Centralna Baza Orzeczeń Sądów Administracyjnych

Naczelny Sąd Administracyjny w składzie: Przewodniczący: sędzia NSA Monika Nowicka Sędziowie: sędzia NSA Irena Kamińska (spr.) sędzia WSA del. Jacek Fronczyk Protokolant st. inspektor sądowy Barbara Dąbrowska-Skóra po rozpoznaniu w dniu 16 grudnia 2011 r. na rozprawie w Izbie Ogólnoadministracyjnej skargi kasacyjnej Generalnego Inspektora Ochrony Danych Osobowych od wyroku Wojewódzkiego Sądu Administracyjnego w Warszawie z dnia 10 marca 2011 r. sygn. akt II SA/Wa 1885/10 w sprawie ze skargi Komendanta Głównego Policji na decyzję Generalnego Inspektora Ochrony Danych Osobowych z dnia (...) września 2010 r. nr (...) w przedmiocie przetwarzania danych osobowych 1. oddala skargę kasacyjną, 2. zasądza od Generalnego Inspektora Ochrony Danych Osobowych na rzecz Komendanta Głównego Policji kwotę 180 (sto osiemdziesiąt) złotych tytułem zwrotu koszów postępowania kasacyjnego.

Wyrokiem z dnia 10 marca 2011 r., sygn. akt II SA/Wa 1885/10 Wojewódzki Sąd Administracyjny w Warszawie uchylił decyzję Generalnego Inspektora Ochrony Danych Osobowych z dnia (...) września2010 r. nr (...) oraz decyzję tego organu z dnia (...) czerwca 2010 r. nr (...)w sprawie ze skargi Komendanta Głównego Policji w przedmiocie przetwarzania danych osobowych.

W uzasadnieniu wyroku Sąd pierwszej instancji wskazał, iż Generalny Inspektor Ochrony Danych Osobowych decyzją z dnia (...) września2010 r. nr (...), wydaną na podstawie art. 138 § 1 pkt 1 k.p.a., art. 12 pkt 2, art. 18 ust. 1 pkt 1 i 6, art. 22 w zw. z art. 26 ust. 1, art. 27 ust 2 pkt 2, art. 30 i art. 33 ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (tekst jedn. Dz.U. z 2002 r. Nr 101, poz. 926 ze zm.) i w związku z art. 20 ust. 1 i 2a ustawy z dnia 6 kwietnia 1990 r. o Policji (tekst jedn. Dz.U. z 2007 r. Nr 43, poz. 277 ze zm.), utrzymał w mocy własną decyzję z dnia (...) czerwca 2010 r. nr (...)) nakazującą Komendantowi Głównemu Policji usunięcie uchybień w procesie przetwarzania danych osobowych M. D., poprzez usunięcie jego danych osobowych z Krajowego Systemu Informacyjnego Policji (dalej KSIP) w zakresie danych wskazanych w art. 20 ust. 2b pkt 2–5 ustawy o Policji wprowadzonych do zbioru w ramach postępowania karnego prowadzonego w sprawie popełnionego przez M. D. czynu wypełniającego znamiona przestępstwa określonego w art. 278 § 1 ustawy z dnia 6 czerwca 1997 r. Kodeks karny (tekst jedn. Dz.U. z 1997 r. Nr 88, poz. 553 ze zm.) oraz spełnienie wobec M. D. obowiązku informacyjnego w zakresie wskazanym w art. 33 ust. 1.

W uzasadnieniu powyższej decyzji Generalny Inspektor Ochrony Danych Osobowych podniósł, iż M. D. wniósł skargę na odmowę usunięcia jego danych osobowych z KSIP oraz odmowę udzielenia mu przez Komendanta Głównego Policji informacji jakie jego dane zawarte są w KSIP. Skarżący podniósł, iż przetwarzanie jego danych osobowych w KSIP ogranicza jego wolność wyboru i wykonywania zawodu. W ocenie wnioskodawcy, przetwarzanie jego danych osobowych w zakwestionowany przez zainteresowanego sposób nie jest niezbędne dla realizacji przez Policję jej ustawowych zadań, a wręcz stanowi formę "pomówienia" go jako osoby, która w przeszłości weszła w konflikt z prawem. W związku z powyższym skarżący wystosował wobec organu ochrony danych osobowych wniosek o nakazanie Komendantowi Głównemu Policji usunięcia jego danych osobowych zawartych w KSIP oraz wypełnienia wobec niego obowiązku informacyjnego w zakresie udzielenia mu informacji, jakie jego dane zawiera przedmiotowy zbiór.

W toku postępowania administracyjnego przeprowadzonego w niniejszej sprawie organ Ochrony Danych Osobowych ustalił, iż:

1) W 2004 r. wobec M. D. prowadzone było postępowanie karne w sprawie przywłaszczenia drewnianych palet, które zakończyło się wydaniem wobec niego wyroku skazującego. W chwili obecnej nastąpiło zatarcie przedmiotowego skazania (w aktach sprawy znajduje się zaświadczenie z Krajowego Rejestru Karnego z dnia 31 marca 2010 r. o niefigurowaniu skarżącego w Kartotece Karnej KRK).

2) W związku z prowadzeniem przez Policję przedmiotowego postępowania dane M. D. w zakresie danych wskazanych w art. 20 ust. 2b pkt 2-5 ustawy o Policji, jako osoby podejrzanej o popełnienie przestępstwa ściganego z oskarżenia publicznego, zostały umieszczone w KSIP na podstawie rozporządzenia Ministra Spraw Wewnętrznych i Administracji z dnia 5 września 2007 r. w sprawie przetwarzania przez Policję informacji o osobach (Dz.U. z 2007 r. Nr 170, poz. 1203), zwanego dalej rozporządzeniem.

3) Pismem z dnia 9 września 2009 r. M. D. zwrócił się do Komendanta Miejskiego Policji w Krakowie o usunięcie jego danych osobowych z KSIP wskazując, iż wobec jego osoby nastąpiło zatarcie skazania z mocy prawa, a zawarte dane w KSIP uniemożliwiają mu podjęcie pracy w sektorze państwowym. Uzasadniając powyższy wniosek skarżący wskazał, iż nie figuruje już w Krajowym Rejestrze Karnym, szczegółowo opisał swój aktualny tryb życia, sytuację zawodową oraz podniósł, iż w związku ze zdobytym wykształceniem zamierza podjąć pracę w administracji państwowej lub wojsku. W odpowiedzi na wniosek strony Komendant Komisariatu Policji V w Krakowie pismem z dnia 29 września 2009 r. odmówił skarżącemu uwzględnienia jego wniosku wobec uznania, iż brak jest przesłanek do uznania go za zasadny.

4) W odpowiedzi na kolejne pismo M. D. z dnia 26 października 2009 r. Biuro Wydziału Kryminalnego Komendy Głównej Policji pismem z dnia 21 grudnia 2009 r. odmówiło wymienionemu usunięcia jego danych z KSIP. Uzasadniając powyższe stanowisko, wskazano skarżącemu, iż na podstawie informacji przetwarzanych danych na jego temat nie można wykluczyć możliwości popełnienia przez niego czynu zabronionego w przyszłości, wobec czego istnieje negatywna przesłanka uniemożliwiająca usunięcie jego danych z KSIP. Nadto powołując się na brzmienie art. 20 ust. 2b ustawy o Policji nie udzielono mu informacji o zakresie jego danych osobowych przetwarzanych w ww. zbiorze.

5) W wyjaśnieniach złożonych przed Generalnym Inspektorem Ochrony Danych Osobowych Komendant Główny Policji wskazał, iż dane osobowe skarżącego przetwarzane są w oparciu o powszechnie obowiązujące przepisy ustawy o Policji oraz wydanego na jej podstawie rozporządzenia w sprawie przetwarzania przez Policję informacji o osobach. Jak podkreślono M. D. popełnił przestępstwo umyślne, o "największym pokładzie złej woli" więc, w ocenie tego organu, istnieje duże prawdopodobieństwo powrotu do zachowań przestępczych, co stanowi negatywną przesłankę do usunięcia jego danych z KSIP. Jak wskazano, cyt.: "wydaje się (...), że dopiero upływ dziesięcioletniego okresu pozostawania takiej osoby w zgodzie z ustanowionym porządkiem prawnym da rękojmię odstąpienia od ponownego naruszenia przez tą osobę prawa". Podkreślono również, iż KSIP nie jest rejestrem powszechnie dostępnym, tak jak np. Krajowy Rejestr Karny, a dostęp do niego jest ściśle reglamentowany, stąd obawy skarżącego co do pozbawienia go możliwości starania się o pracę w organach państwowych należy uznać za bezpodstawne. Ustosunkowując się zaś do okoliczności zatarcia skazania wobec M. D. jako kryterium oceny przydatności jego danych dla realizacji zadań Policji wyjaśniono, iż cyt.: "aspektem pomocniczym branym pod uwagę w procesie dokonywania oceny przydatności jest również fakt zatarcia skazania, jednakże nie musi on mieć charakteru wiodącego. Bez wątpienia zatem, w znacznej części proces ów oparty jest o kryteria nieostre. Jednakże ocena kryminologiczna ze swej natury o takie kryteria jest oparta, bowiem dotyczy jedynie prognozy zachowania się sprawcy".

W wyniku dokonanych ustaleń Generalny Inspektor Ochrony Danych Osobowych stwierdził, iż skarga M. D. jest zasadna i decyzją z dnia (...) czerwca 2010 r. nakazał Komendantowi Głównemu Policji usunięcie uchybień w procesie przetwarzania danych osobowych skarżącego poprzez usunięcie jego danych osobowych z KSIP w zakresie danych wskazanych w art. 20 ust. 2b pkt 2–5 ustawy o Policji wprowadzonych do zbioru w ramach postępowania karnego prowadzonego w sprawie popełnionego przez M. D. czynu wypełniającego znamiona przestępstwa określonego w art. 278 § 1 k.k. oraz spełnienie wobec M. D. obowiązku informacyjnego w zakresie wskazanym w art. 33 ust. 1.

We wniosku o ponowne rozpatrzenie sprawy zakończonej powyższą decyzją Komendant Główny Policji wniósł o jej uchylenie i zarzucił zapadłemu rozstrzygnięciu naruszenie przepisów prawa materialnego, tj. art. 20 ust. 2a, ust. 2b i ust. 17 ustawy o Policji poprzez odstąpienie od zastosowania ich jako przepisów szczególnych i przyjęcie jako podstawę rozstrzygnięcia art. 26 ust. 1 oraz art. 33 ustawy o ochronie danych osobowych skarżącego obowiązku informacyjnego, strona odwołująca się wskazała, iż takie stanowisko organu do spraw ochrony danych osobowych jest sprzeczne z treścią art. 20 ust. 2a ustawy o Policji konstytuującego po stronie Policji uprawnienie do przetwarzania danych bez zgody i wiedzy osób, których dane dotyczą.

Nie znajdując podstaw do uwzględnienia wniosku odwoławczego Generalny Inspektor Ochrony Danych Osobowych utrzymał zaskarżoną decyzję w mocy. W motywach rozstrzygnięcia z dnia (...) września2010 r. organ wskazał, iż ochrona danych osobowych zagwarantowana jest w art. 51 Konstytucji RP. Organ przywołał treść art. 51 ust. 1, 3, 5 Konstytucji RP i art. 7 pkt 2, art. 23 ust. 1 pkt 1, 2, 5, art. 27 ust. 1 i ust. 2 pkt 1 oraz art. 26 pkt 4 ustawy o ochronie danych osobowych. Poddał także analizie treść art. 20 ust. 1 i 2a, ust. 17 ustawy o Policji oraz § 1 pkt 1–4 oraz § 11 ust. 1–3 rozporządzenia z dnia 5 września 2007 r. w sprawie przetwarzania przez Policję informacji o osobach. W oparciu o powyższe przepisy Generalny Inspektor doszedł do wniosku, iż przy ocenie zasadności odmowy usunięcia danych osobowych skarżącego ze zbioru KSIP zastosowanie znajdzie powołany § 11 ust. 3 ww. rozporządzenia przewidujący możliwość usunięcia danych po dokonaniu oceny przetwarzanych informacji o osobach pod kątem ich przydatności w prowadzonych postępowaniach oraz niezbędności w realizacji zadań ustawowych Policji. Powyższa regulacja co prawda jest podstawą do przetwarzania danych osobowych, ale nie wprowadza żadnych kryteriów pozwalających na dokonanie oceny ich przydatności. W obecnym stanie prawnym zastosowanie w kwestii przetwarzania danych osobowych w KSIP będą zatem miały przepisy ustawy o ochronie danych osobowych. Również to przepisy tej ustawy będą musiały być stosowane przez Policję w sytuacji oceniania każdego przypadku żądania usunięcia danych z KSIP. W ocenie Generalnego Inspektora dla realizacji celu jakim jest stanie przez Policję na straży bezpieczeństwa i porządku publicznego zbędne jest przetwarzanie danych tych osób, co do których od popełnienia przez nie przestępstwa upłynął długi okres czasu pozwalający nawet na zatarcie dotyczącego ich skazania, a jednocześnie nie ma na ich temat żadnych innych informacji wskazujących nadto, że ponownie weszły w konflikt z prawem. Ustalenie celu w jakim dane są przetwarzane kształtuje okres, od którego nie powinny być przetwarzane.

Odnosząc się do argumentacji Komendanta Głównego Policji, iż "KSIP nie stanowi zbioru (rejestru) danych osobowych osób skazanych", a więc "w zbiorze tym nie można przetwarzać informacji o sposobie zakończenia sprawy karnej, w tym o skazaniu", Generalny Inspektor podkreślił, iż przetwarzanie w KSIP nie tylko informacji o skazaniu, ale również o prowadzeniu postępowania karnego wobec osoby, która dopuściła się czynu zabronionego w odległej przeszłości, jest okolicznością obciążającą ją i niewątpliwie mającą negatywny wpływ na jej życie, m.in. w zakresie trudności w znalezieniu pracy. Instytucja zatarcia skazania ma swoje źródło w wyznawanej przez prawo karne zasadzie, że ukaranie człowieka nie może stanowić faktu, który obciążałby go na zawsze. Zatem nieadekwatne jest przetwarzanie w KSIP danych osobowych w zakresie informacji o popełnionym w przeszłości przez skarżącego czynie w sytuacji, gdy nawet w świetle zasad wyznaczonych przepisami k.k. jest on osobą niekaraną. Nadto stosownie do art. 42 ust. 3 Konstytucji RP każdego uważa się za niewinnego, dopóki jego wina nie zostanie stwierdzona prawomocnym wyrokiem sądu.

Ustosunkowując się zaś do twierdzenia Komendanta Głównego Policji, iż przetwarzanie przez Policję danych osobowych osób, wobec których toczyły się postępowania karne stanowi dla tej formacji "ważne narzędzie w zapobieganiu i zwalczaniu przestępstw", organ Ochrony Danych Osobowych podniósł, iż w toku niniejszego postępowania organ ten nie wykazał w jaki sposób przetwarzanie danych osobowych M. D. pomogło w realizacji tego celu. Stan faktyczny ustalony w toku niniejszego postępowania pozwalał na wyprowadzenie wniosku, że pomimo, iż dane osobowe skarżącego zostały pozyskane i wprowadzone do zbioru KSIP w 2004 r. w związku z prowadzonym wobec niego wówczas postępowaniem karnym, to od tamtego czasu nie doszło do postawienia mu innego zarzutu o charakterze prawnokarnym. W szczególności obecnie nie toczy się przeciwko niemu żadne postępowanie karne, co w świetle art. 20 ust. 2c ustawy o Policji stanowiącego, iż informacji, o których mowa w ust. 2a, nie pobiera się, w przypadku gdy nie mają one przydatności wykrywczej, dowodowej lub identyfikacyjnej w prowadzonym postępowaniu, czyni dalsze przetwarzanie danych osobowych M. D. zbędnym. Ponadto Komendant Główny Policji nie wykazał również w jaki sposób przetwarzanie danych wymienionego przyczyniło się do realizacji któregokolwiek z zadań określonych w art. 1 ust. 2 pkt 1–4 ustawy o Policji.

Nawiązując zaś do dokonywanej przez Policję oceny kryminologicznej osób, których dane osobowe przetwarzane są w KSIP, jako podstawy do oceny ich przydatności dla realizacji zadań ustawowych Policji, Generalny Inspektor podkreślił, iż zdaniem organu ochrony danych osobowych, jedynym podmiotem uprawnionym do dokonywania oceny stopnia winy i społecznej szkodliwości czynu przestępczego jest sąd. To sąd stosując sprawiedliwościowe dyrektywy wymiaru kary dokonuje oceny czynu z punktu widzenia naganności zachowania się sprawcy oraz jego stosunku psychicznego do popełnionego czynu. Nadto wartościując powyższe, sąd analizuje nie tylko stopień społecznej szkodliwości czynu, ale również dyrektywę prewencji indywidualnej biorąc pod uwagę dotychczasowy tryb życia sprawcy, sposób popełnienia czynu i zachowanie się po czynie. Powyższe stanowisko organu zostało również częściowo zaaprobowane przez Komendanta Głównego Policji, który wskazując, iż w istocie to sąd jest uprawniony do dokonywania oceny sprawców czynów zabronionych, podkreślił jednocześnie, że Policja musi także dokonywać, opartej na nieostrych kryteriach, oceny kryminologicznej sprawców w celu ustalenia niezbędności dalszego przetwarzania ich danych w KSIP.

Mając powyższe na uwadze Generalny Inspektor Ochrony Danych Osobowych stwierdził, że nie istnieje obecnie potrzeba przetwarzania w KSIP danych osobowych M. D..

Decyzja Generalnego Inspektora Ochrony Danych Osobowych z dnia (...) września2010 r. stała się przedmiotem skargi wniesionej przez Komendanta Głównego Policji do Wojewódzkiego Sądu Administracyjnego w Warszawie. Strona skarżąca wniosła o uchylenie zaskarżonej decyzji w całości i uznanie, że organ Policji zgodnie z prawem przetwarza dane osobowe M. D. oraz zgodnie z prawem mógł odmówić poinformowania wymienionego o zakresie przetwarzania jego danych osobowych. Komendant Główny Policji zaskarżonej decyzji zarzucił naruszenie prawa materialnego – art. 20 ust. 2a, 2b i 17 ustawy o Policji – mające wpływ na wynik sprawy, poprzez odstąpienie od zastosowania – jako przepisów szczególnych art. 20 ust. 2a, ust. 2b i ust. 17 ustawy o Policji i przyjęcie za podstawę rozstrzygnięcia art. 26 ust. 1 oraz art. 33 ustawy o ochronie danych osobowych.

W odpowiedzi na skargę Generalny Inspektor Ochrony Danych Osobowych wniósł o jej oddalenie oraz przytoczył argumentację świadczącą, zdaniem organu, o niezasadności zarzutów skargi, która stanowi rozwinięcie motywów rozstrzygnięcia zawartych jego uzasadnieniu.

Wydając zaskarżony wyrok Sąd pierwszej instancji wskazał, iż jedynym wymaganym dokumentem przez organ zatrudniający, bądź powołujący do służby (w tym żołnierzy rezerwistów), który wiąże się z uprzednią karalnością kandydata jest informacja o osobie z Krajowego Rejestru Karnego. Żądnie innych dokumentów, zarówno od kandydata, jak innych podmiotów, w tym organów administracji publicznej, musi wynikać wprost z przepisów prawa ogólnie obowiązujących. Natomiast informacje o osobach z KSIP nie stanowią źródła wiedzy powszechnie dostępnej, albowiem służą wyłącznie do realizacji zadań Policji (co wynika z § 4 rozporządzenia Ministra Spraw Wewnętrznych i Administracji z dnia 5 września 2007 r., o czym niżej) i nie stanowią instrumentu prawnego do prowadzenia polityki kadrowej pracodawców. W świetle powołanych regulacji prawnych obawy M. D. są pozbawione uzasadnionych podstaw.

W związku z powyższym zdaniem Sądu pierwszej instancji słusznie Komendant Główny Policji stwierdził, że czym innym jest dostęp do informacji o karalności osoby z Krajowego Rejestru Karnego, który ma charakter powszechny, a zupełnie czym innym są informacje wytworzone przez organy Policji w związku z prowadzonymi postępowaniami i znajdujące się w zamkniętym, ogólnie niedostępnym zbiorze informatycznym. Taki charakter ma właśnie KSIP. Legitymację prawną do przetwarzania danych osobowych osób, wobec których były prowadzone postępowania przez Policję stanowi art. 20 ust. 1 ustawy z dnia 6 kwietnia 1990 r. o Policji (tekst jedn. Dz. U. z 2007 r. Nr 43, poz. 277 ze zm.), zgodnie z którym Policja, z zachowaniem ograniczeń wynikających z art. 19, może uzyskiwać informacje, w tym także niejawnie, gromadzić je, sprawdzać oraz przetwarzać. Policja może pobierać, uzyskiwać, gromadzić, przetwarzać i wykorzystywać w celu realizacji zadań ustawowych informacje, w tym dane osobowe, o osobach podejrzanych o popełnienie przestępstw ściganych z oskarżenia publicznego nieletnich dopuszczających się czynów zabronionych przez ustawę jako przestępstwa ścigane z oskarżenia publicznego, osobach o nieustalonej tożsamości lub usiłujących ukryć swoją tożsamość oraz o osobach poszukiwanych, także bez ich wiedzy i zgody (ust. 2a). W świetle ust. 2b ww. artykułu, informacje, o których mowa w ust. 2a, mogą obejmować: 1) dane osobowe, o których mowa w art. 27 ust. 1 ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych, z tym, że dane dotyczące kodu genetycznego wyłącznie o niekodujących regionach genomu; 2) odciski linii papilarnych; 3) zdjęcia, szkice i opisy wizerunku; 4) cechy i znaki szczególne, pseudonimy; 5) informacje o: a)miejscu zamieszkania lub pobytu, b) wykształceniu, zawodzie, miejscu i stanowisku pracy oraz sytuacji materialnej i stanie majątku, c) dokumentach i przedmiotach, którymi się posługują, d) sposobie działania sprawcy, jego środowisku i kontaktach, e) sposobie zachowania się sprawców wobec osób pokrzywdzonych. Informacji, o których mowa w ust. 2a, nie pobiera się, w przypadku gdy nie mają one przydatności wykrywczej, dowodowej lub identyfikacyjnej w prowadzonym postępowaniu (ust. 2c). Kwestia zaś okresu przechowywania tych danych została określona w art. 20 ust. 17 ustawy o Policji, zgodnie z którym dane osobowe zebrane w celu wykrycia przestępstwa przechowuje się przez okres, w którym są one niezbędne dla realizacji ustawowych zadań wykonywanych przez Policję.

Sąd pierwszej instancji wskazał, iż analiza rozporządzenia Ministra Spraw Wewnętrznych i Administracji z dnia 5 września 2007 r. w sprawie przetwarzania przez Policję informacji o osobach (Dz.U. Nr 107, poz. 1203) prowadzą do wniosku, iż kwestie przetwarzania danych osobowych osób wymienionych w art. 2a ustawy o Policji zostały przez prawodawcę uregulowane kompleksowo i stanowią lex specialis w stosunku do ustawy o ochronie danych osobowych. Nie sposób tym samym nie podzielić stanowiska Generalnego Inspektora Danych Osobowych, że prawodawca nie określił konkretnych, wymiernych kryteriów pozwalających na dokonanie oceny przydatności danych osobowych znajdujących się w KSIP lecz posłużył się kryteriami ogólnymi. To z kolej wskazuje, iż ocenę przydatności danych w zbiorze informatycznym pozostawił organom Policji, albowiem to one stoją na straży porządku publicznego i znają specyfikę środowisk przestępczych. Sformułowanie zawarte w § 11 ust. 2 ww. rozporządzenia "informacje uznaje się za nadal przydatne, jeżeli na ich podstawie nie można wykluczyć możliwości popełnienia w przyszłości przez osobę, której dotyczą, czynu zabronionego" są nieostre, co wydaje się być celowym zabiegiem, zważywszy, iż ocenę tę należy odnosić do stanów przyszłych niepewnych, przewidywań. Te przewidywania mogą się ziścić lub też nie. Nie można jednak pozbawiać Policji podstawowego instrumentu zwalczania przestępczości, jakim jest dostęp do jak najpełniejszej informacji, którą zresztą Policja sama wytworzyła w sposób legalny. Na potwierdzenie powyższej tezy należy Sąd pierwszej instancji przywołał wyrok Trybunału Konstytucyjnego z dnia 12 grudnia 2005 r. sygn. akt K 32/04 (publik. OTK-A 2005/11/132). W uzasadnieniu tego wyroku Trybunał podniósł, iż przepis art. 20 ust. 17 ustawy o Policji nie przewiduje usuwania ze zbiorów danych zebranych o osobach podejrzanych o popełnienie przestępstw ściganych z oskarżenia publicznego, które zostały prawomocnie uniewinnione bądź wobec których postępowanie karne zostało prawomocnie bezwarunkowo umorzone niezwłocznie po uprawomocnieniu się stosownego orzeczenia. Dodatkowo zdaniem Sądu pierwszej instancji prawo wspólnotowe (UE) nie sprzeciwia się szczególnemu uregulowaniu kwestii przetwarzania danych osobowych przez Policję, niż wynika to z ogólnie obowiązujących przepisów o ochronie danych osobowych, o czym wyczerpująco w skardze str. 16 i 18.

Następnie Sąd pierwszej instancji wywodził, iż wobec M. D. było prowadzone policyjne postępowanie wyjaśniające, wymieniony został postawiony w stan oskarżenia i prawomocnym wyrokiem sądowym został uznany winnym zarzucanego mu czynu przestępczego zaboru mienia. Zatem w sprawie nie mógł mieć zastosowania art. 2c o ustawy o Policji, albowiem zebrane o wymienionym dane miały walor wykrywczy i dowodowy. Mając na względzie przepis art. 20 ust. 17 zdanie drugie ustawy o Policji, nie można czynić Komendantowi Głównemu Policji zarzutu, iż bezprawnie przechowuje dane osobowe ww. w KSIP, pomimo iż od popełnienia przez niego przestępstwa upłynęło już 6 lat i nastąpiło zatarcie skazania. Ocena przydatności tych danych należy do Policji, a ustawodawca określił graniczny okres 10 lat, do którego organ Policji obowiązany jest dokonać weryfikacji posiadanych w systemie informatycznym danych pod kątem ich dalszej przydatności. Skoro nie upłynęło jeszcze 10 lat od dnia uzyskania informacji dotyczącej M. D., a dopuścił się on przestępstwa umyślnego, to nie można zakładać, iż przedmiotowa informacja jest zbędna dla celów prewencyjnych. Zatem działanie Generalnego Inspektora Ochrony Danych zmierzające do usunięcia danych osobowych wymienionego z KSIP przed upływem ustawowo określonego okresu upoważniającego Policję do przetwarzania tych danych, jest w ocenie Sądu pierwszej instancji przedwczesne. Odnosząc się do nakazania Komendantowi Głównemu Policji spełnienie wobec M. D. obowiązku informacyjnego w zakresie wskazanym w art. 33 ust. 1 ustawy o ochronie danych osobowych, Sąd pierwszej instancji wskazał, iż przepis art. 20 ust. 2a ustawy o Policji stanowi lex specialis w stosunku do ww. przepisu ustawy o ochronie danych osobowych. Policja może przetwarzać dane osobowe m.in. osób podejrzanych o popełnienie przestępstw nie tylko bez ich zgodny, ale co istotne w sprawie bez ich "wiedzy". Owo ustawowe ograniczenie prawa obywatelskiego do uzyskania wiedzy na temat informacji posiadanych o nim przez Policje wynika z konieczności ograniczania dostępu do informacji mogących chociażby pośrednio ujawnić metody operacyjne Policji, tj. źródła informacji o przestępstwach, powiązania środowisk przestępczych, itp. To z kolei usprawiedliwia przetwarzanie danych osobowych osób, o których mowa w art. 20 ust. 2a ustawy o Policji, bez ich wiedzy, albowiem dane te, co należy podkreślić, zostały uzyskane w sposób legalny, zgodny z prawem, pod nadzorem sądów powszechnych.

Skargę kasacyjną od powyższego wyroku złożył Generalny Inspektor Ochrony Danych Osobowych zarzucając mu:

1) naruszenie przepisów prawa materialnego, a konkretnie art. 3 i art. 5 ustawy o ochronie danych osobowych oraz art. 20 ust. 1 ustawy o Policji poprzez błędną wykładnię polegającą na przyjęciu, iż przepisy ustawy o ochronie danych osobowych nie mają zastosowania w kwestii oceny legalności przetwarzania danych osobowych Pana M. D. w Krajowym Systemie Informacyjnym Policji (KSIP),

2) naruszenie przepisów postępowania mające istotny wpływ na wynik sprawy, a konkretnie art. 134 P.p.s.a. w zw. z art. 1 ustawy – Prawo o ustroju sądów administracyjnych poprzez sprawowanie niewłaściwej kontroli nad postępowaniem administracyjnym na skutek błędnego przyjęcia, że art. 26 ust. 1, art. 27 ust. 2 pkt 2, art. 30 i art. 33 ustawy o ochronie danych osobowych nie mają zastosowania w kwestii oceny legalności przetwarzania danych osobowych Pana M. D. w Krajowym Systemie Informacyjnym Policji (KSIP).

Powołując się na powyższe wniesiono o uchylenie w całości zaskarżonego wyroku i przekazanie sprawy do ponownego rozpoznania przez Wojewódzki Sąd Administracyjny w Warszawie.

W motywach skargi kasacyjnej podniesiono, iż Generalny Inspektor Ochrony Danych Osobowych nie kwestionuje konieczności gromadzenia przez Policję informacji o popełnieniu przez daną osobę czynu zabronionego, ani nie podważa sensu istnienia policyjnych zbiorów danych do tego służących jakim jest KSIP. Istotnym natomiast z punktu widzenia ochrony danych osobowych jest nadanie temu procesowi sztywnych ram, które pozwolą na realizację powyższego procesu zarówno w oparciu o przepisy ustawy o Policji, które stanowią podstawę prawną takich działań tej formacji, ale również z poszanowaniem przysługującego każdej osobie fizycznej prawa do zgodnego z prawem przetwarzania jej danych osobowych. Nie sposób zgodzić się przy tym z twierdzeniem Sądu, iż ustawa o ochronie danych osobowych nie ma zastosowania do przetwarzania danych osobowych przez Policję. Przy ocenie zasadności odmowy usunięcia danych osobowych Skarżącego ze zbioru KSIP zastosowanie znajdzie § 11 ust. 3 rozporządzenia z dnia 5 września 2007 r. w sprawie przetwarzania przez Policję informacji o osobach, przewidujący możliwość usunięcia danych po dokonaniu oceny przetwarzanych informacji o osobach pod kątem ich przydatności w prowadzonych postępowaniach oraz niezbędności w realizacji zadań ustawowych Policji. Niemniej jednak podkreślić należy, iż powyższa regulacja co prawda jest podstawą do przetwarzania danych osobowych, ale nie wprowadza żadnych kryteriów pozwalających na dokonanie oceny ich przydatności. Zdaniem skarżącego kasacyjnie zasadnie przyjęto w uchylonych decyzjach, że w obecnym stanie prawnym zastosowanie w kwestii przetwarzania danych osobowych w KSIP będą miały przepisy ustawy o ochronie danych osobowych. Również to przepisy tej ustawy będą musiały być stosowane przez Policję w sytuacji oceniania każdego przypadku żądania usunięcia danych z KSIP. Powyższe wynika chociażby z brzmienia art. 3 ust. 1 ustawy, stosownie do treści którego ustawę stosuje się do organów państwowych, organów samorządu terytorialnego oraz do państwowych i komunalnych jednostek organizacyjnych. Zgodnie zaś z art. 5 ustawy jeżeli przepisy odrębnych ustaw, które odnoszą się do przetwarzania danych, przewidują dalej idącą ich ochronę, niż wynika to z niniejszej ustawy, stosuje się przepisy tych ustaw. Nie ulega wątpliwości, iż przepisy ustawy o Policji stanowiące podstawę prawną do przetwarzania przez Policję danych osobowych w KSIP nie przewidują dalej idącej ich ochrony aniżeli ustawa o ochronie danych osobowych, a zatem w przedmiotowej sprawie zastosowanie znajdują, wbrew twierdzeniu Sądu, również przepisy o ochronie danych osobowych.

W ocenie Generalnego Inspektora dla realizacji celu jakim jest stanie przez Policję na straży bezpieczeństwa i porządku publicznego zbędne jest przetwarzanie danych tych osób, co do których od popełnienia przez nie przestępstwa upłynął długi okres czasu pozwalający nawet na zatarcie dotyczącego ich skazania, a jednocześnie nie ma na ich temat żadnych innych informacji wskazujących na to, że ponownie weszły w konflikt z prawem. Wskazać zatem należy, że ustalenie celu w jakim dane są przetwarzane kształtuje okres, od którego nie powinny być przetwarzane. Ustosunkowując się zatem do twierdzenia Sądu, iż przetwarzanie przez Policję danych osobowych osób, wobec których toczyły się postępowania karne stanowi dla tej formacji narzędzie w zapobieganiu i zwalczaniu przestępstw, skarżący podkreślił, iż w toku niniejszego postępowania Komendant Główny Policji nie wykazał w jaki sposób przetwarzanie danych osobowych Pana M. D. pomogło w realizacji tego celu. Samo wskazanie, iż skarżący był oskarżony i został skazany za przestępstwo kradzieży i z związku z tym ogólne stwierdzenie dotyczące podstawy przetwarzania tych danych, m.in. co do wyjątkowości tego z powodu natężenia "złej woli" po stronie sprawcy, były dla organu nieprzekonywujące. Nadto stan faktyczny ustalony w toku niniejszego postępowania pozwala na wyprowadzenie wniosku, że pomimo iż dane osobowe skarżącego zostały pozyskane i wprowadzone do zbioru w 2004 r. w związku z prowadzonym wobec niego wówczas postępowaniem karnym, to od tego czasu nie doszło do postawienia mu innego zarzutu o charakterze prawnokarnym.

Odnosząc się do celu przetwarzania danych osobowych w KSIP jakim jest realizacja ustawowych zadań Policji określonych w art. 1 ust. 2 ustawy o Policji, skarżący podkreślił, iż w toku prowadzonego postępowania Komendant Główny Policji nie wykazał również w jaki sposób przetwarzanie danych Pana M. D. przyczyniło się do realizacji któregokolwiek z tych zadań, ograniczając się jedynie do lakonicznego stwierdzenia, iż "dane osobowe M. D. przetwarzane są zgodnie z przywołanymi wyżej przepisami, zaś celem jaki przemawia za dalszym ich przetwarzaniem jest przeciwdziałanie ewentualnym naruszeniom prawa (zamachom na dobra prawnie chronione) przez wymienionego, wobec istnienia zwiększonego (z uwagi na charakter ujawnionego czynu) prawdopodobieństwa powrotu do zachowań przestępnych i w tym kontekście brak pełnego przeświadczenia (niemożności wykluczenia), iż skarżący nie popełni czynu zabronionego". Ustosunkowując się zaś do argumentacji Sądu odnoszącej się do dokonywanej przez Policję oceny kryminalistycznej przydatności danych przetwarzanych w KSIP, która wskazuje, iż ocena ta z natury rzeczy oparta jest o kryteria nieostre nie pozwalające w sposób jednoznaczny na stwierdzenie czy dana osoba popełni w przyszłości czyn zabroniony, skarżący wskazał, że powyższe pozostaje w sprzeczności z twierdzeniem Komendanta Głównego Policji, iż "informacja jest usuwana ze zbiorów policyjnych wówczas, gdy dokonywana periodycznie aktualna ocena kryminologiczna wyklucza możliwość popełnienia w przyszłości czynu zabronionego przez osobę, której informacja dotyczy". Niezrozumiałym jest bowiem, jak ocena kryminalistyczna, która, jak sam Sąd podkreślił, oparta jest o nieostre, ocenne kryteria, może ostatecznie doprowadzić do wykluczenia możliwości popełnienia w przyszłości czynu zabronionego. Zdaniem organu ochrony danych osobowych, jedynym podmiotem uprawnionym do dokonywania oceny stopnia winy i społecznej szkodliwości czynu przestępczego jest sąd. To sąd stosując sprawiedliwościowe dyrektywy wymiaru kary dokonuje oceny czynu z punktu widzenia naganności zachowania się sprawcy oraz jego stosunku psychicznego do popełnionego czynu.

W ocenie Generalnego Inspektora, w niniejszej sprawie nie zachodzi żadna z powyżej wskazanych przesłanek odmowy przez administratora realizacji przysługujących skarżącemu uprawnień kontrolnych odnośnie przetwarzania jego danych osobowych w zbiorze KSIP. Komendant Główny Policji jako administrator danych, zarówno w wyjaśnieniach złożonych przed Generalnym Inspektorem jak i w odpowiedzi na wniosek Pana M. D. nie wykazał w żaden sposób, jak udostępnienie skarżącemu informacji o charakterze pozytywnym (tj. wskazanie, iż jego dane osobowe figurują w rejestrze i podanie ich zakresu), zagrozić by mogło obronności lub bezpieczeństwu państwa, życia i zdrowia ludzi lub bezpieczeństwu i porządkowi publicznemu. Brak jest wątpliwości, że odmowa udostępnienia osobie jej danych osobowych, powinna mieć charakter wyjątkowy. W związku z powyższym oraz wobec okoliczności, iż w niniejszej sprawie Komendant Główny Policji nie wskazał żadnych konkretnych powodów, określonych w art. 30 ustawy, przemawiających za nieudostępnianiem skarżącemu żądanych przez niego informacji, za niezasadne uznać należy stanowisko Sądu pozbawiające Pana M. D. prawa do ich pozyskania. Nadto w ocenie organu okoliczność, iż § 15 pkt 7 rozporządzenia w sprawie przetwarzania przez Policję informacji o osobach przewiduje możliwość składania wniosków w związku z realizacją praw określonych w art. 32 ust. 1 pkt 6–8 ustawy o ochronie danych osobowych, nie pozwala na uznanie, iż niedopuszczalne jest udzielenie osobie, której dane dotyczą informacji na temat jej danych osobowych przetwarzanych w KSIP. Przyjęcie odmiennego stanowiska prowadziłoby bowiem do sytuacji, w której osoba ta mogłaby domagać się usunięcia jej danych z KSIP, natomiast pozbawiona byłaby możliwości dowiedzenia się czy są one rzeczywiście w tym zbiorze przetwarzane, co jest sprzeczne z ratio legis przepisów o ochronie danych osobowych.

W odpowiedzi na skargę kasacyjną Komendant Główny Policji wniósł o jej oddalenie oraz zasądzenie na jego rzecz kosztów postępowania.

Naczelny Sąd Administracyjny zważył, co następuje:

W myśl art. 174 ustawy z dnia 30 sierpnia 2002 r. – Prawo o postępowaniu przed sądami administracyjnymi (Dz.U. Nr 153, poz. 1270, ze zm., powoływanej dalej jako P.p.s.a.) skargę kasacyjną można oprzeć na następujących podstawach: 1) naruszeniu prawa materialnego przez błędną jego wykładnię lub niewłaściwe zastosowanie; 2) naruszeniu przepisów postępowania, jeżeli uchybienie to mogło mieć istotny wpływ na wynik sprawy. Naczelny Sąd Administracyjny jest związany podstawami skargi kasacyjnej, bowiem według art. 183 § 1 ustawy – P.p.s.a. rozpoznaje sprawę w granicach skargi kasacyjnej, biorąc z urzędu pod uwagę jedynie nieważność postępowania. Związanie NSA podstawami skargi kasacyjnej wymaga prawidłowego ich określenia w samej skardze. Oznacza to konieczność powołania konkretnych przepisów prawa, którym – zdaniem skarżącego – uchybił sąd, uzasadnienia zarzutu ich naruszenia, a w razie zgłoszenia zarzutu naruszenia prawa procesowego – wykazania dodatkowo, że to wytknięte uchybienie mogło mieć istotny wpływ na wynik sprawy. Kasacja nieodpowiadająca tym wymaganiom, pozbawiona konstytuujących ją elementów treściowych uniemożliwia sądowi ocenę jej zasadności. Ze względu na wymagania stawiane skardze kasacyjnej, usprawiedliwione zasadą związania Naczelnego Sądu Administracyjnego jej podstawami sporządzenie skargi kasacyjnej jest obwarowane przymusem adwokacko-radcowskim (art. 175 § 1–3 P.p.s.a). Opiera się on na założeniu, że powierzenie tej czynności wykwalifikowanym prawnikom zapewni skardze odpowiedni poziom merytoryczny i formalny.

Skarga kasacyjna złożona w rozpoznawanej sprawie odpowiada tym wymaganiom, jednak podniesione w niej zarzuty nie są usprawiedliwione.

Skarżący kasacyjnie zarzucił naruszenie zarówno przepisów prawa materialnego jak i procesowego.

Zarzut naruszenia prawa materialnego dotyczy naruszenia art. 3 i art. 5 ustawy o ochronie danych osobowych oraz art. 20 ust. 1 ustawy o Policji przez przyjęcie, że przepisy ustawy o ochronie danych osobowych nie mają zastosowania w kwestii oceny legalności przetwarzania danych osobowych skarżącego.

Trzeba przede wszystkim wskazać, że Sąd I instancji nie wypowiedział w uzasadnieniu zaskarżonego wyroku przypisywanego mu w ww. zarzucie skargi kasacyjnej poglądu. Sąd stwierdził, że kwestie przetwarzania danych osobowych osób wymienionych w art. 2a ustawy o Policji zostały przez prawodawcę uregulowane kompleksowo i stanowią lex specialis w stosunku do ustawy o ochronie danych osobowych. Równocześnie jednak oceniając kwestię legalności działania Komendanta Głównego Policji przywołał art. 7 i 23 ustawy o ochronie danych osobowych. Art. 5 u.o.d.o. stanowi, że jeżeli przepisy odrębnych ustaw, które odnoszą się do przetwarzania danych, przewidują dalej idącą ich ochronę niż wynika to z niniejszej ustawy stosuje się przepisy tych ustaw. Oznacza to: po pierwsze, że obowiązuje ogólna zasada dotycząca pierwszeństwa przepisu szczególnego w stosunku do przepisów ogólnych, a po drugie, że w takim przypadku niezależnie od przepisów szczególnych stosuje się przepisy dotyczące ogólnych zasad ochrony danych osobowych zawarte w ustawie o ochronie danych osobowych.

Oznacza to, że przy ponownym rozpoznawaniu wniosku skarżącego Komendant Główny Policji powinien wykazać w sposób bardziej staranny i kompleksowy istnienie przesłanek dalszego przechowywania danych skarżącego określonych w art. 20 ust. 17 ustawy o Policji.

Przepis ten pozwala na przechowywanie informacji zebranych w celu wykrycia przestępstwa przez okres, w którym są one niezbędne dla realizacji ustawowych zadań wykonywanych przez policję. W pismach kierowanych przez Komendanta Głównego Policji do GIODO nie zostało wykazane w żaden sposób, że wskazany w tym przepisie ustawowy warunek przechowywania danych osobowych został spełniony.

Za nietrafny uznać należy również zarzut naruszenia art. 134 P.p.s.a. w zw. z art. 1 ustawy – Prawo o ustroju sądów administracyjnych. Zdaniem skarżącego kasacyjnie przyjęto nietrafnie, że przepisy art. 26 ust. 1, art. 27 ust. 2 pkt 2, art. 30 i art. 33 ustawy o ochronie danych osobowych nie mają w niniejszej sprawie zastosowania. Znowu trzeba stwierdzić, że Sąd I instancji jedynie co do art. 33 u.o.d.o. uznał, że przepis ten ustępuje wobec lex specialis jakim jest art. 20 ust. 2a ustawy o Policji i Naczelny Sąd Administracyjny w pełni podziela pogląd wyrażany w tym zakresie w uzasadnieniu zaskarżonego wyroku co do art. 26 ust. 1 i 27 ust. 2 pkt 2 u.o.d.o. Sąd nie wyraził przypisywanego mu w zarzucie poglądu, natomiast zdaniem składu orzekającego i zgodnie z wcześniejszym stwierdzeniem przepisy te znajdują zastosowanie jako reguły ogólne. Dlatego też zgodnie z art. 26 ust. 1 pkt 4 u.d.i.p. Komendant Główny winien wykazać, że przechowuje przedmiotowe dane nie dłużej niż jest to niezbędne do osiągnięcia celu przetwarzania jakim jest realizacja ustawowych zadań wykonywanych przez Policję.

Mając wszystko to na uwadze Naczelny Sąd Administracyjny na podstawie art. 184 P.p.s.a. orzekł jak w sentencji.

Podstawą orzeczenia o kosztach był przepis art. 204 P.p.s.a.