ZSOŚS.440.94.2018
Na podstawie art. 104 § 1 ustawy z dnia 14 czerwca 1960 r. – Kodeks postępowania administracyjnego (Dz. U. z 2018 r. poz. 2096 ze zm.) oraz art. 12 pkt 2, art. 22 i art. 23 ust. 1 pkt 2 ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (Dz. U. z 2016 r. poz. 922 ze zm.) w związku z art. 100 ust. 1 ustawy z dnia 14 grudnia 2018 r. ustawy o ochronie danych osobowych przetwarzanych w związku z zapobieganiem i zwalczaniem przestępczości (Dz. U. z 2019 r. poz. 125) po przeprowadzeniu postępowania administracyjnego w sprawie skargi Pana K. U., zam. w O., na niedopełnienie przez Centralny Organ Techniczny Krajowego Systemu Informatycznego Komendanta Głównego Policji obowiązku informacyjnego, o którym mowa w art. 33 w zw. z art. 32 ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych,
odmawiam uwzględnienia wniosku
Uzasadnienie
W dniu [...] grudnia 2016 r. do Biura Generalnego Inspektora Ochrony Danych Osobowych (obecnie: „Urząd Ochrony Danych Osobowych”) wpłynęła skarga Pana K. U. (zwanego dalej: „Skarżącym”), reprezentowanego przez pełnomocnika, na niedopełnienie przez Centralny Organ Techniczny Krajowego Systemu Informatycznego Komendanta Głównego Policji (zwanego dalej: „COT KSI”) obowiązku informacyjnego, o którym mowa w art. 33 w zw. z art. 32 ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych. Pełnomocnik Skarżącego wskazał, że w dniu [...] września 2016 r. Skarżący skierował wniosek do Komendanta Wojewódzkiego Policji w P. o udzielenie informacji co do treści wpisu zamieszczonego w Systemie Informacyjnym Schengen. Wniosek ten został przekazany, według właściwości, do COT KSI, który pismem z [...] listopada 2016 r. odmówił udzielenia Skarżącemu żądanych informacji, powołując jako podstawę art. 34 ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych, nie uzasadniając przy tym swojego stanowiska. W ocenie pełnomocnika Skarżącego doszło do naruszenia art. 32 ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych poprzez bezpodstawne naruszenie praw Skarżącego do uzyskania wyczerpujących informacji na temat jego danych osobowych, które są przetwarzane w zbiorach danych przez administratora danych. Podniósł on również, że celem wskazanej powyżej normy prawnej jest zagwarantowanie efektywności wykonywania prawa do kontroli przetwarzania danych osobowych, które może dotyczyć m.in. uzyskania informacji o celu, zakresie oraz sposobie przetwarzania danych, o źródle ich pozyskania, a także żądania ich uzupełnienia, sprostowania, wstrzymania ich przetwarzania, czy usunięcia. Ponadto pełnomocnik Skarżącego zwrócił uwagę, że zamieszczenie wpisu w Systemie Informacyjnym Schengen powoduje nadmierną uciążliwość w życiu codziennym Skarżącego, wzmożone kontrole na granicy podczas opuszczania kraju, a także wielokrotne zatrzymania, przeszukania, kontrole drogowe bez uzasadnionych podstaw, zarówno faktycznych jak i prawnych. Taki stan rzeczy prowadzi również do nieuzasadnionych przejawów dyskryminacji wobec Skarżącego.
W toku postępowania zainicjowanego skargą, Prezes Urzędu Ochrony Danych Osobowych uzyskał wyjaśnienia odnośnie okoliczności sprawy, zapoznał się z materiałem dowodowym i dokonał następujących ustaleń.
Pismem z [...] lutego 2017 r. Generalny Inspektor Ochrony Danych Osobowych zwrócił się do Komendanta Głównego Policji o ustosunkowanie się do treści skargi i złożenie pisemnych wyjaśnień. W dniu [...] lutego 2017 r. do Biura Generalnego Inspektora Ochrony Danych Osobowych wpłynęło pismo Zastępcy Dyrektora Biura Wywiadu i Informacji Kryminalnych KGP ([...]), w którym wyjaśnił, że w dniu [...] października 2016 r. do COT KSI, za pośrednictwem I Zastępcy Komendanta Wojewódzkiego Policji w P., wpłynął wniosek Skarżącego w sprawie wyjaśnienia przyczyn wpisu jego danych osobowych do Systemu Informacyjnego Schengen (SIS). W związku z tym dokonano sprawdzenia danych osobowych wnioskodawcy w systemie, w wyniku którego ustalono, że zostały one wpisane na podstawie art. 36 ust. 2 Decyzji Rady 2007/533/WSiSW z dnia 12 czerwca 2007 r. w sprawie utworzenia, funkcjonowania i użytkowania Systemu Informacyjnego Schengen drugiej generacji (SIS II) (Dz.U.UE L 205 z 2007 r.), zwana dalej: „Decyzją Rady”, przez polski organ - Policję. Ponadto Zastępca Dyrektora Biura wskazał, że pismem z [...] października 2016 r. ([...]) zwrócono się do Komendy Wojewódzkiej w P., informując jednocześnie o treści wniosku Skarżącego, z prośbą o weryfikację aktualności wpisu oraz poinformowanie, czy zachodzą przesłanki wymienione w art. 34 ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych, dające podstawę administratorowi danych do odmowy udzielenia informacji wnioskodawcy. W odpowiedzi ww. jednostka policji poinformowała, że dokonała weryfikacji wpisu dotyczącego Skarżącego w SIS, potwierdzając aktualności wpisu i jednocześnie zważywszy na charakter czynności prowadzonych wobec Skarżącego, na podstawie art. 34 ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych odmówiła udzielenia informacji wnioskodawcy. W związku z powyższym COT KSI pismem z [...] listopada 2016 r. udzielił odpowiedzi Skarżącego, zgodnie z powyższym stanowiskiem jednostki policji. W uzupełnieniu Zastępca Dyrektora Biura wskazał, że zważywszy na charakter dokonanego wpisu na podstawie art. 36 Decyzji Rady i związanych z nim faktycznych czynności realizowanych przez służby, należy mieć na uwadze również treść art. 58 ust. 4 Decyzji Rady, który stanowi, iż informacje nie są przekazywane osobie, której dane dotyczą, jeżeli jest to konieczne do realizacji uprawnionych działań w związku z wpisem lub dla ochrony praw i wolności osób trzecich.
Prezes Urzędu Ochrony Danych Osobowych poinformował pismami z [...] grudnia 2018 r. pełnomocnika Skarżącego oraz Komendanta Głównego Policji o przeprowadzeniu postępowania administracyjnego, w wyniku którego został zgromadzony materiał dowodowy wystarczający do wydania decyzji administracyjnej oraz o możliwości wypowiedzenia się co do zebranych dowodów i materiałów oraz zgłoszonych żądań zgodnie z treścią art. 10 § 1 ustawy z dnia 14 czerwca 1960 r. Kodeks postępowania administracyjnego, w terminie 7 dni od dnia otrzymania ww. pism.
W tym miejscu należy wskazać, iż z dniem wejścia w życie ustawy z dnia 10 maja 2018 r. o ochronie danych osobowych, tj. 25 maja 2018 r. Generalny Inspektora Ochrony Danych Osobowych stał się Prezesem Urzędem Ochrony Danych Osobowych. Zgodnie z art. 160 tej ustawy postępowania prowadzone przez Generalnego Inspektora Ochrony Danych Osobowych, wszczęte i niezakończone przed dniem 25 maja 2018 r. prowadzone są przez Prezesa Urzędu Ochrony Danych Osobowych na podstawie ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych zgodnie z zasadami określonymi w k.p.a. Wszelkie czynności podejmowane przez Generalnego Inspektora Ochrony Danych Osobowych przed dniem 25 maja 2018 r. pozostają skuteczne.
W takim stanie faktycznym i prawnym Prezes Urzędu Ochrony Danych Osobowych zważył, co następuje:
Ustawa z dnia 29 sierpnia 1997 r. o ochronie danych osobowych określa zasady postępowania przy przetwarzaniu danych osobowych oraz prawa osób fizycznych, których dane osobowe są lub mogą być przetwarzane w zbiorach danych (art. 2 ust. 1 ustawy). Stosownie do brzmienia art. 7 pkt 2 ustawy pod pojęciem przetwarzania danych rozumieć należy jakiekolwiek operacje wykonywane na danych osobowych, takie jak zbieranie, utrwalanie, przechowywanie, opracowywanie, zmienianie udostępnianie i usuwanie, a zwłaszcza te, które wykonuje się w systemach informatycznych. Każda ze wskazanych w art. 7 pkt 2 ustawy form przetwarzania danych osobowych powinna znaleźć oparcie w jednej z przesłanek warunkujących legalność procesu przetwarzania danych osobowych, enumeratywnie wymienionych w art. 23 ust. 1 ustawy o ochronie danych osobowych. Z uwagi na brzmienie art. 7 Konstytucji Rzeczypospolitej Polskiej z dnia 2 kwietnia 1997 r., zgodnie z którym organy władzy publicznej działają na podstawie i w granicach prawa, na uwadze należy mieć treść art. 23 ust. 1 pkt 2 ustawy o ochronie danych osobowych, który stanowi, iż przetwarzanie danych jest dopuszczalne, gdy jest to niezbędne dla zrealizowania uprawnienia lub spełnienia obowiązku wynikającego z przepisu prawa. Podstawę prawną do przetwarzania danych osobowych przez policję stanowią m.in. przepisy ustawy z dnia 6 kwietnia 1990 r. o Policji (Dz. U. z 2019 r. poz. 161) oraz akty wykonawcze wydane na jej podstawie. Szczególne zaś uprawnienia organów policji w przedmiocie dokonywania wpisów danych osób do SIS w celu przeprowadzania kontroli, czy też niejawnego nadzorowania związanych ze ściganiem przestępstw, zapobieganiem zagrożeniom bezpieczeństwa publicznego oraz dostępu do tych danych uregulowane zostały w art. 3 ust. 6 ustawy z dnia 24 sierpnia 2007 r. o udziale Rzeczypospolitej Polskiej w Systemie Informacyjnym Schengen oraz Wizowym Systemie Informacyjnym (Dz. U. z 2018 r. poz. 2162 ze zm.). Odpowiednie regulacje w tym zakresie zostały zawarte w przepisie art. 36 Decyzji Rady.
Odnosząc się z kolei do uzyskiwania informacji ze zbiorów danych należy wskazać na art. 33 ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych, który stanowi, że na wniosek osoby, której dane dotyczą, administrator danych jest obowiązany, w terminie 30 dni, poinformować o przysługujących jej prawach oraz udzielić, odnośnie do jej danych osobowych, informacji, o których mowa w art. 32 ust. pkt 1-5a ww. ustawy. Korzystanie jednak z tego prawa może podlegać ograniczeniom ze względu na konieczność wypełnienia zgodnego z prawem zadania Policji, bądź ochrony wartości nadrzędnych takich jak: bezpieczeństwa państwa, życia i zdrowia ludzi lub bezpieczeństwa i porządku publicznego. W szczególnych przypadkach prawo może też wykluczać udostępnienie danych w formie pisemnej. Teza ta znajduje odzwierciedlenie w art. 34 ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych stanowiącym kryteria odmowy udzielenia informacji osobie, której dane dotyczą. Mianowicie należą do nich ujawnienie wiadomości zawierających informacje niejawne, zagrożenie dla obronności lub bezpieczeństwa państwa, życia i zdrowia ludzi lub bezpieczeństwa i porządku publicznego, zagrożenie dla podstawowego interesu gospodarczego lub finansowego państwa, istotne naruszenie dóbr osobistych osób, których dane dotyczą, lub innych osób. Zasadniczo odmowa bądź ograniczenie korzystania z ww. prawa powinna być uzasadniona na piśmie, chyba, że jest to niezbędne dla wypełnienia zgodnego z prawem zadania Policji, bądź konieczne względu na wartości szczególnie chronione. Odstąpienie od podania przyczyny odmowy może nastąpić jedynie z tych samych powodów, które uzasadniają odmowę bądź ograniczenie prawa dostępu. Istotne jest przy tym jest dokonanie oceny wagi praw podmiotu danych w odniesieniu do wspomnianych nadrzędnych interesów.
Zgodnie z wyrażonym przez Trybunał Konstytucyjny stanowiskiem - przyczyną dla której prawa jednostki mogą być ograniczane, jest ochrona dobra wspólnego, a w szczególności - wzgląd na potrzeby bezpieczeństwa i obronności kraju. Ochrona bezpieczeństwa państwa jest zatem szczególną wartością, w zderzeniu z którą prawa jednostki, nawet prawa podstawowe, mogą być – w niezbędnym zakresie - ograniczane. Dopuszczalność ograniczeń podyktowanych takimi względami jest zaś powszechnie przyjęta w państwach demokratycznych (wyrok TK z 16 lutego 1999 r. w sprawie SK 11/98, OTK z 1999 r., cz. I, poz. 5).
W niniejszej sprawie Skarżący skierował do Komendanta Wojewódzkiego Policji w P. żądanie, które można zakwalifikować jako realizowanie prawa do kontroli przetwarzanych przez ten organ danych, mające postać wniosku o ich udostępnienie w powszechnie zrozumiałej formie (art. 32 ust. 1 pkt 5 ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych). Pismo to zostało według właściwości przekazane do COT KSI, który po uzyskaniu wyjaśnień Komendanta Wojewódzkiego Policji, odmówił udzielenia żądanych informacji na podstawie art. 34 ww. ustawy, odstępując jednocześnie od uzasadnienia swojego stanowiska. Takie działanie należy uznać za prawidłowe biorąc pod uwagę treść przepisu art. 34 ww. ustawy oraz szczególny charakter czynności prowadzonych wobec Skarżącego przez organy Policji, wchodzących w zakres ich zadań ustawowych. Regulacja ustawowa znajduje także odzwierciedlenie w art. 58 ust. 1 i 4 Decyzji Rady, który wskazuje, że prawo osób dostępu do danych, które ich dotyczą, wprowadzonych do SIS wykonywane jest zgodnie z prawem państwa członkowskiego, a jego ograniczenia wynikają z konieczności realizacji uprawnionych działań w związku z wpisem lub dla ochrony praw i wolności osób trzecich.
Ponadto należy zaznaczyć, że Prezes Urzędu Ochrony Danych Osobowych uprawniony jest do badania, czy zachowane zostały przepisy do dokonania tego wpisu, czy przetwarzanie i wykorzystywanie danych nie narusza praw osób, których te dane dotyczą, nie może natomiast kontrolować uwarunkowań, które zdecydowały o umieszczeniu danych w określonym zbiorze. W rozpatrywanej sprawie dane Skarżącego zostały wpisane do SIS na podstawie art. 36 Decyzji Rady – do celów kontroli szczególnej w celu zapobiegania zagrożeniu bezpieczeństwa publicznego.
Mając powyższe na względzie należy stwierdzić, że sposób postępowania administratora danych w omawianym zakresie nie budzi wątpliwości. Odmowa udzielenia Skarżącemu informacji przez administratora danych znajdowała oparcie w przepisach prawa.
W tym stanie faktycznym i prawnym Prezes Urzędu Ochrony Danych Osobowych rozstrzygnął, jak w sentencji.
Niezależnie od powyższego rozstrzygnięcia informuję, że z dniem 6 lutego 2019 r. przetwarzanie danych osobowych przez właściwe organy w celu rozpoznawania, zapobiegania, wykrywania i zwalczania czynów zabronionych, w tym zagrożeń dla bezpieczeństwa i porządku publicznego, a także wykonywania tymczasowego aresztowania, kar, kar porządkowych i środków przymusu skutkujących poddane zostało regulacji ustawy z dnia 14 grudnia 2018 r. o ochronie danych osobowych przetwarzanych w związku z zapobieganiem i zwalczaniem przestępczości (Dz.U. z 2019 r. poz. 125).
Od wydanej decyzji stronie przysługuje prawo do wniesienia skargi do Wojewódzkiego Sądu Administracyjnego w Warszawie w terminie 30 dni od dnia doręczenia jej stronie. Skargę wnosi się za pośrednictwem Prezesa Urzędu Ochrony Danych Osobowych (adres: ul. Stawki 2, 00-193 Warszawa). Wpis od skargi wynosi 200 złotych. Strona ma prawo ubiegania się o prawo pomocy, w tym zwolnienie od kosztów sądowych.