Decyzja
ZSOŚS.440.20.2019
Na podstawie art. 105 § 1 ustawy z dnia 14 czerwca 1960 r. Kodeks postępowania administracyjnego (Dz. U. z 2018 r. poz. 2096 ze zm.) art. 5 ust. 1 pkt 6 w zw. z art. 12 ustawy z dnia 14 grudnia 2018 r. o ochronie danych osobowych przetwarzanych w związku z zapobieganiem i zwalczaniem przestępczości (Dz. U. z 2019 r., poz. 125), (dalej: ustawa z 14 grudnia 2018 r.) po przeprowadzeniu postępowania administracyjnego w sprawie skargi Pana M. D. (zam. [...]) na przetwarzanie jego danych osobowych przez Komendanta Głównego Policji w Krajowym Centrum Informacji Kryminalnych (KCIK) (Komenda Główna Policji, ul. Puławska 148/150, 02-624 Warszawa),
umarzam postępowanie
Uzasadnienie
Do Urzędu Ochrony Danych Osobowych wpłynęła skarga Pana M. D. (dalej jako: „Skarżący”), na przetwarzanie jego danych osobowych w Krajowym Centrum Informacji Kryminalnych (KCIK) przez Komendanta Głównego Policji (dalej jako: „Komendant Główny”). W treści ww. skargi Skarżący wniósł o wydanie wobec Komendanta Głównego Policji, decyzji nakazującej usunięcie danych osobowych Skarżącego, z bazy danych KCIK.
W toku postępowania zainicjowanego skargą, Prezes Urzędu Ochrony Danych Osobowych uzyskał wyjaśnienia odnośnie okoliczności sprawy, zapoznał się z materiałem dowodowym i dokonał następujących ustaleń.
Pismami z [...] marca 2019 r. Prezes Urzędu Ochrony Danych Osobowych poinformował Skarżącego oraz Komendanta Głównego o wszczęciu postępowania wyjaśniającego w sprawie oraz zwrócił się do tegoż organu o ustosunkowanie się do treści skargi i złożenie pisemnych wyjaśnień. Tytułem wyjaśnień Komendant Główny poinformował, iż Skarżący wnioskiem z [...] stycznia 2019 r. zwrócił się z prośbą o usunięcie jego danych osobowych przetwarzanych w KCIK. Pismem z [...] stycznia 2019 r. ([...]) Dyrektor Biura Wywiadu i Informacji Kryminalnych KGP przedstawił Skarżącemu informacje dotyczące przetwarzania danych osobowych w KCIK, zadaniach Komendanta Głównego jako Szefa KCIK a także poinformował, iż Komendant Główny jako Szef KCIK nie jest obowiązany do informowania osoby, której dane dotyczą o fakcie przetwarzania tych danych a także o zakresie ich przetwarzania czy udostępniania. Dodatkowo wskazał podstawy prawne przetwarzania danych osobowych przez Komendanta Głównego Policji w systemie KCIK, jak również wskazał, iż nie odmówił usunięcia danych osobowych Skarżącego.
Prezes Urzędu Ochrony Danych Osobowych poinformował pismami z [...] sierpnia 2019 r. Skarżącego oraz Komendanta Głównego o przeprowadzeniu postępowania administracyjnego, w wyniku którego został zgromadzony materiał dowodowy wystarczający do wydania decyzji administracyjnej oraz o możliwości wypowiedzenia się co do zebranych dowodów i materiałów oraz zgłoszonych żądań zgodnie z treścią art. 10 § 1 ustawy z dnia 14 czerwca 1960 r. Kodeks postępowania administracyjnego, w terminie 7 dni od dnia otrzymania ww. pism.
W takim stanie faktycznym i prawnym Prezes Urzędu Ochrony Danych Osobowych zważył, co następuje:
Na wstępie podnieść należy, iż podstawę prawną do przetwarzania przez Komendanta Głównego danych osobowych w KCIK, stanowią przede wszystkim przepisy ustawy o KCIK. Zgodnie z art. 2 ust. 1 ustawy o KCIK, „na zasadach określonych w ustawie informacje kryminalne przetwarza się w celu wykrywania i ścigania sprawców przestępstw oraz zapobiegania i zwalczania przestępczości”. Ponadto procesy te odbywają się na zasadach określonych w ustawie o KCIK bez wiedzy i zgody osoby, której dane dotyczą, oraz z zachowaniem zasad ich ochrony określonych w przepisach o ochronie informacji niejawnych (art. 2 ust. 2 ustawy o KCIK). Z brzmienia powyżej powołanego przepisu wynika, że przetwarzanie informacji kryminalnych jest obligatoryjne, a obowiązek w rzeczonym zakresie realizuje, na podstawie art. 5 ust. 1 i art. 6 ustawy o KCIK, Komendant Główny. Do zadań Komendanta Głównego należy przetwarzanie i przekazywanie informacji kryminalnych, prowadzenie baz danych oraz określanie organizacyjnych warunków i technicznych sposobów prowadzenia, opracowywanie analiz informacji kryminalnych, zapewnienie bezpieczeństwa przetwarzanym danym osobowym w Centrum Informacji Kryminalnych, zgodnie z przepisami ustawy z dnia 14 grudnia 2018 r. o ochronie danych osobowych przetwarzanych w związku z zapobieganiem i zwalczaniem przestępczości oraz przepisami ustawy z dnia 5 sierpnia 2010 r. o ochronie informacji niejawnych (Dz. U. z 2018 r. poz. 412, 650, 1000, 1083 i 1669).
W tym miejscu należy również zwrócić uwagę na zadania, które powierzono Policji, a są to między innymi: ochrona życia i zdrowia ludzi, mienia, przed bezprawnymi atakami naruszającymi te dobra, ochrona bezpieczeństwa i porządku publicznego, inicjowanie i organizowanie działań prewencyjnych, mających na celu zapobieganie popełnieniu przestępstwa i wykroczeń oraz wykrywanie przestępstw i wykroczeń oraz ściganie ich sprawców. W celu realizacji powyższych zadań istotnym pozostaje możliwość gromadzenia i przetwarzania danych osobowych bez wiedzy i zgody osoby, której dane dotyczą. Dodatkowo art. 2 ust. 1 ustawy o KCIK podkreśla, że informacje te mogą być przetwarzane jedynie w celu wykrywania i ścigania sprawców przestępstw oraz zapobiegania i zwalczania przestępczości. Należy więc zgodzić się z Wojewódzkim Sądem Administracyjnym w Warszawie, który w wyroku z dnia 10 stycznia 2014 r. (sygn. akt II SA/Wa 1648/13) stwierdził, iż brak niniejszych atrybutów pozbawiłby Policję „(...) jednego z instrumentów, umożliwiających jej realną dbałość o bezpieczeństwo i porządek publiczny. To zaś utrudniałoby, a niekiedy wręcz uniemożliwiałoby Państwu Polskiemu prawidłowe wywiązywanie się wobec obywateli, z obowiązków opisanych w Konstytucji RP (...) Doszłoby więc w efekcie do podporządkowywania wartości wyższej, jaką jest dobro ogółu obywateli, wartości niższej wagi, jaką jest prawo jednostki do ochrony jej danych osobowych.
Zgodnie z art. 14 ust. 1 ustawy o KCIK informacje kryminalne są przechowywane w bazach KCIK przez okres 15 lat. Terminy przechowywania danych w KCIK liczy się od dnia zarejestrowania informacji kryminalnych w bazach danych (art. 14 ust. 4 ustawy o KCIK). Przesłanki usuwania informacji z baz danych KCIK określa art. 25 ustawy o KCIK, zgodnie z którym informacje kryminalne podlegają usunięciu z baz danych, jeżeli: 1) ich gromadzenie jest zabronione; 2) zarejestrowane informacje kryminalne okazały się nieprawdziwe; 3) ustal cel ich gromadzenia; 4) upłynął okres, o którym mowa w art. 14 ust. 1-3; 5) jest to uzasadnione ze względu na bezpieczeństwo państwa lub jego obronność albo mogą spowodować identyfikację osób udzielających pomocy przy wykonywaniu czynności operacyjno-rozpoznawczych prowadzonych przez upoważnione do tego podmioty uprawnione.
Jak słusznie podniósł Komendant Główny, nie jest on obowiązany do informowania osoby, której dane osobowe może gromadzić i przetwarzać, o fakcie przetwarzania tych danych, jak również o zakresie przetwarzania, czy też udostępniania tych danych. Dodatkowo Komendant Główny nie jest obowiązany informować o treści informacji, o odbiorcach danych, o usunięciu informacji i o zakresie usuniętych danych ze zbioru danych (art. 2 ust. 2 oraz art. 6 ust. 4 ustawy o KCIK).
W rozpatrywanej sprawie należy mieć także na względzie regulacje rozporządzenia Ministra Spraw Wewnętrznych i Administracji z dnia 23 sierpnia 2018 r. w sprawie przetwarzania informacji przez Policję (Dz. U. 2018 r. poz. 1636). W § 4 ww. rozporządzenia określony został tryb gromadzenia informacji, w tym danych osobowych, a także procedury zapewniające pobieranie, gromadzenie, uzyskiwanie informacji oraz organizację zbiorów w sposób umożliwiający kontrolę dostępu do zbiorów i nadzór nad przetwarzaniem informacji. Jednocześnie zgodnie z § 27 ust. 1 ww. rozporządzenia dostęp do wskazanych danych jest ściśle reglamentowany, co oznacza, iż ogranicza się do osób uprawnionych, wskazanych w tym przepisie. Ponadto, zgodnie z ust. 2 tego przepisu informacje, w tym dane osobowe zgromadzone w zbiorach danych udostępniane są wyłącznie osobom uprawnionym, co świadczy jednocześnie, jak wspomniano powyżej, o niepowszechnym charakterze tego zbioru, który służy realizowaniu ustawowych zadań Policji.
Dodatkowo wskazać należy, iż w każdym przypadku po skierowaniu wniosku o usunięcie danych osobowych ze zbiorów danych KCIK, podejmowane są czynności mające na celu weryfikację przydatności danych osobowych wnioskodawcy, przy założeniu, że dane osobowe wnioskodawcy w ogóle są przetwarzane w KCIK. W przedmiotowej sprawie Skarżący skorzystał z uprawnienia złożenia wniosku do Komendanta Głównego Policji o usunięcie danych osobowych. W odpowiedzi na wniosek, Komendant Główny Policji udzielił odpowiedzi zgodnie z obowiązującym porządkiem prawnym, wskazując jednocześnie przepisy stanowiące, iż nie jest on obowiązany informować o treści informacji, o odbiorcach danych, o usunięciu informacji i o zakresie usuniętych danych ze zbioru danych. Komendant Główny Policji w wyjaśnieniach wskazał również, iż nie odmówił usunięcia danych osobowych Skarżącego z bazy KCIK jak zostało to wskazane w jego skardze. Takie działanie Komendanta Głównego Policji znajduje podstawę prawną w obowiązujących przepisach prawa dotyczących KCIK.
Mając na uwadze powyższe, należy stwierdzić, iż dane osobowe Skarżącego zostały pozyskane przez organy Policji w sposób legalny i w taki też są przez nie przetwarzane w bazie KCIK. Organy Policji oceniają przydatność zebranych danych, co implikuje pozostawieniem w rzeczonym systemie danych Skarżącego. Natomiast, jeśli dane o osobie zawarte w zbiorze stają się nieprzydatne do celów prewencyjnych, dowodowych czy wykrywczych, to organ Policji może zdecydować o ich usunięciu w wyniku oceny, o której mowa w § 29 rozporządzenia Ministra Spraw Wewnętrznych i Administracji z dnia 24 sierpnia 2018 r, w sprawie przetwarzania informacji przez Policję.
Jak wskazano wyżej, w niniejszej sprawie nie doszło do naruszenia przepisów ustawy z 14 grudnia 2018 r., co czyni postępowanie bezprzedmiotowym.
W tej sytuacji postępowanie podlega umorzeniu na podstawie art. 105 § 1 ustawy z dnia 14 czerwca 1960 r. Kodeks postępowania administracyjnego (Dz.U. z 2018 poz. 2096), zwanej dalej: „kpa”, wobec jego bezprzedmiotowości. Zgodnie z ww. przepisem, gdy postępowanie z jakiejkolwiek przyczyny stało się bezprzedmiotowe w całości lub w części, organ administracji publicznej wydaje decyzję o umorzeniu postępowania odpowiednio w całości lub w części. Brzmienie powołanej regulacji nie pozostawia wątpliwości, iż w razie stwierdzenia bezprzedmiotowości postępowania organ prowadzący to postępowanie obligatoryjnie je umarza. Jednocześnie w literaturze przedmiotu wskazuje się, że bezprzedmiotowość postępowania administracyjnego, o której stanowi art. 105 § 1 kpa oznacza, że brak jest któregoś z elementów materialnego stosunku prawnego, a wobec tego nie można wydać decyzji załatwiającej sprawę przez rozstrzygnięcie jej co do istoty (B. Adamiak, J. Borkowski „Kodeks postępowania administracyjnego. Komentarz” 7 wydanie Wydawnictwo C.H. Beck, Warszawa 2005 r., str. 485). Takie samo stanowisko zajął Wojewódzki Sąd Administracyjny w Krakowie w wyroku z dnia 27 lutego 2008 r. (III SA/Kr 762/2007): „Postępowanie staje się bezprzedmiotowe, gdy brak któregoś z elementów stosunku materialnoprawnego, co powoduje, że nie można załatwić sprawy przez rozstrzygnięcie co do istoty”. Ustalenie przez organ publiczny istnienia przesłanki, o której mowa w art. 105 § 1 kpa zobowiązywało go do umorzenia postępowania w zakresie przetwarzania danych Skarżącego w systemie KSIP, gdyż nie ma podstaw do rozstrzygnięcia sprawy co do istoty, zaś dalsze prowadzenie postępowania w takim przypadku stanowiłoby o jego wadliwości, mającej istotny wpływ na wynik sprawy.
W tym stanie faktycznym i prawnym Prezes Urzędu Ochrony Danych Osobowych rozstrzygnął, jak w sentencji.
Decyzja jest ostateczna. Na podstawie art. 9 ust. 2 ustawy z dnia 14 grudnia 2018 r. o ochronie danych osobowych przetwarzanych w związku z zapobieganiem i zwalczaniem przestępczości (Dz. U. 2019 r. poz. 125), w związku z art. 15 ustawy z dnia 14 czerwca 1960 r. - Kodeks postępowania administracyjnego (Dz. U. z 2018 r. poz. 2096 z późn. zm.) od niniejszej decyzji stronie przysługuje prawo wniesienia skargi do Wojewódzkiego Sądu Administracyjnego, w terminie 30 dni od dnia doręczenia jej stronie. Skargę wnosi się za pośrednictwem Prezesa Urzędu Ochrony Danych Osobowych. Wpis od skargi wynosi 200 zł. Strona ma prawo ubiegać się o prawo pomocy, w tym zwolnienie od kosztów sądowych.