Decyzja
ZSOŚS.440.5.2019
Na podstawie art. 104 § 1 ustawy z dnia 14 czerwca 1960 r. – Kodeks postępowania administracyjnego (Dz. U. z 2018 r. poz. 2096 z późn. zm.), art. 12 pkt 2, art. 22 i art. 23 ust. 1 pkt 2 ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (Dz. U. z 2016 r., poz. 922 z późn. zm.) w związku z art. 100 ustawy z dnia 14 grudnia 2018 r. o ochronie danych osobowych przetwarzanych w związku z zapobieganiem i zwalczaniem przestępczości (Dz. U. 2019 r. poz. 125), po przeprowadzeniu postępowania administracyjnego w sprawie skargi Pana L. M., zam. w miejscowości S., na nieprawidłowości w procesie przetwarzania jego danych osobowych przez Komendanta Głównego Policji w Warszawie (Komenda Główna Policji, ul. Puławska 148/150, 02-624 Warszawa), polegające na przetwarzaniu danych osobowych Skarżącego w Krajowym Systemie Informacyjnym Policji (KSIP) oraz w Krajowym Centrum Informacji Kryminalnych (KCIK),
odmawiam uwzględnienia wniosku
UZASADNIENIE
W dniu [...] grudnia 2018 r. do Urzędu Ochrony Danych Osobowych wpłynęła skarga Pana L. M. (dalej jako: „Skarżący”) na nieprawidłowości w procesie przetwarzania jego danych osobowych przez Komendanta Głównego Policji w Warszawie (dalej jako: „Komendant”), polegające na przetwarzaniu jego danych osobowych w Krajowym Systemie Informacyjnym Policji (dalej jako: „KSIP”) oraz w Krajowym Centrum Informacji Kryminalnych (dalej jako: „KCIK”). Skarżący zawarł w skardze wniosek o nakazanie Komendantowi usunięcie jego danych osobowych z KSIP i KCIK w zakresie informacji uzyskanych w ramach prowadzonego przeciwko niemu postępowania karnego.
Uzasadniając żądanie Skarżący podniósł, iż w jego ocenie brak jest podstaw, dla których organy Policji nadal przechowują i przetwarzają jego dane osobowe w systemach KSIP i KCIK. Ponadto Skarżący wskazał, iż konsekwencje istnienia jego danych osobowych w ww. systemach odczuwa do dziś, bowiem „podczas kontroli drogowej kontrolujący policjanci stwierdzili, że widnieję w ich systemie i zaczęli mnie dopytywać, co zrobiłem (…). Kontrola przebiegała w obecności moich potencjalnych klientów, którzy tego dnia jechali ze mną do miejsca planowanych prac. Wskutek działań policjantów, klienci stracili do mnie zaufanie i wycofali się z transakcji”. Skarżący podniósł nadto, iż brak jest przesłanek przemawiających za przydatnością tego rodzaju informacji dla ustawowych działań Policji, w szczególności działań o charakterze wykrywczym oraz zmierzających do zapobiegnięcia popełnienia przestępstwa w przyszłości. Mając powyższe na uwadze, Skarżący w treści skargi zażądał podjęcia przez Prezesa działań mających na celu ochronę jego danych osobowych poprzez usunięcie jego danych osobowych ze zbiorów KSIP i KCIK.
W toku postępowania zainicjowanego skargą, Prezes Urzędu Ochrony Danych Osobowych uzyskał wyjaśnienia odnośnie okoliczności sprawy, zapoznał się z materiałem dowodowym i dokonał następujących ustaleń.
Pismami z [...] stycznia 2019 r. Prezes Urzędu Ochrony Danych Osobowych poinformował Skarżącego oraz Komendanta o wszczęciu postępowania wyjaśniającego w sprawie oraz zwrócił się do Komendanta o ustosunkowanie się do treści skargi oraz złożenie pisemnych wyjaśnień. [...] lutego 2019 r. do Urzędu Ochrony Danych Osobowych wpłynęło pismo Komendanta ([...]), w którym wyjaśnił, iż Skarżący wnioskiem z [...] sierpnia 2017 r. (kopia wniosku z aktach sprawy) skierowanym do Komendanta Głównego Policji, a następnie przekazanym do Biura Wywiadu i Informacji Kryminalnych Komendy Głównej Policji, zwrócił się o usunięcie z KSIP i KCIK jego danych osobowych wprowadzonych w ramach postępowania prowadzonego w 2006 r., w którym Skarżący był podejrzany o popełnienie przestępstwa, jednak nie został skazany. Pismem z [...] września 2017 r. - l.dz.[...] (kopia pisma w aktach sprawy) Naczelnik Wydziału Obsługi Informacyjnej Biura Wywiadu i Informacji Kryminalnych KGP, działając z upoważnienia Komendanta Głównego Policji, udzielił odpowiedzi Skarżącemu, wskazując, iż Policja przetwarza dane osobowe zgodnie z art. 20 ustawy z dnia 6 kwietnia 1990 r. o Policji (Dz.U. 2019 poz. 161), dalej jako: „ustawa o Policji”. W uzasadnieniu stanowiska wskazano Skarżącemu podstawy prawne przetwarzania danych osobowy przez Policję, w szczególności art. 20 ust. 2a, ust. 2ac, ust. 2b, ust. 17 ustawy o Policji, ich zakres oraz cel przetwarzania, zwracając uwagę na szczególność tych norm (lex specialis) wobec przepisów ogólnych, jakimi są przepisy ustawy o ochronie danych osobowych oraz art. 51 ust. 5 Konstytucji Rzeczypospolitej Polskiej, który w zakresie zasad i trybu gromadzenia oraz udostępniania informacji o osobie odsyła do regulacji szczególnych. Ponadto, w przedmiotowym piśmie wyraźnie wskazano, iż aktem prawnym określającym zasady i tryb gromadzenia oraz udostępniania informacji, w tym danych osobowych jest ustawa o Policji, w szczególności art. 20 ust. 2a. Skarżący został także poinformowany o odmiennym trybie i zasadach przetwarzania informacji w KSIP. Skarżącemu wyjaśniono również, iż fakt przetwarzania jego danych osobowych w KSIP i KCIK nie stygmatyzuje jego osoby w świetle prawa, albowiem informacje, jakimi dysponuje KCIK i KSIP, nie stanowią źródła wiedzy powszechnie dostępnej, gdyż służą wyłącznie realizacji zadań Policji, o których mowa w art. 1 ust. 2 ustawy o Policji. O ile bowiem dostęp do informacji o karalności osoby z KRK ma charakter powszechny, to informacje pozyskane i wytworzone przez organy Policji w KSIP i KCIK są zamkniętym, ogólnie niedostępnym zbiorem informacji i danych, służącym jedynie organom Policji dla realizowania ich ustawowych zadań związanych z zapewnieniem bezpieczeństwa i porządku publicznego.
W ww. piśmie zwrócono także uwagę na to, iż Policja przetwarza dane osobowe jedynie w podanym zakresie i zgodnie z przytoczonymi przepisami. Jednocześnie Komendant wskazał, iż po dniu [...] listopada 2018 r. Skarżący nie występował z wnioskiem o usunięcie danych osobowych z KSIP i KCIK.
Prezes Urzędu Ochrony Danych Osobowych poinformował pismami z [...] lutego 2019 r. Skarżącego oraz Komendanta Głównego Policji o przeprowadzeniu postępowania administracyjnego, w wyniku którego został zgromadzony materiał dowodowy wystarczający do wydania decyzji administracyjnej oraz o możliwości wypowiedzenia się co do zebranych dowodów i materiałów oraz zgłoszonych żądań zgodnie z treścią art. 10 § 1 ustawy z dnia 14 czerwca 1960 r. Kodeks postępowania administracyjnego, w terminie 7 dni od dnia otrzymania ww. pism.
W takim stanie faktycznym i prawnym Prezes Urzędu Ochrony Danych Osobowych zważył, co następuje:
Powołana wyżej ustawa o ochronie danych osobowych z dnia 29 sierpnia 1997 r. stwarza prawne podstawy stosowania ochrony państwowej w sytuacjach nielegalnego przetwarzania danych osobowych obywateli przez zarówno podmioty prawa publicznego, jak i podmioty prawa prywatnego. W celu jej realizacji organ ochrony danych osobowych został wyposażony w kompetencje władcze, umożliwiające sankcjonowanie stwierdzanych nieprawidłowości w procesie przetwarzania danych osobowych. Oznacza to, iż organ ochrony danych osobowych, oceniając stan sprawy i dokonując subsumpcji, stwierdza, czy kwestionowane przetwarzanie danych osobowych znajduje oparcie choćby w jednej z przesłanek legalizujących przetwarzanie danych osobowych, wskazanej w art. 23 ust. 1 ww. ustawy o ochronie danych osobowych i w zależności od występujących w sprawie ustaleń – albo wydaje nakaz lub zakaz, albo odmawia uwzględnienia wniosku, ewentualnie umarza postępowanie. Wydanie nakazu usunięcia uchybień w procesie przetwarzania danych osobowych następuje wówczas, gdy organ ochrony danych osobowych stwierdza naruszenie norm prawnych w zakresie przetwarzania danych osobowych.
Zgodnie z treścią art. 1 przywołanej ustawy, każdy ma prawo do ochrony dotyczących go danych osobowych, a przetwarzanie tych danych, w znaczeniu, o którym mowa w art. 7 pkt 2 tej ustawy, dopuszczalne jest tylko ze względu na określone dobra, tj. dobro publiczne, dobro osoby, której dane dotyczą lub dobro osoby trzeciej i tylko w zakresie oraz trybie określonym ustawą. Mając zatem na uwadze powyższe, stosując przepisy tej ustawy, należy za każdym razem wyważać dobra, które legły u jej podstaw.
Prawo do ochrony danych osobowych, jako jeden z elementów prawa do ochrony prywatności osoby, ma swoje źródło w przepisach ustawy z dnia 2 kwietnia 1997 r. Konstytucja Rzeczypospolitej Polskiej. Zgodnie z ustawą zasadniczą każdy ma prawo m.in. do ochrony prawnej życia prywatnego, rodzinnego, czci i dobrego imienia (art. 47 Konstytucji), nikt nie może być obowiązany inaczej niż na podstawie ustawy do ujawniania informacji dotyczących jego osoby (art. 51 ust. 1 Konstytucji), a zasady i tryb gromadzenia oraz udostępniania informacji o osobie określa ustawa (art. 51 ust. 5 Konstytucji). Dyspozycję art. 51 ust. 5 Konstytucji wypełnia ustawa o ochronie danych osobowych, która określa zasady postępowania przy przetwarzaniu danych osobowych oraz prawa osób fizycznych, których dane osobowe są lub mogą być przetwarzane w zbiorach danych (art. 2 ust. 1 ustawy o ochronie danych osobowych z dnia 29 sierpnia 1997 r.).
W dziedzinie przetwarzania różnego rodzaju informacji, w tym danych osobowych, szczególna jest funkcja Policji, bowiem zbiera ona takie informacje, które podlegają szczególnemu reżimowi i ochronie. Znajduje to wyraz w art. 20 ust. 1 i ust. 2a ustawy o Policji na podstawie którego Policja, z zachowaniem ograniczeń wynikających z art. 19, może uzyskiwać informacje, w tym także niejawne, gromadzić je, sprawdzać oraz przetwarzać (ust. 1). Policja może pobierać, uzyskiwać, gromadzić, przetwarzać i wykorzystywać w celu realizacji zadań ustawowych informacje, w tym dane osobowe, o następujących osobach, także bez ich wiedzy i zgody: o osobach podejrzanych o popełnienie przestępstw ściganych z oskarżenia publicznego, nieletnich dopuszczających się czynów zabronionych przez ustawę jako przestępstwa ścigane z oskarżenia publicznego, o osobach o nieustalonej tożsamości lub usiłujących ukryć swoją tożsamość, o osobach stwarzających zagrożenie, o których mowa w ustawie z dnia 22 listopada 2013 r. o postępowaniu wobec osób z zaburzeniami psychicznymi stwarzających zagrożenie życia, zdrowia lub wolności seksualnej innych osób, o osobach poszukiwanych, o osobach zaginionych oraz osobach, wobec których zastosowano środki ochrony i pomocy, przewidziane w ustawie z dnia 28 listopada 2014 r. o ochronie i pomocy dla pokrzywdzonego i świadka (Dz. U. z 2015 r. poz. 21) (art. 20 ust. 2a ustawy o Policji).
Szczegółowe zasady przetwarzania danych osobowych osób wymienionych w art. 20 ust. 2a ustawy o Policji określa rozporządzenie Ministra Spraw Wewnętrznych i Administracji z dnia 24 sierpnia 2018 r. w sprawie przetwarzania informacji przez Policję (Dz. U. 2018 poz. 1636), zwane dalej „Rozporządzeniem”. Zgodnie z § 10 przedmiotowego rozporządzenia w Policji prowadzi się Krajowy System Informacyjny Policji (KSIP), będący zestawem zbiorów danych, w którym gromadzi się, sprawdza, przetwarza i wykorzystuje informacje, w tym dane osobowe, o których mowa w art. 20 ust. 2a pkt 1–6, ust. 2ac i ust. 2b ustawy o Policji. W KSIP mogą być przetwarzane również informacje, w tym dane osobowe, do których gromadzenia, uzyskiwania i przetwarzania Policja jest uprawniona na podstawie odrębnych ustaw, jeżeli przyczynia się to do koordynacji informacji oraz efektywniejszej organizacji i realizacji ustawowych zadań Policji w zakresie wykrywania i ścigania sprawców przestępstw oraz zapobiegania przestępczości i jej zwalczania, a także ochrony życia i zdrowia ludzi (§ 10 ust. 2 rozporządzenia). Należy podkreślić, że kryterium niezbędności przetwarzania danych osobowych w KSIP musi być zawsze odnoszone do ustawowych zadań Policji, których realizowaniu mają służyć przepisy art. 20 ust. 1, ust. 2a i 2b w związku z art. 20 ust. 17 ustawy o Policji. Zgodnie z art. 20 ust. 17b dane osobowe o których mowa w ust. 17, usuwa się jeżeli organ Policji powziął wiarygodną informację, iż: czynu stanowiącego podstawę wprowadzenia informacji do zbioru nie popełniono albo brak jest danych dostatecznie uzasadniających podejrzenie jego popełnienia; zdarzenie lub okoliczność, w związku z którymi wprowadzono informacje do zbioru nie ma znamion czynu zabronionego; osoba, której dane dotyczą, została uniewinniona prawomocny wyrokiem sądu.
Ponadto w rozdziale 5 Rozporządzenia, wskazano kryteria weryfikacji przechowywania w systemie danych osobowych pod kątem ich dalszej przydatności, którymi są m.in. rodzaj i charakter popełnionego przestępstwa, rodzaj i charakter naruszonego dobra chronionego prawem, formy sprawstwa, postać zamiaru, czas, który upłynął od momentu wprowadzenia danych do zbioru, aktualność przesłanek legalności oraz niezbędności dalszego przetwarzania danych do wykonania zadań ustawowych, wystąpienie okoliczności określonych w art. 20 ust. 17b i 18 ustawy o Policji, a w przypadku danych daktyloskopijnych wystąpienie okoliczności określonych w art. 21l ust. 2 i art. 21m tej ustawy.
Ponadto Policja prowadzi bazę informacji kryminalnych Krajowego Centrum Informacji Kryminalnej (KCIK), której podstawę prawną działania stanowi art. 5 w związku z art. 26 ustawy z dnia 6 lipca 2001 r. o gromadzeniu, przetwarzaniu i przekazywaniu informacji kryminalnych (Dz.U. 2019 poz. 44), dalej jako: „ustawa o KCIK”. Krajowe Centrum Informacji Kryminalnej zostało powołane w strukturze Komendy Głównej Policji w celu gromadzenia, przetwarzania i przekazywania informacji kryminalnych; prowadzenia baz danych oraz określania warunków organizacyjnych i technicznych sposobów prowadzenia takich baz; opracowywania analiz informacji kryminalnych; zapewniania bezpieczeństwa gromadzonych i przetwarzanych danych na zasadach określonych w u.o.d.o. oraz w ustawie z 5 sierpnia 2010 r. o ochronie informacji niejawnych (Dz.U. 2018 poz. 412).
KCIK może gromadzić, przetwarzać i przekazywać informacje kryminalne jedynie w celu zapobiegania i zwalczania przestępczości (art. 2 ust. 1 ustawy o KCIK). Ponadto procesy te odbywają się na zasadach określonych w ustawie o KCIK i bez wiedzy osób, których informacje dotyczą (art. 2 ust. 2 ustawy o KCIK).
W tym miejscu należy również zwrócić uwagę na zadania, które powierzono Policji, a są to między innymi ochrona życia i zdrowia ludzi, mienia, przed bezprawnymi atakami naruszającymi te dobra, ochrona bezpieczeństwa i porządku publicznego, inicjowanie i organizowanie działań prewencyjnych, mających na celu zapobieganie popełnieniu przestępstwa i wykroczeń oraz wykrywanie przestępstw i wykroczeń oraz ściganie ich sprawców. W celu realizacji powyższych zadań istotnym pozostaje możliwość gromadzenia i przetwarzania danych osobowych bez wiedzy i zgody osoby, której dane dotyczą. Dodatkowo art. 2 ust. 1 ustawy o KCIK podkreśla, że informacje te mogą być przetwarzane jedynie w celu zwalczania i zapobiegania przestępczości. Należy więc zgodzić się z Wojewódzkim Sądem Administracyjnym w Warszawie, który w wyroku z dnia 10 stycznia 2014 r. (sygn. akt II SA/Wa 1648/13) stwierdził, iż brak niniejszych atrybutów pozbawiłaby Policję „(…) jednego z instrumentów, umożliwiających jej realną dbałość o bezpieczeństwo i porządek publiczny. To zaś utrudniałoby, a niekiedy wręcz uniemożliwiałoby Państwu Polskiemu prawidłowe wywiązywanie się wobec obywateli, z obowiązków opisanych w Konstytucji RP (…) Doszłoby więc w efekcie do podporządkowywania wartości wyższej, jaką jest dobro ogółu obywateli, wartości niższej wagi, jaką jest prawo jednostki do ochrony jej danych osobowych”.
W toku postępowania Prezes Urzędu Ochrony Danych Osobowych ustalił, iż w 2006 r. wobec Skarżącego było prowadzone postępowanie karne w sprawie o czyny z art. 286 § 1 oraz art. 258 § 1 ustawy z dnia 6 czerwca 1997 r. Kodeks karny (Dz.U. 2018 poz. 1600), dalej jako: „Kodeks karny”, zaś w 2008 r. o czyn określony w art. 190 § 1 Kodeksu karnego. Na zasadach określonych w art. 20 ust. 2a ustawy o Policji, w związku z przedstawieniem Skarżącemu zarzutów, właściwe organy Policji dokonały wprowadzenia danych osobowych Skarżącego do zbioru danych KSIP jako o osobie podejrzanej o popełnienie przestępstwa ściganego z oskarżenia publicznego. W kontekście powyższego dodać należy, iż stosownej weryfikacji zgromadzonych danych Skarżącego w zakresie przestępstw z art. 286 § 1, art. 258 § 1, art. 190 § 1 Kodeksu karnego organy Policji dokonały po zakończeniu spraw, tj. w 2006 r. i 2008 r. oraz w związku ze złożoną przez Skarżącego skargą do Prezesa Urzędu Ochrony Danych Osobowych w przedmiocie usunięcia danych osobowych z KSIP. Jak wynika z art. 20 ust. 17 ustawy o Policji, organ ten ma obowiązek dokonywać weryfikacji danych po zakończeniu sprawy w ramach której te dane zostały wprowadzone do zbioru, a ponadto nie rzadziej niż o 10 lat od dnia uzyskania lub pobrania informacji, usuwając zbędne dane. Mając na uwadze powyższe, Komendant wyjaśnił, iż dokonano wymaganych ustawą weryfikacji tj. w 2006 r i 2008 r., po zakończeniu spraw, a dodatkowo każdorazowo w związku z wnioskami o usunięcie danych osobowych z KSIP oraz skargą w przedmiocie usunięcia danych z KSIP, przy czym w przypadku wniosków o usunięcie danych osobowych z KSIP weryfikacji dokonano pod kątem przesłanek z art. 51 ust. 4 Konstytucji RP oraz art. 20 ust 17b i 18 ustawy o Policji. Dokonując oceny danych pod kątem ich przydatności Policja nie była w posiadaniu informacji wskazujących na zaistnienie przesłanek z art. 20 ust 17 ustawy o Policji. Komendant wyjaśnił także, iż wskazany w art. 20 ust 17 ustawy o Policji dziesięcioletni okres obowiązkowej weryfikacji zgromadzonych danych osobowych minął, jednak nie zachodzą ustawowe przesłanki do usunięcia danych osobowych Skarżącego z KSIP, bowiem nie bez znaczenia pozostaje rodzaj popełnionych przestępstw z art. 286 § 1, art. 258 § 1, art. 190 § 1 Kodeksu karnego.
W przedmiotowej sprawie na uwadze należy również mieć treść art. 23 ust. 1 pkt 2 ustawy o ochronie danych osobowych, który stanowi, iż przetwarzanie danych jest dopuszczalne, gdy jest to niezbędne dla zrealizowania uprawnienia lub spełnienia obowiązku wynikającego z przepisu prawa. Podstawę prawną do przetwarzania danych osobowych osób, wobec których były prowadzone postępowania przez organy Policji, stanowi art. 20 ust. 1 ustawy o Policji, zgodnie z którym Policja, z zachowaniem ograniczeń wynikających z art. 19, może uzyskiwać informacje, w tym także niejawnie, gromadzić je, sprawdzać oraz przetwarzać. Policja może pobierać, uzyskiwać, gromadzić, przetwarzać i wykorzystywać w celu realizacji zadań ustawowych informacje, w tym dane osobowe - o osobach podejrzanych o popełnienie przestępstw ściganych z oskarżenia publicznego - także bez ich wiedzy i zgody (ust. 2a).
Ponadto wyjaśniono, iż na podstawie art. 14 ust. 1 ustawy o KCIK informacje kryminalne są przechowywane w bazach KCIK przez okres 15 lat. Przesłanki usuwania informacji z baz danych KCIK określa art. 25 ustawy o KCIK, zgodnie z którym informacje kryminalne podlegają usunięciu z baz danych, jeżeli: 1) ich gromadzenie jest zabronione; 2) zarejestrowane informacje kryminalne okazały się nieprawdziwe; 3) ustał cel ich gromadzenia; 4) upłyną okresy, o których mowa w art. 14 ust. 1–3; 5) jest to uzasadnione ze względu na bezpieczeństwo państwa lub jego obronność albo mogą spowodować identyfikację osób udzielających pomocy przy wykonywaniu czynności operacyjno-rozpoznawczych prowadzonych przez upoważnione do tego podmioty uprawnione. W nadesłanych wyjaśnieniach wskazano jednocześnie, iż w każdym przypadku, jeżeli obywatel skieruje wniosek o usunięcie jego danych osobowych ze zbiorów KCIK, podejmowane są czynności mające na celu weryfikację przydatności przetwarzanych danych osobowych. Podmiot, który przekazał informacje kryminalne dokonuje ich usunięcia, jeśli została spełniona jedna z przesłanek z art. 25 pkt 1, 2,3 lub 5 ustawy o KCIK. W przedstawionych wyjaśnieniach, Komendant wyjaśnił, iż odpowiedzi, jakie otrzymał Skarżący na złożone wnioski zostały udzielone na podstawie obowiązujących w tym okresie przepisów prawa. Wobec tego, że ustawa o KCIK stanowi lex specialis wobec norm określonych w art. 25, art. 32, art. 33 i art. 35 ustawy o ochronie danych osobowych, Komendant Główny Policji jako Szef Centrum nie jest obowiązany do informowania osoby, której dane osobowe może gromadzić i przetwarzać, o fakcie przetwarzania tych danych jak również o zakresie przetwarzania, czy też udostępniania tych danych, bowiem jest to uzasadnione przypisanymi Szefowi Centrum zadaniami ustawowymi oraz celami gromadzenia i przetwarzania informacji kryminalnych w bazach danych KCIK – zapobiegania i zwalczania przestępczości.
W rozpatrywanej sprawie należy mieć także na względzie regulacje rozporządzenia Ministra Spraw Wewnętrznych i Administracji z dnia 23 sierpnia 2018 r. w sprawie przetwarzania informacji przez Policję (Dz. U. 2018 poz. 1636), które zastąpiło rozporządzenie Ministra Spraw Wewnętrznych z dnia 21 lipca 2016 r. w sprawie przetwarzania informacji przez Policję, obowiązujące w momencie wszczęcia postępowania administracyjnego przed Prezesem Urzędu Ochrony Danych Osobowych. W § 4 rozporządzenia z dnia 23 sierpnia 2018 r. określony został tryb gromadzenia informacji, w tym danych osobowych, a także procedury zapewniające pobieranie, gromadzenie, uzyskiwanie informacji oraz organizację zbiorów w sposób umożliwiający kontrolę dostępu do zbiorów i nadzór nad przetwarzanie informacji. Jednocześnie zgodnie z § 27 ust. 1 rozporządzenia dostęp do wskazanych danych jest ściśle reglamentowany, co oznacza, iż ogranicza się do osób uprawnionych, wskazanych w tym przepisie. Ponadto zgodnie z ust. 2 tego przepisu informacje, w tym dane osobowe zgromadzone w zbiorach danych udostępniane są wyłącznie osobom uprawnionym, co świadczy jednocześnie, jak wspomniano powyżej, o niepowszechnym charakterze tego zbioru, który służy realizowaniu ustawowych zadań Policji.
Powyższa argumentacja znajduje uzasadnienie w wyroku Naczelnego Sądu Administracyjnego z 21 kwietnia 2017 r. (sygn. akt I OSK 2426/15)oraz w wyroku Trybunału Konstytucyjnego z 12 grudnia 2005 r. o sygn. akt K 32/04 (publ. OTK-A 2005/11/132), w którym stwierdzono, że przepis art. 20 ust. 17 ustawy o Policji nie przewiduje usuwania ze zbiorów danych zebranych o osobach podejrzanych o popełnienie przestępstw ściganych z oskarżenia publicznego, które zostały prawomocnie uniewinnione bądź wobec których postępowanie karne zostało prawomocnie bezwarunkowo umorzone, niezwłocznie po uprawomocnieniu się stosownego orzeczenia. Prawomocne uniewinnienie konkretnej osoby lub bezwarunkowe umorzenie postępowania karnego wobec konkretnej osoby nie przesądza o tym, czy zgromadzone dane mogą zawierać informacje przydatne dla realizacji ustawowych zadań Policji wobec innych osób.
Mając na uwadze powyższe, należy stwierdzić, iż dane osobowe Skarżącego zostały pozyskane przez organy Policji w sposób legalny i w taki też są przez nie przetwarzane w KSIP i KCIK. Organy Policji oceniają przydatność zebranych danych, co implikuje pozostawienie w KSIP i KCIK danych Skarżącego. Natomiast, jeśli dane o osobie zawarte w zbiorze stają się nieprzydatne do celów prewencyjnych, dowodowych czy wykrywczych, to organ Policji może zdecydować o ich usunięciu w wyniku oceny, o której mowa w § 29 rozporządzenia Ministra Spraw Wewnętrznych i Administracji z dnia 24 sierpnia 2018 r. w sprawie przetwarzania informacji przez Policję. Wobec powyższego stwierdzić należy, iż sposób postępowania Policji w omawianym zakresie nie budzi wątpliwości, a skarga Skarżącego nie zasługuje na uwzględnienie.
W tym stanie faktycznym i prawnym Prezes Urzędu Ochrony Danych Osobowych rozstrzygnął, jak w sentencji.
Decyzja jest ostateczna. Na podstawie art. 9 ust. 2 ustawy z dnia 14 grudnia 2018 r. o ochronie danych osobowych przetwarzanych w związku z zapobieganiem i zwalczaniem przestępczości (Dz. U. 2019 r. poz. 125), w związku z art. 15 ustawy z dnia 14 czerwca 1960 r. – Kodeks postępowania administracyjnego (Dz. U. z 2018 r. poz. 2096 z późn. zm.) od niniejszej decyzji stronie przysługuje prawo wniesienia skargi do Wojewódzkiego Sądu Administracyjnego, w terminie 30 dni od dnia doręczenia jej stronie. Skargę wnosi się za pośrednictwem Prezesa Urzędu Ochrony Danych Osobowych. Wpis od skargi wynosi 200 zł. Strona ma prawo ubiegać się o prawo pomocy, w tym zwolnienie od kosztów sądowych.