ZSOŚS.440.126.2018
Na podstawie art. 104 § 1 ustawy z dnia 14 czerwca 1960 r. - Kodeks postępowania administracyjnego (Dz.U. z 2018 poz. 2096) oraz art. 12 pkt 2, art. 22 i art. art. 32 ust. 1 pkt. 1-5a ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (Dz. U. z 2016 r., poz. 922 z późn. zm.), zwanej dalej „u.o.d.o.”, w związku z art. 160 ust. 1 i 2 ustawy z dnia 10 maja 2018 r. o ochronie danych osobowych (Dz. U. poz. 1000 z późn. zm.) po przeprowadzeniu postępowania administracyjnego w sprawie skargi Pana M. S., zam. w G. w przedmiocie niezrealizowania wobec niego obowiązku informacyjnego przez Komendanta Głównego Policji
odmawiam uwzględnienia wniosku
Uzasadnienie
W dniu [...] czerwca 2015 r. do Biura Generalnego Inspektora Ochrony Danych Osobowych wpłynęła skarga skargi Pana M. S., zam. w G. w przedmiocie niezrealizowania wobec niego obowiązku informacyjnego przez Komendanta Głównego Policji. W treści skargi Skarżący wskazał, że [...] marca 2015 r. wystąpił do Komendy Głównej Policji z wnioskiem o udostępnienie mu na podstawie art. 32 u.o.d.o. wszelkich danych dotyczących jego osoby znajdujących się w Krajowym Systemie Informacyjnym Policji. Pismem z [...] marca 2015 r. Komendant Główny Policji odmówił ([...]) udzielenia ww. informacji, jako podstawę prawną wskazując „przepis art. 20 ust. 2a ustawy o Policji,, który to przepis stanowi lex specialis w stosunku do art. 32 i 33 ustawy o ochronie danych osobowych ” oraz wskazując, że „Policja nie jest zobowiązana do informowania osoby, której dane osobowe przetwarza, o fakcie przetwarzania tych danych jak również o zakresie przetwarzania czy też udostępniania danych osobowych".
W związku z powyższym [...] grudnia 2015 r. Generalny Inspektor Ochrony Danych Osobowych skierował do Komendanta Głównego Policji wezwanie do złożenia wyjaśnień. Komendant Główny Policji w odpowiedzi pismem [...] z [...] stycznia 2016 r. odniósł się do pisma Skarżącego, ponownie przywołując art. 20 ust. 2a ustawy o Policji jako podstawę prawną swoich działań, a także wskazując że „dodać należy, iż zgodnie z art. 51 ust. 5 Konstytucji Rzeczypospolitej Polskiej zasady i tryb gromadzenia oraz udostępniania informacji określi ustawa (...) Konstytucja RP rozróżnia prawo do dostępu do zbiorów danych,, którego ograniczenia może określać ustawa (art. 51 ust. 3 Konstytucji RP) od prawa do żądania usunięcia informacji nieprawdziwych, niepełnych lub zebranych w sposób sprzeczny ustawą (art. 51 ust. 4 Konstytucji RP). Jednocześnie należy dodać, iż prawo dostępu do zbiorów danych nie jest tożsame z prawem dostępu do informacji, jak również prawo do żądania usunięcia danych nie jest tożsame z prawem do udostępnienia danych, czy też z prawem dostępu do zbiorów danych”.
W takim stanie faktycznym i prawnym Prezes Urzędu Ochrony Danych Osobowych zważył, co następuje:
Powołana wyżej ustawa o ochronie danych osobowych z dnia 29 sierpnia 1997 r. stwarza prawne podstawy stosowania ochrony państwowej w sytuacjach nielegalnego przetwarzania danych osobowych obywateli przez zarówno podmioty prawa publicznego, jak i podmioty prawa prywatnego. W celu jej realizacji organ ochrony danych osobowych został wyposażony w kompetencje władcze, umożliwiające sankcjonowanie stwierdzanych nieprawidłowości w procesie przetwarzania danych osobowych. Wydanie nakazu usunięcia uchybień w procesie przetwarzania danych osobowych następuje wówczas, gdy organ ochrony danych osobowych stwierdza naruszenie norm prawnych w zakresie przetwarzania danych osobowych.
W przedmiotowej sprawie na uwadze należy w szczególności mieć na względzie art. 32 ust. 1 pkt. 1-5a u.o.d.o., zgodnie z którym każdej osobie przysługuje prawo do kontroli przetwarzania danych, które jej dotyczą, zawartych w zbiorach danych, a zwłaszcza prawo do: 1) uzyskania wyczerpującej informacji, czy taki zbiór istnieje, oraz do ustalenia administratora danych, adresu jego siedziby i pełnej nazwy, a w przypadku gdy administratorem danych jest osoba fizyczna - jej miejsca zamieszkania oraz imienia i nazwiska; 2) uzyskania informacji o celu, zakresie i sposobie przetwarzania danych zawartych w takim zbiorze; 3) uzyskania informacji, od kiedy przetwarza się w zbiorze dane jej dotyczące, oraz podania w powszechnie zrozumiałej formie treści tych danych; 4) uzyskania informacji o źródle, z którego pochodzą dane jej dotyczące, chyba że administrator danych jest zobowiązany do zachowania w tym zakresie w tajemnicy informacji niejawnych lub zachowania tajemnicy zawodowej; 5) uzyskania informacji o sposobie udostępniania danych, a w szczególności informacji o odbiorcach lub kategoriach odbiorców, którym dane te są udostępniane; 5a) uzyskania informacji o przesłankach podjęcia rozstrzygnięcia, o którym mowa w art. 26a ust. 2 u.o.d.o.
Tryb udzielania powyższej informacji określa art. 33 ust. 1 u.o.d.o., wskazując, że na wniosek osoby, której dane dotyczą, administrator danych jest obowiązany, w terminie 30 dni, poinformować o przysługujących jej prawach oraz udzielić, odnośnie do jej danych osobowych, informacji, o których mowa w art. 32 ust. 1 pkt 1-5a u.o.d.o.
Rozpatrywać go należy wraz z korespondującym w swojej treści art. 34 pkt. 1-4 u.o.d.o., zgodnie z którym Administrator danych odmawia osobie, której dane dotyczą, udzielenia informacji, o których mowa w art. 32 ust. 1 pkt 1-5a, jeżeli spowodowałoby to: 1) ujawnienie wiadomości zawierających informacje niejawne; 2) zagrożenie dla obronności lub bezpieczeństwa państwa, życia i zdrowia ludzi lub bezpieczeństwa i porządku publicznego; 3) zagrożenie dla podstawowego interesu gospodarczego lub finansowego państwa; 4) istotne naruszenie dóbr osobistych osób, których dane dotyczą, lub innych osób.
Jako trafne należy uznać wskazanie przez Komendanta Głównego Policji orzecznictwa Naczelnego Sądu Administracyjnego oraz Wojewódzkiego Sądu Administracyjnego w Warszawie. Jak wskazuje bowiem Wojewódzki Sąd Administracyjny w Warszawie w uzasadnieniu wyroku z dnia 10 marca 2011 r., (sygn. akt II SA/Wa 1885/10), "przepis art. 20 ust. 2a ustawy o Policji stanowi lex specialis w stosunku do art. 33 ust. 1 ustawy o ochronie danych osobowych. Policja może przetwarzać dane osobowe m.in. osób podejrzanych o popełnienie przestępstw nie tylko bez ich zgody, ale, co istotne w sprawie, bez ich wiedzy. Owo ustawowe ograniczenie prawa obywatelskiego do uzyskania wiedzy na temat informacji posiadanych o nim przez Policję wynika z konieczności ograniczenia dostępu do informacji mogących chociażby pośrednio ujawnić metody operacyjne Policji, tj. źródła informacji o przestępstwach, powiązania środowisk przestępczych, itp. To z kolei usprawiedliwia przetwarzanie danych osobowych osób, o których mowa w art. 20 ust. 2a ustawy o Policji, bez ich wiedzy ”.
Powyższy pogląd uzyskał aprobatę Naczelnego Sądu Administracyjnego, który rozpatrując skargę kasacyjną w powyższej sprawie, w wyroku z 19 grudnia 2011 r. (sygn. akt. I OSK 1100/11) wskazał, że „Sąd I instancji jedynie co do art. 33 u.o.d.o. uznał, że przepis ten ustępuje wobec lex specialis jakim jest art. 20 ust. 2a ustawy o Policji i Naczelny Sąd Administracyjny w pełni podziela pogląd wyrażany w tym zakresie w uzasadnieniu zaskarżonego wyroku co do art. 26 ust. 1 i 27 ust. 2pkt 2 u.o.d.o.
Nie sposób zatem podzielić zarzutu Skarżącego o naruszeniu wskazanej normy konstytucyjnej przez Komendanta Głównego Policji. Mając bowiem na względzie przytoczone wyżej orzecznictwo, należy uznać, że w przedmiotowej sprawie spełnione zostały przesłanki określone w art. 51 ust. 3 Konstytucji RP. Dostęp do przedmiotowej informacji został ograniczony na poziomie ustawowym poprzez przytoczony już wcześniej art. 20a ustawy o Policji, który stanowi lex specialis do art. 33 u.o.d.o.
Linia orzecznicza w przedmiotowym zakresie była kontynuowana w wyroku Wojewódzkiego Sądu Administracyjnego w Warszawie z 10 stycznia 2014 r. (sygn. akt II SA/Wa 1648/13), w którym Sąd jasno wskazuje, że „art. 20 ust. 2a ustawy o Policji, stanowi lex specialis w stosunku do art. 33 ustawy o ochronie danych osobowych.. Skoro bowiem ustawodawca zezwolił Policji na gromadzenie i przetwarzanie danych osobowych nawet bez wiedzy osób, których dane te dotyczą, to nieracjonalnym byłoby założenie, że jednocześnie zobowiązuje Policję do informowania tych osób o okolicznościach opisanych w art. 32 ust. 1 pkt 1-5a ustawy o ochronie danych osobowych. Pomiędzy wyżej opisanymi unormowaniami występuje bowiem wzajemna sprzeczność ”.
W obliczu przytoczonych wyżej wyroków nie można zatem się zgodzić również z twierdzeniami Skarżącego, że art. 20a ust. 2a ustawy o Policji wprowadza ograniczenie obowiązku informacyjnego administratora jedynie w zakresie obowiązku informowania o zbieraniu danych. Stoją one bowiem w sprzeczności z przytoczonym wyżej orzecznictwem, które daje jasną wykładnię, że wyłączenie stosowania dotyczy również art. 32 ust. 1 pkt 1-5a u.o.d.o.
Odnosząc się natomiast do twierdzenia Skarżącego, że przepisy rozporządzenia wykonawczego dotyczącego KSIP nie wykluczały uprawnienia do żądania wypełnienia obowiązku informacyjnego przez administratora danych zgromadzonych w KSIP w zakresie określonym w art. 33 ust. 1 u.o.d.o., należy zauważyć, że § 16 pkt 9 uchylonego rozporządzenia Ministra Spraw Wewnętrznych z dnia 31 grudnia 2012 r. w sprawie przetwarzania informacji przez Policję (Dz.U.2013.8 z dnia 2013.01.04) stanowił, że administrator zbioru danych zapewnia rejestrację, w formie odpowiedniej do właściwości danego zbioru danych, każdej operacji przetwarzania informacji, w tym danych osobowych, w zakresie wniosków składanych w związku z realizacją praw określonych w art. 32 ust. 1 pkt 6 i art. 33 ustawy o ochronie danych osobowych. Należy zatem stwierdzić, że rzeczony przepis nie nakładał na Komendanta Głównego Policji obowiązku informacyjnego, a jedynie obowiązek rejestracji operacji przetwarzania danych w zakresie składanych wniosków w związku z realizacją wyżej przytoczonych praw.
Tym samym, jak potwierdza orzecznictwo, KSIP jest zbiorem danych o szczególnym charakterze. Wyrazem tego są bez wątpienia przytoczone wyżej przepisy, które uwzględniając te specjalne uwarunkowania, tworzą dla niego specjalne, odrębne ramy prawne na poziomie ustawowym i aktu wykonawczego. Rozróżnia go to od „zwykłego” zbioru danych osobowych przetwarzanych np. w celu marketingowym. Ustawodawca, zgodnie z zasadą demokratycznego państwa prawnego, ogranicza prawo dostępu do niego, nawet osobom, których dane są lub mogą być w nim zawarte. Szczególny charakter danych w nim przetwarzanych, a także cel jakim jest zapewnienie bezpieczeństwa i porządku publicznego wymagają bowiem szczególnego kręgu odbiorców. Stąd też dostęp do powyższego zbioru ma przede wszystkim Policja oraz inne uprawnione organy państwa, zaś przetwarzanie może być poddane kontroli niezawisłego sądu.
Biorąc zatem pod uwagę powyższe, skargę wniesioną przez Skarżącego należy uznać za bezzasadną.
W tym stanie faktycznym i prawnym Prezes Urzędu Ochrony Danych Osobowych rozstrzygnął, jak w sentencji.
Na podstawie art. 127 § 3 KPA od niniejszej decyzji stronie przysługuje prawo do wniesienia wniosku o ponowne rozpatrzenie sprawy w terminie 14 dni od dnia doręczenia decyzji stronie. Jeżeli strona nie chce skorzystać z prawa do złożenia wniosku o ponowne rozpatrzenie sprawy, ma prawo do wniesienia skargi na decyzję do Wojewódzkiego Sądu Administracyjnego w Warszawie w terminie 30 dni od dnia doręczenia jej stronie. Skargę wnosi się za pośrednictwem Prezesa Urzędu Ochrony Danych Osobowych. Wpis od skargi wynosi 200 złotych. Strona ma prawo ubiegania się o prawo pomocy, w tym zwolnienie od kosztów sądowych.