Decyzja
ZSOŚS.440.76.2018
Na podstawie art. 138 § 1 pkt 1 ustawy z dnia 14 czerwca 1960 r. Kodeks postępowania administracyjnego (Dz. U. z 2017 r. poz. 1257 ze zm.) oraz art. 12 pkt 2, art. 22 oraz art. 23 ust. 1 pkt 2 i art. 26 ust. 1 pkt 4, a także art. 27 ust. 2 pkt 2 ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (Dz. U. z 2016 r., poz. 922 ze zm.) w zw. z art. 160 ustawy z dnia 10 maja 2018 r. o ochronie danych osobowych (Dz.U. z 2018 r., poz. 1000 ze zm.) i w związku z art. 20 ustawy z dnia 6 kwietnia 1990 r. o Policji (Dz. U. z 2017 r. poz. 2067 z późn. zm), po przeprowadzeniu postępowania administracyjnego w sprawie wszczętej skargą Pana K. J., zam. w P., o ponowne rozpatrzenie sprawy dotyczącej niewypełnienia wobec niego obowiązku informacyjnego wynikającego z art. 33 ustawy o ochronie danych osobowych przez Komendanta Głównego Policji z siedzibą w Warszawie przy ul. Puławskiej 148/150, zakończonej decyzją z dnia 8 marca 2018 r., ([...]), odmawiającą uwzględnienia wniosku, Prezes Urzędu Ochrony Danych Osobowych,
utrzymuje w mocy zaskarżoną decyzję
Uzasadnienie
Do Biura Generalnego Inspektora Ochrony Danych Osobowych, zwanego dalej GIODO, wpłynęła skarga Pana K. J., zam. w P., zwanego dalej „Skarżącym”, dotycząca niewypełnienia wobec niego obowiązku informacyjnego wynikającego z art. 33 ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (Dz. U. z 2016 r. poz. 922 ze zm.), zwanej dalej u.o.d.o., przez Komendanta Głównego Policji z siedzibą w Warszawie przy ul. Puławskiej 148/150, zwanego dalej „Komendantem”.
W przedmiotowej skardze Skarżący wniósł o cyt.: „spowodowanie przywrócenia stanu zgodnego z prawem poprzez nakazanie Komendzie Głównej Policji udzielenia odpowiedzi na [...] wniosek z […] marca 2017 r., wystosowany w oparciu o art. 32 ust. 1 i 2 (u.o.d.o.)”.
Skarżący podniósł, że ww. wnioskiem wystąpił o udzielenie informacji o treści i zakresie danych osobowych, jakie Policja przetwarza w policyjnych systemach teleinformatycznych na temat jego osoby, a także o podanie celu przetwarzania przedmiotowych danych, poprzez określenie, czy są to cele wyrażone w art. 20 ust. 15 lub ust. 16a ustawy z dnia 6 kwietnia 1990 r. o Policji (Dz. U. z 2017 r. poz. 2067 z późn. zm.), zwanej dalej u.p. Skarżący zaznaczył przy tym, że nie jest żadną z osób, o których mowa w art. 20 ust. 2a u.p., w związku z czym odmowa udostępnienia żądanych informacji przez Policję jest dla niego niezrozumiała.
W toku przeprowadzonego postępowania administracyjnego w niniejszej sprawie Generalny Inspektor Ochrony Danych Osobowych ustalił, co następuje.
- Skarżący […] marca 2017 r. wystosował do Komendy Stołecznej Policji wniosek o udzielenie informacji, w powszechnie zrozumiałej formie, o treści i zakresie danych osobowych dotyczących jego osoby, przetwarzanych przez Policję w policyjnych systemach informatycznych.
- Pismem z […] marca 2017 r. Zastępca Naczelnika Wydziału Obsługi Informacyjnej Biura Wywiadu i Informacji Kryminalnej Komendy Głównej Policji, działając z upoważnienia Komendanta Głównego Policji, odmówił udostępnienia żądanych przez Skarżącego Informacji. Jako podstawę prawną odmowy udzielenia przedmiotowych informacji wskazano art. 20 ust. 2a u.p., stanowiący, zdaniem autora pisma z […] marca 2017 r., normę szczególną w stosunku do art. 32 i 33 u.o.d.o. W piśmie z […] marca 2017 r. wskazano ponadto, że cyt.: „zgodnie z art. 51 ust. 5 Konstytucji Rzeczypospolitej Polskiej (Dz. U. Nr. 78, poz. 483 z późn. zm.) zasady i tryb gromadzenia oraz udostępniania informacji określa ustawa. W przypadku informacji, w tym danych osobowych przetwarzanych w Krajowym Systemie Informacyjnym Policji ustawą określającą zasady i tryb gromadzenia oraz udostępniania informacji jest ustawa o Policji, w szczególności [...] art. 20 ust. 2a”.
Na podstawie tak ustalonego stanu faktycznego Generalny Inspektor Ochrony Danych Osobowych wydał decyzję z dnia 8 marca 2018 r., (DOLiS/-440-1043/17), w której odmówił uwzględnienia wniosku.
W dniu […] kwietnia 2018 r., w ustawowym terminie, do Biura GIODO wpłynął wniosek Skarżącego o ponowne rozpatrzenie sprawy.
We wskazanym wniosku podniesiony został zarzut „błędnej wykładni art. 20 ust. 1 i 2a ustawy z dnia 6 kwietnia 1990 r. o Policji (Dz.U. z 2017 r. poz. 2067, z późn. zm.) w zw. z art. 2 i 25 ustawy z dnia 6 lipca 2001 r. o gromadzeniu, przetwarzaniu i przekazywaniu informacji kryminalnych (Dz.U. z 2018 r. poz. 424, z późn. zm.).”
W tym miejscu należy wskazać, iż z dniem wejścia w życie ustawy z dnia 10 maja 2018 r. o ochronie danych osobowych (Dz. U. 2018 r. poz. 1000) 25 maja 2018 r. Biuro Generalnego Inspektora Ochrony Danych Osobowych stało się Urzędem Ochrony Danych Osobowych. Postępowania prowadzone przez Generalnego Inspektora Ochrony Danych Osobowych, wszczęte i niezakończone przed dniem 25 maja 2018 r. prowadzone są przez Prezesa Urzędu Ochrony Danych Osobowych na podstawie ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (Dz. U. 2016 r. poz. 922 ze zm.) zgodnie z zasadami określonymi w Kpa. Wszelkie czynności podejmowane przez Generalnego Inspektora Ochrony Danych Osobowych przed dniem 25 maja 2018 r. pozostają skuteczne.
Po ponownej analizie zebranego w sprawie materiału dowodowego Prezes Urzędu Ochrony Danych Osobowych podtrzymuje swoje stanowisko wyrażone w zaskarżonym rozstrzygnięciu. We wniosku o ponowne rozpatrzenie sprawy nie przedstawiono bowiem żadnych okoliczności, które mogłyby stanowić podstawę do jego zmiany.
Ponownie wskazać należy, iż ochrona danych osobowych zagwarantowana jest co do zasady w art. 51 ustawy z dnia 2 kwietnia 1997 r. Konstytucja Rzeczpospolitej Polskiej (Dz. U. Nr 78 poz. 483 z późn. zm.), jednakże zakres konstytucyjnego unormowania nie rozciąga się na wszelkie przejawy przetwarzania danych osobowych. Stosownie bowiem do ust. 1 i ust. 3 powołanego przepisu Konstytucji RP, nikt nie może być obowiązany inaczej niż na podstawie ustawy do ujawniania informacji dotyczących jego osoby (ust. 1) i każdy ma prawo dostępu do dotyczących go urzędowych dokumentów i zbiorów danych; ograniczenie tego prawa może określić ustawa (ust. 3), jednakże zasady i tryb gromadzenia oraz udostępniania informacji określa ustawa (ust. 5). Aktem wskazanym w art. 51 ust. 5 Konstytucji RP jest ustawa o ochronie danych osobowych, natomiast stosownie do zasad ochrony danych osobowych, wynikających z przepisów ustawy, na administratorze danych osobowych spoczywa szereg obowiązków.
Mając na uwadze powyższe, ponownie należy stwierdzić, że przepisami prawa, które regulują przetwarzanie danych osobowych przez Policję są przepisy ustawy z dnia 6 kwietnia 1990 r. o Policji (Dz. U. z 2017 r. poz. 2067 z późn. zm). Przepisy te regulują kwestię przetwarzania danych osobowych, których usunięcia żąda Skarżący i w związku z art. 27 ust. 2 pkt 2 ustawy stanowią samodzielną przesłankę przetwarzania tych danych.
W dziedzinie przetwarzania różnego rodzaju informacji, w tym danych osobowych, szczególna jest funkcja Policji, bowiem zbiera ona takie informacje, które podlegają szczególnemu reżimowi i ochronie. Znajduje to wyraz w art. 20 ust. 1 i ust. 2a ustawy o Policji na podstawie którego Policja, z zachowaniem ograniczeń wynikających z art. 19, może uzyskiwać informacje, w tym także niejawne, gromadzić je, sprawdzać oraz przetwarzać (ust. 1). Policja może pobierać, uzyskiwać, gromadzić, przetwarzać i wykorzystywać w celu realizacji zadań ustawowych informacje, w tym dane osobowe, o następujących osobach, także bez ich wiedzy i zgody: o osobach podejrzanych o popełnienie przestępstw ściganych z oskarżenia publicznego, nieletnich dopuszczających się czynów zabronionych przez ustawę jako przestępstwa ścigane z oskarżenia publicznego, o osobach o nieustalonej tożsamości lub usiłujących ukryć swoją tożsamość, o osobach stwarzających zagrożenie, o których mowa w ustawie z dnia 22 listopada 2013 r. o postępowaniu wobec osób z zaburzeniami psychicznymi stwarzających zagrożenie życia, zdrowia lub wolności seksualnej innych osób, o osobach poszukiwanych, o osobach zaginionych oraz osobach, wobec których zastosowano środki ochrony i pomocy, przewidziane w ustawie z dnia 28 listopada 2014 r. o ochronie i pomocy dla pokrzywdzonego i świadka (Dz. U. z 2015 r. poz. 21) (art. 20 ust. 2a ustawy o Policji). W świetle art. 20 ust. 2b ustawy o Policji, informacje, o których mowa w ust. 1, 2a, 2aa-2ac, dotyczą osób, o których mowa w ust. 2a i 2ac i mogą obejmować: dane osobowe, o których mowa w art. 27 ust. 1 ustawy o ochronie danych osobowych, z tym, że dane dotyczące kodu genetycznego obejmują informacje wyłącznie o niekodującej części DNA, odciski linii papilarnych, zdjęcia, szkice i opisy wizerunku, cechy i znaki szczególne, pseudonimy, informacje o: miejscu zamieszkania lub pobytu, wykształceniu, zawodzie, miejscu i stanowisku pracy oraz sytuacji materialnej i stanie majątku, dokumentach i przedmiotach, którymi się posługują, sposobie działania sprawcy, jego środowisku i kontaktach, sposobie zachowania się sprawców wobec osób pokrzywdzonych. Informacji, o których mowa w ust. 2a, nie pobiera się w przypadku, gdy nie mają one przydatności wykrywczej, dowodowej lub identyfikacyjnej w prowadzonym postępowaniu, (art. 20 ust. 2 c ustawy o Policji).
Szczegółowe zasady przetwarzania danych osobowych osób wymienionych w art. 20 ust. 2a ustawy o Policji określa rozporządzenie Ministra Spraw Wewnętrznych i Administracji z dnia 24 sierpnia 2018 r. w sprawie przetwarzania informacji przez Policję (Dz. U. 2018 poz. 1636), zwane dalej „Rozporządzeniem”. Zgodnie z § 10 przedmiotowego rozporządzenia w Policji prowadzi się Krajowy System Informacyjny Policji (KSIP), będący zestawem zbiorów danych, w którym gromadzi się, sprawdza, przetwarza i wykorzystuje informacje, w tym dane osobowe, o których mowa w art. 20 ust. 2a pkt 1-6, ust. 2ac i ust. 2b ustawy o Policji. W KSIP mogą być przetwarzane również informacje, w tym dane osobowe, do których gromadzenia, uzyskiwania i przetwarzania Policja jest uprawniona na podstawie odrębnych ustaw, jeżeli przyczynia się to do koordynacji informacji oraz efektywniejszej organizacji i realizacji ustawowych zadań Policji w zakresie wykrywania i ścigania sprawców przestępstw oraz zapobiegania przestępczości i jej zwalczania, a także ochrony życia i zdrowia ludzi (§10 ust. 2 rozporządzenia). Należy podkreślić, że kryterium niezbędności przetwarzania danych osobowych w KSIP musi być zawsze odnoszone do ustawowych zadań Policji, których realizowaniu mają służyć przepisy art. 20 ust. 1, ust. 2a i 2b w związku z art. 20 ust. 17 ustawy o Policji.
Ponadto Policja prowadzi bazę informacji kryminalnych Krajowego Centrum Informacji Kryminalnej (KCIK), której podstawę prawną działania stanowi art. 5 w związku z art. 26 ustawy z dnia 6 lipca 2001 r. o gromadzeniu, przetwarzaniu i przekazywaniu informacji kryminalnych (Dz. U. z 2018 r. poz. 424), zwanej dalej u.p.i.k. Krajowe Centrum Informacji Kryminalnej zostało powołane w strukturze Komendy Głównej Policji w celu gromadzenia, przetwarzania i przekazywania informacji kryminalnych; prowadzenia baz danych oraz określania warunków organizacyjnych i technicznych sposobów prowadzenia takich baz; opracowywania analiz informacji kryminalnych; zapewniania bezpieczeństwa gromadzonych i przetwarzanych danych na zasadach określonych w u.o.d.o. oraz w ustawie z 5 sierpnia 2010 r. o ochronie informacji niejawnych (Dz. U. z 2016 r. poz. 1167 z późn. zm.).
KCIK może gromadzić, przetwarzać i przekazywać informacje kryminalne jedynie w celu zapobiegania i zwalczania przestępczości (art. 2 ust. 1 u.p.i.k.). Ponadto procesy te odbywają się na zasadach określonych w u.p.i.k. i bez wiedzy osób, których informacje dotyczą (art. 2 ust. 2 u.p.i.k.).
Podstawowym aktem normującym materię ochrony danych osobowych jest u.o.d.o., zgodnie z którą każdy ma prawo do ochrony dotyczących go danych osobowych. Artykuł 32 u.o.d.o., gwarantuje osobom, których dane dotyczą, prawo do kontroli przetwarzanych danych osobowych, zawartych w zbiorach danych osobowych oraz precyzuje, w jaki sposób prawo to może być realizowane. Dodatkowo, w myśl art. 33 u.o.d.o. na wniosek osoby, której dane dotyczą, administrator danych jest obowiązany, w terminie 30 dni, poinformować ją o przysługujących jej prawach oraz udzielić, odnośnie jej danych osobowych, informacji, o których mowa w art. 32 ust. 1 pkt l-5a. Zgodnie z art. 33 ust. 2 u.o.d.o., na wniosek osoby, której dane dotyczą, informacji, o których mowa w ust. 1, udziela się na piśmie.
Zgodnie z art. 34 u.o.d.o., administrator danych osobowych odmawia osobie, której dane dotyczą, udzielenia informacji, o których mowa w art. 32 ust. 1 pkt l-5a, jeżeli spowodowałoby to: ujawnienie wiadomości zawierających informacje niejawne (pkt 1), zagrożenie dla obronności lub bezpieczeństwa państwa, życia i zdrowia ludzi lub bezpieczeństwa i porządku publicznego (pkt 2), zagrożenie dla podstawowego interesu gospodarczego lub finansowego państwa (pkt 3) lub istotne naruszenie dóbr osobistych osób, których dane dotyczą, lub innych osób (pkt 4). Jednocześnie stwierdzić należy, że w związku z brzmieniem art. 34 u.o.d.o. osoby, których dane dotyczą - ze względu na wyżej wskazany szczególny charakter analizowanego przepisu - powinny liczyć się z tym, iż administrator posiada prawo odmowy spełnienia wobec nich obowiązku informacyjnego, o ile obowiązany jest chronić inne ważne interesy. Odmowa spełnienia wobec osoby, której dane dotyczą ww. obowiązku, powinna mieć charakter wyjątku.
Jednocześnie zaznaczyć należy, że zgodnie z art. 51 Konstytucji RP oraz art. 1 ust. 2, art. 23 ust. 1 pkt 2 i art. 27 ust. 2 pkt 2 u.o.d.o., inne akty prawne, stojąc na straży dobra publicznego, mogą zawierać odstępstwa od generalnej zasady ochrony danych osobowych.
Odnosząc się do kwestii przetwarzania danych osobowych Skarżącego przez Komendanta Głównego Policji wskazać należy, że aktami regulującymi kwestię przetwarzania danych osobowych przez Policję są, obok u.o.d.o., przepisy u.p i u.p.i.k. oraz przepisy wydanych na ich podstawie aktów wykonawczych.
Mając na uwadze rozważania przeprowadzone w toku postępowania w niniejszej sprawie przez GIODO, należy uznać, że ustawa o Policji, a w szczególności jej art. 20 ust. 2a oraz art. 2 ust. 2 u.p.i.k. zawierają odstępstwa w zakresie obowiązku informacyjnego wynikającego z art. 32 i 33 u.o.d.o., co pozostaje w zgodzie z treścią art. 51 Konstytucji RP oraz art. 1 ust. 2 i art. 23 ust. 1 pkt 2 oraz art. 34 u.o.d.o.
W tym miejscu należy również zwrócić uwagę na zadania, które powierzono Policji, a są to między innymi ochrona życia i zdrowia ludzi, mienia, przed bezprawnymi atakami naruszającymi te dobra, ochrona bezpieczeństwa i porządku publicznego, inicjowanie i organizowanie działań prewencyjnych, mających na celu zapobieganie popełnieniu przestępstwa i wykroczeń oraz wykrywanie przestępstw i wykroczeń oraz ściganie ich sprawców. W celu realizacji powyższych zadań istotnym pozostaje możliwość gromadzenia i przetwarzania danych osobowych bez wiedzy i zgody osoby, której dane dotyczą. Dodatkowo art. 2 ust. 1 u.p.i.k. podkreśla, że informacje te mogą być przetwarzane jedynie w celu zwalczania i zapobiegania przestępczości. Należy więc zgodzić się z Wojewódzkim Sądem Administracyjnym w Warszawie, który w wyroku z dnia 10 stycznia 2014 r. (sygn. akt II SA/Wa 1648/13) stwierdził, iż brak niniejszych atrybutów pozbawiłaby Policję „(...) jednego z instrumentów, umożliwiających jej realną dbałość o bezpieczeństwo i porządek publiczny. To zaś utrudniałoby, a niekiedy wręcz uniemożliwiałoby Państwu Polskiemu prawidłowe wywiązywanie się wobec obywateli, z obowiązków opisanych w Konstytucji RP (...) Doszłoby więc w efekcie do podporządkowywania wartości wyższej, jaką jest dobro ogółu obywateli, wartości niższej wagi, jaką jest prawo jednostki do ochrony jej danych osobowych”.
W związku z powyższym należy stwierdzić, że art. 20 ust. 2a u.p. oraz art. 2 ust. 2 u.p.i.k. stanowią normy szczególne w stosunku do art. 33 u.o.d.o. Należy zgodzić się ze stwierdzeniem Wojewódzkiego Sądu Administracyjnego w Warszawie wyrażonym w przytaczanym wyżej wyroku, że cyt.: „skoro (...) ustawodawca zezwolił Policji na gromadzenie i przetwarzanie danych osobowych nawet bez wiedzy osób, których dane dotyczą, to nieracjonalnym byłoby złożenie, że jednocześnie zobowiązuje Policję do informowania tych osób o okolicznościach opisanych w art. 32 ust. 1 pkt 1-5a ustawy o ochronie danych osobowych. Pomiędzy wyżej opisanymi unormowaniami występuje bowiem wzajemna sprzeczność”.
Również w wyroku Wojewódzkiego Sądu Administracyjnego w Warszawie z dnia 28 stycznia 2014 r. (sygn. akt. II SA/Wa 1366/13) stwierdzono, iż cyt.: „Wydanie nakazu usunięcia uchybień w procesie przetwarzania danych osobowych [w KSIP] następuje wówczas, gdy organ ochrony danych osobowych stwierdza naruszenie norm w zakresie przetwarzania danych osobowych.” W niniejszej sprawie nie ma jednak ku temu podstaw.
Podsumowując zatem powyższy fragment wywodu, należy stwierdzić, iż brak jest podstaw - zgodnie z wnioskiem Skarżącego - do uchylenia decyzji pierwszej instancji i wydania decyzji administracyjnej nakazującej przywrócenie stanu zgodnego z prawem poprzez nakazanie Komendantowi Głównemu Policji spełnienie obowiązku informacyjnego wynikającego z art. 33 u.o.d.o. względem Skarżącego. Warunkiem bowiem wydania rozstrzygnięcia, o którym mowa w art. 18 ust. 1, jest stwierdzenie istnienia stanu naruszenia przepisów o ochronie danych osobowych w dacie wydania decyzji. W kontekście powyższego wskazać należy, iż wniosek Skarżącego o udostępnienie danych osobowych dotyczących jego osoby poprzez spełnienie obowiązku informacyjnego z art. 33 ust. 1 u.o.d.o. w zakresie danych odpowiadających informacjom wskazanym w art. 32 ust. 1 pkt _1 - 5 u.o.d.o. wykracza poza prawa, o których mowa w art. 51 ust. 3 Konstytucji RP tj. prawo dostępu do dokumentów urzędowych i zbiorów danych. W niniejszej sprawie zgodnie z art. 51 ust. 5 Konstytucji RP zasady i tryb udostępniania informacji zgromadzonych i przetwarzanych przez Policję określa art. 20 ustawy o Policji, który ustanawia przetwarzanie informacji, w tym danych osobowych bez wiedzy i zgody osoby, której dane dotyczą (ust. 2a), a także w określonych przypadkach niejawnie (ust.l). Ponadto Krajowy System Informacyjny Policji i policyjnie zbiory danych nie mają charakteru dokumentów urzędowych, tym samym KSIP nie jest powszechnie dostępnym zbiorem danych, a udostępnianie przez Komendanta Głównego Policji, jako administratora danych, informacji z policyjnego zbioru danych innym organom, służbom lub instytucjom jest możliwe wyłącznie w przypadku, gdy taki obowiązek wynika z innych przepisów szczególnych, które określają także zakres i cel udostępnienia. W rozpatrywanej sprawie, realizując przepisy ustawy, spełnienie obowiązku informacyjnego wynikającego z art. 33 u.o.d.o. względem Skarżącego nie może mieć miejsca z uwagi na wskazane w art. 20 ustawy o Policji cele przetwarzania informacji, tj. realizacja ustawowych zadań Policji oraz przesłanki dyskrecjonalności przetwarzania tych informacji, tj. bez wiedzy i zgody.
Po dokonaniu powtórnej analizy materiału dowodowego zebranego w sprawie Prezes Urzędu Ochrony Danych Osobowych podtrzymuje stanowisko zajęte w decyzji administracyjnej z dnia 8 marca 2018 r.
Decyzja niniejsza jest ostateczna. Na podstawie art. 21 ust. 2 i art. 22 ustawy o ochronie danych osobowych w związku z art. 13 § 2, art. 53 § 1 i 54 § 1 ustawy z dnia 30 sierpnia 2002 r. Prawo o postępowaniu przed sądami administracyjnymi (Dz.U. 2018 poz. 1302 ze zm.) od niniejszej decyzji stronie przysługuje prawo wniesienia skargi do Wojewódzkiego Sądu Administracyjnego w Warszawie w terminie 30 dni od dnia doręczenia niniejszej decyzji za pośrednictwem Prezesa Urzędu Ochrony Danych Osobowych (adres: Urząd Ochrony Danych Osobowych, ul. Stawki 2, 00-193 Warszawa).