK (…) stanowi lex specialis wobec norm określonych w art. 25, 32 i 33 ustawy o ochronie danych osobowych (…)”, a w związku z tym „(…) Komendant Główny Policji jako Szef Centrum nie jest obowiązany do informowania osoby, której dane osobowe może gromadzić i przetwarzać, o fakcie przetwarzania tych danych jak również o zakresie przetwarzania czy też udostępniania danych osobowych.”. Komendant Główny podniósł również, że nie jest obowiązany do informowania o treści informacji, o odbiorcach danych, o usunięciu informacji i o zakresie usuniętych danych ze zbioru danych.
W związku ze skargą, przeprowadzona została również kontrola Urzędu Ochrony Danych Osobowych, której zakresem objęto przetwarzanie przez Komendanta Głównego Policji danych osobowych Skarżącego w KCIK. Analiza całokształtu materiału dowodowego zebranego w sprawie, pozyskanego w toku kontroli, nie wykazała uchybień w procesie przetwarzania danych osobowych w zakresie objętym kontrolą i skargą. Ponadto, jak ustalono w toku kontroli, odmawiając odpowiedzi potwierdzającej albo zaprzeczającej faktowi przetwarzania danych osobowych Skarżącego, Komendant Główny Policji powołał się przede wszystkim na art. 2 ust. 2 ustawy o KCIK, zgodnie z którym gromadzenie, przetwarzanie i przekazywanie informacji kryminalnych na zasadach określonych w ustawie o KCIK odbywa się bez wiedzy i zgody osób, których one dotyczą. Analogiczny przepis, tj. art. 20 ust. 2a, wprowadzony został również do ustawy z dnia 6 kwietnia 1990 r. o Policji (Dz.U. z 2019 r. poz. 161 – dalej „ustawa o Policji”). Zgodnie z brzmieniem tego przepisu, Policja może pobierać, uzyskiwać, gromadzić, przetwarzać i wykorzystywać w celu realizacji zadań ustawowych informacje, w tym dane osobowe, o osobach w tym przepisie wymienionych, także bez ich wiedzy i zgody. Na podstawie art. 20 ust. 2a ustawy o Policji, Policja odmawia wykonania obowiązku informacyjnego wobec osób wnioskujących o jego wypełnienie w zakresie przetwarzania ich danych osobowych w Krajowym Systemie Informacyjnym Policji (KSIP).
W takim stanie faktycznym i prawnym Prezes Urzędu Ochrony Danych Osobowych zważył, co następuje:
Powołana wyżej ustawa o ochronie danych osobowych, stwarza prawne podstawy stosowania ochrony państwowej w sytuacjach nielegalnego przetwarzania danych osobowych obywateli przez zarówno podmioty prawa publicznego, jak i podmioty prawa prywatnego. W celu jej realizacji organ ochrony danych osobowych został wyposażony w kompetencje władcze, umożliwiające sankcjonowanie stwierdzanych nieprawidłowości w procesie przetwarzania danych osobowych. Oznacza to, iż organ ochrony danych osobowych, oceniając stan sprawy i dokonując subsumpcji, stwierdza, czy kwestionowane przetwarzanie danych osobowych znajduje oparcie choćby w jednej z przesłanek legalizujących przetwarzanie danych osobowych, wskazanej w art. 23 ust. 1 ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (Dz. U. z 2016 r. poz. 922 ze zm. – dalej „ustawa o ochronie danych osobowych) i w zależności od występujących w sprawie ustaleń – albo wydaje nakaz lub zakaz, albo odmawia uwzględnienia wniosku, ewentualnie umarza postępowanie. Wydanie nakazu usunięcia uchybień w procesie przetwarzania danych osobowych następuje wówczas, gdy organ ochrony danych osobowych stwierdza naruszenie norm prawnych w zakresie przetwarzania danych osobowych.
Zgodnie z treścią art. 1 ustawy o ochronie danych osobowych, każdy ma prawo do ochrony dotyczących go danych osobowych, a przetwarzanie tych danych, w znaczeniu, o którym mowa w art. 7 pkt 2 ww. ustawy, dopuszczalne jest tylko ze względu na określone dobra, tj. dobro publiczne, dobro osoby, której dane dotyczą lub dobro osoby trzeciej i tylko w zakresie oraz trybie określonym ustawą. Mając zatem na uwadze powyższe, stosując przepisy ustawy o chronię danych osobowych, należy za każdym razem wyważać dobra, które legły u jej podstaw. W przedmiotowej sprawie na uwadze należy mieć treść art. 23 ust. 1 pkt 2 ustawy o ochronie danych osobowych, który stanowi, iż przetwarzanie danych jest dopuszczalne, gdy jest to niezbędne dla zrealizowania uprawnienia lub spełnienia obowiązku wynikającego z przepisu prawa.
Podstawę prawną do przetwarzania przez Komendanta Głównego danych osobowych w KCIK, stanowią przede wszystkim przepisy wspomnianej wyżej ustawy o KCIK. Zgodnie z art. 2 ust. 1 ustawy, „na zasadach określonych w ustawie informacje kryminalne przetwarza się w celu wykrywania i ścigania sprawców przestępstw oraz zapobiegania i zwalczania przestępczości”. Z brzmienia powyżej powołanego przepisu wynika, że przetwarzanie informacji kryminalnych jest obligatoryjne, a obowiązek w rzeczonym zakresie realizuje, na podstawie art. 5 ust. 1 i art. 6 ustawy o KCIK, Komendant Główny. Wobec powyższego, biorąc pod uwagę także brzmienie powołanego przez Komendanta Głównego art. 2 ust. 2 ustawy o KCIK, zgodnie z którym gromadzenie, przetwarzanie i przekazywanie informacji kryminalnych na zasadach określonych w ustawie o KCIK odbywa się bez wiedzy i zgody osób, których one dotyczą, należy przychylić się do argumentacji Komendanta Głównego, stanowiącej podstawę odmowy udzielenia informacji Skarżącemu. Słuszność odmownego stanowiska Komendanta Głównego w kwestii wykonania obowiązku informacyjnego w zakresie wskazanym w art. 33 ust. 1 ustawy o ochronie danych osobowych znajduje potwierdzenie w wyroku Wojewódzkiego Sądu Administracyjnego (sygn. akt: II SA/Wa 1885/10). W uzasadnieniu rzeczonego wyroku Wojewódzki Sąd Administracyjny orzekł, że „Odnosząc się do nakazania Komendantowi Głównemu Policji spełnienia wobec M. D. obowiązku informacyjnego w zakresie wskazanym w art. 33 ust. 1 ustawy o ochronie danych osobowych, także należy wskazać, iż przepis art. 20 ust. 2a ustawy o Policji stanowi lex specialis w stosunku do ww. przepisu ustawy o ochronie danych osobowych. Policja może przetwarzać dane osobowe m.in. osób podejrzanych o popełnienie przestępstw nie tylko bez ich zgody, ale co istotne w sprawie bez ich "wiedzy". Owo ustawowe ograniczenie prawa obywatelskiego do uzyskania wiedzy na temat informacji posiadanych o nim przez Policję wynika z konieczności ograniczania dostępu do informacji mogących chociażby pośrednio ujawnić metody operacyjne Policji, tj. źródła informacji o przestępstwach, powiązania środowisk przestępczych, itp. To z kolei usprawiedliwia przetwarzanie danych osobowych osób, o których mowa w art. 20 ust. 2a ustawy o Policji, bez ich wiedzy, albowiem dane te, co należy podkreślić, zostały uzyskane w sposób legalny, zgodny z prawem, pod nadzorem sądów powszechnych.”. Powyższe stanowisko Wojewódzki Sąd Administracyjny podtrzymał w kolejnym wyroku (sygn. akt II SA/Wa 1648/13), a następnie podzielił je Naczelny Sąd Administracyjny, rozpoznając skargę kasacyjną od przytoczonego orzeczenia (sygn. akt: I OSK 1100/11).
Mając zatem na względzie analogię przepisów określonych w ustawie o KCIK (art. 2 ust. 2) oraz ustawie o Policji (art. 20 ust. 2a), należy przychylić się do stanowiska przedstawionego przez Komendanta Głównego Policji zarówno w toku kontroli jak i w odpowiedzi przekazanej Skarżącemu pismem z [...] września 2017 r., w której odmówiono wypełnienia obowiązku informacyjnego określonego w art. 33 ust. 1 ustawy o ochronie danych osobowych w zakresie przetwarzania danych osobowych w KCIK.
W świetle powyższych ustaleń, nie można zgodzić się z zarzutem Skarżącego, jakoby Komendant Główny naruszył przepisy prawa w przedmiotowej sprawie i należy stwierdzić, iż Komendant Główny legitymuje się podstawą prawną do odmowy Skarżącemu udzielenia informacji w przedmiocie przetwarzania jego danych osobowych w KCIK.
W tym stanie faktycznym i prawnym Prezes Urzędu Ochrony Danych Osobowych rozstrzygnął, jak w sentencji.
Zgodnie z art. 9 ust. 2 ustawy z dnia 14 grudnia 2018 r. o ochronie danych osobowych przetwarzanych w związku z zapobieganiem i zwalczaniem przestępczości (Dz. U. z 2019 r. poz. 125), stronie przysługuje prawo do wniesienia skargi na decyzję do Wojewódzkiego Sądu Administracyjnego w Warszawie, w terminie 30 dni od dnia doręczenia jej stronie. Skargę wnosi się za pośrednictwem Prezesa Urzędu (adres: ul. Stawki 2, 00-193 Warszawa). Wpis od skargi wynosi 200 złotych. Strona ma prawo ubiegania się o prawo pomocy, w tym zwolnienie od kosztów sądowych.