Decyzja

Na podstawie art. 104 § 1 ustawy z dnia 14 czerwca 1960 r. Kodeks postępowania administracyjnego (Dz. U. z 2018 r. poz. 2096 ze zm.) oraz art. 12 pkt 2, art. 22 i art. 23 ust. 1 pkt 2 ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (Dz. U. z 2016 r. poz. 922 ze zm.) w związku z art. 100 ustawy z dnia 14 grudnia 2018 r. o ochronie danych osobowych przetwarzanych w związku z zapobieganiem i zwalczaniem przestępczości (Dz. U. z 2019 r. poz. 125), po przeprowadzeniu postępowania administracyjnego w sprawie skargi Pana R. K. ( zam.  ul. [...]) na nieprawidłowości w procesie przetwarzania jego danych osobowych przez Komendanta Głównego Policji w Krajowym Centrum Informacji Kryminalnych (KCIK) (Komenda Główna Policji, ul. Puławska 148/150, 02-624 Warszawa),

odmawiam uwzględnienia wniosku

Uzasadnienie

Do Urzędu Ochrony Danych Osobowych wpłynęła skarga Pana R. K. (dalej jako: „Skarżący”), na przetwarzanie jego danych osobowych w Krajowym Centrum Informacji Kryminalnych (KCIK) przez Komendanta Głównego Policji (dalej jako: „Komendant Główny”).

W treści ww. skargi Skarżący zwrócił się z prośbą, aby organ nadzorczy nakazał Komendantowi Głównemu Policji usunięcie ich danych z KCIK.

Na wstępie należy wskazać, iż z dniem wejścia w życie ustawy z dnia 10 maja 2018 r. o ochronie danych osobowych, tj. 25 maja 2018 r., Generalny Inspektor Ochrony Danych Osobowych stał się Prezesem Urzędu Ochrony Danych Osobowych (dalej „Prezes UODO”). Zgodnie zaś z art. 100 ustawy z dnia 14 grudnia 2018 r. o ochronie danych osobowych przetwarzanych w związku z zapobieganiem i zwalczaniem przestępczości (Dz. U. z 2019 r. poz. 125), postępowania prowadzone przez Prezesa UODO, wszczęte i niezakończone przed dniem wejścia tej ustawy w życie, prowadzone są na podstawie przepisów dotychczasowych, tj. przepisów ustawy  z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (Dz. U. z 2016 r. poz. 922 ze zm.).

W toku postępowania zainicjowanego skargą, Prezes Urzędu Ochrony Danych Osobowych uzyskał wyjaśnienia odnośnie okoliczności sprawy, zapoznał się z materiałem dowodowym i dokonał następujących ustaleń.

Pismami z [...] października 2018 r. Prezes Urzędu Ochrony Danych Osobowych poinformował Skarżącego oraz Komendanta Głównego o wszczęciu postępowania wyjaśniającego w sprawie oraz zwrócił się do tegoż organu o ustosunkowanie się do treści skargi i złożenie pisemnych wyjaśnień.

Tytułem wyjaśnień Komendant Główny poinformował, iż Skarżący wnioskiem z [...] września 2017 r. zwrócił się o usunięcie jego danych m.in. z baz danych KCIK. Pismem z [...] października 2017 r. ([...]) Szef Krajowego Centrum Informacji Kryminalnych udzielił odpowiedzi Skarżącemu jednocześnie wskazując Skarżącemu podstawy prawne przetwarzania danych osobowych przez Policję w tym systemie, a mianowicie przepisy ustawy z dnia 6 lipca 2001 r. o gromadzeniu, przetwarzaniu i przekazywaniu informacji kryminalnych (Dz. U. z 2015 poz. 1930 z późn. zm., dalej zwana: „ustawą o KCIK”).

Dodatkowo w odpowiedzi zwrócono uwagę na treść art. 2, art. 14 ust. 1, art. 16 ust. 1, art. 19 oraz art. 25 cytowanej powyżej ustawy.

Prezes Urzędu Ochrony Danych Osobowych poinformował pismami z [...] kwietnia 2019 r. Skarżącego oraz Komendanta Głównego Policji o przeprowadzeniu postępowania administracyjnego, w wyniku którego został zgromadzony materiał dowodowy wystarczający do wydania decyzji administracyjnej oraz o możliwości wypowiedzenia się co do zebranych dowodów i materiałów oraz zgłoszonych żądań zgodnie z treścią art. 10 § 1 ustawy z dnia 14 czerwca 1960 r. Kodeks postępowania administracyjnego, w terminie 7 dni od dnia otrzymania ww. pism.

Do dnia wydania przedmiotowej decyzji żadna ze stron nie ustosunkowała się do zebranego w sprawie materiału dowodowego.  

W takim stanie faktycznym i prawnym Prezes Urzędu Ochrony Danych Osobowych zważył, co następuje:

Podstawę prawną do przetwarzania przez Komendanta Głównego danych osobowych w KCIK, stanowią przede wszystkim przepisy wspomnianej powyżej ustawy o KCIK. Zgodnie z art. 2 ust. 1 ustawy, „na zasadach określonych w ustawie informacje kryminalne przetwarza się w celu wykrywania i ścigania sprawców przestępstw oraz zapobiegania i zwalczania przestępczości”. Z brzmienia powyżej powołanego przepisu wynika, że przetwarzanie informacji kryminalnych jest obligatoryjne, a obowiązek w rzeczonym zakresie realizuje, na podstawie art. 5 ust. 1 i art. 6 ustawy o KCIK, Komendant Główny. Krajowe Centrum Informacji Kryminalnej zostało powołane w strukturze Komendy Głównej Policji w celu gromadzenia, przetwarzania i przekazywania informacji kryminalnych; prowadzenia baz danych oraz określania warunków organizacyjnych i technicznych sposobów prowadzenia takich baz; opracowywania analiz informacji kryminalnych; zapewniania bezpieczeństwa gromadzonych i przetwarzanych danych na zasadach określonych w ustawie o ochronie danych osobowych oraz w ustawie z 5 sierpnia 2010 r. o ochronie informacji niejawnych (Dz. U. z 2019 r. poz. 742). Krajowe Centrum Informacji Kryminalnej może gromadzić, przetwarzać i przekazywać informacje kryminalne jedynie w celu zapobiegania i zwalczania przestępczości (art. 2 ust. 1 ustawy o KCIK). Ponadto procesy te odbywają się na zasadach określonych w ustawie o KCIK i bez wiedzy osób, których informacje dotyczą (art. 2 ust. 2 ustawy o KCIK).

W tym miejscu należy również zwrócić uwagę na zadania, które powierzono Policji, a są to między innymi: ochrona życia i zdrowia ludzi, mienia, przed bezprawnymi atakami naruszającymi te dobra, ochrona bezpieczeństwa i porządku publicznego, inicjowanie i organizowanie działań prewencyjnych, mających na celu zapobieganie popełnieniu przestępstwa i wykroczeń oraz wykrywanie przestępstw i wykroczeń oraz ściganie ich sprawców. W celu realizacji powyższych zadań istotnym pozostaje możliwość gromadzenia i przetwarzania danych osobowych bez wiedzy i zgody osoby, której dane dotyczą. Dodatkowo art. 2 ust. 1 ustawy o KCIK podkreśla,  że informacje te mogą być przetwarzane jedynie w celu zwalczania i zapobiegania przestępczości. Należy więc zgodzić się z Wojewódzkim Sądem Administracyjnym w Warszawie, który w wyroku z dnia 10 stycznia 2014 r. (sygn. akt II SA/Wa 1648/13) stwierdził, iż brak niniejszych atrybutów pozbawiłaby Policję „(...) jednego z instrumentów, umożliwiających jej realną dbałość o bezpieczeństwo i porządek publiczny. To zaś utrudniałoby, a niekiedy wręcz uniemożliwiałoby Państwu Polskiemu prawidłowe wywiązywanie się wobec obywateli, z obowiązków opisanych w Konstytucji RP (...) Doszłoby więc w efekcie do podporządkowywania wartości wyższej, jaką jest dobro ogółu obywateli, wartości niższej wagi, jaką jest prawo jednostki do ochrony jej danych osobowych.

W przedmiotowej sprawie na uwadze należy również mieć treść art. 23 ust. 1 pkt 2 ustawy o ochronie danych osobowych, który stanowi, iż przetwarzanie danych jest dopuszczalne, gdy jest to niezbędne dla zrealizowania uprawnienia lub spełnienia obowiązku wynikającego z przepisu prawa. Podstawę prawną do przetwarzania danych osobowych osób, wobec których były prowadzone postępowania przez organy Policji, stanowi art. 20 ust. 1 ustawy o Policji, zgodnie z którym Policja, z zachowaniem ograniczeń wynikających z art. 19, może uzyskiwać informacje, w tym także niejawnie, gromadzić je, sprawdzać oraz przetwarzać. Policja może pobierać, uzyskiwać, gromadzić, przetwarzać i wykorzystywać w celu realizacji zadań ustawowych informacje, w tym dane osobowe - o osobach podejrzanych o popełnienie przestępstw ściganych z oskarżenia publicznego - także bez ich wiedzy i zgody (ust. 2a).

Ponadto wyjaśniono, iż na podstawie art. 14 ust. 1 ustawy o KCIK informacje kryminalne są przechowywane w bazach KCIK przez okres 15 lat. Przesłanki usuwania informacji z baz danych KCIK określa art. 25 ustawy o KCIK, zgodnie z którym informacje kryminalne podlegają usunięciu z baz danych, jeżeli: 1) ich gromadzenie jest zabronione; 2) zarejestrowane informacje kryminalne okazały się nieprawdziwe; 3) ustal cel ich gromadzenia; 4) upłyną okresy, o których mowa w art. 14 ust. 1-3; 5) jest to uzasadnione ze względu na bezpieczeństwo państwa lub jego obronność albo mogą spowodować identyfikację osób udzielających pomocy przy wykonywaniu czynności operacyjno-rozpoznawczych prowadzonych przez upoważnione do tego podmioty uprawnione. Podmiot, który przekazał informacje kryminalne dokonuje ich usunięcia, jeśli została spełniona jedna z przesłanek wyrażona w art. 25 pkt 1 - 3 lub 5 ustawy o KCIK. W przedstawionych wyjaśnieniach, Komendant Główny wyjaśnił, iż odpowiedź jaką otrzymał skarżący na złożony wniosek została udzielona na podstawie obowiązujących w tym okresie przepisów prawa. Wobec tego, że ustawa o KCIK stanowi lex specialis wobec norm określonych w art. 25, art. 32, art. 33 i art. 35 ustawy o ochronie danych osobowych, to Komendant Główny Policji jako Szef Krajowego Centrum Informacji Kryminalnych nie jest obowiązany do informowania osoby, której dane osobowe może gromadzić i przetwarzać, o fakcie przetwarzania tych danych jak również o zakresie przetwarzania, czy też udostępniania tych danych, bowiem jest to uzasadnione przypisanymi Szefowi Krajowego Centrum Informacji Kryminalnych zadaniami ustawowymi oraz celami gromadzenia i przetwarzania informacji kryminalnych w bazach danych KCIK - zapobiegania i zwalczania przestępczości. Jak słusznie podniósł Komendant Główny Policji, jako Szef Krajowego Centrum Informacji Kryminalnych nie jest obowiązany do informowania osoby, której dane osobowe może gromadzić i przetwarzać, o fakcie przetwarzania tych danych jak również o zakresie przetwarzania, czy też udostępniania tych danych, bowiem jest to uzasadnione przypisanymi Szefowi Krajowego Centrum Informacji Kryminalnych zadaniami ustawowymi oraz celami gromadzenia i przetwarzania informacji kryminalnych w bazach danych KCIK tj. zapobiegania i zwalczania przestępczości.

W rozpatrywanej sprawie należy mieć także na względzie regulacje rozporządzenia Ministra Spraw Wewnętrznych i Administracji z dnia 23 sierpnia 2018 r. w sprawie przetwarzania informacji przez Policję (Dz. U. 2018 r. poz. 1636). W § 4 ww. rozporządzenia określony został tryb gromadzenia informacji, w tym danych osobowych, a także procedury zapewniające pobieranie, gromadzenie, uzyskiwanie informacji oraz organizację zbiorów w sposób umożliwiający kontrolę dostępu do zbiorów i nadzór nad przetwarzaniem informacji. Jednocześnie zgodnie z § 27 ust. 1 rozporządzenia dostęp do wskazanych danych jest ściśle reglamentowany, co oznacza, iż ogranicza się do osób uprawnionych, wskazanych w tym przepisie. Ponadto zgodnie z ust. 2 tego przepisu informacje, w tym dane osobowe zgromadzone w zbiorach danych udostępniane są wyłącznie osobom uprawnionym, co świadczy jednocześnie, jak wspomniano powyżej, o niepowszechnym charakterze tego zbioru, który służy realizowaniu ustawowych zadań Policji.

Powyższa argumentacja znajduje uzasadnienie w wyroku Naczelnego Sądu Administracyjnego z 21 kwietnia 2017 r. (sygn. akt I OSK 2426/15) oraz w wyroku Trybunału Konstytucyjnego z 12 grudnia 2005 r. o sygn. akt K 32/04 (publ. OTK-A 2005/11/132), w którym stwierdzono, że przepis art. 20 ust. 17 ustawy o Policji nie przewiduje usuwania ze zbiorów danych zebranych o osobach podejrzanych o popełnienie przestępstw ściganych z oskarżenia publicznego, które zostały prawomocnie uniewinnione bądź wobec których postępowanie karne zostało prawomocnie bezwarunkowo umorzone, niezwłocznie po uprawomocnieniu się stosownego orzeczenia. Prawomocne uniewinnienie konkretnej osoby lub bezwarunkowe umorzenie postępowania karnego wobec konkretnej osoby nie przesądza o tym, czy zgromadzone dane mogą zawierać informacje przydatne dla realizacji ustawowych zadań Policji wobec innych osób. Mając na uwadze powyższe, należy stwierdzić, iż dane osobowe Skarżącego są przetwarzane w sposób legalny przez organy Policji w bazie KCIK. Organy Policji oceniają przydatność zebranych danych, co implikuje pozostawienie w rzeczonym systemie danych Skarżącego. Natomiast, jeśli dane o osobie zawarte w zbiorze stają się nieprzydatne do celów prewencyjnych, dowodowych czy wykrywczych, to organ Policji może zdecydować o ich usunięciu w wyniku oceny, o której mowa w § 29 rozporządzenia Ministra Spraw Wewnętrznych i Administracji z dnia 24 sierpnia 2018 r, w sprawie przetwarzania informacji przez Policję.

Wobec powyższego stwierdzić należy, iż sposób postępowania Policji w omawianym zakresie nie budzi wątpliwości, a skarga Skarżącego we wskazanym zakresie nie zasługuje na uwzględnienie.

W tym stanie faktycznym i prawnym Prezes Urzędu Ochrony Danych Osobowych rozstrzygnął, jak w sentencji.

Od decyzji przysługuje stronie prawo do wniesienia skargi na decyzję do Wojewódzkiego Sądu Administracyjnego w Warszawie, w terminie 30 dni od dnia doręczenia jej stronie. Skargę wnosi się za pośrednictwem Prezesa Urzędu (adres: ul. Stawki 2, 00-193 Warszawa). Wpis od skargi wynosi 200 złotych. Strona ma prawo ubiegania się o prawo pomocy, w tym zwolnienie od kosztów sądowych.