II SA/Wa 627/13
Wyrok
Wojewódzki Sąd Administracyjny w Warszawie
2013-10-02Nietezowane
Artykuły przypisane do orzeczenia
Do tego artykulu posiadamy jeszcze 13 orzeczeń.
Kup dostęp i zobacz, do jakich przepisów odnosi się orzeczenie. Znajdź inne potrzebne orzeczenia.
Skład sądu
Adam Lipiński
Andrzej Kołodziej /przewodniczący/
Olga Żurawska-Matusiak /sprawozdawca/Sentencja
Wojewódzki Sąd Administracyjny w Warszawie w składzie następującym: Przewodniczący Sędzia WSA Andrzej Kołodziej, Sędziowie WSA Adam Lipiński, Olga Żurawska-Matusiak (spr.), Protokolant Referent stażysta Małgorzata Ciach, po rozpoznaniu na rozprawie w dniu 2 października 2013 r. sprawy ze skargi Komendanta [...] Policji na decyzję Generalnego Inspektora Ochrony Danych Osobowych z dnia [...] lutego 2013 r. nr [...] w przedmiocie nakazu wyeliminowania nieprawidłowości w procesie przetwarzania danych osobowych 1. uchyla zaskarżoną decyzję oraz poprzedzającą ją decyzję z dnia [...] września 2012 r. nr [...], 2. stwierdza, że zaskarżona decyzja nie podlega wykonaniu w całości.
Uzasadnienie
Generalny Inspektor Ochrony Danych Osobowych decyzją z [...] lutego 2013 r., nr [...] , wydaną na podstawie art. 138 § 1 pkt 2 K.p.a., art. 12 pkt 2, art. 18 ust. 1 pkt 6, art. 22 w związku z art. 26 ust. 1 pkt 4, art. 27 ust. 2 pkt 2 ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (Dz. U. z 2002 r. Nr 101, poz. 926 ze zm.) oraz w związku z art. 20 ust. 1, 2a i 2b ustawy z dnia
6 kwietnia 1990 r. o Policji (Dz. U. z 2007 r. Nr 43, poz. 277 ze zm.), uchylił własną decyzję z [...] września 2012 r., nr [...] i nakazał Komendantowi [...] Policji, usunięcie uchybień w procesie przetwarzania danych osobowych J. S. poprzez usunięcie jego danych osobowych z Krajowego Systemu Informacyjnego Policji w zakresie danych wprowadzonych do tego zbioru w ramach postępowania karnego prowadzonego w sprawie popełnionego [...] maja 2010 r. przez J. S. czynu wypełniającego znamiona przestępstwa określonego w art. 158 § 1 K. k.
Do wydania powyższej decyzji doszło w następującym stanie faktycznym i prawnym:
J. S. złożył do Generalnego Inspektora Ochrony Danych Osobowych skargę, dotyczącą przetwarzania jego danych osobowych przez Komendanta [...] Policji w Krajowym Systemie Informacyjnym Policji (KSIP). Skarżący zwrócił się o zbadanie legalności przetwarzania jego danych osobowych oraz o nakazanie Komendantowi [...] Policji niezwłocznego usunięcia jego danych osobowych z KSIP.
W toku postępowania administracyjnego, przeprowadzonego w niniejszej sprawie, organ Ochrony Danych Osobowych ustalił, iż:
1. Wyrokiem z [...] lipca 2011 r. Sąd Rejonowy w [...] , w sprawie o sygn. [...], warunkowo umorzył wobec J. S. postępowanie karne o czyn z art. 158 § 1 K.k.
2. W związku z prowadzeniem przez Policję przedmiotowego postępowania dane J. S. w zakresie danych wskazanych w art. 20 ust. 2b ustawy o Policji, zostały umieszczone w KSIP, na podstawie art. 20 ust. 2a ustawy o Policji oraz rozporządzenia Ministra Spraw Wewnętrznych i Administracji w sprawie przetwarzania przez Policję informacji o osobach.
3. Pismem z 19 października 2011 r. J. S. zwrócił się do Komendanta Powiatowego Policji w [...] o usunięcie jego danych z KSIP. W odpowiedzi na powyższe Naczelnik Wydziału Kryminalnego Komendy Powiatowej Policji w [...] pismem z 25 października 2011 r. odmówił usunięcia danych skarżącego z tego zbioru.
4. Skarżący ponowił swoją prośbę o usunięcie jego danych z KSIP pismem
z 9 listopada 2011 r. skierowanym do Komendanta Wojewódzkiego Policji w [...] , który przekazał przedmiotowy wniosek celem merytorycznego rozpatrzenia Komendzie [...] Policji.
Komendant [...] Policji pismem z 16 grudnia 2011 r. wskazał J. S., iż przychyla się do stanowiska podjętego w niniejszej sprawie przez Komendanta Powiatowego Policji w [...] oraz poinformował go o podstawach prawnych dalszego przetwarzania jego danych w KSIP.
5. W wyjaśnieniach złożonych przed Generalnym Inspektorem Ochrony Danych Osobowych Komendant [...] Policji powołał się na argumentację przedstawioną w piśmie przekazującym skargę J. S. Generalnemu Inspektorowi Ochrony Danych Osobowych jako organowi właściwemu do jej rozpoznania. Wskazał, że J. S. popełnił przestępstwo umyślne stosunkowo niedawno – 2 lata temu, a ponadto naruszył normy chroniące zdrowie i życie człowieka, zatem nie można wykluczyć możliwości popełnienia przez niego kolejnego czynu przestępczego w przyszłości. Powyższe stanowi negatywną przesłankę do usunięcia jego danych z KSIP. Komendant [...] Policji podkreślił również, iż KSIP nie jest rejestrem osób skazanych czy też ukaranych, ale rejestrem służącym do przetwarzania danych o wszczętych i prowadzonych przez Policję postępowaniach bez względu na sposób ich zakończenia. Ponadto wskazał, że ewentualne warunkowe umorzenie postępowania (po upływie stosownego okresu próby), umorzenie postępowania (z wyłączeniem umorzenia z powodu brak znamion czynu zabronionego) czy zatarcie skazania (uznanie za niebyłe) nie wpływa na fakt przetwarzania danych przez Policję, bowiem zbiór ten nie jest rejestrem skazanych.
Generalny Inspektor Ochrony Danych Osobowych decyzją z [...] września 2012 r. nr [...] nakazał Komendantowi [...] Policji usunięcie uchybień w procesie przetwarzania danych osobowych J. S. poprzez usunięcie jego danych wskazanych w art. 20 ust. 2b ustawy o Policji wprowadzonych do tego zbioru w ramach postępowania karnego prowadzonego w sprawie popełnionego w 2011 r. przez J. S. czynu wypełniającego znamiona przestępstwa określonego w art. 158 § 1 K.k.
We wniosku o ponowne rozpatrzenie sprawy zakończonej powyższą decyzją Komendant [...] Policji wniósł o jej uchylenie, zarzucając naruszenie przepisów prawa materialnego, tj. art. 20 ust. 2a, ust. 17 i ustawy o Policji, poprzez odstąpienie od ich zastosowania jako przepisów szczególnych i przyjęcie jako podstawę rozstrzygnięcia art. 26 ust. 1 pkt 4 ustawy o ochronie danych osobowych. Nadto zarzucono naruszenie art. 20 ust. 2a i 2b poprzez błędną wykładnię lub niewłaściwe zastosowanie.
W uzasadnieniu zwrócono uwagę na niespójność rozstrzygnięcia decyzji względem jej uzasadnienia. Rozwijając powyższe stanowisko skarżący wskazał, że organ nakazał usunąć dane osobowe J. S. w zakresie danych wskazanych art. 20 ust. 2b ustawy o Policji, nie odnosząc się jednocześnie do pozostałych danych, które Policja mogła zgromadzić i przetwarzać. Wskazał, że z uzasadnienia decyzji wynika, iż organ kontestuje zasadność dalszego przetwarzania danych osobowych J. S. w całości, w żaden sposób nie odnosząc się do kwestii ograniczonego jedynie do art. 20 ust. 2 b ustawy o Policji zakresu.
Ponadto skarżący podniósł, że Generalny Inspektor pominął okoliczności, iż przepisy ustawy o Policji, na podstawie których przetwarzane są dane osobowe w KSIP, stanowią lex specialis w stosunku do ustawy o ochronie danych osobowych i tylko one znajdują zastosowanie w omawianej sprawie. Dodatkowo zaznaczono, że informacja jest usuwana ze zbiorów policyjnych wówczas, gdy dokonywana periodycznie aktualna ocena kryminologiczna wyklucza możliwość popełnienia w przyszłości czynu zabronionego przez osobę, której informacja dotyczy. Jednocześnie wskazano, iż nie jest możliwa antycypacja indywidualnej oceny (prognozy) kryminologicznej na podstawie precyzyjnych kryteriów. Z istoty rzeczy ocena ta musi być oparta o nieostre kryteria i jest w pełni kompetentna tylko w momencie jej dokonywania.
Generalny Inspektor Ochrony Danych Osobowych decyzją z [...] lutego 2013 r., nr [...] uchylił własną decyzję z [...] września 2012 r. w całości i nakazał Komendantowi [...] Policji, usunięcie uchybień w procesie przetwarzania danych osobowych J. S. poprzez usunięcie jego danych osobowych z Krajowego Systemu Informacyjnego Policji w zakresie danych wprowadzonych do tego zbioru w ramach postępowania karnego prowadzonego w sprawie popełnionego [...] maja 2010 r. przez J. S. czynu wypełniającego znamiona przestępstwa określonego w art. 158 § 1 K.k.
W uzasadnieniu rozstrzygnięcia organ przywołał treść art. 51 ust. 1, 3, 5 Konstytucji RP oraz art. 7 pkt 2, art. 23 ust. 1, art. 26 oraz art. 27 ust. 1 i 2 ustawy o ochronie danych osobowych. Poddał także analizie treść art. 20 ust. 1, 2a, 2b i ust. 17 ustawy o Policji oraz § 1 pkt 1-4 oraz § 11 ust. 1-3 rozporządzenia z dnia 5 września 2007 r. w sprawie przetwarzania przez Policję informacji o osobach. Wskazał, że przepisami prawa, które regulują przetwarzanie danych osobowych przez Policję są przepisy ustawy o Policji. Przepisy te regulują kwestię przetwarzania danych osobowych, których usunięcia żądał J. S. i w związku z art. 27 ust. 2 pkt 2 ustawy o ochronie danych osobowych stanowią samodzielną przesłankę przetwarzania tych danych.
Generalny Inspektor odnosząc się do zarzutu Komendanta [...] Policji zawartego w ww. wniosku o ponowne rozpatrzenie niniejszej sprawy dotyczącego tego, że Generalny Inspektor Ochrony Danych Osobowych nie stwierdził w jakim w zakresie Komendant [...] Policji przetwarza informacje określone w art. 20 ust. 2b ustawy o Policji dotyczące skarżącego oraz nie ustalił, które konkretnie dane jako nieprawidłowo przetwarzane podlegają usunięciu, tzn. które z informacji wskazanych w art. 20 ust. 2b ustawy o Policji Komendant [...] Policji przetwarza z naruszeniem przepisów o ochronie danych osobowych, częściowo przychylił się do tego zarzutu.
Organ wskazał, że w niniejszym postępowaniu nie ustalono jakie konkretnie z informacji wskazanych w art. 20 ust. 2b ustawy o Policji dotyczące J. S., a wprowadzone do KSIP w związku z popełnieniem przez niego czynu określonego w art. 158 § 1 K.k., są w KSIP przetwarzane. Generalny Inspektor Ochrony Danych Osobowych co do ww. ustaleń przyjął bowiem za Komendantem [...] Policji, iż są to dane określone w art. 20 ust. 2b ustawy o Policji, nie czyniąc dodatkowych ustaleń w tym zakresie. W ocenie Generalnego Inspektora Ochrony Danych Osobowych dla rozstrzygnięcia sprawy nie było istotne, które konkretnie dane ujęte w dyspozycji przepisu art. 20 ust. 2b ustawy o Policji, dotyczące skarżącego, są przetwarzane w niniejszej sprawie, gdyż jego zdaniem istotnym był fakt, że aktualnie nadal są przetwarzane dane J. S. wprowadzone do zbioru KSIP w związku z popełnionym przez niego czynem, co zostało przez Komendanta [...] Policji przyznane, natomiast nie powinno to mieć miejsca i winny one zostać usunięte w całości. Zatem nie było istotne, jakie dane spośród wymienionych w art. 20 ust. 2b ustawy o Policji się tam znajdują, gdyż nie powinno ich być w ogóle. Nie mniej jednak faktem jest, iż Generalny Inspektor Ochrony Danych Osobowych nie poczynił ustaleń w tym zakresie i z tego wyłącznie względu nakaz zawarty w ww. zaskarżonej decyzji jest wadliwy, bowiem co do zasady nakaz zawarty w decyzji, by mógł zostać wykonany musi być zrozumiały, czytelny i konkretny. Dlatego też, w celu uniknięcia jakichkolwiek wątpliwości interpretacyjnych, zaskarżona decyzja została uchylona w całości, a następnie zmieniono sformułowany nakaz o tyle, że organ nakazał usunięcie danych J. S. wprowadzonych do zbioru w ramach postępowania karnego prowadzonego w sprawie popełnionego [...] maja 2010 r. przez J. S. czynu wypełniającego znamiona przestępstwa określonego w art. 158 § 1 K.k.
Jednocześnie zaznaczył, iż chybione są wywody Komendanta [...] Policji dotyczące tego, jakoby Generalny Inspektor Ochrony Danych Osobowych ww. decyzją nakazał usunięcie danych J. S. wskazanych w art. 20 ust. 2b ustawy o Policji, nie odnosząc się jednocześnie do pozostałych danych, bowiem Generalny Inspektor Ochrony Danych Osobowych nakazał usunięte wszystkich danych związanych z ww. czynem.
Ponadto organ ponownie wskazał, iż analiza powołanych wyżej przepisów prowadzi do wniosku, iż przy ocenie zasadności odmowy usunięcia danych osobowych J. S. ze zbioru KSIP zastosowanie znajdzie – wobec uchylenia § 11 ust. 3 rozporządzenia Ministra Spraw Wewnętrznych i Administracji w sprawie przetwarzania przez Policję informacji o osobach – art. 20 ust. 17 ustawy o Policji. Organ podał, iż powyższa regulacja co prawda jest podstawą do przetwarzania danych osobowych, ale nie wprowadza żadnych kryteriów pozwalających na dokonanie oceny ich przydatności.
Stwierdził, że w obecnym stanie prawnym zastosowanie w kwestii przetwarzania danych osobowych w KSIP będą miały przepisy ustawy o ochronie danych osobowych. Również to przepisy tej ustawy będą musiały być stosowane przez Policję w sytuacji oceniania każdego przypadku żądania usunięcia danych z KSIP.
W ocenie Generalnego Inspektora, kluczowym wyznacznikiem dla oceny konieczności przetwarzania danych osobowych w KSIP jest cel gromadzenia określonych informacji, co determinuje konieczność dokonywania każdorazowej, zindywidualizowanej oceny wniosków o usunięcie danych z tego zbioru.
Ustosunkowując się do twierdzenia Komendanta [...] Policji, iż przetwarzanie przez Policję danych osobowych osób, wobec których toczyły się postępowania karne stanowi dla tej formacji ważne narzędzie w zapobieganiu i zwalczaniu przestępstw, organ podkreślił, iż w toku niniejszego postępowania Komendant [...] Policji nie wykazał w jaki sposób przetwarzanie danych osobowych J. S. pomogło w realizacji tego celu. Stwierdził, iż samo wskazanie, iż J. S. popełnił umyślnie czyn karalny w niedalekiej przeszłości i w związku z tym ogólnikowe stwierdzenie dotyczące podstawy przetwarzania tych danych, były dla organu nieprzekonywujące. Ponadto organ stwierdził, iż stan faktyczny ustalony w toku niniejszego postępowania pozwala na wyprowadzenie wniosku, że, pomimo iż dane osobowe J. S. zostały pozyskane i wprowadzone do zbioru KSIP w związku z prowadzonym wobec niego w 2011 r. postępowaniem karnym, to od tamtego czasu nie doszło do postawienia mu innego zarzutu o charakterze prawnokarnym. W szczególności obecnie nie toczy się przeciwko niemu żadne postępowanie karne, co w świetle art. 20 ust. 2c ustawy o Policji czyni dalsze przetwarzanie danych osobowych J. S. zbędnym.
Odnosząc się do celu przetwarzania danych osobowych w KSIP organ podkreślił, iż w toku prowadzonego postępowania Komendant [...] Policji nie wykazał również w jaki sposób przetwarzanie danych J. S. przyczyniło się do realizacji któregokolwiek z tych zadań.
Ustosunkowując się do argumentacji Komendanta [...] Policji odnoszącej się do dokonywanej przez Policję oceny kryminalistycznej przydatności danych przetwarzanych w KSIP Generalny Inspektor wskazał, iż jedynym podmiotem uprawnionym do dokonywania oceny stopnia winy i społecznej szkodliwości czynu przestępczego jest sąd. W ocenie Generalnego Inspektora Ochrony Danych Osobowych nie bez znaczenia zatem dla dokonania oceny kryminologicznej J. S. pozostaje okoliczność, iż sąd orzekając w sprawie dokonanego przez niego czynu zabronionego skorzystał z instytucji określonej w art. 66 § 1 K.k., tj. warunkowo umorzył postępowanie karne. Organ podkreślił przy tym, iż sąd wydając rozstrzygnięcie w takim kształcie dokonał de facto oceny kryminologicznej J. S. i stwierdził, iż jego wina i społeczna szkodliwość popełnionego czynu nie są znaczne, a jego postawa jako sprawcy niekaranego za przestępstwo umyślne, jego właściwości i warunki osobiste oraz dotychczasowy sposób życia uzasadniają przypuszczenie, że pomimo umorzenia postępowania będzie przestrzegał porządku prawnego, w szczególności nie popełni przestępstwa. W kontekście powyższego, zdaniem organu, Komendant [...] Policji twierdząc, iż przetwarzanie danych J. S. w KSIP jest niezbędne w celu prowadzenia "dalszych prognoz kryminologicznych" kwestionuje stanowisko sądu, który jako organ do tego właściwy, takiej oceny uprzednio dokonał warunkowo umarzając wobec J. S. postępowanie karne.
Podkreślić również należy, iż w kwestii przetwarzania danych osobowych przez Policję wypowiedział się Europejski Trybunał Sprawiedliwości, który w wyroku z 4 grudnia 2008 r. (sygn. 30562/04 i 30566/04) stwierdził, iż bezterminowe przechowywanie przez władze danych szczególnie wrażliwych jest niedopuszczalne w demokratycznym społeczeństwie i prowadzi do naruszenia art. 8 Europejskiej Konwencji Praw Człowieka stanowiącego o prawie do ochrony życia prywatnego. Trybunał wskazał również, że prawo krajowe powinno zawierać odpowiednie mechanizmy ochronne, w celu zapobieżenia takiego wykorzystania informacji osobistych, które naruszałoby art. 8 Konwencji. Trybunał podniósł, iż potrzeba takiej ochrony wzrasta, gdy ma się do czynienia z procesem automatycznego przetwarzania danych, a wykorzystywanie ich do celów policyjnych nie może być usprawiedliwieniem mniejszej ochrony.
W konkluzji organ stwierdził należy, że nie istnieje obecnie potrzeba przetwarzania w KSIP danych osobowych J. S. i uznał, iż przetwarzanie przez Komendanta [...] Policji danych osobowych J. S. w zakresie danych wprowadzonych w związku z popełnionym przez niego [...] maja 2010 r. czynem wypełniającym znamiona przestępstwa określonego w art. 158 § 1 K.k., odbywa z naruszeniem art. 26 ust. 1 ustawy o ochronie danych osobowych i niezbędne jest nakazanie przywrócenia stanu zgodnego z prawem z tym zakresie.
Komendant [...] Policji złożył na powyższą decyzję skargę do Wojewódzkiego Sądu Administracyjnego w Warszawie i wniósł o jej uchylenie w całości oraz uznanie, że Komendant [...] Policji zgodnie z prawem przetwarza dane osobowe J. S..
Zaskarżonej decyzji zarzucił naruszenie prawa materialnego, tj. art. 20 ust. 2a, 2b, 17 i 17b ustawy o Policji, mające istotny wpływ na wynik sprawy, poprzez odstąpienie od zastosowania jako przepisów szczególnych art. 20 ust. 2a, 2b, 17 i 17b ustawy o Policji i przyjęcie za podstawę rozstrzygnięcia art. 26 ust. 1 pkt 4 ustawy o ochronie danych osobowych.
W uzasadnieniu skargi Komendant [...] Policji podkreślił, że przepisy ustawy o Policji, regulujące problematykę przetwarzania i ochrony danych osobowych, są lex specialis w stosunku do przepisów ustawy o ochronie danych osobowych. Świadczy o tym treść art. 20 ust. 2a, 2b i 17 ustawy o Policji w kontekście art. 51 ust. 3 i 5 Konstytucji RP oraz ww. przepisy ustawy o ochronie danych osobowych. Ewentualne żądania usunięcia danych osobowych z KSIP muszą być oceniane wyłącznie w zestawieniu z art. 20 ust. 17 ustawy o Policji.
Jak podkreślił Komendant [...] Policji, nie można skutecznie zwalczać przestępczości bez nieprzerwanego prowadzenia analizy kryminologicznej, która w przypadku Policji jest jedną z podstawowych metod wykonywania czynności operacyjno-rozpoznawczych i dochodzeniowo-śledczych, określaną jako “analiza kryminalna". Bez zachowania długookresowych informacji o sprawcach czynów zabronionych nie będzie można prowadzić analizy kryminalnej na poziomie strategicznym (poza wymiarem operacyjnym dotyczącym konkretnych spraw), która jest niezbędna do ustalenia skutecznego programu zwalczania przestępczości.
Skarżący zwrócił uwagę, iż kilkakrotnie już ustalono niewykrytych od kilkunastu lat sprawców zbrodni tylko dlatego, że w zbiorach policyjnych przez cały czas przechowywano informacje uzyskane bezpośrednio po ujawnieniu tych przestępstw. Trafność stanowiska GIODO, zaprezentowanego w zaskarżonej decyzji, byłaby w pełni uznana, gdyby można było wykluczyć zjawisko powrotu do przestępstwa, który wynosi ok. 40%, co oznacza, że na 10 osób skazanych aż 4 w bliskiej lub dalszej przyszłości popełnia kolejne przestępstwo. Nawet w przypadku osób skazywanych po raz pierwszy za czyny o stosunkowo niewielkiej szkodliwości społecznej jedynie na kary ograniczenia wolności, wskaźnik recydywy przekracza 15%, a więc negatywna ocena kryminologiczna dotyczy co szóstej osoby skazanej i objętej zatarciem skazania po 5 latach.
Skarżacy stwierdził, że chcąc uczynić zadość żądaniu GIODO należałoby przełamać zasadę dyskrecjonalności i reglamentacji w procesie przetwarzania przez Policję danych osobowych, które to zasady wynikają wprost z art. 20 ust. 2a oraz wspomnianego art. 20a ust. 1 ustawy o Policji. Bacząc chociażby na uprawnienia strony (skarżącego) oraz jawność postępowania administracyjnego przed sądem, Policja jest obowiązana wyłączyć możliwość ujawnienia form i metod działania, które są nieodłącznym atrybutem osiągania celów wynikających z ustawowych jej zadań, jak również strzec informacji uzyskanych w toku realizacji czynności służbowych, a dotyczących także osoby skarżącego. Inne pojmowanie wskazanego przepisu mogłoby niweczyć pracę policyjną ale również w określonych przypadkach narażać inne osoby, chociażby informatorów na dekonspirację. Skutki takich sytuacji mogłyby powodować niepowetowane straty oraz narażałyby tych informatorów także na zagrożenie ich życia lub zdrowia. Stąd też przyjęta przez ustawodawcę konstrukcja przepisów ustawy o Policji i ówcześnie obowiązujących przepisów wykonawczych, odmiennie aniżeli żąda tego GIODO, pozostawiała ocenę przydatności dalszego przetwarzania danych osobowych jedynie Policji i przy wykorzystaniu ocennych kryteriów zasadności owego przetwarzania, bez konieczności (a wręcz z obowiązkiem ochrony metod form i informacji) wskazywania (upubliczniania) celu przetwarzania tych danych.
Zdaniem skarżącego, nie można zgodzić się ze stanowiskiem Generalnego Inspektora, że dane osobowe są przetwarzane przez Policję w sposób dowolny, a tym samym wbrew zasadom określonym w art. 26 ust. 1 pkt 3 i 4 ustawy o ochronie danych osobowych. Według powołanych przepisów dane osobowe powinny być merytorycznie poprawne i adekwatne w stosunku do celów, w jakich są przetwarzane oraz przechowywane w postaci umożliwiającej identyfikację osób, których dotyczą, nie dłużej niż jest to niezbędne do osiągnięcia celu przetwarzania. Adekwatność danych (ich zakres) jest dyrektywnie określona przez ustawodawcę w art. 20 ust. 2b i 2c ustawy o Policji, przy czym nie gromadzi się w ogóle informacji, które nie mają przydatności wykrywczej, dowodowej lub identyfikacyjnej w postępowaniu prowadzonym wobec danej osoby. Zgodnie z art. 20 ust. 2a ustawy o Policji dane osobowe gromadzi się w celu realizacji zadań ustawowych, a więc m.in. w celu inicjowania i organizowania działań mających na celu zapobieganie popełnianiu przestępstw i wykroczeń oraz zjawiskom kryminogennym, wykrywania przestępstw i wykroczeń oraz ścigania ich sprawców, współdziałania z policjami innych państw oraz policyjnymi organizacjami międzynarodowymi, a także w celu gromadzenia, przetwarzania, i przekazywania informacji kryminalnych (art. 1 ust. 2 pkt 3, 4, 7 i 8 ustawy o Policji).
Za nietrafny skarżący uznał pogląd Generalnego Inspektora, że w rozpatrywanej sprawie Policja nie wykazała na ile przetwarzanie danych określonej osoby pomogło w zapobieganiu i zwalczaniu przestępstw oraz przyczyniło się do zapobieżenia postawienia tej osobie zarzutu o charakterze prawnokarnym w terminie późniejszym. Przetwarzane przez Policję dane osobowe są poddawane analizie kryminalnej nie tylko w związku z kolejnym zaistniałym przestępstwem, ale również na poziomie strategicznym, czy też do ewentualnego typowania sprawców czynów o zbliżonych cechach. Nie sposób przy tym oszacować (liczbowo) stopnia wpływu prewencyjnych przedsięwzięć projektowanych w oparciu o analizę kryminalną lub typującą na poziom przestępczości, jaki wystąpił po zrealizowaniu tych przedsięwzięć. Ponadto, celem przetwarzania informacji zgromadzonych w KSIP nie jest "zapobieżenie postawienia innego zarzutu w okresie późniejszym", lecz skutek poniekąd przeciwny: typowanie osób, które mogły popełnić ujawniony kolejny czyn karalny określonego rodzaju, popełniony w określonych okolicznościach.
Końcowo Komendant [...] Policji wskazał, że konstytucyjność art. 20 ust. 7 ustawy o Policji została pozytywnie oceniona przez Trybunał Konstytucyjny w wydanym w dniu 12 grudnia 2005 r. orzeczeniu o sygn. akt K 32/04.
W odpowiedzi na skargę Generalny Inspektor Ochrony Danych Osobowych wniósł o oddalenie skargi, podtrzymując argumentację zawartą w uzasadnieniu zaskarżonej decyzji.
Dodatkowo organ zwrócił uwagę na legitymację [...] J. S. do wniesienia skargi wskazując, że pełnomocnictwo dla J. S., wynikające z decyzji Komendanta [...] Policji z [...] listopada 2011 r., nr [...] zawiera umocowanie do reprezentowania Komendanta [...] Policji w postępowaniach administracyjnych i postępowaniach przed sądami administracyjnymi w rodzajowo określonych sprawach, tj. w sprawach dotyczących przetwarzania danych osobowych w Krajowym Systemie Informacyjnym Policji, wynikających z art. 26, art. 32 ust. 1 pkt 1-6 oraz art. 33-35 ustawy o ochronie danych osobowych, natomiast przedmiotowa sprawa nie mieści się w ww. katalogu spraw.
Wojewódzki Sąd Administracyjny w Warszawie zważył, co następuje:
Zgodnie z art. 1 § 1 i § 2 ustawy z dnia 25 lipca 2002 r. – Prawo o ustroju sądów administracyjnych (Dz. U. Nr 153, poz. 1269 ze zm.), sądy administracyjne sprawują wymiar sprawiedliwości przez kontrolę działalności administracji publicznej pod względem zgodności z prawem, jeżeli ustawy nie stanowią inaczej. Sąd, stosownie do art. 134 § 1 ustawy z dnia 30 sierpnia 2002 r. – Prawo o postępowaniu przed sądami administracyjnymi (Dz. U. z 2012 r., poz. 270 ze zm., dalej jako P.p.s.a.), rozstrzyga w granicach danej sprawy, nie będąc jednak związany zarzutami i wnioskami skargi oraz powołaną podstawą prawną.
Skarga, oceniana zgodnie z powołanymi zasadami, zasługuje na uwzględnienie.
Przed przystąpieniem do merytorycznych rozważań odnieść należy się do podnoszonych w odpowiedzi na skargę wątpliwości co do legitymacji [...] J. S. do wniesienia przedmiotowej skargi w imieniu Komendanta [...] Policji.
Sąd wątpliwości organu nie podziela, uznając, że upoważnienie udzielone J. S. w decyzji nr [...] z [...] listopada 2011 r. oraz w decyzji nr [...] z [...] września 2012 r. było wystarczające do reprezentowania organu, a tym samym do złożenia skargi na decyzję Generalnego Inspektora Ochrony Danych Osobowych. W § 2 decyzji nr [...], zmienionej decyzją nr [...], Komendant [...] Policji upoważnił m..in. J. S., Naczelnika Wydziału [...] Komendy [...] Policji do występowania w postępowaniach administracyjnych i przed sądami administracyjnymi w sprawach, o których mowa w § 1, tj. w sprawach:
1) załatwiania w imieniu Komendanta [...] Policji spraw dotyczących przetwarzania danych osobowych w Krajowym Systemie Informacyjnym Policji, zwanym dalej "KSIP", wynikających z art. 26, art. 32 ust. 1 pkt 1-6 oraz art. 33-35 ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych;
2) reprezentowania Komendanta [...] Policji w kontaktach z innymi organami, osobami prawnymi i fizycznymi oraz podmiotami niemającymi osobowości prawnej w sprawach określonych w pkt 1;
3) udzielania w imieniu Komendanta [...] Policji odpowiedzi na wnioski i wystąpienia osób, organów, podmiotów lub innych instytucji, dotyczące przetwarzania danych osobowych w KSIP;
4) sprawowania kontroli w zakresie przetwarzania danych osobowych w KSIP, obejmującej:
a) przeprowadzanie kontroli dostępu do danych osobowych przetwarzanych w KSIP – z własnej inicjatywy, na polecenie Komendanta [...] Policji lub jego zastępców, albo na zlecenie uprawnionych kierowników jednostek organizacyjnych Policji lub ich komórek organizacyjnych, a także na wniosek sądu lub prokuratora,
b) udzielanie informacji o wynikach przeprowadzonej kontroli właściwym zleceniodawcom lub wnioskodawcom,
c) wgląd do wszelkich dokumentów związanych z wykonywaną kontrolą w kontrolowanych jednostkach organizacyjnych Policji lub ich komórkach organizacyjnych;
d) żądania pisemnych wyjaśnień, w szczególności w przypadku przypuszczenia nieuprawnionego przetwarzania danych lub stwierdzenia naruszeń w ich przetwarzaniu;
5) dokonywania weryfikacji oraz decydowania o usunięciu danych osobowych z KSIP w przypadku stwierdzenia naruszeń w przetwarzaniu tych danych lub nieuprawnionego ich przetwarzania;
6) wydawania w imieniu Komendanta [...] Policji poleceń kierownikom komórek i jednostek organizacyjnych Policji w sprawach określonych w pkt 1.
Wskazane powyżej upoważnienie określa rodzaje spraw, w których J. S. jest upoważniony do występowania w imieniu Komendanta [...] Policji w postępowaniu administracyjnym i sądowoadministracyjnym. Zostało ono wydane na potrzeby wszelkich postępowań mieszczących się we wskazanym zakresie i toczących się w określonym przedziale czasowym, a nie do konkretnej sprawy. Skoro zatem niniejsza sprawa dotyczy odmowy usunięcia danych osobowych z Krajowego Systemu Informacyjnego Policji, a w decyzji z [...] lutego 2013 r. Generalny Inspektor Ochrony Danych Osobowych w podstawie rozstrzygnięcia wskazuje m.in. 26 ust. 1 pkt 4 ustawy o ochronie danych osobowych, to uznać należy, że przedstawione upoważnienie skutecznie umocowało J. S. do złożenia przedmiotowej skargi w niniejszej sprawie. Sąd zgadza się z organem, że rozważa on prawidłowość działania administratora danych w kontekście art. 27 ust. 2 pkt 2 w zw. z art. 26 ust. 1 pkt 4 cytowanej ustawy, nie zmienia to jednak oceny Sądu, że przedstawione upoważnienie w dalszym ciągu obejmuje swoim zakresem umocowanie dla J. S. do działania w imieniu Komendanta [...] Policji. W przeciwnym bowiem razie należałoby wymagać od udzielającego upoważnienie, przedstawiania w każdym stadium postępowania nowych umocowań z bardzo szczegółowo opisanym stanem faktycznym i prawnym danej sprawy. A takie stanowisko w ocenie Sądu jest nie do zaakceptowania, przekreślałoby to możliwość udzielania upoważnień ogólnych i znacząco wpływałoby na długość trwającego postępowania.
Dodatkowo zaznaczyć należy, że art. 35 ust. 1 ustawy o ochronie danych osobowych, który to przepis został wskazany w analizowanej decyzji, odnosi się do obowiązku administratora danych ich usunięcia ze zbioru. Rozpoznawana sprawa w istocie dotyczy usunięcia ze zbioru danych jakim jest KSIP danych J. S.. Powyższa okoliczność dodatkowo przemawia za tym, że J. S. mógł reprezentować organ składając do Sądu skargę na decyzję GIODO.
Zadaniem ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych jest stanie na straży interesów osób, których przetwarzane dane osobowe dotyczą oraz przestrzeganie zakresu i trybu przetwarzania tych danych.
Omawiana ustawa w art. 1 stwierdza, że dane osobowe mogą być przetwarzane, jeżeli służy to dobru publicznemu, dobru osoby, której dane dotyczą lub dobru osób trzecich. Ochrona danych osobowych na podstawie przepisów powołanej ustawy nie powinna być oderwana od przepisów służących ochronie innych wartości. Stosownie do treści art. 7 pkt 2 ustawy o ochronie danych osobowych, przez przetwarzanie danych osobowych rozumie się jakiekolwiek operacje wykonywane na danych osobowych, takie jak zbieranie, utrwalanie, przechowywanie, opracowywanie, zmienianie, udostępnianie i usuwanie, a zwłaszcza te, które wykonuje się w systemach informatycznych. Zgodnie z art. 23 ust. 1 pkt 2 ww. ustawy, przetwarzanie danych jest dopuszczalne tylko wtedy, gdy jest to niezbędne dla zrealizowania uprawnienia lub spełnienia obowiązku wynikającego z przepisu prawa. Wiążąc ten przepis z kompetencjami organów Policji w zakresie przetwarzania danych osobowych osób podejrzanych o popełnienie przestępstwa, należy dojść do wniosku, iż przetwarzanie danych osobowych J. S. w Krajowym Systemie Informacji Policyjnej (KSIP) znajduje umocowanie w obowiązujących przepisach prawnych.
Jak wynika z akt administracyjnych, pismem z [...] października 2011 r., J. S. wystąpił do Generalnego Inspektora Ochrony Danych Osobowych o zbadanie legalności przetwarzania jego danych osobowych w KSIP oraz o nakazanie Komendantowi [...] Policji niezwłocznego usunięcia jego danych osobowych z przedmiotowego zbioru.
Komendant [...] Policji, ustosunkowując się do powyższej skargi, wyjaśnił, iż dane J. S. zostały wprowadzone do KSIP w związku z popełnieniem przez niego przestępstwa umyślnego przeciwko zdrowiu i życiu.
Legitymację prawną do przetwarzania informacji, w tym danych osobowych osób, wobec których były prowadzone postępowania przez Policję, stanowi art. 20 ustawy o Policji w brzmieniu nadanym art. 27 pkt 1 ustawy z dnia 16 września 2011 r. o wymianie informacji z organami ścigania państw członkowskich Unii Europejskiej (Dz. U. Nr 230, poz. 1371) i zgodnie z art. 36 ww. ustawy – obowiązującym od 1 stycznia 2012 r.
Zgodnie z art. 20 ust. 1 ustawy o Policji, Policja, z zachowaniem ograniczeń wynikających z art. 19, może uzyskiwać informacje, w tym także niejawnie, gromadzić je, sprawdzać oraz przetwarzać. Policja może pobierać, uzyskiwać, gromadzić, przetwarzać i wykorzystywać w celu realizacji zadań ustawowych informacje, w tym dane osobowe o osobach podejrzanych o popełnienie przestępstw ściganych z oskarżenia publicznego, nieletnich dopuszczających się czynów zabronionych przez ustawę jako przestępstwa ścigane z oskarżenia publicznego, o osobach o nieustalonej tożsamości lub usiłujących ukryć swoją tożsamość oraz o osobach poszukiwanych, także bez ich wiedzy i zgody (art. 20 ust. 2a ww. ustawy).
W świetle art. 20 ust. 2b ustawy o Policji informacje, o których mowa m.in. w ust. 1 i 2a, dotyczą osób, o których mowa w ust. 2a i mogą obejmować: 1) dane osobowe, o których mowa w art. 27 ust. 1 ustawy o ochronie danych osobowych, z tym, że dane dotyczące kodu genetycznego obejmują informacje wyłącznie o niekodującej części DNA; 2) odciski linii papilarnych; 3) zdjęcia, szkice i opisy wizerunku; 4) cechy i znaki szczególne, pseudonimy; 5) informacje o: a) miejscu zamieszkania lub pobytu, b) wykształceniu, zawodzie, miejscu i stanowisku pracy oraz sytuacji materialnej i stanie majątku, c) dokumentach i przedmiotach, którymi sprawca się posługuje, d) sposobie działania sprawcy, jego środowisku i kontaktach, e) sposobie zachowania się sprawcy wobec osób pokrzywdzonych. Wymienionych informacji nie pobiera się w przypadku, gdy nie mają one przydatności wykrywczej, dowodowej lub identyfikacyjnej w prowadzonym postępowaniu (art. 20 ust. 2c).
Okres przechowywania tych danych określono w art. 20 ust. 17 ustawy o Policji, zgodnie z którym dane osobowe zebrane w celu wykrycia przestępstwa przechowuje się przez okres niezbędny do realizacji ustawowych zadań Policji. Organy Policji dokonują weryfikacji tych danych po zakończeniu sprawy, w ramach której dane te zostały wprowadzone do zbioru, a ponadto nie rzadziej niż co 10 lat od dnia uzyskania informacji, usuwając dane zbędne.
Dane osobowe, o których mowa w ust. 17, usuwa się, jeżeli organ Policji powziął wiarygodną informację, że: 1) czynu stanowiącego postawę wprowadzenia informacji do zbioru nie popełniono albo brak jest danych dostatecznie uzasadniających podejrzenie jego popełnienia, 2) zdarzenie lub okoliczność, w związku z którymi wprowadzono informacje do zbioru, nie ma znamion czynu zabronionego, 3) osoba, której dane dotyczą, została uniewinniona prawomocnym wyrokiem sądu (art. 20 ust. 17b ustawy).
Zgodnie z art. 20 ust. 18 ww. ustawy, dane osobowe ujawniające pochodzenie rasowe lub etniczne, poglądy polityczne, przekonania religijne lub filozoficzne, przynależność wyznaniową, partyjną lub związkową oraz dane o stanie zdrowia, nałogach lub życiu seksualnym osób podejrzanych o popełnienie przestępstw ściganych z oskarżenia publicznego, które nie zostały skazane za te przestępstwa, podlegają komisyjnemu i protokolarnemu zniszczeniu niezwłocznie po uprawomocnieniu się stosownego orzeczenia.
Szczegółowe zasady przetwarzania danych osobowych osób wymienionych w art. 20 ust. 2a ustawy o Policji, w dacie udzielania organom wyjaśnień przez Komendanta [...] Policji, a więc także w dacie rozpoznawania wniosku J. S. o usunięcie jego danych z KSIP, określało rozporządzenie Ministra Spraw Wewnętrznych i Administracji z dnia 5 września 2007 r. w sprawie przetwarzania przez Policję informacji o osobach (art. 35 ww. ustawy z dnia 16 września 2011 r. o wymianie informacji z organami ścigania państw członkowskich Unii Europejskiej).
Zgodnie z § 4 ust. 1 powołanego rozporządzenia, informacje przetwarza się w: (1) centralnych zbiorach informacji – przeznaczonych do przetwarzania informacji niezbędnych do realizacji zadań Policji na obszarze całego kraju, (2) wewnętrznych zbiorach informacji – przeznaczonych do przetwarzania informacji niezbędnych do realizacji zadań na obszarze właściwości miejscowej poszczególnych jednostek organizacyjnych Policji lub w zakresie właściwości rzeczowej poszczególnych komórek organizacyjnych Komendy [...] Policji, (3) zestawach zbiorów informacji – przeznaczonych do integracji i usprawniania procesów przetwarzania informacji zgromadzonych w odrębnych zbiorach.
W myśl § 8 rozporządzenia, funkcjonowanie zestawu centralnych zbiorów informacji o nazwie "Krajowy System Informacyjny Policji (KSIP)" zapewnia Komendant [...] Policji.
Na podkreślenie zasługuje, że informacje, jakimi dysponuje KSIP, nie stanowią źródła wiedzy powszechnie dostępnej, służą wyłącznie do realizacji zadań Policji, co wynika z § 4 ww. rozporządzenia. Obecnie kwestię tę regulują szczegółowo przepisy rozdziału 2 "Zbiory danych i ich zestawy" rozporządzenia Ministra Spraw Wewnętrznych z dnia 31 grudnia 2012 r. w sprawie przetwarzania informacji przez Policję. Informacje wytworzone przez organy Policji w KSIP są zatem zamkniętym, ogólnie niedostępnym zbiorem informatycznym.
W myśl § 11 ust. 1 rozporządzenia z 5 września 2007 r., administrator zbioru zobowiązany jest do dokonania oceny przydatności informacji w prowadzonych postępowaniach w sposób systematyczny, po zakończeniu sprawy, w ramach której informacje zostały wprowadzone do zbioru, a następnie okresowo, z częstotliwością co najmniej raz na 10 lat. Przepis § 11 ust. 2 stanowi, iż przy dokonywaniu tej oceny informacje uznaje się za nadal przydatne, jeżeli na ich podstawie nie można wykluczyć możliwości popełnienia w przyszłości przez osobę, której dotyczą, czynu zabronionego w rozumieniu art. 115 § 1 K.k. Administrator zbioru ma obowiązek usunięcia informacji zgromadzonych w zbiorze: 1) po uzyskaniu wiadomości, że zdarzenie lub okoliczność, w związku z którymi wprowadzono informacje do zbioru, nie ma znamion czynu zabronionego, 2) jeżeli uzna dane informacje za zbędne w realizacji zadań ustawowych Policji albo nie uzna ich za przydatne w prowadzonych przez Policję postępowaniach, w rozumieniu ust. 2 § 11 ust. 3 rozporządzenia.
Zdaniem Sądu, zasady przetwarzania danych osobowych osób wymienionych w art. 20 ust. 2a ustawy o Policji zostały przez ustawodawcę uregulowane w sposób kompleksowy. Jak wskazał Naczelny Sąd Administracyjny w wyroku z 22 marca 2013 r. (I OSK 786/12, publ. http://orzeczenia.nsa.gov.pl) oznacza to, że obowiązuje ogólna zasada dotycząca pierwszeństwa przepisu szczególnego w stosunku do przepisów ogólnych oraz że w takim przypadku, niezależnie od przepisów szczególnych, stosuje się przepisy dotyczące ogólnych zasad ochrony danych osobowych, zawarte w ustawie o ochronie danych osobowych. Nie można przy tym nie zgodzić się ze stanowiskiem Generalnego Inspektora Danych Osobowych, że w dacie procesowania w sprawie przez Komendanta [...] Policji ww. akty prawne nie przewidywały konkretnych kryteriów, pozwalających na dokonanie oceny przydatności danych osobowych znajdujących się w Krajowym Systemie Informacyjnym Policji, lecz formułowały kryteria stosunkowo ogólne (nieostre). Powyższe wskazuje, iż ocenę przydatności danych w zbiorze informatycznym prawodawca pozostawił organom Policji, albowiem to one stoją na straży porządku publicznego i znają specyfikę środowisk przestępczych. Sformułowanie zawarte w § 11 ust. 2 ww. rozporządzenia z dnia 5 września 2007 r. "informacje uznaje się za nadal przydatne, jeżeli na ich podstawie nie można wykluczyć możliwości popełnienia w przyszłości przez osobę, której dotyczą, czynu zabronionego" jest nieostre, co wydaje się być celowym zabiegiem, zważywszy, iż ocenę tę należy odnosić do stanów przyszłych niepewnych, przewidywań. Nie można jednak pozbawiać Policji podstawowego instrumentu zwalczania przestępczości, jakim jest dostęp do jak najpełniejszej informacji, którą Policja sama wytworzyła w sposób legalny.
Na podkreślenie zasługuje jednakże, że w trakcie rozpoznawana przez Generalnego Inspektora Ochrony Danych Osobowych skargi J. S. zmianie uległ stan prawny.
5 stycznia 2013 r. weszło w życie rozporządzenie Ministra Spraw Wewnętrznych z dnia 31 grudnia 2012 r. w sprawie przetwarzania danych przez Policję (Dz. U. z 2013 r., poz. 8).
Zgodnie z § 38 tego rozporządzenia organy Policji dostosują tryb gromadzenia i sposoby przetwarzania informacji, w tym danych osobowych oraz sposób oceny danych osobowych przetwarzanych w zbiorach danych lub w zestawach zbiorów danych do wymogów określonych w rozporządzeniu w terminie 6 miesięcy od dnia jego wejścia w życie.
Rozporządzenie określa m.in. tryb gromadzenia oraz sposoby przetwarzania w zbiorach danych informacji, w tym danych osobowych, m.in. o osobach podejrzanych o popełnienie przestępstw ściganych z oskarżenia publicznego.
Do wykonywania czynności w zakresie pobierania, uzyskiwania, gromadzenia, sprawdzania, przetwarzania i wykorzystywania informacji, w tym danych osobowych, o których mowa w art. 20 ust. 2a i 2b ustawy o Policji, prowadzi się w Policji Krajowy System Informacyjny Policji (KSIP), będący zestawem zbiorów danych przetworzonych w systemach teleinformatycznych (§ 10 ust. 1 rozporządzenia).
W Rozdziale 6 rozporządzenia uregulowany został sposób oceny danych osobowych pod kątem ich przydatności w prowadzonych postępowaniach oraz sposoby weryfikacji i usuwania danych osobowych.
W § 32 ust. 1 rozporządzenia określono, że dane osobowe zgromadzone w celu wykrycia przestępstwa podlegają systematycznej weryfikacji przez organy Policji zgodnie z art. 20 ust. 17 ustawy o Policji, natomiast w ust. 2 szczegółowo podano okoliczności uwzględniane przy weryfikacji danych osobowych pod kątem ich przydatności w prowadzonych postępowaniach. Zaliczono do nich:
1. rodzaj i charakter popełnionego czynu wyczerpującego znamiona przestępstwa;
2. rodzaj i charakter dobra chronionego prawem naruszonego popełnionym przestępstwem;
3. formy sprawstwa i umyślność jego popełnienia;
4. postaci zamiaru i skutku czynu, w tym rodzaj i rozmiar wyrządzonej lub grożącej szkody;
5. zagrożenie sankcją karną za popełnione przestępstwa;
6. liczbę popełnionych przestępstw;
7. czas, jaki upłynął od momentu wprowadzenia informacji do zbioru danych do momentu dokonania weryfikacji;
8. inne informacje zgromadzone o osobie;
9. legalność uzyskania, pobrania lub zgromadzenia informacji oraz prawdziwość tych informacji;
10. ustalenie przesłanek legalności oraz niezbędności dalszego przetwarzania informacji do wykonywania zadań ustawowych Policji;
11. wystąpienie okoliczności określonych w art. 20 ust. 17b i 18 ustawy o Policji.
Analiza treści przepisów powyższego rozporządzenia prowadzi do wniosku, iż doprecyzowują one przesłanki decydujące o przydatności danych osobowych zgromadzonych w celu wykrycia przestępstwa w stopniu większym niż przepisy rozporządzenia z dnia 5 września 2007 r.
Odnosząc się do stanu faktycznego sprawy, wskazać należy, iż wobec J. S. prowadzono policyjne postępowanie wyjaśniające, wymieniony został postawiony w stan oskarżenia i prawomocnym wyrokiem Sąd uznał, że jego zachowanie wyczerpywało znamiona z art. 158 § 1 K.k., warunkowo umarzając postępowanie na okres próby 1 roku. W opisanym przypadku nie miał zastosowania art. 20 ust. 2c ustawy o Policji, albowiem zebrane o wymienionym dane miały walor wykrywczy i dowodowy.
Biorąc pod uwagę treść art. 20 ust. 17 ustawy o Policji, nie można zatem czynić Komendantowi [...] Policji zarzutu, iż bezprawnie przechowuje dane osobowe wyżej wymienionego w KSIP. To organy Policji oceniają przydatność zebranych informacji, dokonując ich weryfikacji po zakończeniu sprawy, w ramach której dane te zostały wprowadzone do zbioru, a ponadto nie rzadziej niż co 10 lat od dnia uzyskania lub pobrania informacji.
W przypadku J. S. brak było również podstaw do usunięcia danych osobowych z KSIP na podstawie art. 20 ust. 17b ustawy o Policji. Policja nie uzyskała wiarygodnej informacji, że wyżej wymieniony został uniewinniony albo, że umorzono postępowanie na podstawie art. 17 K.p.k., co uzasadniałoby usunięcie tych danych z rejestru.
Podkreślić należy, że w omawianej sprawie okres 10 lat od dnia uzyskania informacji dotyczącej J. S. jeszcze nie upłynął. Od daty postawienia wyżej wymienionemu zarzutu z art. 158 § 1 K.k. i wprowadzenia jego danych osobowych do KSIP (w 2011 r.) do daty skierowania skargi do Generalnego Inspektora na niezgodne z prawe przetwarzanie jego danych osobowych w KSIP ([...] luty 2012 r.) upłynął w istocie relatywnie krótki okres czasu. Wymieniony dopuścił się popełnienia przestępstwa umyślnego, skierowanego przeciwko życiu lub zdrowiu, a więc przeciw wartościom, które winny możliwie najdalej być chronione przez funkcjonariuszy organów ochrony prawnej. Dlatego nie można zakładać, iż przedmiotowa informacja na obecnym etapie jest zbędna dla celów prewencyjnych, które mieszczą się w zakresie ustawowych zadań Policji (art. 1 ust. 2 pkt 3 i 4 ustawy o Policji). To właśnie na te zadania, w myśl art. 20 ust. 17 ww. ustawy, wskazał w swoich wyjaśnieniach Komendant [...] Policji, zwracając uwagę na istotę działania formacji – zapewnienie społeczeństwu bezpieczeństwa i porządku publicznego poprzez oddziaływanie prewencyjne i ściganie sprawców przestępstw. Zauważył, iż niezbędnym narzędziem dla prowadzenia działań prewencyjnych jest analiza kryminalna zebranych danych osobowych nie tylko w związku z kolejnym zaistniałym przestępstwem, ale również w celu ewentualnego typowania sprawców czynów o cechach zbliżonych. Nie można przy tym, jak wskazał organ Policji, precyzyjnie określić stopnia wpływu prewencyjnych przedsięwzięć realizowanych w oparciu o analizę kryminalną lub typującą na poziom przestępczości, jaki wystąpił po zrealizowaniu tych przedsięwzięć.
Na podkreślenie zasługuje, że wobec wejścia w życie 5 stycznia 2013 r. rozporządzenia Ministra Spraw Wewnętrznych w sprawie przetwarzania informacji przez Policję, organy Policji obowiązane były w ciągu 6 miesięcy do dostosowania sposobu oceny danych osobowych przetwarzanych w zbiorach danych do wymogów określonych w rozporządzeniu. Oznacza to, że w zakreślonym § 32 rozporządzenia terminie, organy Policji powinny przeprowadzić weryfikację zgromadzonych danych osobowych pod kątem ich przydatności w prowadzonych postępowaniach. Jak wskazano wcześniej obecnie kryteria tej oceny są określone bardziej szczegółowo niż w poprzednio obowiązującym rozporządzeniu normującym tę kwestię. Założyć należy, z uwagi na upływ 6 miesięcy od dnia wejścia w życie rozporządzenia, że weryfikacja taka, w oparciu o przesłanki wymienione w § 32 ust. 2 rozporządzenia, została dokonana.
W świetle powyższych okoliczności faktycznych i prawnych, decyzja Generalnego Inspektora Ochrony Danych Osobowych, nakazująca organowi Policji usunięcie danych osobowych wyżej wymienionego z KSIP, jest, zdaniem Sądu, przedwczesna i z tego względu nieprawidłowa.
W tym stanie rzeczy Wojewódzki Sąd Administracyjny w Warszawie, działając na podstawie art. 145 § 1 pkt 1 lit. a) w związku z art. 135 oraz art. 152 P.p.s.a., orzekł jak w sentencji wyroku.
Nietezowane
Artykuły przypisane do orzeczenia
Kup dostęp i zobacz, do jakich przepisów odnosi się orzeczenie. Znajdź inne potrzebne orzeczenia.
Skład sądu
Adam LipińskiAndrzej Kołodziej /przewodniczący/
Olga Żurawska-Matusiak /sprawozdawca/
Sentencja
Wojewódzki Sąd Administracyjny w Warszawie w składzie następującym: Przewodniczący Sędzia WSA Andrzej Kołodziej, Sędziowie WSA Adam Lipiński, Olga Żurawska-Matusiak (spr.), Protokolant Referent stażysta Małgorzata Ciach, po rozpoznaniu na rozprawie w dniu 2 października 2013 r. sprawy ze skargi Komendanta [...] Policji na decyzję Generalnego Inspektora Ochrony Danych Osobowych z dnia [...] lutego 2013 r. nr [...] w przedmiocie nakazu wyeliminowania nieprawidłowości w procesie przetwarzania danych osobowych 1. uchyla zaskarżoną decyzję oraz poprzedzającą ją decyzję z dnia [...] września 2012 r. nr [...], 2. stwierdza, że zaskarżona decyzja nie podlega wykonaniu w całości.
Uzasadnienie
Generalny Inspektor Ochrony Danych Osobowych decyzją z [...] lutego 2013 r., nr [...] , wydaną na podstawie art. 138 § 1 pkt 2 K.p.a., art. 12 pkt 2, art. 18 ust. 1 pkt 6, art. 22 w związku z art. 26 ust. 1 pkt 4, art. 27 ust. 2 pkt 2 ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (Dz. U. z 2002 r. Nr 101, poz. 926 ze zm.) oraz w związku z art. 20 ust. 1, 2a i 2b ustawy z dnia
6 kwietnia 1990 r. o Policji (Dz. U. z 2007 r. Nr 43, poz. 277 ze zm.), uchylił własną decyzję z [...] września 2012 r., nr [...] i nakazał Komendantowi [...] Policji, usunięcie uchybień w procesie przetwarzania danych osobowych J. S. poprzez usunięcie jego danych osobowych z Krajowego Systemu Informacyjnego Policji w zakresie danych wprowadzonych do tego zbioru w ramach postępowania karnego prowadzonego w sprawie popełnionego [...] maja 2010 r. przez J. S. czynu wypełniającego znamiona przestępstwa określonego w art. 158 § 1 K. k.
Do wydania powyższej decyzji doszło w następującym stanie faktycznym i prawnym:
J. S. złożył do Generalnego Inspektora Ochrony Danych Osobowych skargę, dotyczącą przetwarzania jego danych osobowych przez Komendanta [...] Policji w Krajowym Systemie Informacyjnym Policji (KSIP). Skarżący zwrócił się o zbadanie legalności przetwarzania jego danych osobowych oraz o nakazanie Komendantowi [...] Policji niezwłocznego usunięcia jego danych osobowych z KSIP.
W toku postępowania administracyjnego, przeprowadzonego w niniejszej sprawie, organ Ochrony Danych Osobowych ustalił, iż:
1. Wyrokiem z [...] lipca 2011 r. Sąd Rejonowy w [...] , w sprawie o sygn. [...], warunkowo umorzył wobec J. S. postępowanie karne o czyn z art. 158 § 1 K.k.
2. W związku z prowadzeniem przez Policję przedmiotowego postępowania dane J. S. w zakresie danych wskazanych w art. 20 ust. 2b ustawy o Policji, zostały umieszczone w KSIP, na podstawie art. 20 ust. 2a ustawy o Policji oraz rozporządzenia Ministra Spraw Wewnętrznych i Administracji w sprawie przetwarzania przez Policję informacji o osobach.
3. Pismem z 19 października 2011 r. J. S. zwrócił się do Komendanta Powiatowego Policji w [...] o usunięcie jego danych z KSIP. W odpowiedzi na powyższe Naczelnik Wydziału Kryminalnego Komendy Powiatowej Policji w [...] pismem z 25 października 2011 r. odmówił usunięcia danych skarżącego z tego zbioru.
4. Skarżący ponowił swoją prośbę o usunięcie jego danych z KSIP pismem
z 9 listopada 2011 r. skierowanym do Komendanta Wojewódzkiego Policji w [...] , który przekazał przedmiotowy wniosek celem merytorycznego rozpatrzenia Komendzie [...] Policji.
Komendant [...] Policji pismem z 16 grudnia 2011 r. wskazał J. S., iż przychyla się do stanowiska podjętego w niniejszej sprawie przez Komendanta Powiatowego Policji w [...] oraz poinformował go o podstawach prawnych dalszego przetwarzania jego danych w KSIP.
5. W wyjaśnieniach złożonych przed Generalnym Inspektorem Ochrony Danych Osobowych Komendant [...] Policji powołał się na argumentację przedstawioną w piśmie przekazującym skargę J. S. Generalnemu Inspektorowi Ochrony Danych Osobowych jako organowi właściwemu do jej rozpoznania. Wskazał, że J. S. popełnił przestępstwo umyślne stosunkowo niedawno – 2 lata temu, a ponadto naruszył normy chroniące zdrowie i życie człowieka, zatem nie można wykluczyć możliwości popełnienia przez niego kolejnego czynu przestępczego w przyszłości. Powyższe stanowi negatywną przesłankę do usunięcia jego danych z KSIP. Komendant [...] Policji podkreślił również, iż KSIP nie jest rejestrem osób skazanych czy też ukaranych, ale rejestrem służącym do przetwarzania danych o wszczętych i prowadzonych przez Policję postępowaniach bez względu na sposób ich zakończenia. Ponadto wskazał, że ewentualne warunkowe umorzenie postępowania (po upływie stosownego okresu próby), umorzenie postępowania (z wyłączeniem umorzenia z powodu brak znamion czynu zabronionego) czy zatarcie skazania (uznanie za niebyłe) nie wpływa na fakt przetwarzania danych przez Policję, bowiem zbiór ten nie jest rejestrem skazanych.
Generalny Inspektor Ochrony Danych Osobowych decyzją z [...] września 2012 r. nr [...] nakazał Komendantowi [...] Policji usunięcie uchybień w procesie przetwarzania danych osobowych J. S. poprzez usunięcie jego danych wskazanych w art. 20 ust. 2b ustawy o Policji wprowadzonych do tego zbioru w ramach postępowania karnego prowadzonego w sprawie popełnionego w 2011 r. przez J. S. czynu wypełniającego znamiona przestępstwa określonego w art. 158 § 1 K.k.
We wniosku o ponowne rozpatrzenie sprawy zakończonej powyższą decyzją Komendant [...] Policji wniósł o jej uchylenie, zarzucając naruszenie przepisów prawa materialnego, tj. art. 20 ust. 2a, ust. 17 i ustawy o Policji, poprzez odstąpienie od ich zastosowania jako przepisów szczególnych i przyjęcie jako podstawę rozstrzygnięcia art. 26 ust. 1 pkt 4 ustawy o ochronie danych osobowych. Nadto zarzucono naruszenie art. 20 ust. 2a i 2b poprzez błędną wykładnię lub niewłaściwe zastosowanie.
W uzasadnieniu zwrócono uwagę na niespójność rozstrzygnięcia decyzji względem jej uzasadnienia. Rozwijając powyższe stanowisko skarżący wskazał, że organ nakazał usunąć dane osobowe J. S. w zakresie danych wskazanych art. 20 ust. 2b ustawy o Policji, nie odnosząc się jednocześnie do pozostałych danych, które Policja mogła zgromadzić i przetwarzać. Wskazał, że z uzasadnienia decyzji wynika, iż organ kontestuje zasadność dalszego przetwarzania danych osobowych J. S. w całości, w żaden sposób nie odnosząc się do kwestii ograniczonego jedynie do art. 20 ust. 2 b ustawy o Policji zakresu.
Ponadto skarżący podniósł, że Generalny Inspektor pominął okoliczności, iż przepisy ustawy o Policji, na podstawie których przetwarzane są dane osobowe w KSIP, stanowią lex specialis w stosunku do ustawy o ochronie danych osobowych i tylko one znajdują zastosowanie w omawianej sprawie. Dodatkowo zaznaczono, że informacja jest usuwana ze zbiorów policyjnych wówczas, gdy dokonywana periodycznie aktualna ocena kryminologiczna wyklucza możliwość popełnienia w przyszłości czynu zabronionego przez osobę, której informacja dotyczy. Jednocześnie wskazano, iż nie jest możliwa antycypacja indywidualnej oceny (prognozy) kryminologicznej na podstawie precyzyjnych kryteriów. Z istoty rzeczy ocena ta musi być oparta o nieostre kryteria i jest w pełni kompetentna tylko w momencie jej dokonywania.
Generalny Inspektor Ochrony Danych Osobowych decyzją z [...] lutego 2013 r., nr [...] uchylił własną decyzję z [...] września 2012 r. w całości i nakazał Komendantowi [...] Policji, usunięcie uchybień w procesie przetwarzania danych osobowych J. S. poprzez usunięcie jego danych osobowych z Krajowego Systemu Informacyjnego Policji w zakresie danych wprowadzonych do tego zbioru w ramach postępowania karnego prowadzonego w sprawie popełnionego [...] maja 2010 r. przez J. S. czynu wypełniającego znamiona przestępstwa określonego w art. 158 § 1 K.k.
W uzasadnieniu rozstrzygnięcia organ przywołał treść art. 51 ust. 1, 3, 5 Konstytucji RP oraz art. 7 pkt 2, art. 23 ust. 1, art. 26 oraz art. 27 ust. 1 i 2 ustawy o ochronie danych osobowych. Poddał także analizie treść art. 20 ust. 1, 2a, 2b i ust. 17 ustawy o Policji oraz § 1 pkt 1-4 oraz § 11 ust. 1-3 rozporządzenia z dnia 5 września 2007 r. w sprawie przetwarzania przez Policję informacji o osobach. Wskazał, że przepisami prawa, które regulują przetwarzanie danych osobowych przez Policję są przepisy ustawy o Policji. Przepisy te regulują kwestię przetwarzania danych osobowych, których usunięcia żądał J. S. i w związku z art. 27 ust. 2 pkt 2 ustawy o ochronie danych osobowych stanowią samodzielną przesłankę przetwarzania tych danych.
Generalny Inspektor odnosząc się do zarzutu Komendanta [...] Policji zawartego w ww. wniosku o ponowne rozpatrzenie niniejszej sprawy dotyczącego tego, że Generalny Inspektor Ochrony Danych Osobowych nie stwierdził w jakim w zakresie Komendant [...] Policji przetwarza informacje określone w art. 20 ust. 2b ustawy o Policji dotyczące skarżącego oraz nie ustalił, które konkretnie dane jako nieprawidłowo przetwarzane podlegają usunięciu, tzn. które z informacji wskazanych w art. 20 ust. 2b ustawy o Policji Komendant [...] Policji przetwarza z naruszeniem przepisów o ochronie danych osobowych, częściowo przychylił się do tego zarzutu.
Organ wskazał, że w niniejszym postępowaniu nie ustalono jakie konkretnie z informacji wskazanych w art. 20 ust. 2b ustawy o Policji dotyczące J. S., a wprowadzone do KSIP w związku z popełnieniem przez niego czynu określonego w art. 158 § 1 K.k., są w KSIP przetwarzane. Generalny Inspektor Ochrony Danych Osobowych co do ww. ustaleń przyjął bowiem za Komendantem [...] Policji, iż są to dane określone w art. 20 ust. 2b ustawy o Policji, nie czyniąc dodatkowych ustaleń w tym zakresie. W ocenie Generalnego Inspektora Ochrony Danych Osobowych dla rozstrzygnięcia sprawy nie było istotne, które konkretnie dane ujęte w dyspozycji przepisu art. 20 ust. 2b ustawy o Policji, dotyczące skarżącego, są przetwarzane w niniejszej sprawie, gdyż jego zdaniem istotnym był fakt, że aktualnie nadal są przetwarzane dane J. S. wprowadzone do zbioru KSIP w związku z popełnionym przez niego czynem, co zostało przez Komendanta [...] Policji przyznane, natomiast nie powinno to mieć miejsca i winny one zostać usunięte w całości. Zatem nie było istotne, jakie dane spośród wymienionych w art. 20 ust. 2b ustawy o Policji się tam znajdują, gdyż nie powinno ich być w ogóle. Nie mniej jednak faktem jest, iż Generalny Inspektor Ochrony Danych Osobowych nie poczynił ustaleń w tym zakresie i z tego wyłącznie względu nakaz zawarty w ww. zaskarżonej decyzji jest wadliwy, bowiem co do zasady nakaz zawarty w decyzji, by mógł zostać wykonany musi być zrozumiały, czytelny i konkretny. Dlatego też, w celu uniknięcia jakichkolwiek wątpliwości interpretacyjnych, zaskarżona decyzja została uchylona w całości, a następnie zmieniono sformułowany nakaz o tyle, że organ nakazał usunięcie danych J. S. wprowadzonych do zbioru w ramach postępowania karnego prowadzonego w sprawie popełnionego [...] maja 2010 r. przez J. S. czynu wypełniającego znamiona przestępstwa określonego w art. 158 § 1 K.k.
Jednocześnie zaznaczył, iż chybione są wywody Komendanta [...] Policji dotyczące tego, jakoby Generalny Inspektor Ochrony Danych Osobowych ww. decyzją nakazał usunięcie danych J. S. wskazanych w art. 20 ust. 2b ustawy o Policji, nie odnosząc się jednocześnie do pozostałych danych, bowiem Generalny Inspektor Ochrony Danych Osobowych nakazał usunięte wszystkich danych związanych z ww. czynem.
Ponadto organ ponownie wskazał, iż analiza powołanych wyżej przepisów prowadzi do wniosku, iż przy ocenie zasadności odmowy usunięcia danych osobowych J. S. ze zbioru KSIP zastosowanie znajdzie – wobec uchylenia § 11 ust. 3 rozporządzenia Ministra Spraw Wewnętrznych i Administracji w sprawie przetwarzania przez Policję informacji o osobach – art. 20 ust. 17 ustawy o Policji. Organ podał, iż powyższa regulacja co prawda jest podstawą do przetwarzania danych osobowych, ale nie wprowadza żadnych kryteriów pozwalających na dokonanie oceny ich przydatności.
Stwierdził, że w obecnym stanie prawnym zastosowanie w kwestii przetwarzania danych osobowych w KSIP będą miały przepisy ustawy o ochronie danych osobowych. Również to przepisy tej ustawy będą musiały być stosowane przez Policję w sytuacji oceniania każdego przypadku żądania usunięcia danych z KSIP.
W ocenie Generalnego Inspektora, kluczowym wyznacznikiem dla oceny konieczności przetwarzania danych osobowych w KSIP jest cel gromadzenia określonych informacji, co determinuje konieczność dokonywania każdorazowej, zindywidualizowanej oceny wniosków o usunięcie danych z tego zbioru.
Ustosunkowując się do twierdzenia Komendanta [...] Policji, iż przetwarzanie przez Policję danych osobowych osób, wobec których toczyły się postępowania karne stanowi dla tej formacji ważne narzędzie w zapobieganiu i zwalczaniu przestępstw, organ podkreślił, iż w toku niniejszego postępowania Komendant [...] Policji nie wykazał w jaki sposób przetwarzanie danych osobowych J. S. pomogło w realizacji tego celu. Stwierdził, iż samo wskazanie, iż J. S. popełnił umyślnie czyn karalny w niedalekiej przeszłości i w związku z tym ogólnikowe stwierdzenie dotyczące podstawy przetwarzania tych danych, były dla organu nieprzekonywujące. Ponadto organ stwierdził, iż stan faktyczny ustalony w toku niniejszego postępowania pozwala na wyprowadzenie wniosku, że, pomimo iż dane osobowe J. S. zostały pozyskane i wprowadzone do zbioru KSIP w związku z prowadzonym wobec niego w 2011 r. postępowaniem karnym, to od tamtego czasu nie doszło do postawienia mu innego zarzutu o charakterze prawnokarnym. W szczególności obecnie nie toczy się przeciwko niemu żadne postępowanie karne, co w świetle art. 20 ust. 2c ustawy o Policji czyni dalsze przetwarzanie danych osobowych J. S. zbędnym.
Odnosząc się do celu przetwarzania danych osobowych w KSIP organ podkreślił, iż w toku prowadzonego postępowania Komendant [...] Policji nie wykazał również w jaki sposób przetwarzanie danych J. S. przyczyniło się do realizacji któregokolwiek z tych zadań.
Ustosunkowując się do argumentacji Komendanta [...] Policji odnoszącej się do dokonywanej przez Policję oceny kryminalistycznej przydatności danych przetwarzanych w KSIP Generalny Inspektor wskazał, iż jedynym podmiotem uprawnionym do dokonywania oceny stopnia winy i społecznej szkodliwości czynu przestępczego jest sąd. W ocenie Generalnego Inspektora Ochrony Danych Osobowych nie bez znaczenia zatem dla dokonania oceny kryminologicznej J. S. pozostaje okoliczność, iż sąd orzekając w sprawie dokonanego przez niego czynu zabronionego skorzystał z instytucji określonej w art. 66 § 1 K.k., tj. warunkowo umorzył postępowanie karne. Organ podkreślił przy tym, iż sąd wydając rozstrzygnięcie w takim kształcie dokonał de facto oceny kryminologicznej J. S. i stwierdził, iż jego wina i społeczna szkodliwość popełnionego czynu nie są znaczne, a jego postawa jako sprawcy niekaranego za przestępstwo umyślne, jego właściwości i warunki osobiste oraz dotychczasowy sposób życia uzasadniają przypuszczenie, że pomimo umorzenia postępowania będzie przestrzegał porządku prawnego, w szczególności nie popełni przestępstwa. W kontekście powyższego, zdaniem organu, Komendant [...] Policji twierdząc, iż przetwarzanie danych J. S. w KSIP jest niezbędne w celu prowadzenia "dalszych prognoz kryminologicznych" kwestionuje stanowisko sądu, który jako organ do tego właściwy, takiej oceny uprzednio dokonał warunkowo umarzając wobec J. S. postępowanie karne.
Podkreślić również należy, iż w kwestii przetwarzania danych osobowych przez Policję wypowiedział się Europejski Trybunał Sprawiedliwości, który w wyroku z 4 grudnia 2008 r. (sygn. 30562/04 i 30566/04) stwierdził, iż bezterminowe przechowywanie przez władze danych szczególnie wrażliwych jest niedopuszczalne w demokratycznym społeczeństwie i prowadzi do naruszenia art. 8 Europejskiej Konwencji Praw Człowieka stanowiącego o prawie do ochrony życia prywatnego. Trybunał wskazał również, że prawo krajowe powinno zawierać odpowiednie mechanizmy ochronne, w celu zapobieżenia takiego wykorzystania informacji osobistych, które naruszałoby art. 8 Konwencji. Trybunał podniósł, iż potrzeba takiej ochrony wzrasta, gdy ma się do czynienia z procesem automatycznego przetwarzania danych, a wykorzystywanie ich do celów policyjnych nie może być usprawiedliwieniem mniejszej ochrony.
W konkluzji organ stwierdził należy, że nie istnieje obecnie potrzeba przetwarzania w KSIP danych osobowych J. S. i uznał, iż przetwarzanie przez Komendanta [...] Policji danych osobowych J. S. w zakresie danych wprowadzonych w związku z popełnionym przez niego [...] maja 2010 r. czynem wypełniającym znamiona przestępstwa określonego w art. 158 § 1 K.k., odbywa z naruszeniem art. 26 ust. 1 ustawy o ochronie danych osobowych i niezbędne jest nakazanie przywrócenia stanu zgodnego z prawem z tym zakresie.
Komendant [...] Policji złożył na powyższą decyzję skargę do Wojewódzkiego Sądu Administracyjnego w Warszawie i wniósł o jej uchylenie w całości oraz uznanie, że Komendant [...] Policji zgodnie z prawem przetwarza dane osobowe J. S..
Zaskarżonej decyzji zarzucił naruszenie prawa materialnego, tj. art. 20 ust. 2a, 2b, 17 i 17b ustawy o Policji, mające istotny wpływ na wynik sprawy, poprzez odstąpienie od zastosowania jako przepisów szczególnych art. 20 ust. 2a, 2b, 17 i 17b ustawy o Policji i przyjęcie za podstawę rozstrzygnięcia art. 26 ust. 1 pkt 4 ustawy o ochronie danych osobowych.
W uzasadnieniu skargi Komendant [...] Policji podkreślił, że przepisy ustawy o Policji, regulujące problematykę przetwarzania i ochrony danych osobowych, są lex specialis w stosunku do przepisów ustawy o ochronie danych osobowych. Świadczy o tym treść art. 20 ust. 2a, 2b i 17 ustawy o Policji w kontekście art. 51 ust. 3 i 5 Konstytucji RP oraz ww. przepisy ustawy o ochronie danych osobowych. Ewentualne żądania usunięcia danych osobowych z KSIP muszą być oceniane wyłącznie w zestawieniu z art. 20 ust. 17 ustawy o Policji.
Jak podkreślił Komendant [...] Policji, nie można skutecznie zwalczać przestępczości bez nieprzerwanego prowadzenia analizy kryminologicznej, która w przypadku Policji jest jedną z podstawowych metod wykonywania czynności operacyjno-rozpoznawczych i dochodzeniowo-śledczych, określaną jako “analiza kryminalna". Bez zachowania długookresowych informacji o sprawcach czynów zabronionych nie będzie można prowadzić analizy kryminalnej na poziomie strategicznym (poza wymiarem operacyjnym dotyczącym konkretnych spraw), która jest niezbędna do ustalenia skutecznego programu zwalczania przestępczości.
Skarżący zwrócił uwagę, iż kilkakrotnie już ustalono niewykrytych od kilkunastu lat sprawców zbrodni tylko dlatego, że w zbiorach policyjnych przez cały czas przechowywano informacje uzyskane bezpośrednio po ujawnieniu tych przestępstw. Trafność stanowiska GIODO, zaprezentowanego w zaskarżonej decyzji, byłaby w pełni uznana, gdyby można było wykluczyć zjawisko powrotu do przestępstwa, który wynosi ok. 40%, co oznacza, że na 10 osób skazanych aż 4 w bliskiej lub dalszej przyszłości popełnia kolejne przestępstwo. Nawet w przypadku osób skazywanych po raz pierwszy za czyny o stosunkowo niewielkiej szkodliwości społecznej jedynie na kary ograniczenia wolności, wskaźnik recydywy przekracza 15%, a więc negatywna ocena kryminologiczna dotyczy co szóstej osoby skazanej i objętej zatarciem skazania po 5 latach.
Skarżacy stwierdził, że chcąc uczynić zadość żądaniu GIODO należałoby przełamać zasadę dyskrecjonalności i reglamentacji w procesie przetwarzania przez Policję danych osobowych, które to zasady wynikają wprost z art. 20 ust. 2a oraz wspomnianego art. 20a ust. 1 ustawy o Policji. Bacząc chociażby na uprawnienia strony (skarżącego) oraz jawność postępowania administracyjnego przed sądem, Policja jest obowiązana wyłączyć możliwość ujawnienia form i metod działania, które są nieodłącznym atrybutem osiągania celów wynikających z ustawowych jej zadań, jak również strzec informacji uzyskanych w toku realizacji czynności służbowych, a dotyczących także osoby skarżącego. Inne pojmowanie wskazanego przepisu mogłoby niweczyć pracę policyjną ale również w określonych przypadkach narażać inne osoby, chociażby informatorów na dekonspirację. Skutki takich sytuacji mogłyby powodować niepowetowane straty oraz narażałyby tych informatorów także na zagrożenie ich życia lub zdrowia. Stąd też przyjęta przez ustawodawcę konstrukcja przepisów ustawy o Policji i ówcześnie obowiązujących przepisów wykonawczych, odmiennie aniżeli żąda tego GIODO, pozostawiała ocenę przydatności dalszego przetwarzania danych osobowych jedynie Policji i przy wykorzystaniu ocennych kryteriów zasadności owego przetwarzania, bez konieczności (a wręcz z obowiązkiem ochrony metod form i informacji) wskazywania (upubliczniania) celu przetwarzania tych danych.
Zdaniem skarżącego, nie można zgodzić się ze stanowiskiem Generalnego Inspektora, że dane osobowe są przetwarzane przez Policję w sposób dowolny, a tym samym wbrew zasadom określonym w art. 26 ust. 1 pkt 3 i 4 ustawy o ochronie danych osobowych. Według powołanych przepisów dane osobowe powinny być merytorycznie poprawne i adekwatne w stosunku do celów, w jakich są przetwarzane oraz przechowywane w postaci umożliwiającej identyfikację osób, których dotyczą, nie dłużej niż jest to niezbędne do osiągnięcia celu przetwarzania. Adekwatność danych (ich zakres) jest dyrektywnie określona przez ustawodawcę w art. 20 ust. 2b i 2c ustawy o Policji, przy czym nie gromadzi się w ogóle informacji, które nie mają przydatności wykrywczej, dowodowej lub identyfikacyjnej w postępowaniu prowadzonym wobec danej osoby. Zgodnie z art. 20 ust. 2a ustawy o Policji dane osobowe gromadzi się w celu realizacji zadań ustawowych, a więc m.in. w celu inicjowania i organizowania działań mających na celu zapobieganie popełnianiu przestępstw i wykroczeń oraz zjawiskom kryminogennym, wykrywania przestępstw i wykroczeń oraz ścigania ich sprawców, współdziałania z policjami innych państw oraz policyjnymi organizacjami międzynarodowymi, a także w celu gromadzenia, przetwarzania, i przekazywania informacji kryminalnych (art. 1 ust. 2 pkt 3, 4, 7 i 8 ustawy o Policji).
Za nietrafny skarżący uznał pogląd Generalnego Inspektora, że w rozpatrywanej sprawie Policja nie wykazała na ile przetwarzanie danych określonej osoby pomogło w zapobieganiu i zwalczaniu przestępstw oraz przyczyniło się do zapobieżenia postawienia tej osobie zarzutu o charakterze prawnokarnym w terminie późniejszym. Przetwarzane przez Policję dane osobowe są poddawane analizie kryminalnej nie tylko w związku z kolejnym zaistniałym przestępstwem, ale również na poziomie strategicznym, czy też do ewentualnego typowania sprawców czynów o zbliżonych cechach. Nie sposób przy tym oszacować (liczbowo) stopnia wpływu prewencyjnych przedsięwzięć projektowanych w oparciu o analizę kryminalną lub typującą na poziom przestępczości, jaki wystąpił po zrealizowaniu tych przedsięwzięć. Ponadto, celem przetwarzania informacji zgromadzonych w KSIP nie jest "zapobieżenie postawienia innego zarzutu w okresie późniejszym", lecz skutek poniekąd przeciwny: typowanie osób, które mogły popełnić ujawniony kolejny czyn karalny określonego rodzaju, popełniony w określonych okolicznościach.
Końcowo Komendant [...] Policji wskazał, że konstytucyjność art. 20 ust. 7 ustawy o Policji została pozytywnie oceniona przez Trybunał Konstytucyjny w wydanym w dniu 12 grudnia 2005 r. orzeczeniu o sygn. akt K 32/04.
W odpowiedzi na skargę Generalny Inspektor Ochrony Danych Osobowych wniósł o oddalenie skargi, podtrzymując argumentację zawartą w uzasadnieniu zaskarżonej decyzji.
Dodatkowo organ zwrócił uwagę na legitymację [...] J. S. do wniesienia skargi wskazując, że pełnomocnictwo dla J. S., wynikające z decyzji Komendanta [...] Policji z [...] listopada 2011 r., nr [...] zawiera umocowanie do reprezentowania Komendanta [...] Policji w postępowaniach administracyjnych i postępowaniach przed sądami administracyjnymi w rodzajowo określonych sprawach, tj. w sprawach dotyczących przetwarzania danych osobowych w Krajowym Systemie Informacyjnym Policji, wynikających z art. 26, art. 32 ust. 1 pkt 1-6 oraz art. 33-35 ustawy o ochronie danych osobowych, natomiast przedmiotowa sprawa nie mieści się w ww. katalogu spraw.
Wojewódzki Sąd Administracyjny w Warszawie zważył, co następuje:
Zgodnie z art. 1 § 1 i § 2 ustawy z dnia 25 lipca 2002 r. – Prawo o ustroju sądów administracyjnych (Dz. U. Nr 153, poz. 1269 ze zm.), sądy administracyjne sprawują wymiar sprawiedliwości przez kontrolę działalności administracji publicznej pod względem zgodności z prawem, jeżeli ustawy nie stanowią inaczej. Sąd, stosownie do art. 134 § 1 ustawy z dnia 30 sierpnia 2002 r. – Prawo o postępowaniu przed sądami administracyjnymi (Dz. U. z 2012 r., poz. 270 ze zm., dalej jako P.p.s.a.), rozstrzyga w granicach danej sprawy, nie będąc jednak związany zarzutami i wnioskami skargi oraz powołaną podstawą prawną.
Skarga, oceniana zgodnie z powołanymi zasadami, zasługuje na uwzględnienie.
Przed przystąpieniem do merytorycznych rozważań odnieść należy się do podnoszonych w odpowiedzi na skargę wątpliwości co do legitymacji [...] J. S. do wniesienia przedmiotowej skargi w imieniu Komendanta [...] Policji.
Sąd wątpliwości organu nie podziela, uznając, że upoważnienie udzielone J. S. w decyzji nr [...] z [...] listopada 2011 r. oraz w decyzji nr [...] z [...] września 2012 r. było wystarczające do reprezentowania organu, a tym samym do złożenia skargi na decyzję Generalnego Inspektora Ochrony Danych Osobowych. W § 2 decyzji nr [...], zmienionej decyzją nr [...], Komendant [...] Policji upoważnił m..in. J. S., Naczelnika Wydziału [...] Komendy [...] Policji do występowania w postępowaniach administracyjnych i przed sądami administracyjnymi w sprawach, o których mowa w § 1, tj. w sprawach:
1) załatwiania w imieniu Komendanta [...] Policji spraw dotyczących przetwarzania danych osobowych w Krajowym Systemie Informacyjnym Policji, zwanym dalej "KSIP", wynikających z art. 26, art. 32 ust. 1 pkt 1-6 oraz art. 33-35 ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych;
2) reprezentowania Komendanta [...] Policji w kontaktach z innymi organami, osobami prawnymi i fizycznymi oraz podmiotami niemającymi osobowości prawnej w sprawach określonych w pkt 1;
3) udzielania w imieniu Komendanta [...] Policji odpowiedzi na wnioski i wystąpienia osób, organów, podmiotów lub innych instytucji, dotyczące przetwarzania danych osobowych w KSIP;
4) sprawowania kontroli w zakresie przetwarzania danych osobowych w KSIP, obejmującej:
a) przeprowadzanie kontroli dostępu do danych osobowych przetwarzanych w KSIP – z własnej inicjatywy, na polecenie Komendanta [...] Policji lub jego zastępców, albo na zlecenie uprawnionych kierowników jednostek organizacyjnych Policji lub ich komórek organizacyjnych, a także na wniosek sądu lub prokuratora,
b) udzielanie informacji o wynikach przeprowadzonej kontroli właściwym zleceniodawcom lub wnioskodawcom,
c) wgląd do wszelkich dokumentów związanych z wykonywaną kontrolą w kontrolowanych jednostkach organizacyjnych Policji lub ich komórkach organizacyjnych;
d) żądania pisemnych wyjaśnień, w szczególności w przypadku przypuszczenia nieuprawnionego przetwarzania danych lub stwierdzenia naruszeń w ich przetwarzaniu;
5) dokonywania weryfikacji oraz decydowania o usunięciu danych osobowych z KSIP w przypadku stwierdzenia naruszeń w przetwarzaniu tych danych lub nieuprawnionego ich przetwarzania;
6) wydawania w imieniu Komendanta [...] Policji poleceń kierownikom komórek i jednostek organizacyjnych Policji w sprawach określonych w pkt 1.
Wskazane powyżej upoważnienie określa rodzaje spraw, w których J. S. jest upoważniony do występowania w imieniu Komendanta [...] Policji w postępowaniu administracyjnym i sądowoadministracyjnym. Zostało ono wydane na potrzeby wszelkich postępowań mieszczących się we wskazanym zakresie i toczących się w określonym przedziale czasowym, a nie do konkretnej sprawy. Skoro zatem niniejsza sprawa dotyczy odmowy usunięcia danych osobowych z Krajowego Systemu Informacyjnego Policji, a w decyzji z [...] lutego 2013 r. Generalny Inspektor Ochrony Danych Osobowych w podstawie rozstrzygnięcia wskazuje m.in. 26 ust. 1 pkt 4 ustawy o ochronie danych osobowych, to uznać należy, że przedstawione upoważnienie skutecznie umocowało J. S. do złożenia przedmiotowej skargi w niniejszej sprawie. Sąd zgadza się z organem, że rozważa on prawidłowość działania administratora danych w kontekście art. 27 ust. 2 pkt 2 w zw. z art. 26 ust. 1 pkt 4 cytowanej ustawy, nie zmienia to jednak oceny Sądu, że przedstawione upoważnienie w dalszym ciągu obejmuje swoim zakresem umocowanie dla J. S. do działania w imieniu Komendanta [...] Policji. W przeciwnym bowiem razie należałoby wymagać od udzielającego upoważnienie, przedstawiania w każdym stadium postępowania nowych umocowań z bardzo szczegółowo opisanym stanem faktycznym i prawnym danej sprawy. A takie stanowisko w ocenie Sądu jest nie do zaakceptowania, przekreślałoby to możliwość udzielania upoważnień ogólnych i znacząco wpływałoby na długość trwającego postępowania.
Dodatkowo zaznaczyć należy, że art. 35 ust. 1 ustawy o ochronie danych osobowych, który to przepis został wskazany w analizowanej decyzji, odnosi się do obowiązku administratora danych ich usunięcia ze zbioru. Rozpoznawana sprawa w istocie dotyczy usunięcia ze zbioru danych jakim jest KSIP danych J. S.. Powyższa okoliczność dodatkowo przemawia za tym, że J. S. mógł reprezentować organ składając do Sądu skargę na decyzję GIODO.
Zadaniem ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych jest stanie na straży interesów osób, których przetwarzane dane osobowe dotyczą oraz przestrzeganie zakresu i trybu przetwarzania tych danych.
Omawiana ustawa w art. 1 stwierdza, że dane osobowe mogą być przetwarzane, jeżeli służy to dobru publicznemu, dobru osoby, której dane dotyczą lub dobru osób trzecich. Ochrona danych osobowych na podstawie przepisów powołanej ustawy nie powinna być oderwana od przepisów służących ochronie innych wartości. Stosownie do treści art. 7 pkt 2 ustawy o ochronie danych osobowych, przez przetwarzanie danych osobowych rozumie się jakiekolwiek operacje wykonywane na danych osobowych, takie jak zbieranie, utrwalanie, przechowywanie, opracowywanie, zmienianie, udostępnianie i usuwanie, a zwłaszcza te, które wykonuje się w systemach informatycznych. Zgodnie z art. 23 ust. 1 pkt 2 ww. ustawy, przetwarzanie danych jest dopuszczalne tylko wtedy, gdy jest to niezbędne dla zrealizowania uprawnienia lub spełnienia obowiązku wynikającego z przepisu prawa. Wiążąc ten przepis z kompetencjami organów Policji w zakresie przetwarzania danych osobowych osób podejrzanych o popełnienie przestępstwa, należy dojść do wniosku, iż przetwarzanie danych osobowych J. S. w Krajowym Systemie Informacji Policyjnej (KSIP) znajduje umocowanie w obowiązujących przepisach prawnych.
Jak wynika z akt administracyjnych, pismem z [...] października 2011 r., J. S. wystąpił do Generalnego Inspektora Ochrony Danych Osobowych o zbadanie legalności przetwarzania jego danych osobowych w KSIP oraz o nakazanie Komendantowi [...] Policji niezwłocznego usunięcia jego danych osobowych z przedmiotowego zbioru.
Komendant [...] Policji, ustosunkowując się do powyższej skargi, wyjaśnił, iż dane J. S. zostały wprowadzone do KSIP w związku z popełnieniem przez niego przestępstwa umyślnego przeciwko zdrowiu i życiu.
Legitymację prawną do przetwarzania informacji, w tym danych osobowych osób, wobec których były prowadzone postępowania przez Policję, stanowi art. 20 ustawy o Policji w brzmieniu nadanym art. 27 pkt 1 ustawy z dnia 16 września 2011 r. o wymianie informacji z organami ścigania państw członkowskich Unii Europejskiej (Dz. U. Nr 230, poz. 1371) i zgodnie z art. 36 ww. ustawy – obowiązującym od 1 stycznia 2012 r.
Zgodnie z art. 20 ust. 1 ustawy o Policji, Policja, z zachowaniem ograniczeń wynikających z art. 19, może uzyskiwać informacje, w tym także niejawnie, gromadzić je, sprawdzać oraz przetwarzać. Policja może pobierać, uzyskiwać, gromadzić, przetwarzać i wykorzystywać w celu realizacji zadań ustawowych informacje, w tym dane osobowe o osobach podejrzanych o popełnienie przestępstw ściganych z oskarżenia publicznego, nieletnich dopuszczających się czynów zabronionych przez ustawę jako przestępstwa ścigane z oskarżenia publicznego, o osobach o nieustalonej tożsamości lub usiłujących ukryć swoją tożsamość oraz o osobach poszukiwanych, także bez ich wiedzy i zgody (art. 20 ust. 2a ww. ustawy).
W świetle art. 20 ust. 2b ustawy o Policji informacje, o których mowa m.in. w ust. 1 i 2a, dotyczą osób, o których mowa w ust. 2a i mogą obejmować: 1) dane osobowe, o których mowa w art. 27 ust. 1 ustawy o ochronie danych osobowych, z tym, że dane dotyczące kodu genetycznego obejmują informacje wyłącznie o niekodującej części DNA; 2) odciski linii papilarnych; 3) zdjęcia, szkice i opisy wizerunku; 4) cechy i znaki szczególne, pseudonimy; 5) informacje o: a) miejscu zamieszkania lub pobytu, b) wykształceniu, zawodzie, miejscu i stanowisku pracy oraz sytuacji materialnej i stanie majątku, c) dokumentach i przedmiotach, którymi sprawca się posługuje, d) sposobie działania sprawcy, jego środowisku i kontaktach, e) sposobie zachowania się sprawcy wobec osób pokrzywdzonych. Wymienionych informacji nie pobiera się w przypadku, gdy nie mają one przydatności wykrywczej, dowodowej lub identyfikacyjnej w prowadzonym postępowaniu (art. 20 ust. 2c).
Okres przechowywania tych danych określono w art. 20 ust. 17 ustawy o Policji, zgodnie z którym dane osobowe zebrane w celu wykrycia przestępstwa przechowuje się przez okres niezbędny do realizacji ustawowych zadań Policji. Organy Policji dokonują weryfikacji tych danych po zakończeniu sprawy, w ramach której dane te zostały wprowadzone do zbioru, a ponadto nie rzadziej niż co 10 lat od dnia uzyskania informacji, usuwając dane zbędne.
Dane osobowe, o których mowa w ust. 17, usuwa się, jeżeli organ Policji powziął wiarygodną informację, że: 1) czynu stanowiącego postawę wprowadzenia informacji do zbioru nie popełniono albo brak jest danych dostatecznie uzasadniających podejrzenie jego popełnienia, 2) zdarzenie lub okoliczność, w związku z którymi wprowadzono informacje do zbioru, nie ma znamion czynu zabronionego, 3) osoba, której dane dotyczą, została uniewinniona prawomocnym wyrokiem sądu (art. 20 ust. 17b ustawy).
Zgodnie z art. 20 ust. 18 ww. ustawy, dane osobowe ujawniające pochodzenie rasowe lub etniczne, poglądy polityczne, przekonania religijne lub filozoficzne, przynależność wyznaniową, partyjną lub związkową oraz dane o stanie zdrowia, nałogach lub życiu seksualnym osób podejrzanych o popełnienie przestępstw ściganych z oskarżenia publicznego, które nie zostały skazane za te przestępstwa, podlegają komisyjnemu i protokolarnemu zniszczeniu niezwłocznie po uprawomocnieniu się stosownego orzeczenia.
Szczegółowe zasady przetwarzania danych osobowych osób wymienionych w art. 20 ust. 2a ustawy o Policji, w dacie udzielania organom wyjaśnień przez Komendanta [...] Policji, a więc także w dacie rozpoznawania wniosku J. S. o usunięcie jego danych z KSIP, określało rozporządzenie Ministra Spraw Wewnętrznych i Administracji z dnia 5 września 2007 r. w sprawie przetwarzania przez Policję informacji o osobach (art. 35 ww. ustawy z dnia 16 września 2011 r. o wymianie informacji z organami ścigania państw członkowskich Unii Europejskiej).
Zgodnie z § 4 ust. 1 powołanego rozporządzenia, informacje przetwarza się w: (1) centralnych zbiorach informacji – przeznaczonych do przetwarzania informacji niezbędnych do realizacji zadań Policji na obszarze całego kraju, (2) wewnętrznych zbiorach informacji – przeznaczonych do przetwarzania informacji niezbędnych do realizacji zadań na obszarze właściwości miejscowej poszczególnych jednostek organizacyjnych Policji lub w zakresie właściwości rzeczowej poszczególnych komórek organizacyjnych Komendy [...] Policji, (3) zestawach zbiorów informacji – przeznaczonych do integracji i usprawniania procesów przetwarzania informacji zgromadzonych w odrębnych zbiorach.
W myśl § 8 rozporządzenia, funkcjonowanie zestawu centralnych zbiorów informacji o nazwie "Krajowy System Informacyjny Policji (KSIP)" zapewnia Komendant [...] Policji.
Na podkreślenie zasługuje, że informacje, jakimi dysponuje KSIP, nie stanowią źródła wiedzy powszechnie dostępnej, służą wyłącznie do realizacji zadań Policji, co wynika z § 4 ww. rozporządzenia. Obecnie kwestię tę regulują szczegółowo przepisy rozdziału 2 "Zbiory danych i ich zestawy" rozporządzenia Ministra Spraw Wewnętrznych z dnia 31 grudnia 2012 r. w sprawie przetwarzania informacji przez Policję. Informacje wytworzone przez organy Policji w KSIP są zatem zamkniętym, ogólnie niedostępnym zbiorem informatycznym.
W myśl § 11 ust. 1 rozporządzenia z 5 września 2007 r., administrator zbioru zobowiązany jest do dokonania oceny przydatności informacji w prowadzonych postępowaniach w sposób systematyczny, po zakończeniu sprawy, w ramach której informacje zostały wprowadzone do zbioru, a następnie okresowo, z częstotliwością co najmniej raz na 10 lat. Przepis § 11 ust. 2 stanowi, iż przy dokonywaniu tej oceny informacje uznaje się za nadal przydatne, jeżeli na ich podstawie nie można wykluczyć możliwości popełnienia w przyszłości przez osobę, której dotyczą, czynu zabronionego w rozumieniu art. 115 § 1 K.k. Administrator zbioru ma obowiązek usunięcia informacji zgromadzonych w zbiorze: 1) po uzyskaniu wiadomości, że zdarzenie lub okoliczność, w związku z którymi wprowadzono informacje do zbioru, nie ma znamion czynu zabronionego, 2) jeżeli uzna dane informacje za zbędne w realizacji zadań ustawowych Policji albo nie uzna ich za przydatne w prowadzonych przez Policję postępowaniach, w rozumieniu ust. 2 § 11 ust. 3 rozporządzenia.
Zdaniem Sądu, zasady przetwarzania danych osobowych osób wymienionych w art. 20 ust. 2a ustawy o Policji zostały przez ustawodawcę uregulowane w sposób kompleksowy. Jak wskazał Naczelny Sąd Administracyjny w wyroku z 22 marca 2013 r. (I OSK 786/12, publ. http://orzeczenia.nsa.gov.pl) oznacza to, że obowiązuje ogólna zasada dotycząca pierwszeństwa przepisu szczególnego w stosunku do przepisów ogólnych oraz że w takim przypadku, niezależnie od przepisów szczególnych, stosuje się przepisy dotyczące ogólnych zasad ochrony danych osobowych, zawarte w ustawie o ochronie danych osobowych. Nie można przy tym nie zgodzić się ze stanowiskiem Generalnego Inspektora Danych Osobowych, że w dacie procesowania w sprawie przez Komendanta [...] Policji ww. akty prawne nie przewidywały konkretnych kryteriów, pozwalających na dokonanie oceny przydatności danych osobowych znajdujących się w Krajowym Systemie Informacyjnym Policji, lecz formułowały kryteria stosunkowo ogólne (nieostre). Powyższe wskazuje, iż ocenę przydatności danych w zbiorze informatycznym prawodawca pozostawił organom Policji, albowiem to one stoją na straży porządku publicznego i znają specyfikę środowisk przestępczych. Sformułowanie zawarte w § 11 ust. 2 ww. rozporządzenia z dnia 5 września 2007 r. "informacje uznaje się za nadal przydatne, jeżeli na ich podstawie nie można wykluczyć możliwości popełnienia w przyszłości przez osobę, której dotyczą, czynu zabronionego" jest nieostre, co wydaje się być celowym zabiegiem, zważywszy, iż ocenę tę należy odnosić do stanów przyszłych niepewnych, przewidywań. Nie można jednak pozbawiać Policji podstawowego instrumentu zwalczania przestępczości, jakim jest dostęp do jak najpełniejszej informacji, którą Policja sama wytworzyła w sposób legalny.
Na podkreślenie zasługuje jednakże, że w trakcie rozpoznawana przez Generalnego Inspektora Ochrony Danych Osobowych skargi J. S. zmianie uległ stan prawny.
5 stycznia 2013 r. weszło w życie rozporządzenie Ministra Spraw Wewnętrznych z dnia 31 grudnia 2012 r. w sprawie przetwarzania danych przez Policję (Dz. U. z 2013 r., poz. 8).
Zgodnie z § 38 tego rozporządzenia organy Policji dostosują tryb gromadzenia i sposoby przetwarzania informacji, w tym danych osobowych oraz sposób oceny danych osobowych przetwarzanych w zbiorach danych lub w zestawach zbiorów danych do wymogów określonych w rozporządzeniu w terminie 6 miesięcy od dnia jego wejścia w życie.
Rozporządzenie określa m.in. tryb gromadzenia oraz sposoby przetwarzania w zbiorach danych informacji, w tym danych osobowych, m.in. o osobach podejrzanych o popełnienie przestępstw ściganych z oskarżenia publicznego.
Do wykonywania czynności w zakresie pobierania, uzyskiwania, gromadzenia, sprawdzania, przetwarzania i wykorzystywania informacji, w tym danych osobowych, o których mowa w art. 20 ust. 2a i 2b ustawy o Policji, prowadzi się w Policji Krajowy System Informacyjny Policji (KSIP), będący zestawem zbiorów danych przetworzonych w systemach teleinformatycznych (§ 10 ust. 1 rozporządzenia).
W Rozdziale 6 rozporządzenia uregulowany został sposób oceny danych osobowych pod kątem ich przydatności w prowadzonych postępowaniach oraz sposoby weryfikacji i usuwania danych osobowych.
W § 32 ust. 1 rozporządzenia określono, że dane osobowe zgromadzone w celu wykrycia przestępstwa podlegają systematycznej weryfikacji przez organy Policji zgodnie z art. 20 ust. 17 ustawy o Policji, natomiast w ust. 2 szczegółowo podano okoliczności uwzględniane przy weryfikacji danych osobowych pod kątem ich przydatności w prowadzonych postępowaniach. Zaliczono do nich:
1. rodzaj i charakter popełnionego czynu wyczerpującego znamiona przestępstwa;
2. rodzaj i charakter dobra chronionego prawem naruszonego popełnionym przestępstwem;
3. formy sprawstwa i umyślność jego popełnienia;
4. postaci zamiaru i skutku czynu, w tym rodzaj i rozmiar wyrządzonej lub grożącej szkody;
5. zagrożenie sankcją karną za popełnione przestępstwa;
6. liczbę popełnionych przestępstw;
7. czas, jaki upłynął od momentu wprowadzenia informacji do zbioru danych do momentu dokonania weryfikacji;
8. inne informacje zgromadzone o osobie;
9. legalność uzyskania, pobrania lub zgromadzenia informacji oraz prawdziwość tych informacji;
10. ustalenie przesłanek legalności oraz niezbędności dalszego przetwarzania informacji do wykonywania zadań ustawowych Policji;
11. wystąpienie okoliczności określonych w art. 20 ust. 17b i 18 ustawy o Policji.
Analiza treści przepisów powyższego rozporządzenia prowadzi do wniosku, iż doprecyzowują one przesłanki decydujące o przydatności danych osobowych zgromadzonych w celu wykrycia przestępstwa w stopniu większym niż przepisy rozporządzenia z dnia 5 września 2007 r.
Odnosząc się do stanu faktycznego sprawy, wskazać należy, iż wobec J. S. prowadzono policyjne postępowanie wyjaśniające, wymieniony został postawiony w stan oskarżenia i prawomocnym wyrokiem Sąd uznał, że jego zachowanie wyczerpywało znamiona z art. 158 § 1 K.k., warunkowo umarzając postępowanie na okres próby 1 roku. W opisanym przypadku nie miał zastosowania art. 20 ust. 2c ustawy o Policji, albowiem zebrane o wymienionym dane miały walor wykrywczy i dowodowy.
Biorąc pod uwagę treść art. 20 ust. 17 ustawy o Policji, nie można zatem czynić Komendantowi [...] Policji zarzutu, iż bezprawnie przechowuje dane osobowe wyżej wymienionego w KSIP. To organy Policji oceniają przydatność zebranych informacji, dokonując ich weryfikacji po zakończeniu sprawy, w ramach której dane te zostały wprowadzone do zbioru, a ponadto nie rzadziej niż co 10 lat od dnia uzyskania lub pobrania informacji.
W przypadku J. S. brak było również podstaw do usunięcia danych osobowych z KSIP na podstawie art. 20 ust. 17b ustawy o Policji. Policja nie uzyskała wiarygodnej informacji, że wyżej wymieniony został uniewinniony albo, że umorzono postępowanie na podstawie art. 17 K.p.k., co uzasadniałoby usunięcie tych danych z rejestru.
Podkreślić należy, że w omawianej sprawie okres 10 lat od dnia uzyskania informacji dotyczącej J. S. jeszcze nie upłynął. Od daty postawienia wyżej wymienionemu zarzutu z art. 158 § 1 K.k. i wprowadzenia jego danych osobowych do KSIP (w 2011 r.) do daty skierowania skargi do Generalnego Inspektora na niezgodne z prawe przetwarzanie jego danych osobowych w KSIP ([...] luty 2012 r.) upłynął w istocie relatywnie krótki okres czasu. Wymieniony dopuścił się popełnienia przestępstwa umyślnego, skierowanego przeciwko życiu lub zdrowiu, a więc przeciw wartościom, które winny możliwie najdalej być chronione przez funkcjonariuszy organów ochrony prawnej. Dlatego nie można zakładać, iż przedmiotowa informacja na obecnym etapie jest zbędna dla celów prewencyjnych, które mieszczą się w zakresie ustawowych zadań Policji (art. 1 ust. 2 pkt 3 i 4 ustawy o Policji). To właśnie na te zadania, w myśl art. 20 ust. 17 ww. ustawy, wskazał w swoich wyjaśnieniach Komendant [...] Policji, zwracając uwagę na istotę działania formacji – zapewnienie społeczeństwu bezpieczeństwa i porządku publicznego poprzez oddziaływanie prewencyjne i ściganie sprawców przestępstw. Zauważył, iż niezbędnym narzędziem dla prowadzenia działań prewencyjnych jest analiza kryminalna zebranych danych osobowych nie tylko w związku z kolejnym zaistniałym przestępstwem, ale również w celu ewentualnego typowania sprawców czynów o cechach zbliżonych. Nie można przy tym, jak wskazał organ Policji, precyzyjnie określić stopnia wpływu prewencyjnych przedsięwzięć realizowanych w oparciu o analizę kryminalną lub typującą na poziom przestępczości, jaki wystąpił po zrealizowaniu tych przedsięwzięć.
Na podkreślenie zasługuje, że wobec wejścia w życie 5 stycznia 2013 r. rozporządzenia Ministra Spraw Wewnętrznych w sprawie przetwarzania informacji przez Policję, organy Policji obowiązane były w ciągu 6 miesięcy do dostosowania sposobu oceny danych osobowych przetwarzanych w zbiorach danych do wymogów określonych w rozporządzeniu. Oznacza to, że w zakreślonym § 32 rozporządzenia terminie, organy Policji powinny przeprowadzić weryfikację zgromadzonych danych osobowych pod kątem ich przydatności w prowadzonych postępowaniach. Jak wskazano wcześniej obecnie kryteria tej oceny są określone bardziej szczegółowo niż w poprzednio obowiązującym rozporządzeniu normującym tę kwestię. Założyć należy, z uwagi na upływ 6 miesięcy od dnia wejścia w życie rozporządzenia, że weryfikacja taka, w oparciu o przesłanki wymienione w § 32 ust. 2 rozporządzenia, została dokonana.
W świetle powyższych okoliczności faktycznych i prawnych, decyzja Generalnego Inspektora Ochrony Danych Osobowych, nakazująca organowi Policji usunięcie danych osobowych wyżej wymienionego z KSIP, jest, zdaniem Sądu, przedwczesna i z tego względu nieprawidłowa.
W tym stanie rzeczy Wojewódzki Sąd Administracyjny w Warszawie, działając na podstawie art. 145 § 1 pkt 1 lit. a) w związku z art. 135 oraz art. 152 P.p.s.a., orzekł jak w sentencji wyroku.
