Decyzja
ZSOŚS.440.159.2018
Na podstawie art. 104 § 1 oraz art. 105 § 1 ustawy z dnia 14 czerwca 1960 r. Kodeks postępowania administracyjnego (Dz. U. z 2018 r. poz. 2096 ze zm.) oraz art. 12 pkt 2, art. 22 i art. 23 ust. 1 pkt 2 ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (Dz. U. z 2016 r. poz. 922 ze zm.) w związku z art. 100 ustawy z dnia 14 grudnia 2018 r. o ochronie danych osobowych przetwarzanych w związku z zapobieganiem i zwalczaniem przestępczości (Dz. U. z 2019 r. poz. 125), po przeprowadzeniu postępowania administracyjnego w sprawie skargi Pani E. K., Pana M. K. oraz Pana R. K., zamieszkałych: ul. [...], na nieprawidłowości w procesie przetwarzania ich danych osobowych przez Komendanta Głównego Policji w Krajowym Systemie Informacyjnym Policji (KSIP) oraz Krajowym Centrum Informacji Kryminalnych (KCIK),
- Odmawiam uwzględnienia wniosku Pani E. K., Pana M. K. oraz Pana R. K. w zakresie usunięcia ich danych osobowych ze zbioru danych Krajowego Centrum Informacji Kryminalnych (KCIK) prowadzonego przez Komendanta Głównego Policji,
- W pozostałym zakresie umarzam postępowanie.
Uzasadnienie
Do Urzędu Ochrony Danych Osobowych wpłynęła skarga Państwa E., M. i R. K. (dalej jako: „Skarżący”), na przetwarzanie ich danych osobowych w Krajowym Systemie Informacyjnym Policji (KSIP) oraz w Krajowym Centrum Informacji Kryminalnych (KCIK) przez Komendanta Głównego Policji (dalej jako: „Komendant Główny”) W treści ww. skargi Skarżący zwrócili się z prośbą o podjęcie działań mających na celu sprawdzenie, czy Policja jest uprawniona do przetwarzania ich danych zgodnie z obowiązującymi przepisami prawa. Nadto uzasadniając żądanie Skarżący podnieśli, iż w ich ocenie brak jest podstaw, dla których organy Policji nadal przechowują i przetwarzają dane osobowe w systemach KSIP i KCIK, stąd też zasadne jest, aby organ nadzorczy nakazał Komendantowi Głównemu Policji usunięcie ich danych z powyższych zbiorów danych.
Na wstępie należy wskazać, iż z dniem wejścia w życie ustawy z dnia 10 maja 2018 r. o ochronie danych osobowych, tj. 25 maja 2018 r., Generalny Inspektor Ochrony Danych Osobowych stał się Prezesem Urzędu Ochrony Danych Osobowych (dalej „Prezes UODO”). Zgodnie zaś z art. 100 ustawy z dnia 14 grudnia 2018 r. o ochronie danych osobowych przetwarzanych w związku z zapobieganiem i zwalczaniem przestępczości (Dz. U. z 2019 r. poz. 125), postępowania prowadzone przez Prezesa UODO, wszczęte i niezakończone przed dniem wejścia tej ustawy w życie, prowadzone są na podstawie przepisów dotychczasowych, tj. przepisów ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (Dz. U. z 2016 r. poz. 922 ze zm.).
W toku postępowania zainicjowanego skargą, Prezes Urzędu Ochrony Danych Osobowych uzyskał wyjaśnienia odnośnie okoliczności sprawy, zapoznał się z materiałem dowodowym i dokonał następujących ustaleń.
Pismami z [...] lutego 2019 r. Prezes Urzędu Ochrony Danych Osobowych poinformował Skarżących oraz Komendanta Głównego o wszczęciu postępowania wyjaśniającego w sprawie oraz zwrócił się do tegoż organu o ustosunkowanie się do treści skargi i złożenie pisemnych wyjaśnień.
Tytułem wyjaśnień Komendant Główny poinformował, iż Skarżący wnioskiem z [...] października 2018 r. zwrócili się o wskazanie, czy Komenda Powiatowa Policji w W. wywiązała się z obowiązku usunięcia ich danych z ww. systemów informatycznych prowadzonych przez Komendanta Głównego Policji. Pismami z [...] października 2018 r. ([...], [...], [...]) Naczelnik Wydziału Obsługi Informacyjnej Biura Wywiadu i Informacji Kryminalnych KGP udzielił odpowiedzi Skarżącym wskazując, iż Policja nie przetwarza ich danych osobowych w zakresie systemu KSIP, albowiem dane te zostały usunięte. Skarżący zostali także poinformowani o odmiennym trybie i zasadach przetwarzania informacji w systemie KCIK. W uzasadnieniu stanowiska wskazano Skarżącym podstawy prawne przetwarzania danych osobowych przez Policję w tym systemie, a mianowicie przepisy ustawy z dnia 6 lipca 2001 r. o gromadzeniu, przetwarzaniu i przekazywaniu informacji kryminalnych (Dz. U. poz. 44 ze zm., dalej zwana: „ustawą o KCIK”). W szczególności zwrócono uwagę na treść art. 2, art. 14 ust. 1, art. 16 ust. 1, art. 19 oraz art. 25 cytowanej powyżej ustawy. Następnie podniesiono, iż fakt przetwarzania danych osobowych w KCIK nie stygmatyzuje Skarżących w świetle prawa, albowiem informacje, jakimi dysponuje KCIK nie stanowią źródła wiedzy powszechnie dostępnej, gdyż służą wyłącznie realizacji zadań Policji, o których mowa w art. 1 ust. 2 ustawy o Policji. O ile bowiem dostęp do informacji o karalności osoby z KRK ma charakter powszechny, to informacje pozyskane i wytworzone przez organy Policji w KCIK są zamkniętym, ogólnie niedostępnym zbiorem informacji i danych, służącym jedynie organom Policji dla realizowania ich ustawowych zadań związanych z zapewnieniem bezpieczeństwa i porządku publicznego. Ponadto, jak wskazano zgodnie z art. 16 ust. 1 ustawy o KCIK, informacje kryminalne gromadzone, przetwarzane i przekazywane podlegają ochronie określonej w przepisach o ochronie informacji niejawnych.
Prezes Urzędu Ochrony Danych Osobowych poinformował pismami z [...] maja 2019 r. Skarżących oraz Komendanta Głównego Policji o przeprowadzeniu postępowania administracyjnego, w wyniku którego został zgromadzony materiał dowodowy wystarczający do wydania decyzji administracyjnej oraz o możliwości wypowiedzenia się co do zebranych dowodów i materiałów oraz zgłoszonych żądań zgodnie z treścią art. 10 § 1 ustawy z dnia 14 czerwca 1960 r. Kodeks postępowania administracyjnego, w terminie 7 dni od dnia otrzymania ww. pism.
Do dnia wydania przedmiotowej decyzji żadna ze stron nie ustosunkowała się do zebranego w sprawie materiału dowodowego.
W takim stanie faktycznym i prawnym Prezes Urzędu Ochrony Danych Osobowych zważył, co następuje:
Na wstępie podnieść należy, że Prezes Urzędu Ochrony Danych Osobowych, wydając decyzję administracyjną obowiązany jest rozstrzygać w oparciu o stan faktyczny istniejący w chwili wydania tej decyzji. Stanowisko to znajduje oparcie w orzecznictwie sądowym. W szczególności należy wspomnieć o wyroku Naczelnego Sądu Administracyjnego o sygn. akt I OSK 761 / 07, gdzie jednoznacznie stwierdzono, że „(…) badając (…) legalność przetwarzania danych osobowych, [Generalny Inspektor] ma obowiązek ustalenia, czy na datę wydawania rozstrzygnięcia w sprawie dane konkretnego podmiotu są przetwarzane oraz czy czynione to jest w sposób zgodny z prawem (…)”. Dodatkowo, jak zostało wyrażone w doktrynie, „organ administracji publicznej ocenia stan faktyczny sprawy według chwili wydania decyzji administracyjnej. Reguła ta odnosi się także do oceny stanu prawnego sprawy, co oznacza, że organ administracji publicznej wydaje decyzję administracyjną na podstawie przepisów prawa obowiązujących w chwili jej wydania (…) Rozstrzyganie w postępowaniu administracyjnym polega na zastosowaniu obowiązującego prawa do ustalonego stanu faktycznego sprawy administracyjnej. W ten sposób organ administracji publicznej realizuje cel postępowania administracyjnego, jakim jest urzeczywistnienie obowiązującej normy prawnej w zakresie stosunków administracyjno-prawnych, gdy stosunki te tego wymagają” (Komentarz do ustawy z dnia 14 czerwca 1960 r. Kodeks postępowania administracyjnego (Dz. U. 00.98.1071) M. Jaśkowska, A. Wróbel, Lex., el/2012).
Odnosząc powyższe do ustalonego stanu faktycznego sprawy, w pierwszej kolejności podkreślić należy, że poczynione ustalenia dowiodły, iż Komendant Główny usunął z systemu KSIP dane osobowe Skarżących w kwestionowanym zakresie.
W tej sytuacji w powyższym zakresie postępowanie prowadzone w pierwszej instancji podległo umorzeniu na podstawie art. 105 § 1 ustawy z dnia 14 czerwca 1960 r. Kodeks postępowania administracyjnego (Dz.U. z 2018 poz. 2096), zwanej dalej: „kpa”, wobec jego bezprzedmiotowości. Zgodnie z ww. przepisem, gdy postępowanie z jakiejkolwiek przyczyny stało się bezprzedmiotowe w całości lub w części, organ administracji publicznej wydaje decyzję o umorzeniu postępowania odpowiednio w całości lub w części. Brzmienie powołanej regulacji nie pozostawia wątpliwości, iż w razie stwierdzenia bezprzedmiotowości postępowania organ prowadzący to postępowanie obligatoryjnie je umarza. Jednocześnie w literaturze przedmiotu wskazuje się, że bezprzedmiotowość postępowania administracyjnego, o której stanowi art. 105 § 1 kpa oznacza, że brak jest któregoś z elementów materialnego stosunku prawnego, a wobec tego nie można wydać decyzji załatwiającej sprawę przez rozstrzygnięcie jej co do istoty (B. Adamiak, J. Borkowski „Kodeks postępowania administracyjnego. Komentarz” 7 wydanie Wydawnictwo C.H. Beck, Warszawa 2005 r., str. 485). Takie samo stanowisko zajął Wojewódzki Sąd Administracyjny w Krakowie w wyroku z dnia 27 lutego 2008 r. (III SA/Kr 762/2007): „Postępowanie staje się bezprzedmiotowe, gdy brak któregoś z elementów stosunku materialnoprawnego, co powoduje, że nie można załatwić sprawy przez rozstrzygnięcie co do istoty”. Ustalenie przez organ publiczny istnienia przesłanki, o której mowa w art. 105 § 1 kpa zobowiązywało go do umorzenia postępowania w zakresie przetwarzania danych Skarżących w systemie KSIP, gdyż nie ma podstaw do rozstrzygnięcia sprawy co do istoty, zaś dalsze prowadzenie postępowania w takim przypadku stanowiłoby o jego wadliwości, mającej istotny wpływ na wynik sprawy.
Z kolei odnosząc się do pozostałego zakresu przedmiotowego sprawy tj. przetwarzania danych osobowych Skarżących w bazie KCIK wskazać należy, iż powołana wyżej ustawa o ochronie danych osobowych z 1997 r., stwarza prawne podstawy stosowania ochrony państwowej w sytuacjach nielegalnego przetwarzania danych osobowych obywateli przez zarówno podmioty prawa publicznego, jak i podmioty prawa prywatnego. W celu jej realizacji organ ochrony danych osobowych został wyposażony w kompetencje władcze, umożliwiające sankcjonowanie stwierdzanych nieprawidłowości w procesie przetwarzania danych osobowych. Oznacza to, iż organ ochrony danych osobowych, oceniając stan sprawy i dokonując subsumpcji, stwierdza, czy kwestionowane przetwarzanie danych osobowych znajduje oparcie choćby w jednej z przesłanek legalizujących przetwarzanie danych osobowych, wskazanej w art. 23 ust. 1 ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (Dz. U. z 2016 r. poz. 922 ze zm., dalej „ustawa o ochronie danych osobowych”) i w zależności od występujących w sprawie ustaleń – albo wydaje nakaz lub zakaz, albo odmawia uwzględnienia wniosku, ewentualnie umarza postępowanie. Wydanie nakazu usunięcia uchybień w procesie przetwarzania danych osobowych następuje wówczas, gdy organ ochrony danych osobowych stwierdza naruszenie norm prawnych w zakresie przetwarzania danych osobowych.
Podstawę prawną do przetwarzania przez Komendanta Głównego danych osobowych w KCIK, stanowią przede wszystkim przepisy wspomnianej powyżej ustawy o KCIK. Zgodnie z art. 2 ust. 1 ustawy, „na zasadach określonych w ustawie informacje kryminalne przetwarza się w celu wykrywania i ścigania sprawców przestępstw oraz zapobiegania i zwalczania przestępczości”. Z brzmienia powyżej powołanego przepisu wynika, że przetwarzanie informacji kryminalnych jest obligatoryjne, a obowiązek w rzeczonym zakresie realizuje, na podstawie art. 5 ust. 1 i art. 6 ustawy o KCIK, Komendant Główny. Krajowe Centrum Informacji Kryminalnej zostało powołane w strukturze Komendy Głównej Policji w celu gromadzenia, przetwarzania i przekazywania informacji kryminalnych; prowadzenia baz danych oraz określania warunków organizacyjnych i technicznych sposobów prowadzenia takich baz; opracowywania analiz informacji kryminalnych; zapewniania bezpieczeństwa gromadzonych i przetwarzanych danych na zasadach określonych w ustawie o ochronie danych osobowych oraz w ustawie z 5 sierpnia 2010 r. o ochronie informacji niejawnych (Dz. U. poz. 742). Krajowe Centrum Informacji Kryminalnej może gromadzić, przetwarzać i przekazywać informacje kryminalne jedynie w celu zapobiegania i zwalczania przestępczości (art. 2 ust. 1 ustawy o KCIK). Ponadto procesy te odbywają się na zasadach określonych w ustawie o KCIK i bez wiedzy osób, których informacje dotyczą (art. 2 ust. 2 ustawy o KCIK).
W tym miejscu należy również zwrócić uwagę na zadania, które powierzono Policji, a są to między innymi: ochrona życia i zdrowia ludzi, mienia, przed bezprawnymi atakami naruszającymi te dobra, ochrona bezpieczeństwa i porządku publicznego, inicjowanie i organizowanie działań prewencyjnych, mających na celu zapobieganie popełnieniu przestępstwa i wykroczeń oraz wykrywanie przestępstw i wykroczeń oraz ściganie ich sprawców. W celu realizacji powyższych zadań istotnym pozostaje możliwość gromadzenia i przetwarzania danych osobowych bez wiedzy i zgody osoby, której dane dotyczą. Dodatkowo art. 2 ust. 1 ustawy o KCIK podkreśla, że informacje te mogą być przetwarzane jedynie w celu zwalczania i zapobiegania przestępczości. Należy więc zgodzić się z Wojewódzkim Sądem Administracyjnym w Warszawie, który w wyroku z dnia 10 stycznia 2014 r. (sygn. akt II SA/Wa 1648/13) stwierdził, iż brak niniejszych atrybutów pozbawiłaby Policję „(...) jednego z instrumentów, umożliwiających jej realną dbałość o bezpieczeństwo i porządek publiczny. To zaś utrudniałoby, a niekiedy wręcz uniemożliwiałoby Państwu Polskiemu prawidłowe wywiązywanie się wobec obywateli, z obowiązków opisanych w Konstytucji RP (...) Doszłoby więc w efekcie do podporządkowywania wartości wyższej, jaką jest dobro ogółu obywateli, wartości niższej wagi, jaką jest prawo jednostki do ochrony jej danych osobowych.
W przedmiotowej sprawie na uwadze należy również mieć treść art. 23 ust. 1 pkt 2 ustawy o ochronie danych osobowych, który stanowi, iż przetwarzanie danych jest dopuszczalne, gdy jest to niezbędne dla zrealizowania uprawnienia lub spełnienia obowiązku wynikającego z przepisu prawa. Podstawę prawną do przetwarzania danych osobowych osób, wobec których były prowadzone postępowania przez organy Policji, stanowi art. 20 ust. 1 ustawy o Policji, zgodnie z którym Policja, z zachowaniem ograniczeń wynikających z art. 19, może uzyskiwać informacje, w tym także niejawnie, gromadzić je, sprawdzać oraz przetwarzać. Policja może pobierać, uzyskiwać, gromadzić, przetwarzać i wykorzystywać w celu realizacji zadań ustawowych informacje, w tym dane osobowe - o osobach podejrzanych o popełnienie przestępstw ściganych z oskarżenia publicznego - także bez ich wiedzy i zgody (ust. 2a).
Ponadto wyjaśniono, iż na podstawie art. 14 ust. 1 ustawy o KCIK informacje kryminalne są przechowywane w bazach KCIK przez okres 15 lat. Przesłanki usuwania informacji z baz danych KCIK określa art. 25 ustawy o KCIK, zgodnie z którym informacje kryminalne podlegają usunięciu z baz danych, jeżeli: 1) ich gromadzenie jest zabronione; 2) zarejestrowane informacje kryminalne okazały się nieprawdziwe; 3) ustal cel ich gromadzenia; 4) upłyną okresy, o których mowa w art. 14 ust. 1-3; 5) jest to uzasadnione ze względu na bezpieczeństwo państwa lub jego obronność albo mogą spowodować identyfikację osób udzielających pomocy przy wykonywaniu czynności operacyjno-rozpoznawczych prowadzonych przez upoważnione do tego podmioty uprawnione. W nadesłanych wyjaśnieniach wskazano jednocześnie, iż w każdym przypadku, jeżeli obywatel skieruje wniosek o usunięcie jego danych osobowych ze zbiorów KCIK, podejmowane są czynności mające na celu weryfikację przydatności przetwarzanych danych osobowych. Podmiot, który przekazał informacje kryminalne dokonuje ich usunięcia, jeśli została spełniona jedna z przesłanek wyrażona w art. 25 pkt 1 - 3 lub 5 ustawy o KCIK. W przedstawionych wyjaśnieniach, Komendant Główny wyjaśnił, iż odpowiedzi, jakie otrzymali Skarżący na złożone wnioski zostały udzielone na podstawie obowiązujących w tym okresie przepisów prawa. Wobec tego, że ustawa o KCIK stanowi lex specialis wobec norm określonych w art. 25, art. 32, art. 33 i art. 35 ustawy o ochronie danych osobowych, to Komendant Główny Policji jako Szef Centrum nie jest obowiązany do informowania osoby, której dane osobowe może gromadzić i przetwarzać, o fakcie przetwarzania tych danych jak również o zakresie przetwarzania, czy też udostępniania tych danych, bowiem jest to uzasadnione przypisanymi Szefowi Centrum zadaniami ustawowymi oraz celami gromadzenia i przetwarzania informacji kryminalnych w bazach danych KCIK - zapobiegania i zwalczania przestępczości. Jak słusznie podniósł Komendant Główny Policji, jako Szef Centrum nie jest obowiązany do informowania osoby, której dane osobowe może gromadzić i przetwarzać, o fakcie przetwarzania tych danych jak również o zakresie przetwarzania, czy też udostępniania tych danych, bowiem jest to uzasadnione przypisanymi Szefowi Centrum zadaniami ustawowymi oraz celami gromadzenia i przetwarzania informacji kryminalnych w bazach danych KCIK tj. zapobiegania i zwalczania przestępczości. W toku przedmiotowego postępowania Prezes Urzędu Ochrony Danych Osobowych ustalił, iż wobec Skarżących prowadzone było postępowanie karne. W dacie wniesienia skargi do Urzędu Ochrony Danych Osobowych nastąpiło już zatarcie skazania. Jednakże podkreślenia wymaga, że wśród wyżej wskazanych przesłanek usunięcia danych nie występuje zatarcie skazania, które uzasadniałoby usunięcie danych Skarżących z KCIK. Oznacza to, iż samo zatarcie skazania nie jest przesłanką samoistną i bezwzględną przemawiającą za usunięciem informacji kryminalnych z bazy danych KCIK.
W rozpatrywanej sprawie należy mieć także na względzie regulacje rozporządzenia Ministra Spraw Wewnętrznych i Administracji z dnia 23 sierpnia 2018 r. w sprawie przetwarzania informacji przez Policję (Dz. U. 2018 r. poz. 1636). W § 4 ww. rozporządzenia określony został tryb gromadzenia informacji, w tym danych osobowych, a także procedury zapewniające pobieranie, gromadzenie, uzyskiwanie informacji oraz organizację zbiorów w sposób umożliwiający kontrolę dostępu do zbiorów i nadzór nad przetwarzanie informacji. Jednocześnie zgodnie z § 27 ust. 1 rozporządzenia dostęp do wskazanych danych jest ściśle reglamentowany, co oznacza, iż ogranicza się do osób uprawnionych, wskazanych w tym przepisie. Ponadto zgodnie z ust. 2 tego przepisu informacje, w tym dane osobowe zgromadzone w zbiorach danych udostępniane są wyłącznie osobom uprawnionym, co świadczy jednocześnie, jak wspomniano powyżej, o niepowszechnym charakterze tego zbioru, który służy realizowaniu ustawowych zadań Policji.
Powyższa argumentacja znajduje uzasadnienie w wyroku Naczelnego Sądu Administracyjnego z 21 kwietnia 2017 r. (sygn. akt I OSK 2426/15) oraz w wyroku Trybunału Konstytucyjnego z 12 grudnia 2005 r. o sygn. akt K 32/04 (publ. OTK-A 2005/11/132), w którym stwierdzono, że przepis art. 20 ust. 17 ustawy o Policji nie przewiduje usuwania ze zbiorów danych zebranych o osobach podejrzanych o popełnienie przestępstw ściganych z oskarżenia publicznego, które zostały prawomocnie uniewinnione bądź wobec których postępowanie karne zostało prawomocnie bezwarunkowo umorzone, niezwłocznie po uprawomocnieniu się stosownego orzeczenia. Prawomocne uniewinnienie konkretnej osoby lub bezwarunkowe umorzenie postępowania karnego wobec konkretnej osoby nie przesądza o tym, czy zgromadzone dane mogą zawierać informacje przydatne dla realizacji ustawowych zadań Policji wobec innych osób. Mając na uwadze powyższe, należy stwierdzić, iż dane osobowe Skarżącego zostały pozyskane przez organy Policji w sposób legalny i w taki też są przez nie przetwarzane w bazie KCIK. Organy Policji oceniają przydatność zebranych danych, co implikuje pozostawienie w rzeczonym systemie danych Skarżących. Natomiast, jeśli dane o osobie zawarte w zbiorze stają się nieprzydatne do celów prewencyjnych, dowodowych czy wykrywczych, to organ Policji może zdecydować o ich usunięciu w wyniku oceny, o której mowa w § 29 rozporządzenia Ministra Spraw Wewnętrznych i Administracji z dnia 24 sierpnia 2018 r, w sprawie przetwarzania informacji przez Policję.
Wobec powyższego stwierdzić należy, iż sposób postępowania Policji w omawianym zakresie nie budzi wątpliwości, a skarga Skarżących we wskazanym zakresie nie zasługuje na uwzględnienie.
W tym stanie faktycznym i prawnym Prezes Urzędu Ochrony Danych Osobowych rozstrzygnął, jak w sentencji.
Decyzja jest ostateczna. Na podstawie art. 9 ust. 2 ustawy z dnia 14 grudnia 2018 r. o ochronie danych osobowych przetwarzanych w związku z zapobieganiem i zwalczaniem przestępczości (Dz. U. 2019 r. poz. 125), w związku z art. 15 ustawy z dnia 14 czerwca 1960 r. - Kodeks postępowania administracyjnego (Dz. U. z 2018 r. poz. 2096 z późn. zm.) od niniejszej decyzji stronie przysługuje prawo wniesienia skargi do Wojewódzkiego Sądu Administracyjnego, w terminie 30 dni od dnia doręczenia jej stronie. Skargę wnosi się za pośrednictwem Prezesa Urzędu Ochrony Danych Osobowych. Wpis od skargi wynosi 200 zł. Strona ma prawo ubiegać się o prawo pomocy, w tym zwolnienie od kosztów sądowych.