ZSOŚS.440.31.2019
Na podstawie art. 104 § 1 ustawy z dnia 14 czerwca 1960 r. – Kodeks postępowania administracyjnego (Dz. U. z 2018 r. poz. 2096 z późn. zm.), art. 5 ust. 1 pkt 6, art. 12 w związku z art. 13 ustawy z dnia 14 grudnia 2018 r. o ochronie danych osobowych przetwarzanych w związku z zapobieganiem i zwalczaniem przestępczości (Dz. U. z 2019 r., poz. 125, dalej: ustawa z 14 grudnia 2018 r.), po przeprowadzeniu postępowania administracyjnego w sprawie skargi Pana M. M., adres do korespondencji: [...], na nieprawidłowości w przetwarzaniu jego danych osobowych przez Komendanta Głównego Policji (Komenda Główna Policji, ul. Puławska 148/150, 02-624 Warszawa) oraz Komendanta Powiatowego Policji w G. (Komenda Powiatowa Policji, ul. [...]),
odmawiam uwzględnienia wniosku
Uzasadnienie
W dniu [...] marca 2019 r. do Urzędu Ochrony Danych Osobowych wpłynęła skarga Pana M. M. (dalej jako: „Skarżący”) na nieprawidłowości w przetwarzaniu jego danych osobowych przez Komendanta Powiatowego Policji G. (Komenda Powiatowa Policji, ul. [...]).
Uzasadniając żądanie Skarżący podniósł, iż w jego ocenie brak jest podstaw, dla których organy Policji przetwarzają jego dane osobowe w swoich zbiorach. Ponadto Skarżący wskazał, iż bez jego zgody pobrano od niego materiał biologiczny w postaci odcisków palców oraz skanu twarzy, a działanie to było pozbawione podstawy prawnej. Mając powyższe na uwadze, Skarżący w treści skargi zażądał podjęcia przez Prezesa Urzędu działań mających na celu ochronę jego danych osobowych poprzez usunięcie tych danych osobowych z policyjnych zbiorów danych.
W toku postępowania zainicjowanego skargą, Prezes Urzędu Ochrony Danych Osobowych uzyskał wyjaśnienia odnośnie okoliczności sprawy, zapoznał się z materiałem dowodowym i dokonał następujących ustaleń.
Pismami z [...] marca 2019 r. Prezes Urzędu Ochrony Danych Osobowych poinformował Skarżącego oraz Komendanta Powiatowego Policji w G. (dalej jako: „Komendant Powiatowy”) o wszczęciu postępowania wyjaśniającego w sprawie oraz zwrócił się do Komendanta Powiatowego o ustosunkowanie się do treści skargi oraz złożenie pisemnych wyjaśnień. [...] kwietnia 2019 r. do Urzędu Ochrony Danych Osobowych wpłynęło pismo Komendanta Powiatowego (znak: [...]), w którym wyjaśnił, iż Komisariat Policji II w G. prowadził sprawę, w której Skarżący był podejrzanym, zaś sprawa ta zakończyła się skierowaniem przez Prokuraturę Rejonową w G. do VII Wydziału Karnego Sądu Rejonowego w Z. (sygn. akt [...]) wniosku w trybie art. 335 kodeksu postępowania karnego, a następnie skazania Pana M. M. na karę pozbawienia wolności. Komendant Powiatowy wyjaśnił nadto, iż informacje, w tym dane osobowe Skarżącego są przetwarzane w Krajowym Systemie Informacyjnym Policji (KSIP) oraz w zbiorach daktyloskopijnych, natomiast zgodnie z art. 21 h i art. 21 nb ustawy z dnia 6 kwietnia 1990 r. o Policji (Dz.U. z 2019 r. poz. 161 ze zm.) administratorem tych danych jest Komendant Główny Policji.
Komendant Powiatowy wskazał nadto, że skarga celem dalszego procedowania, została przekazana do Dyrektora Biura Wywiadu i Informacji Kryminalnych Komendy Głównej Policji na podstawie § 73 ust. 5 i 6 decyzji nr [...] Komendanta Głównego Policji z dnia [...] kwietnia 2017 r. w sprawie funkcjonowania Krajowego Systemu Informacyjnego Policji (Dz. U. KGP z dnia [...] sierpnia 2017 r.). W myśl ww. przepisów, odpowiedzi na wnioski osób dotyczące dopełnienia wobec nich na podstawie przepisów o ochronie danych osobowych obowiązków informacyjnych lub innych obowiązków związanych z przetwarzaniem danych osobowych w zbiorach danych KSIP lub odpowiedzi na wystąpienia osób, organów, podmiotów lub innych instytucji dotyczących przetwarzania danych osobowych w KSIP udziela Dyrektor Biura Komendy Głównej Policji właściwego w sprawach wywiadu kryminalnego lub kierownicy komórek organizacyjnych tego biura na podstawie odrębnych indywidualnych upoważnień udzielonych przez Komendanta Głównego Policji. Ponadto, kierownicy jednostek lub komórek organizacyjnych Policji, do których wpłynęły wnioski, niezwłocznie przekazują te wnioski do Biura Komendy Głównej Policji właściwego w sprawach wywiadu kryminalnego, a w przypadku wniosków o usuniecie danych osobowych ze zbiorów danych KSIP dodatkowo wraz ze stanowiskiem właściwego organu Policji co do zasadności usunięcia danych z KSIP oraz informacjami dotyczącymi sposobu zakończenia postępowania przez prokuraturę lub sąd.
Pismem z [...] maja 2019 r. (znak: [...]) Naczelnik Wydziału Obsługi Informacyjnej Biura Wywiadu i Informacji Kryminalnych KGP (dalej jako: „Naczelnik”), działając z upoważnienia Komendanta Głównego Policji, wyjaśnił, iż do [...] maja 2019 r. Skarżący nie zwracał się z wnioskiem o usunięcie lub udostępnienie danych osobowych. Naczelnik wskazał także, iż Policja przetwarza dane osobowe zgodnie z art. 20 ustawy z dnia 6 kwietnia 1990 r. o Policji (Dz.U. 2019 poz. 161 ze zm.), dalej jako: „ustawa o Policji”. W uzasadnieniu ww. stanowiska wskazano podstawy prawne przetwarzania danych osobowych Skarżącego przez Policję, w szczególności art. 20 ust. 2a, ust. 2ac, ust. 2b, ust. 2c, ust. 17 ustawy o Policji, ich zakres oraz cel przetwarzania, zwracając uwagę na szczególność tych norm (lex specialis) wobec przepisów ogólnych, jakimi są przepisy ustawy o ochronie danych osobowych oraz art. 51 ust. 5 Konstytucji Rzeczypospolitej Polskiej, który w zakresie zasad i trybu gromadzenia oraz udostępniania informacji o osobie odsyła do regulacji szczególnych. Ponadto, w przedmiotowym piśmie wskazano, iż przetwarzanie oraz wymiana informacji, w tym danych osobowych, może dotyczyć danych osobowych, o których mowa w art. 14 ust. 1 ustawy z dnia 14 grudnia 2018 r. o ochronie danych osobowych przetwarzanych w związku z zapobieganiem i zwalczaniem przestępczości (Dz. U. z 2019 r. poz. 125), tj. danych wrażliwych obejmujących dane osobowe ujawniające pochodzenie rasowe, etniczne, poglądy polityczne, przekonania religijne, światopoglądowe, przynależność do związków zawodowych oraz dane genetyczne, dane biometryczne w celu jednoznacznego zidentyfikowania osoby fizycznej, dane dotyczące zdrowia, dane dotyczące seksualności i orientacji seksualnej osoby fizycznej. Przy czym dane dotyczące wyników analizy kwasu deoksyrybonukleinowego (DNA) przetwarzane przez Policję obejmują informacje wyłącznie o niekodującej części DNA (art. 20 ust. la ustawy o Policji). Jednocześnie wskazano, iż zgodnie z art. 21h ust. 1 ustawy o Policji Komendant Główny Policji prowadzi następujące zbiory danych daktyloskopijnych, których jest administratorem w rozumieniu przepisów o ochronie danych osobowych: Centralną Registraturę Daktyloskopijną, w której są gromadzone karty daktyloskopijne i chejroskopijne zawierające odciski linii papilarnych osób; zbiór automatycznie przetwarzający dane daktyloskopijne, w którym są przetwarzane informacje, w tym dane osobowe, o odciskach linii papilarnych osób, niezidentyfikowanych śladach linii papilarnych z miejsc przestępstw oraz śladach linii papilarnych, które mogą pochodzić od osób zaginionych.
W ww. piśmie zwrócono także uwagę na to, iż Policja przetwarza dane osobowe jedynie w podanym zakresie i zgodnie z przytoczonymi przepisami.
Prezes Urzędu Ochrony Danych Osobowych poinformował pismami z [...] maja 2019 r. Skarżącego, Komendanta Powiatowego Policji w G. oraz Komendanta Głównego Policji o przeprowadzeniu postępowania administracyjnego, w wyniku którego został zgromadzony materiał dowodowy wystarczający do wydania decyzji administracyjnej oraz o możliwości wypowiedzenia się co do zebranych dowodów i materiałów oraz zgłoszonych żądań zgodnie z treścią art. 10 § 1 ustawy z dnia 14 czerwca 1960 r. Kodeks postępowania administracyjnego, w terminie 7 dni od dnia otrzymania ww. pism. [...] czerwca 2019 r. do Urzędu Ochrony Danych Osobowych wpłynęło pismo Komendanta Głównego Policji (znak: [...]) informujące, że nie skorzysta z prawa określonego art. 10 § 1 k.p.a.
W takim stanie faktycznym i prawnym Prezes Urzędu Ochrony Danych Osobowych zważył, co następuje.
Prawo do ochrony danych osobowych, jako jeden z elementów prawa do ochrony prywatności osoby, ma swoje źródło w przepisach ustawy z dnia 2 kwietnia 1997 r. Konstytucja Rzeczypospolitej Polskiej. Zgodnie z ustawą zasadniczą każdy ma prawo m.in. do ochrony prawnej życia prywatnego, rodzinnego, czci i dobrego imienia (art. 47 Konstytucji), nikt nie może być obowiązany inaczej niż na podstawie ustawy do ujawniania informacji dotyczących jego osoby (art. 51 ust. 1 Konstytucji).
Ustawa z 14 grudnia 2018 r. o ochronie danych osobowych przetwarzanych w związku z zapobieganiem i zwalczaniem przestępczości określa m.in. zasady i warunki ochrony danych osobowych przetwarzanych przez właściwe organy w celu rozpoznawania, zapobiegania, wykrywania i zwalczania czynów zabronionych, w tym zagrożeń dla bezpieczeństwa i porządku publicznego, a także wykonywania tymczasowego aresztowania, kar, kar porządkowych i środków przymusu skutkujących pozbawieniem wolności (art. 1 ust. 1 pkt 1).
Zgodnie z art. 13 ust. 1 ustawy z 14 grudnia 2018 r., właściwe organy przetwarzają dane osobowe wyłącznie w zakresie niezbędnym dla zrealizowania uprawnienia lub spełnienia obowiązku wynikającego z przepisu prawa. Podstawę prawną do przetwarzania danych osobowych osób, wobec których były prowadzone postępowania przez organy Policji, stanowi art. 20 ust. 1 ustawy o Policji, zgodnie z którym Policja, z zachowaniem ograniczeń wynikających z art. 19, może uzyskiwać informacje, w tym także niejawnie, gromadzić je, sprawdzać oraz przetwarzać. Policja może pobierać, uzyskiwać, gromadzić, przetwarzać i wykorzystywać w celu realizacji zadań ustawowych informacje, w tym dane osobowe - o osobach podejrzanych o popełnienie przestępstw ściganych z oskarżenia publicznego - także bez ich wiedzy i zgody (ust. 2a).
Podkreślenia wymaga, iż w dziedzinie przetwarzania różnego rodzaju informacji, w tym danych osobowych, szczególna jest funkcja Policji, bowiem zbiera ona takie informacje, które podlegają szczególnemu reżimowi i ochronie. Znajduje to wyraz w art. 20 ust. 1 i ust. 2a ustawy o Policji na podstawie którego Policja, z zachowaniem ograniczeń wynikających z art. 19, może uzyskiwać informacje, w tym także niejawne, gromadzić je, sprawdzać oraz przetwarzać (ust. 1). Policja może pobierać, uzyskiwać, gromadzić, przetwarzać i wykorzystywać w celu realizacji zadań ustawowych informacje, w tym dane osobowe, także bez ich wiedzy i zgody: o osobach podejrzanych o popełnienie przestępstw ściganych z oskarżenia publicznego, nieletnich dopuszczających się czynów zabronionych przez ustawę jako przestępstwa ścigane z oskarżenia publicznego, o osobach o nieustalonej tożsamości lub usiłujących ukryć swoją tożsamość, o osobach stwarzających zagrożenie, o których mowa w ustawie z dnia 22 listopada 2013 r. o postępowaniu wobec osób z zaburzeniami psychicznymi stwarzających zagrożenie życia, zdrowia lub wolności seksualnej innych osób, o osobach poszukiwanych, o osobach zaginionych oraz osobach, wobec których zastosowano środki ochrony i pomocy, przewidziane w ustawie z dnia 28 listopada 2014 r. o ochronie i pomocy dla pokrzywdzonego i świadka (Dz. U. z 2015 r. poz. 21) (art. 20 ust. 2a ustawy o Policji).
Szczegółowe zasady przetwarzania danych osobowych osób wymienionych w art. 20 ust. 2a ustawy o Policji określa rozporządzenie Ministra Spraw Wewnętrznych i Administracji z dnia 24 sierpnia 2018 r. w sprawie przetwarzania informacji przez Policję (Dz. U. 2018 poz. 1636), zwane dalej „rozporządzeniem”.
Zgodnie z § 10 przedmiotowego rozporządzenia w Policji prowadzi się Krajowy System Informacyjny Policji (KSIP), będący zestawem zbiorów danych, w którym gromadzi się, sprawdza, przetwarza i wykorzystuje informacje, w tym dane osobowe, o których mowa w art. 20 ust. 2a pkt 1–6, ust. 2ac i ust. 2b ustawy o Policji. W KSIP mogą być przetwarzane również informacje, w tym dane osobowe, do których gromadzenia, uzyskiwania i przetwarzania Policja jest uprawniona na podstawie odrębnych ustaw, jeżeli przyczynia się to do koordynacji informacji oraz efektywniejszej organizacji i realizacji ustawowych zadań Policji w zakresie wykrywania i ścigania sprawców przestępstw oraz zapobiegania przestępczości i jej zwalczania, a także ochrony życia i zdrowia ludzi (§ 10 ust. 2 rozporządzenia).
W § 4 określony został tryb gromadzenia informacji, w tym danych osobowych, a także procedury zapewniające pobieranie, gromadzenie, uzyskiwanie informacji oraz organizację zbiorów w sposób umożliwiający kontrolę dostępu do zbiorów i nadzór nad przetwarzaniem informacji. Jednocześnie zgodnie z § 27 ust. 1 rozporządzenia dostęp do wskazanych danych jest ściśle reglamentowany, co oznacza, iż ogranicza się do osób uprawnionych, wskazanych w tym przepisie. Ponadto zgodnie z ust. 2 tego przepisu informacje, w tym dane osobowe zgromadzone w zbiorach danych udostępniane są wyłącznie osobom uprawnionym, co świadczy jednocześnie, jak wspomniano powyżej, o niepowszechnym charakterze tego zbioru, który służy realizowaniu ustawowych zadań Policji. Ponadto w rozdziale 5 rozporządzenia, wskazano kryteria weryfikacji przechowywania w systemie danych osobowych pod kątem ich dalszej przydatności, którymi są m.in. rodzaj i charakter popełnionego przestępstwa, rodzaj i charakter naruszonego dobra chronionego prawem, formy sprawstwa, postać zamiaru, czas, który upłynął od momentu wprowadzenia danych do zbioru, aktualność przesłanek legalności oraz niezbędności dalszego przetwarzania danych do wykonania zadań ustawowych, wystąpienie okoliczności określonych w art. 20 ust. 17b i 18 ustawy o Policji, a w przypadku danych daktyloskopijnych wystąpienie okoliczności określonych w art. 211 ust. 2 i art. 21m tej ustawy.
Należy podkreślić, że kryterium niezbędności przetwarzania danych osobowych w KSIP musi być zawsze odnoszone do ustawowych zadań Policji, których realizowaniu mają służyć przepisy art. 20 ust. 1, ust. 2a i 2b w związku z art. 20 ust. 17 ustawy o Policji. Zgodnie z art. 16 ustawy z 14 grudnia 2018 r. administrator dokonuje weryfikacji danych osobowych w terminach określonych przez przepisy szczególne, regulujące działania właściwego organu, a jeżeli przepisy te nie określają terminu − nie rzadziej niż co 10 lat od dnia zebrania, uzyskania, pobrania lub aktualizacji danych. Nadto, zgodnie z art. 21e ust. 2 ustawy o Policji, informacje, w tym dane osobowe, usuwa się ze zbioru danych DNA, w przypadku gdy:
- zostało umorzone postępowanie z uwagi na to, że:
- czynu stanowiącego podstawę wprowadzenia danych osobowych do zbioru danych nie popełniono albo brak jest danych dostatecznie uzasadniających podejrzenie jego popełnienia,
- zdarzenie lub okoliczność, w związku z którymi wprowadzono dane osobowe do zbioru danych, nie ma znamion czynu zabronionego;
- osoba, której dane dotyczą:
- została uniewinniona prawomocnym wyrokiem sądu,
- ukończyła 100. rok życia,
- zmarła;
- tożsamość zwłok ludzkich została ustalona;
- utracą swoją przydatność eliminacyjną, jednakże nie dłużej niż po upływie 5 lat od dnia ustania stosunku służbowego lub pracy.
W toku postępowania Prezes Urzędu Ochrony Danych Osobowych ustalił, że wskazane w skardze Pana M. M. dane osobowe zostały pobrane w związku z postępowaniem przygotowawczym, zgodnie z ówcześnie obowiązującymi przepisami prawa, tj. art. 20 ustawy z dnia 6 kwietnia 1990 r. o Policji (Dz.U. z 2015 r. poz. 355 ze zm.), zgodnie z którym Policja, z zachowaniem ograniczeń wynikających z art. 19, może uzyskiwać informacje, w tym także niejawnie, gromadzić je, sprawdzać oraz przetwarzać.
Należy też wskazać, iż organy Policji dokonały stosownej weryfikacji zgromadzonych danych Skarżącego w związku ze złożoną przez niego skargą do Prezesa Urzędu Ochrony Danych Osobowych w przedmiocie usunięcia jego danych osobowych z KSIP oraz zbiorów danych daktyloskopijnych. Jak wynika z art. 16 ustawy o ochronie danych osobowych przetwarzanych w związku z zapobieganiem i zwalczaniem przestępczości, administrator dokonuje weryfikacji danych osobowych w terminach określonych przez przepisy szczególne, regulujące działania właściwego organu, a jeżeli przepisy te nie określają terminu − nie rzadziej niż co 10 lat od dnia zebrania, uzyskania, pobrania lub aktualizacji danych. Weryfikacja dokonywana jest w celu ustalenia, czy istnieją dane, których dalsze przechowywanie jest zbędne. Mając na uwadze powyższe, Komendant wyjaśnił, iż dokonano wymaganych ustawą weryfikacji pod kątem opisanych w skardze okoliczności pobrania od Skarżącego danych DNA oraz danych daktyloskopijnych pod kątem przesłanek z art. 51 ust. 4 Konstytucji RP oraz art. 16 ustawy o ochronie danych osobowych przetwarzanych w związku z zapobieganiem i zwalczaniem przestępczości. Wobec faktu, iż dziesięcioletni okres obowiązkowej weryfikacji zgromadzonych danych osobowych jeszcze nie upłynął, nie zachodzą zatem ustawowe przesłanki do usunięcia danych osobowych Skarżącego z KSIP.
W świetle powyższych ustaleń, nie można zgodzić się z zarzutami Skarżącego, jakoby Komendant Główny naruszył przepisy prawa w przedmiotowej sprawie i należy stwierdzić, iż ww. podmiot legitymuje się podstawą prawną do odmowy usunięcia danych osobowych Skarżącego z KSIP oraz zbiorów danych daktyloskopijnych.
Mając na uwadze powyższe, należy stwierdzić, iż dane osobowe Skarżącego zostały pozyskane przez organy Policji w sposób legalny i w taki też są przez nich przetwarzane w KSIP oraz w zbiorach danych daktyloskopijnych. Organy Policji oceniają przydatność zebranych danych, co implikuje pozostawienie ich w KSIP oraz w zbiorach danych daktyloskopijnych. Natomiast, jeśli dane o osobie zawarte w zbiorze stają się nieprzydatne do celów prewencyjnych, dowodowych czy wykrywczych, to organ Policji może zdecydować o ich usunięciu w wyniku oceny, o której mowa w § 29 rozporządzenia Ministra Spraw Wewnętrznych i Administracji z dnia 23 sierpnia 2018 r. w sprawie przetwarzania informacji przez Policję. Wobec powyższego stwierdzić należy, iż sposób postępowania Policji w omawianym zakresie nie budzi wątpliwości, a skarga Skarżącego nie zasługuje na uwzględnienie.
W tym stanie faktycznym i prawnym Prezes Urzędu Ochrony Danych Osobowych rozstrzygnął, jak w sentencji.
Decyzja jest ostateczna. Na podstawie art. 9 ust. 2 ustawy z dnia 14 grudnia 2018 r. o ochronie danych osobowych przetwarzanych w związku z zapobieganiem i zwalczaniem przestępczości (Dz. U. 2019 r. poz. 125), w związku z art. 15 ustawy z dnia 14 czerwca 1960 r. – Kodeks postępowania administracyjnego (Dz. U. z 2018 r. poz. 2096 z późn. zm.) od niniejszej decyzji stronie przysługuje prawo wniesienia skargi do Wojewódzkiego Sądu Administracyjnego, w terminie 30 dni od dnia doręczenia jej stronie. Skargę wnosi się za pośrednictwem Prezesa Urzędu Ochrony Danych Osobowych. Wpis od skargi wynosi 200 zł. Strona ma prawo ubiegać się o prawo pomocy, w tym zwolnienie od kosztów sądowych.