Centralna Baza Orzeczeń Sądów Administracyjnych

Naczelny Sąd Administracyjny w składzie: Przewodniczący: Sędzia NSA Małgorzata Jaśkowska (spr.) Sędziowie: Sędzia NSA Wojciech Jakimowicz Sędzia del. WSA Dariusz Chaciński Protokolant starszy asystent sędziego Marcin Rączka po rozpoznaniu w dniu 21 kwietnia 2017r. na rozprawie w Izbie Ogólnoadministracyjnej skargi kasacyjnej Generalnego Inspektora Ochrony Danych Osobowych od wyroku Wojewódzkiego Sądu Administracyjnego w Warszawie z dnia 5 maja 2015 r. sygn. akt II SA/Wa 1714/14 w sprawie ze skargi Komendanta Głównego Policji na decyzję Generalnego Inspektora Ochrony Danych Osobowych z dnia [...] nr [...] w przedmiocie nakazu usunięcia uchybień w procesie przetwarzania danych osobowych oddala skargę kasacyjną

Wyrokiem z dnia 5 maja 2015 r., sygn. akt II SA/Wa 1714/14 Wojewódzki Sąd Administracyjny w Warszawie w sprawie ze skargi Komendanta Głównego Policji na decyzję Generalnego Inspektora Ochrony Danych Osobowych z dnia [...] nr [...] w przedmiocie nakazania usunięcia uchybień w procesie przetwarzania danych osobowych: 1. uchylił zaskarżoną decyzję oraz decyzję Generalnego Inspektora Ochrony Danych Osobowych z dnia [...] nr [...]; 2. stwierdził, że zaskarżona decyzja nie podlega wykonaniu w całości; 3. zasądził od Generalnego Inspektora Ochrony Danych Osobowych na rzecz Komendanta Głównego Policji kwotę 200 (słownie: dwieście) złotych tytułem zwrotu kosztów postępowania.

Sąd I instancji orzekał w następującym stanie sprawy.

Generalny Inspektor Ochrony Danych Osobowych (dalej powoływany również jako GIODO) decyzją z dnia [...] nr [...], wydaną na podstawie art. 138 § 1 pkt 1 ustawy z dnia 14 czerwca 1960 r. - Kodeks postępowania administracyjnego (t.j. Dz. U. z 2016 r. poz. 23 ze zm.) oraz art. 12 pkt 2, art. 18 ust. 1 pkt 6, art. 22 w zw. z art. 23 ust 1 pkt 2, art. 26 ust. 1 pkt 4, art. 27 ust. 2 pkt 2 ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (Dz. U. z 2016 r. poz. 922, dalej powoływanej również jako u.o.d.o.) i w zw. z art. 20 ust. 1, 2a, 2b ustawy z dnia 6 kwietnia 1990 r. o Policji (t.j. Dz. U. z 2016 r., poz. 1782 ze zm.) utrzymał w mocy własną decyzję z dnia [...] nr [...] nakazującą Komendantowi Głównemu Policji (dalej powoływany również jako KGP) usunięcie danych osobowych P. S. z Krajowego Systemu Informacyjnego Policji (dalej powoływany również jako KSIP).

W uzasadnieniu powyższej decyzji GIODO wskazał, iż do jego Biura wpłynął wniosek P. S. o wydanie decyzji administracyjnej nakazującej KGP usunięcie jego danych osobowych z KSIP. Wnioskodawca podniósł, iż minęło już wystarczająco dużo czasu od zatarcia skazania, które nastąpiło wyrokiem w sprawie o sygn. akt XIV K 146/06 i nic nie stoi na przeszkodzie, aby mogło dojść do wymazania jego danych z policyjnej bazy KSIP. Pragnie on bowiem korzystać z prawnych skutków tej instytucji pozostając osobą nigdy niekaraną w świetle prawa.

GIODO wszczął postępowanie wyjaśniające, w którego toku ustalił, iż:

1. W 2005 r. wobec skarżącego prowadzone było postępowanie karne w sprawie czynu wypełniającego znamiona przestępstwa określonego w art. 224 § 2 k.k., które zakończyło się wydaniem wyroku skazującego. Aktualnie nastąpiło zatarcie przedmiotowego skazania.

2. W związku z prowadzeniem przez Policję przedmiotowego postępowania dane skarżącego w zakresie danych wskazanych w art. 20 ust. 2b ustawy o Policji, zostały umieszczone w KSIP na podstawie art. 20 ust. 2a ustawy o Policji oraz rozporządzenia Ministra Spraw Wewnętrznych i Administracji z dnia 5 września 2007 r. w sprawie przetwarzania przez Policję informacji o osobach (Dz. U. z 2007 r. Nr 170, poz. 1203).

3. Skarżący pismem z dnia 21 maja 2012 r. oraz z dnia 5 czerwca 2012 r. zwracał się do KGP w celu usunięcia jego danych osobowych z KSIP. W odpowiedzi na powyższe Komendant dwukrotnie odmówił skarżącemu usunięcia jego danych osobowych przetwarzanych w KSIP.

4. W wyjaśnieniach złożonych w toku niniejszego postępowania, Komendant wskazał, iż dane osobowe skarżącego przetwarzane są w oparciu o powszechnie obowiązujące przepisy ustawy o Policji oraz wydanego na jej podstawie rozporządzenia w sprawie przetwarzania przez Policję informacji o osobach. Dodatkowo podniósł, że skarżącemu przedstawiono zarzuty popełnienia czynu zabronionego z art. 224 § 2 k.k., którego dyspozycja dotyczy przestępstwa umyślnego, popełnionego z zamiarem bezpośrednim. Czyn ten został popełniony 7 lat temu, co zdaniem Komendanta "bez żadnej wątpliwości uzasadnia przyjęcie stanowiska, że istnieje (nie można wykluczyć) możliwości popełnienia takiego czynu zabronionego (...) wydaje się, iż kolejna weryfikacja tych danych, przeprowadzona na podstawie art. 20 ust. 17 ustawy o Policji, przy jednoczesnej pożądanej postawie skarżącego z punktu widzenia norm karnych (...) i związany z tym upływ czasu pozwoli wykluczyć możliwość popełnienia w przyszłości przez skarżącego czynu zabronionego". Aktualnie dane osobowe skarżącego przetwarzane są w KSIP na podstawie art. 20 ust. 2a ustawy o Policji w zw. z art. 20 ust. 17 tejże ustawy. Organy Policji dokonują weryfikacji tych danych po zakończeniu sprawy, w ramach której dane te zostały wprowadzone do zbioru, a ponadto nie rzadziej niż co 10 lat od dnia uzyskania lub pobrania informacji, usuwając zbędne dane.

Na podstawie tak ustalonego stanu faktycznego Generalny Inspektor w dniu 28 listopada 2012 r. wydał decyzję administracyjną, mocą której nakazał Komendantowi Głównemu Policji usunięcie uchybień w procesie przetwarzania danych osobowych skarżącego poprzez usunięcie jego danych osobowych z KSIP w zakresie danych wskazanych w art. 20 ust. 2b ustawy o Policji, wprowadzonych do tego zbioru w ramach postępowania karnego prowadzonego w sprawie popełnionego w 2005 r. przez skarżącego czynu wypełniającego znamiona przestępstwa określonego w art. 224 § 2 k.k.

Od tej decyzji KGP złożył wniosek o ponowne rozpatrzenie sprawy, w którym organ Policji zarzucił kwestionowanej decyzji naruszenia prawa materialnego, tj. art. 20 ust. 2a i ust. 17 ustawy o Policji oraz przepisów postępowania określonych w art. 7, 8 i 11 k.p.a. oraz wniósł o uchylenie zaskarżonej decyzji i uznanie, iż dane osobowe skarżącego są przetwarzane zgodnie z prawem.

Generalny Inspektor stwierdził brak podstaw do jego uwzględnienia i rozstrzygnięciem z dnia 9 lipca 2014 r. utrzymał zaskarżoną decyzję w mocy. W motywach rozstrzygnięcia organ przywołał treść art. 51 ust. 1 Konstytucji RP, art. 7 pkt 2, art. 23 i art. 27 ustawy o ochronie danych osobowych oraz podniósł, iż w świetle tych przepisów przetwarzanie danych osobowych może być uznane za zgodne z prawem jedynie wówczas, gdy administrator danych wykaże spełnienie co najmniej jednej z materialnych przesłanek ich przetwarzania, które zostały enumeratywnie wymienione w art. 23 (w przypadku danych zwykłych) i art. 27 ustawy (w przypadku danych sensytywnych). Obowiązkiem zaś administratora danych - wynikającym z art. 26 ust. 1 pkt 4 powołanej ustawy - jest dołożenie szczególnej staranności w celu ochrony interesów osób, których dane dotyczą, a w szczególności administrator obowiązany jest zapewnić, aby dane te były przechowywane w postaci umożliwiającej identyfikację osób których dane dotyczą, nie dłużej niż jest to niezbędne do osiągnięcia celu przetwarzania.

Organ ochrony danych osobowych podkreślił, iż w dziedzinie przetwarzania różnego rodzaju informacji, w tym danych osobowych, funkcja Policji jest szczególna, bowiem zbiera ona takie informacje, które podlegają szczególnemu reżimowi ich przetwarzania. Znajduje to wyraz w art. 20 ustawy o Policji, na podstawie którego (ust. 1) Policja, z zachowaniem ograniczeń wynikających z art. 19, może uzyskiwać informacje, w tym także niejawnie, gromadzić je, sprawdzać oraz przetwarzać, (ust. 2a — w aktualnym brzmieniu) Policja może pobierać, uzyskiwać, gromadzić, przetwarzać i wykorzystywać w celu realizacji zadań ustawowych informacje, w tym dane osobowe, o osobach wymienionych w pkt 1 – 7 tego ustępu, także bez ich wiedzy i zgody. Zakres przetwarzania przedmiotowych informacji określa ust. 2a – 2b. Zgodnie zaś z art. 20 ust. 17 ustawy o Policji, dane osobowe zebrane w celu wykrycia przestępstwa przechowuje się przez okres niezbędny do realizacji ustawowych zadań Policji. Organy Policji dokonują weryfikacji tych danych po zakończeniu sprawy, w ramach której dane te zostały wprowadzone do zbioru, a ponadto nie rzadziej niż co 10 lat od dnia uzyskania lub pobrania informacji, usuwając zbędne dane. Organ przywołał także § 32 obowiązującego w dacie orzekania rozporządzenia Ministra Spraw Wewnętrznych z dnia 31 grudnia 2012 r. w sprawie przetwarzania informacji przez Policję, określającego kryteria weryfikacji danych osobowych zgromadzonych w celu wykrycia przestępstwa.

Po przeanalizowaniu powyższych uregulowań prawnych GIODO doszedł do wniosku, iż przepisy ustawy o Policji są na tyle ogólne, że pozwalają Policji na zakwalifikowanie wszystkich zebranych przez nią danych osobowych, periodycznie co 10 lat, jako niezbędnych dla realizacji jej zadań. Natomiast żaden z przepisów ustawy o Policji nie zawiera nawet ogólnych kryteriów dla sformułowania "zbędnych danych" czy "danych niezbędnych dla realizacji ustawowych zadań wykonywanych przez Policję". Z powyższego można wnioskować, że Policja może przetwarzać dane osobowe bez wiedzy i zgody osoby, której dane dotyczą, przez nieograniczony okres. W ocenie GIODO zakres ogólności tych przepisów jest na tyle duży, że nie można uznać, że stanowią one lex specialis w stosunku do ustawy o ochronie danych osobowych. Natomiast przepisy ww. rozporządzenia z dnia 31 grudnia 2012 r., pomimo że zawierają już szczegółowe kryteria weryfikacji danych osobowych przetwarzanych w KSIP, to z racji tego, że są to przepisy aktu prawnego niższego rzędu aniżeli ustawa, również nie mogą stanowić lex specialis w stosunku do ustawy o ochronie danych osobowych.

Zdaniem Generalnego Inspektora, zastosowanie w kwestii przetwarzania danych osobowych w KSIP będą miały przepisy ustawy o ochronie danych osobowych, które również będą musiały być stosowane przez Policję przy ocenie każdego przypadku żądania usunięcia danych z KSIP. Wynika to choćby z art. 3 ust. 1 tej ustawy, według którego ustawę stosuje się do organów państwowych, organów samorządu terytorialnego oraz do państwowych i komunalnych jednostek organizacyjnych.

GIODO wskazał także, iż w myśl art. 5 ustawy o ochronie danych osobowych, jeżeli przepisy odrębnych ustaw, które odnoszą się do przetwarzania danych, przewidują dalej idącą ich ochronę, niż wynika to z niniejszej ustawy, stosuje się przepisy tych ustaw. Przepisy ustawy o Policji stanowią podstawę prawną do przetwarzania przez Policję danych osobowych w KSIP, lecz nie przewidują dalej idącej ich ochrony niż ww. ustawa. Ustawa o Policji określa w istocie jedynie wewnętrzne zasady, które stworzone są tylko dla potrzeb Policji. Przepisy te eliminują konstytucyjnie chronione prawa obywatelskie w zakresie ochrony danych osobowych (w tym ich usuwania), bowiem nie odnoszą się do uprawnień jednostki, ani nie dają jej możliwości wystąpienia z wnioskiem o usunięcie jej danych osobowych.

W ocenie Generalnego Inspektora, dla realizacji celu, jakim jest stanie przez Policję na straży bezpieczeństwa i porządku publicznego, zbędne jest przetwarzanie w KSIP danych osobowych w zakresie informacji o popełnionym w przeszłości przez wymienionego czynie, w sytuacji gdy nawet w świetle zasad wyznaczonych przepisami Kodeksu karnego jest już on osobą niekaraną. Cel w jakim dane są przetwarzane, kształtuje okres, po upływie którego nie powinny one być przetwarzane.

Nadto, zdaniem Generalnego Inspektora, przetwarzanie przez Komendanta Głównego Policji danych osobowych skarżącego w zakresie danych wskazanych w art. 20 ust. 2b ustawy o Policji odbywa się z naruszeniem art. 26 ust. 1 pkt 4 ustawy o ochronie danych osobowych i niezbędne stało się nakazanie, na podstawie art. 18 ust. 1 ustawy o ochronie danych osobowych, przywrócenia stanu zgodnego z prawem w tym zakresie.

Decyzja Generalnego Inspektora Ochrony Danych Osobowych z dnia 9 lipca 2014 r. stała się przedmiotem skargi wniesionej przez Komendanta Głównego Policji do Wojewódzkiego Sądu Administracyjnego w Warszawie.

W uzasadnieniu skargi KGP podniósł m.in., iż powołane przez organ ochrony danych osobowych w uzasadnieniu zaskarżonej decyzji przepisy ustawy o Policji i rozporządzenia wykonawczego potwierdzają, że co do zakresu przetwarzania danych osobowych jak i okresu ich przetwarzania, w szczególności zaś sposobu zasad gromadzenia, udostępniania i usuwania danych osobowych, ustawa o Policji stanowi Iex specjalis w stosunku do ustawy o ochronie danych osobowych i wyłącza stosowanie tej ustawy (w zakresie, w którym przewiduje odrębną regulację lex spacialis derogat legi generali).

Wskazał również, że w "prawie europejskim" zasady przetwarzania danych osobowych w ramach działalności policyjnej są odmiennie uregulowane aniżeli zasady ogólne. Zgodnie z art. 3 ust. 2 dyrektywy nr 95/46/WE Parlamentu Europejskiego i Rady z dnia 24 października 1995 r. w sprawie ochrony osób fizycznych w zakresie przetwarzania danych osobowych oraz swobodnego przepływu tych danych (Dz. Urz. UE, Polskie wydanie specjalne - rozdz. 13, tom 015, str. 355), dyrektywa ta nie dotyczy przetwarzania danych osobowych związanego z bezpieczeństwem publicznym oraz z działalnością państwa w dziedzinach prawa karnego oraz ze współpracą policyjną i sądową w sprawach karnych (nasza ustawa o ochronie danych osobowych jest aktem normatywnym implementującym tę dyrektywę). Wynika stąd wniosek, iż określenie zasad przetwarzania danych osobowych w ramach takiej działalności wchodzi w zakres autonomicznej regulacji przepisami prawa krajowego poszczególnych państw członkowskich UE. Jest to wyraźnie potwierdzone w pkt 5 motywów decyzji ramowej Rady 2008/977IWSiSW z dnia 27 listopada 2008 r. w sprawie ochrony danych osobowych przetwarzanych w ramach współpracy policyjnej i sądowej w sprawach karnych (D. Urz. UE L 350 z 30.12.2008, str. 60). W art. 4 ust. 2 tej decyzji ustala się, że dane osobowe usuwa się ze zbioru jeżeli "nie są już potrzebne w celach, do których zostały legalnie zgromadzone lub w których są legalnie dalej przetwarzane" i nie ma mowy o automatycznym usuwaniu po upływie jakiegoś okresu czasu, bardziej lub mniej arbitralnie określonego. W art. 5 owszem wymaga się ustalenia odpowiednich terminów, ale alternatywnie: terminów usunięcia danych lub właśnie terminów okresowego przeglądu mającego na celu ustalenie potrzeby dalszego przechowywania.

KGP podkreślił, iż oceniając regulacje z art. 20 ust. 17 ustawy o Policji zarówno z perspektywy określoności jak i proporcjonalności ingerencji w prawa i wolności jednostki, a zwłaszcza w prawo do autonomii informacyjnej, należy uwzględnić nie tylko brzmienie kwestionowanego przepisu, lecz także wszystkie inne regulacje o charakterze gwarancyjnym, które określają podstawy, zakres, granice i zasady weryfikacji zgromadzonych danych osobowych. Analiza art. 20 ust. 17 ustawy o Policji nie jest możliwa i zasadna bez uwzględnienia legalizmu przetwarzania przez Policję danych osobowych, a więc bez odwołania się do zagadnień dotyczących zakresu podmiotowego i przedmiotowego gromadzonych danych wyznaczonego przepisami art. 20 ust. 2a i 2b ustawy o Policji, bez wskazania przesłanek materialnych pobierania danych ujętych w art. 20 ust. 2a ustawy o Policji, okresowej weryfikacji zgromadzonych danych, obowiązku usuwania danych zbędnych dla realizacji zadań Policji, a także bez uwzględnienia przepisów określających przypadki usuwania danych (art. 20 ust. 17b ustawy o Policji) lub alternatywnie ich anonimizacji (art. 20 ust. 17a) oraz bez uwzględnienia ograniczeń ustawowych udostępniania danych wyłącznie na podstawie ustawy i w zakresie niezbędnym do wykonania określonego przepisem ustawy obowiązku lub wykonania uprawnienia ustawowego, jak również bez analizy zadań ustawowych Policji wyrażonych w art. 1 ust. 2 ustawy, czy też sposobów przetwarzania informacji, określonych w przepisach wykonawczych. W odpowiedzi na skargę GIODO wniósł o jej oddalenie oraz podtrzymał stanowisko przedstawione w uzasadnieniu zaskarżonej decyzji.

Po rozpoznaniu sprawy pod sygn. akt II SA/Wa 1714/14, WSA w Warszawie wspomnianym na wstępie wyrokiem uchylił zaskarżoną decyzję oraz decyzję Generalnego Inspektora Ochrony Danych Osobowych z dnia [...] nr [...]; 2. stwierdził, że zaskarżona decyzja nie podlega wykonaniu w całości; 3. zasądził od Generalnego Inspektora Ochrony Danych Osobowych na rzecz Komendanta Głównego Policji kwotę 200 (słownie: dwieście) złotych tytułem zwrotu kosztów postępowania.

Sąd I instancji wskazał, że z art. 1 ustawy o ochronie danych osobowych wynika, że każdy ma prawo do ochrony dotyczących go danych osobowych, a przetwarzanie tych danych, w znaczeniu, o którym mowa w art. 7 pkt 2 tej ustawy, dopuszczalne jest tylko ze względu na określone dobra i tylko w zakresie i trybie określonym ustawą. Ustawa o ochronie danych osobowych służy ochronie danych osobowych. Jeśli zasadą jest, że dane osobowe mogą być przetwarzane za zgodą osoby, której dotyczą, to wszelkie wyjątki od niej muszą być interpretowane ściśle. Ustawa wprowadza wiele rozwiązań, które umożliwiają swobodne i zarazem dopuszczalne przetwarzanie danych osobowych w różnych sytuacjach. Z drugiej zaś strony, dokonując wykładni przepisów ustawy o ochronie danych osobowych, należy również wziąć pod uwagę cele i podstawowe jej założenia, określone w art. 1 ust. 2, gdzie wskazano, iż przetwarzanie danych osobowych może mieć miejsce ze względu na dobro publiczne, dobro osoby, której dane dotyczą lub dobro osób trzecich. Mając na uwadze powyższe, stosując przepisy tej ustawy, należy za każdym razem wyważać dobra, które legły u jej podstaw. Prawo do ochrony danych osobowych, jako jeden z elementów prawa do ochrony własnej prywatności, ma swoje źródło w przepisach art. 47, art. 49, art. 50 i art. 51 Konstytucji Rzeczypospolitej Polskiej. W praktyce prawo do ochrony danych osobowych ulega ograniczeniu z uwagi na interes publiczny lub usprawiedliwiony interes innych osób, czyli nie jest to prawo o charakterze absolutnym, jak większość praw chronionych konstytucyjnie.

WSA w Warszawie wyjaśnił, że zgodnie z art. 47 Konstytucji RP, każdy ma prawo do ochrony prawnej życia prywatnego, rodzinnego, czci i dobrego imienia oraz do decydowania o swoim życiu osobistym. W myśl art. 49 ustawy zasadniczej, zapewnia się wolność i ochronę tajemnicy komunikowania się. Ich ograniczenie może nastąpić jedynie w przypadkach określonych w ustawie i w sposób w niej określony. Z kolei w świetle art. 51 ust. 1-5 Konstytucji RP, nikt nie może być obowiązany inaczej, niż na podstawie ustawy, do ujawniania informacji dotyczących jego osoby. Władze publiczne nie mogą pozyskiwać, gromadzić i udostępniać innych informacji o obywatelach, niż niezbędne w demokratycznym Państwie prawnym. Każdy ma prawo dostępu do dotyczących go urzędowych dokumentów i zbiorów danych. Ograniczenie tego prawa może określić ustawa. Każdy ma prawo do żądania sprostowania oraz usunięcia informacji nieprawdziwych, niepełnych lub zebranych w sposób sprzeczny z ustawą. Zasady i tryb gromadzenia oraz udostępniania informacji określa ustawa.

Natomiast według treści art. 54 ustawy zasadniczej, każdemu zapewnia się wolność wyrażania swoich poglądów oraz pozyskiwania i rozpowszechniania informacji.

Sąd I instancji stwierdził, że kryteria ważenia kolidujących ze sobą powyższych wartości konstytucyjnych podlegają ocenie z punktu widzenia mechanizmu proporcjonalności. Stosownie bowiem do art. 31 ust. 3 Konstytucji RP, ograniczenia w zakresie korzystania z konstytucyjnych wolności i praw mogą być ustanawiane tylko w ustawie i tylko wtedy, gdy są konieczne w demokratycznym Państwie dla jego bezpieczeństwa lub porządku publicznego, bądź dla ochrony środowiska, zdrowia i moralności publicznej, albo wolności i praw innych osób. Ograniczenia te nie mogą naruszać istoty wolności i praw.

W ocenie WSA w Warszawie, na gruncie rozpoznawanej sprawy badanie proporcjonalności musi więc uwzględniać nie tylko prawo do ochrony prywatności zainteresowanego, ale także potrzebę wynikających z art. 31 ust. 3 Konstytucji RP ograniczeń wolności i praw obywatelskich, które to ograniczenia mają służyć – jak w niniejszej sprawie – zapewnieniu bezpieczeństwa i porządku publicznego.

WSA w Warszawie dodał, że zgodnie z art. 23 ust. 1 pkt 2 ww. ustawy o ochronie danych osobowych, przetwarzanie danych jest dopuszczalne tylko wtedy, gdy jest to niezbędne dla zrealizowania uprawnienia lub spełnienia obowiązku wynikającego z przepisu prawa. Przepis ten statuuje jedną z legalnych podstaw przetwarzania danych osobowych. Wiążąc treść tego przepisu z kompetencjami organów Policji w zakresie zapewniania bezpieczeństwa i porządku publicznego i łącząc te zadania z prawem tych organów do przetwarzania danych osobowych osób podejrzanych o popełnienie przestępstwa, a następnie skazanych prawomocnym wyrokiem sądu, jak również tych, wobec których skazanie uległo zatarciu, należy dojść do wniosku, że przetwarzanie danych osobowych P. S. w KSIP oparte jest na obowiązujących przepisach prawnych.

Sąd I instancji, odnosząc się do kwestii żądania skarżącego do usunięcia jego danych osobowych z KSIP w związku z zatarciem skazania wskazał, iż instytucja zatarcia skazania ma na celu umożliwienie pełnej społecznej rehabilitacji skazanego, co wiąże się z uznaniem skazania za niebyłe i usunięciem wpisu o skazaniu z Krajowego Rejestru Karnego. Osoba skazana od momentu zatarcia skazania ma prawo twierdzić, że nie była karana, a żadna instytucja nie może ograniczyć jej praw z powołaniem się na karalność. Owo uprawnienie nie doznaje uszczerbku z powodu pozostawania danych o osobie popełniającej przestępstwo w KSIP, albowiem informacje, jakimi dysponuje Krajowy System Informacyjny Policji, nie stanowią źródła wiedzy powszechnie dostępnej, bowiem służą wyłącznie do realizacji zadań Policji, o których mowa w art. 1 ust. 2 ustawy z dnia 6 kwietnia 1990 r. o Policji.

WSA w Warszawie wyjaśnił, że podstawę prawną do przetwarzania danych osobowych osób, wobec których były prowadzone postępowania przez organy Policji, stanowi art. 20 ust. 1 ww. ustawy o Policji, zgodnie z którym Policja, z zachowaniem ograniczeń wynikających z art. 19, może uzyskiwać informacje, w tym także niejawnie, gromadzić je, sprawdzać oraz przetwarzać. Okres przechowywania danych określono w art. 20 ust. 17 ustawy o Policji, zgodnie z którym dane osobowe zebrane w celu wykrycia przestępstwa przechowuje się przez okres niezbędny do realizacji ustawowych zadań Policji. Organy Policji dokonują weryfikacji tych danych po zakończeniu sprawy, w ramach której dane te zostały wprowadzone do zbioru, a ponadto nie rzadziej niż co 10 lat od dnia uzyskania lub pobrania informacji, usuwając zbędne dane. Dane osobowe szczególnie wrażliwe, ujawniające pochodzenie rasowe lub etniczne, poglądy polityczne, przekonania religijne lub filozoficzne, przynależność wyznaniową, partyjną lub związkową oraz dane o stanie zdrowia, nałogach lub życiu seksualnym osób, podejrzanych o popełnienie przestępstw ściganych z oskarżenia publicznego, które nie zostały skazane za te przestępstwa, podlegają komisyjnemu i protokolarnemu zniszczeniu niezwłocznie po uprawomocnieniu się stosownego orzeczenia (ust. 18).

W dacie wydania zaskarżonej decyzji obowiązywało już rozporządzenie Ministra Spraw Wewnętrznych z dnia 31 grudnia 2012 r. w sprawie przetwarzania informacji przez Policję (Dz. U z 2013 r. poz. 8), które określa: 1) tryb gromadzenia oraz sposoby przetwarzania w zbiorach danych informacji, w tym danych osobowych, o: a) osobach podejrzanych o popełnienie przestępstw ściganych z oskarżenia publicznego, b) nieletnich dopuszczających się czynów zabronionych przez ustawę jako przestępstwa ścigane z oskarżenia publicznego, c) osobach o nieustalonej tożsamości lub usiłujących ukryć swoją tożsamość, d) osobach poszukiwanych ukrywających się przed organami ścigania lub wymiaru sprawiedliwości, e) osobach poszukiwanych uznanych za zaginione; 2) tryb gromadzenia oraz sposoby przetwarzania w zbiorach danych informacji, w tym danych osobowych uzyskanych lub przetwarzanych przez organy innych państw lub przez Międzynarodową Organizację Policji Kryminalnych - INTERPOL; 3) tryb gromadzenia i sposoby przetwarzania w zbiorach danych informacji, w tym danych osobowych, określonych w pkt 1 przekazywanych organom innych państw lub Międzynarodowej Organizacji Policji Kryminalnych - INTERPOL w celu zapobiegania przestępczości i jej zwalczania; 4) rodzaje służb policyjnych uprawnionych do korzystania ze zbiorów danych prowadzonych przez Policję lub zbiorów danych udostępnionych Policji; 5) wzory dokumentów obowiązujących przy przetwarzaniu danych; 6) sposób oceny danych pod kątem ich przydatności w prowadzonych sprawach.

Zgodnie z § 4 pkt powołanego rozporządzenia, tryb gromadzenia informacji, w tym danych osobowych, w zbiorach danych obejmuje procedury zapewniające: a) dokumentowanie pobieranych, gromadzonych i uzyskiwanych informacji, b) kontrolę dostępu do zbiorów danych oraz nadzór nad przetwarzaniem informacji, c) weryfikację i usuwanie informacji ze zbiorów danych.

Sąd I instancji podkreślił, że dostęp do przedmiotowych danych jest ściśle reglamentowany § 30 tego rozporządzenia i ogranicza się do osób uprawnionych ze służby kryminalnej, prewencyjnej, śledczej, Lotnictwa Policji oraz wspomagającej działalność Policji i tylko w zakresie niezbędnym do wykonywania zadań służbowych.

W jego ocenie powołane rozporządzenia w Rozdziale 6 "Sposób oceny danych osobowych pod kątem ich przydatności w prowadzonych postępowaniach oraz sposoby weryfikacji i usuwania danych osobowych" precyzyjnie określa zasady weryfikacji przechowywanych w systemie danych osobowych pod kątem ich dalszej przydatności. Mając na względzie powyższe unormowania, WSA w Warszawie za aktualny uznał pogląd wyrażony w wyroku WSA w Warszawie z dnia 28 listopada 2011 r., sygn. akt II SA/Wa 978/11 (publik. LEX nr 1133648), iż zasady przetwarzania danych osobowych osób wymienionych w art. 2a ustawy z 1990 r. o Policji zostały przez ustawodawcę uregulowane kompleksowo i stanowią lex specialis w stosunku do ustawy o ochronie danych osobowych. Norma art. 20 ust. 17 ustawy z 1990 r. o Policji mieści się w granicach swobody regulacyjnej określanej m.in. zasadą proporcjonalności.

W świetle powyższych regulacji, zdaniem WSA w Warszawie, organy Policji są uprawnione do przetwarzania danych osób nie tylko podejrzanych o popełnienie przestępstwa, ale także skazanych prawomocnym wyrokiem sądu, jak również tych, wobec których skazanie uległo zatarciu. Realizowanie bowiem celu, jakim jest zapewnienie bezpieczeństwa i porządku publicznego przez organy Policji, wykazuje przesłankę niezbędności przetwarzania danych osobowych w KSIP dla spełnienia obowiązku wynikającego z przepisu prawa (art. 1 ust. 2 ww. ustawy o Policji), co oznacza, że sam proces przetwarzania zawartych w tym zbiorze danych ma oparcie w legalnej przesłance przetwarzania danych, o której mowa w art. 23 ust. 1 pkt 2 ustawy o ochronie danych osobowych. Kryterium niezbędności przetwarzania danych osobowych w KSIP musi być odnoszone do ustawowych zadań Policji, których realizowaniu mają służyć przepisy art. 20 ust. 1, ust. 2a - 2b w związku z art. 20 ust. 17 ww. ustawy o Policji. Potwierdzeniem tego jest wyrok Trybunału Konstytucyjnego z dnia 12 grudnia 2005 r. o sygn. akt K 32/04 (publ. OTK-A 2005/11/132), w którym stwierdzono, że przepis art. 20 ust. 17 ww. ustawy o Policji nie przewiduje usuwania ze zbiorów danych zebranych o osobach podejrzanych o popełnienie przestępstw ściganych z oskarżenia publicznego, które zostały prawomocnie uniewinnione bądź wobec których postępowanie karne zostało prawomocnie bezwarunkowo umorzone, niezwłocznie po uprawomocnieniu się stosownego orzeczenia. Prawomocne uniewinnienie konkretnej osoby lub bezwarunkowe umorzenie postępowania karnego wobec konkretnej osoby nie przesądza o tym, czy zgromadzone dane mogą zawierać informacje przydatne dla realizacji ustawowych zadań Policji wobec innych osób.

Sąd I instancji dodał, że zebrane przez Policję informacje przechowywane są w związku z prowadzonymi czynnościami, służącymi dobru Państwa. Dostrzegając niebezpieczeństwo płynące z faktu zachowania zbioru, jak również trudności kontroli prawidłowego postępowania ze zbiorami, czy też możliwości ekscesywnego ich wykorzystania, nie można jednak uznać, by tego rodzaju obawy miały determinować decyzję o wcześniejszym usuwaniu z KSIP danych, nawet przed terminem 10 lat (a ten w dacie orzekania przez Generalnego Inspektora jeszcze nie upłynął), z którym ustawodawca łączy prawo organów Policji do posługiwania się informacjami w nim zawartymi i usuwania z niego informacji zbędnych czy nieprzydatnych. Należy bowiem zastrzec, że przetwarzanie danych zawartych w KSIP ma służyć dobru ogólnemu, toteż dysponowanie informacjami zgromadzonymi w zbiorze przez okres czasu, w jakim informacje te są organom Policji potrzebne, jest wprost proporcjonalne do celu, który organy te realizują w związku z koniecznością zapewnienia ładu i porządku publicznego oraz bezpieczeństwa obywateli.

WSA w Warszawie dostrzegł również, że na Policji krajowej spoczywa także obowiązek współdziałania z Policją innych państwa Unii Europejskiej w zakresie zwalczania i zapobiegania przestępczości. Obowiązek ten wynika z ustawy z dnia 16 września 2011 r. o wymianie informacji z organami ścigania państw członkowskich Unii Europejskiej, która w art. 1 ust. 2 pkt 3 wymienia Policję jako podmiot uprawniony do wymiany i przetwarzania (ust. 3) informacji z organami ścigania państw członkowskich Unii Europejskiej w celu wykrywania i ścigania sprawców przestępstw lub przestępstw skarbowych, zapobiegania przestępczości i jej zwalczania oraz przetwarzania informacji. WSA w Warszawie dodał, że dane osobowe P. S. zostały pozyskane przez organy Policji w sposób legalny i w taki też są przez nie przetwarzane. Biorąc pod uwagę art. 20 ust. 17 ww. ustawy o Policji, nie można czynić KGP, jako administratorowi danych zawartych w KSIP, zarzutu, że w sposób bezprawny przechowuje dane osobowe wymienionego, mimo że nastąpiło zatarcie skazania. To organy Policji oceniają przydatność zebranych informacji, a wobec nieupłynięcia jeszcze okresu 10 lat, licząc zarówno od daty wszczęcia postępowania karnego, skazania, jak i zatarcia skazania, dane p. S.. mogą pozostawać w zbiorze służącym organom Policji.

W ocenie WSA w Warszawie GIODO przedwcześnie zobowiązał Komendanta Głównego Policji do usunięcia ww. danych osobowych, które w świetle art. 20 ust. 17 ustawy o Policji mogą nadal pozostawać w zbiorze. Skoro dane te mogą być przetwarzane przez okres 10 lat, to w sytuacji, gdy okres ten nie upłynął jeszcze, nakaz usunięcia ze zbioru wszelkich danych nie ma usprawiedliwionych podstaw.

Od opisanego wyżej wyroku skargę kasacyjną, na podstawie art. 173 § 1 i 2 oraz art. 174 pkt 1 ustawy z dnia 30 sierpnia 2002 r. Prawo o postępowaniu przed sądami administracyjnymi (tekst jedn. Dz. U. z 2016, poz. 718 ze zm., powoływanej dalej jako p.p.s.a.), złożył GIODO reprezentowany przez uprawnionego pełnomocnika, zaskarżając wskazany wyżej wyrok WSA w Warszawie w całości oraz wnosząc na podstawie art. 185 § 1 o uchylenie zaskarżonego wyroku i przekazanie sprawy do ponownego rozpoznania przez WSA w Warszawie.

Zaskarżonemu orzeczeniu zarzucono naruszenie prawa materialnego, tj. art. 20 ust. 1, ust. 2a, 2b w zw. z art. 20 ust. 17 ustawy z dnia 6 kwietnia 1990 r. o Policji poprzez błędną wykładnię, polegającą na przyjęciu, iż zasady przetwarzania (w tym usuwania) danych osobowych osób podejrzanych o popełnienie przestępstw ściganych z oskarżenia publicznego, nieletnich dopuszczających się czynów zabronionych przez ustawę jako przestępstw ściganych z oskarżenia publicznego, osób o nieustalonej tożsamości lub usiłujących ukryć swoją tożsamość oraz osób poszukiwanych, zostały w ustawie o Policji uregulowane w sposób kompleksowy i one mają zastosowanie w kwestii oceny legalności przetwarzania danych osobowych P. S. w Krajowym Systemie Informacyjnym Policji (KSIP) przed przepisami ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych.

Uzasadniając podniesione zarzuty skarżący kasacyjnie wskazał, że przepisy ustawy o Policji są na tyle ogólne, że pozwalają Policji na zakwalifikowanie wszystkich zebranych przez nią danych osobowych, periodycznie co 10 lat, jako niezbędnych dla realizacji jej zadań. Podkreślił, że żaden z omawianych przepisów nie zawiera nawet ogólnych kryteriów dla sformułowania "danych zbędnych" czy "danych niezbędnych dla realizacji ustawowych zadań wykonywanych przez Policję". W jego ocenie z powyższego można wnioskować, że Policja może przetwarzać dane osobowe bez wiedzy i zgody osoby, której dane dotyczą, przez nieograniczony okres. W ocenie Generalnego Inspektora zakres ogólności tych przepisów jest na tyle duży, że nie można uznać, że stanowią one lex specialis w stosunku do ustawy o ochronie danych osobowych. Natomiast przepisy ww. rozporządzenia z dnia 31 grudnia 2012 r., pomimo że zawierają już szczegółowe kryteria weryfikacji danych osobowych przetwarzanych w KSIP, to z racji tego, że są to przepisy aktu prawnego niższego rzędu aniżeli ustawa, również nie mogą stanowić lex specialis w stosunku do ustawy o ochronie danych osobowych.

Zdaniem skarżącego kasacyjnie w obecnym stanie prawnym w kwestii przetwarzania danych osobowych w KSIP zastosowanie będą miały przepisy ustawy o ochronie danych osobowych. Również to przepisy tej ustawy będą musiały być stosowane przez Policję przy ocenie każdego przypadku żądania usunięcia danych z KSIP. Powyższe wynika choćby z art. 3 ust. 1 ustawy, według którego ustawę stosuje się do organów państwowych, organów samorządu terytorialnego oraz do państwowych i komunalnych jednostek organizacyjnych. Zaś w myśl art. 5 ustawy, jeżeli przepisy odrębnych ustaw, które odnoszą się do przetwarzania danych, przewidują dalej idącą ich ochronę, niż wynika to z niniejszej ustawy, stosuje się przepisy tych ustaw.

GIODO dodał, że w myśl art. 26 ust. 1 pkt 4 ustawy o ochronie danych osobowych administrator danych przetwarzający dane powinien dołożyć szczególnej staranności w celu ochrony interesów osób, których dane dotyczą, a w szczególności jest obowiązany zapewnić, aby dane te były przechowywane w postaci umożliwiającej identyfikację osób których dane dotyczą, nie dłużej niż jest to niezbędne do osiągnięcia celu przetwarzania. Oznacza to, że "nawet wówczas, gdy określone dane odpowiadają celowi, dla którego są zbierane i są dla tego celu adekwatne, to nie wynika z tego, iż mogą być one przetwarzane, w tym też udostępniane innym podmiotom, ad infinitum. Czasowym wyznacznikiem jest tu osiągnięcie zamierzonego celu przetwarzania". Na administratorze danych ciąży więc obowiązek rozważenia celowości ustanowienia okresu ich udostępniania oraz weryfikowania okresu, w którym udostępniane są dane osobowe, a po jego upływie niezwłocznego ich usuwania.

W ocenie GIODO dla realizacji celu, jakim jest stanie przez Policję na straży bezpieczeństwa i porządku publicznego, zbędne jest przetwarzanie danych tych osób, co do których od popełnienia przez nie przestępstwa upłynął długi okres czasu pozwalający nawet na zatarcie dotyczącego ich skazania, a jednocześnie nie ma na ich temat żadnych innych informacji wskazujących na to, że ponownie weszły w konflikt z prawem. Wskazać zatem należy, że cel, w jakim dane są przetwarzane, kształtuje okres, po upływie którego nie powinny one być przetwarzane.

W kontekście powyższego Generalny Inspektor twierdzi, iż kluczowym wyznacznikiem dla oceny, czy zasadne jest przetwarzanie danych osobowych P. S. w KSIP, jest cel gromadzenia określonych informacji, co determinuje konieczność dokonywania każdorazowej, zindywidualizowanej oceny wniosków o usunięcie danych z KSIP.

Odnosząc się zatem do celu przetwarzania danych osobowych w KSIP, jakim jest realizacja ustawowych zadań Policji określonych w art. 1 ust. 2 ustawy o Policji, podkreślić należy, iż w toku niniejszego postępowania KGP nie wykazał, w jaki sposób przetwarzanie danych osobowych P. S. pomogło w realizacji ww. celów. Podkreślić należy, iż samo wskazanie, iż skarżący popełnił umyślnie czyn karalny w niedalekiej przeszłości i w związku z tym ogólnikowe stwierdzenie dotyczące podstawy przetwarzania tych danych, były dla organu nieprzekonywające. Istotny jest bowiem cytowany art. 26 ust. 1 pkt 4 ustawy. Tymczasem wskazać należy, że chociaż dane osobowe skarżącego zostały pozyskane i wprowadzone do zbioru KSIP w związku z prowadzonym postępowaniem karnym, to od tamtego czasu nie doszło do postawienia mu innego zarzutu o charakterze prawnokamym.

Wobec powyższego w ocenie GIODO nieadekwatne jest przetwarzanie w KSIP danych osobowych w zakresie informacji o popełnionym w przeszłości przez Skarżącego czynie, w sytuacji gdy nawet w świetle zasad wyznaczonych przepisami Kodeksu karnego jest on osobą niekaraną.

Skarżący kasacyjnie organ wskazał również na orzeczenie Europejskiego Trybunału Sprawiedliwości, który w wyroku z dnia 4 grudnia 2008 r., sygn. 30562/04 i 30566/04 stwierdził, iż bezterminowe przechowywanie przez władze danych szczególnie wrażliwych jest niedopuszczalne w demokratycznym społeczeństwie i prowadzi do naruszenia art. 8 Europejskiej Konwencji Praw Człowieka stanowiącego o prawie do ochrony życia prywatnego. Trybunał wskazał też, że prawo krajowe powinno zawierać odpowiednie mechanizmy ochronne w celu zapobieżenia takiego wykorzystania informacji osobistych, które naruszałoby art. 8 konwencji.

W odpowiedzi na skargę kasacyjną KGP, wnosząc o jej oddalenie, wskazał, że ustawa o Policji stanowi lex specialis w stosunku do ustawy o ochronie danych osobowych i wyłącza stosowanie tej ustawy (w zakresie, w którym przewiduje odrębną regulację - lex specialis derogat legi generali), ponownie powołując w tym zakresie przedstawioną w uzasadnieniu skargi kierowanej do WSA w Warszawie obowiązującą regulację w "prawie europejskim" oraz orzecznictwo sądów administracyjnych, które to orzeczenia w procesie stosowania przepisów art. 20 ustawy o Policji traktują przepisy ustawy o Policji jako lex specialis względem przepisów ustawy o ochronie danych osobowych.

Naczelny Sąd Administracyjny zważył, co następuje.

Zgodnie z art. 183 § 1 p.p.s.a., Naczelny Sąd Administracyjny rozpoznaje sprawę w granicach skargi kasacyjnej, biorąc z urzędu pod rozwagę jedynie przesłanki uzasadniające nieważność postępowania określone w art. 183 § 2 p.p.s.a. Oznacza to, że postępowanie kasacyjne oparte jest na zasadzie związania Naczelnego Sądu Administracyjnego granicami skargi kasacyjnej i podstawami zaskarżenia wskazanymi w tej skardze. Sąd ten, w odróżnieniu od Sądu I instancji, nie bada całokształtu sprawy z punktu widzenia stanu prawnego, który legł u podstaw zaskarżonego orzeczenia. Bada natomiast zasadność przedstawionych w skardze kasacyjnej zarzutów. Zakres kontroli jest zatem określony i ograniczony wskazanymi w skardze kasacyjnej przyczynami wadliwości prawnej zaskarżonego wyroku wojewódzkiego sądu administracyjnego. W rozpoznawanej sprawie przesłanki nieważności postępowania sądowego nie wystąpiły, dlatego sprawa podlegała rozpoznaniu w granicach zgłoszonych zarzutów kasacyjnych. Zarzuty te Naczelny Sąd Administracyjny uznał za nieuzasadnione.

Przede wszystkim należy wskazać, że prawo do ochrony danych osobowych jest prawem chronionym konstytucyjnie, w szczególności w art. 47 i 51 Konstytucji RP, oraz na podstawie przepisów u.o.d.o., które określają zasady tej ochrony, jak i sytuacje, w których dopuszczalne jest jego ograniczenie.

Zgodnie z art. 1 ust. 1 u.o.d.o. każdy ma prawo do ochrony dotyczących go danych osobowych. W myśl zaś ust. 2 powołanego artykułu, przetwarzanie danych osobowych może mieć miejsce ze względu na dobro publiczne, dobro osoby, której dane dotyczą, lub dobro osób trzecich w zakresie i trybie określonym ustawą.

Prawo do ochrony danych osobowych nie jest zatem prawem absolutnym i ulega ograniczeniu z uwagi na inne dobra konstytucyjnie chronione. Jak słusznie wskazał Sąd I instancji, kryteria ważenia kolidujących ze sobą powyższych wartości konstytucyjnych podlegają ocenie z punktu widzenia mechanizmu proporcjonalności. Stosownie bowiem do art. 31 ust. 3 Konstytucji RP, ograniczenia w zakresie korzystania z konstytucyjnych wolności i praw mogą być ustanawiane tylko w ustawie i tylko wtedy, gdy są konieczne w demokratycznym Państwie dla jego bezpieczeństwa lub porządku publicznego, bądź dla ochrony środowiska, zdrowia i moralności publicznej, albo wolności i praw innych osób. Ograniczenia te nie mogą naruszać istoty wolności i praw.

W skardze kasacyjnej wniesionej w rozpatrywanej sprawie podniesiono zarzuty naruszenia przepisów prawa materialnego, tj. art. 20 ust. 1, ust. 2a, 2b w zw. z art. 20 ust. 17 ustawy z dnia 6 kwietnia 1990 r. o Policji poprzez błędną wykładnię, polegającą na przyjęciu, iż zasady przetwarzania (w tym usuwania) danych osobowych osób podejrzanych o popełnienie przestępstw ściganych z oskarżenia publicznego, nieletnich dopuszczających się czynów zabronionych przez ustawę jako przestępstw ściganych z oskarżenia publicznego, osób o nieustalonej tożsamości lub usiłujących ukryć swoją tożsamość oraz osób poszukiwanych, zostały w ustawie o Policji uregulowane w sposób kompleksowy i one mają zastosowanie w kwestii oceny legalności przetwarzania danych osobowych P. S. w Krajowym Systemie Informacyjnym Policji (KSIP) przed przepisami ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych.

Naczelny Sąd Administracyjny stwierdza, że istniejące w rozpatrywanej sprawie zagadnienie prawne było już wcześniej rozstrzygane przez sądy administracyjne. Należy jednak zauważyć, że pomimo istnienia w tego typu sprawach określonej linii orzeczniczej każda sprawa wymaga indywidualnej oceny i wydania orzeczenia uwzględniającego wszystkie okoliczności faktyczne i prawne sprawy.

Zgodnie z art. 23 ust. 1 pkt 2 ustawy o ochronie danych osobowych, przetwarzanie danych jest dopuszczalne tylko wtedy, gdy jest to niezbędne dla zrealizowania uprawnienia lub spełnienia obowiązku wynikającego z przepisu prawa.

Aktem regulującym przetwarzanie danych osobowych przez organy Policji jest ustawa o Policji. Zgodnie z art. 20 ust. 1 tej ustawy, Policja, z zachowaniem ograniczeń wynikających z art. 19, może uzyskiwać informacje, w tym także niejawnie, gromadzić je, sprawdzać oraz przetwarzać. Stosownie do art. 20 ust. 2a ustawy o Policji, mającego zasadnicze znaczenie z punktu widzenia rozstrzygnięcia niniejszej sprawy, Policja może pobierać, uzyskiwać, gromadzić, przetwarzać i wykorzystywać w celu realizacji zadań ustawowych informacje, w tym dane osobowe, o osobach podejrzanych o popełnienie przestępstw ściganych z oskarżenia publicznego, nieletnich dopuszczających się czynów zabronionych przez ustawę jako przestępstwa ścigane z oskarżenia publicznego, osobach o nieustalonej tożsamości lub usiłujących ukryć swoją tożsamość oraz o osobach poszukiwanych, także bez ich wiedzy i zgody. Jak stanowi ust. 17 ww. artykułu, dane osobowe zebrane w celu wykrycia przestępstwa przechowuje się przez okres niezbędny do realizacji ustawowych zadań Policji. Organy Policji dokonują weryfikacji tych danych po zakończeniu sprawy, w ramach której dane te zostały wprowadzone do zbioru, a ponadto nie rzadziej niż co 10 lat od dnia uzyskania lub pobrania informacji, usuwając zbędne dane.

Naczelny Sąd Administracyjny stwierdza, że w rozpatrywanej sprawie kontrola legalności przetwarzania danych powinna uwzględniać przede wszystkim zasady wynikające z treści art. 20 ust. 2a ustawy o Policji. Nie można bowiem tracić z pola widzenia, że informacje gromadzone przez Policję, w tym dane osobowe uczestnika postępowania, służą realizacji bardzo istotnych z punktu widzenia funkcjonowania państwa, a w szczególności bezpieczeństwa obywateli, ustawowych zadań nałożonych na tę formację. Zalicza się do nich m. in. wykrywanie i ściganie sprawców przestępstw oraz inne działania o charakterze operacyjnym. Z uwagi na szczególny charakter zbioru jakim jest KSIP, jak również z uwagi na zapewnienie bezpieczeństwa państwa i obywateli, przy ocenie legalności przetwarzania danych osobowych w KSIP nie można stosować wyłącznie ustawy o ochronie danych osobowych, nie uwzględniając szczególnych uregulowań tej materii zawartych w ustawie o Policji, które mają stanowić gwarancję dla realizacji zadań ustawowych przez Policję (por. wyrok NSA z dnia 17 lipca 2015 r., sygn. akt I OSK 182/14, opublikowany na stronie: www.orzeczenia.nsa.gov.pl).

Takie też stanowisko zaprezentował Sąd I instancji i wbrew twierdzeniom skargi kasacyjnej, Sąd ten nie wyraził generalnego poglądu, że uregulowane w ustawie o Policji zasady przetwarzania danych osobowych stanowią lex specjalis w odniesieniu do ustawy o ochronie danych osobowych. Sąd ten uznał, co podziela Naczelny Sąd Administracyjny w składzie rozpatrującym niniejszą sprawę, że oceniając zasadność nakazania usunięcia danych osobowych zainteresowanego z Krajowego Systemu Informacyjnego Policji należy uwzględnić także uwarunkowania wynikające z innych regulacji prawnych funkcjonujących w systemie prawa, a nie tylko z ustawy o ochronie danych osobowych. W ocenie Sądu I instancji przepisy art. 20 ust. 1, ust. 2a i 2b w związku z art. 20 ust. 17 ustawy o Policji służą realizacji ustawowych zadań Policji, w tym zapewnieniu bezpieczeństwa i porządku publicznego, co stanowi określoną w art. 23 ust. 1 pkt 2 u.o.d.o. przesłankę niezbędności przetwarzania danych osobowych dla zrealizowania obowiązku określonego w ustawie. Sąd wziął pod uwagę przepisy u.o.d.o. i określone w nich dopuszczalne ograniczenia prawa do ochrony danych osobowych, a także wskazał na konieczność uwzględnienia konstytucyjnej zasady proporcjonalności, i uznał, że na gruncie niniejszej sprawy ograniczenie wolności obywatelskich nie narusza konstytucyjnej hierarchii dóbr. Ze stanowiska wyrażonego przez Sąd I instancji nie wynika zatem, że przepisy u.o.d.o. nie mają zastosowania przy dokonywaniu oceny legalności przetwarzania danych osobowych przez Policję, lecz, że do oceny takich działań należy stosować również przepisy ustawy o Policji, dokonując oceny hierarchii dóbr, jakie podlegają ochronie na podstawie obu tych ustaw. Nie można więc podzielić stanowiska skarżącego kasacyjnie, że stanowisko Sądu I instancji prowadzi do uznania, że przepisy ustawy o Policji są kompletną i wyłączną regulacją i tylko one mają zastosowanie w rozpatrywanej sprawie, co czyni niezasadnym zarzut podniesiony w skardze kasacyjnej.

W ocenie Naczelnego Sądu Administracyjnego potwierdzeniem wspomnianych twierdzeń są tezy zawarte w orzecznictwie Trybunału Konstytucyjnego, odnoszące się do brzmienia przepisu art. 20 ust. 17 ustawy o Policji, zgodnie z którym dane osobowe zebrane w celu wykrycia przestępstwa przechowuje się przez okres niezbędny do realizacji ustawowych zadań Policji. Organy Policji dokonują weryfikacji tych danych po zakończeniu sprawy, w ramach której dane te zostały wprowadzone do zbioru, a ponadto nie rzadziej niż co 10 lat od dnia uzyskania lub pobrania informacji, usuwając zbędne dane. W związku z tym Trybunał zwracał uwagę, że nie przewiduje się automatycznie usuwania ze zbiorów danych zebranych o osobach podejrzanych o popełnienie przestępstw ściganych z oskarżenia publicznego, które zostały prawomocnie uniewinnione bądź wobec których postępowanie karne zostało prawomocnie bezwarunkowo umorzone niezwłocznie po uprawomocnieniu się stosownego orzeczenia. W ocenie Trybunału, prawomocne uniewinnienie konkretnej osoby lub bezwarunkowe umorzenie postępowania karnego wobec konkretnej osoby nie przesądza o tym, czy zgromadzone dane mogą zawierać informacje przydatne dla realizacji ustawowych zadań Policji wobec innych osób. Chodzi bowiem o dane, których zebranie nastąpiło w sposób legalny, za zgodą sądu. Możliwość zachowania wspomnianych informacji nie dotyczy tzw. danych wrażliwych czyli ujawniających pochodzenie rasowe, etniczne, poglądy polityczne, przekonania religijne lub filozoficzne, przynależność wyznaniową, partyjną lub związkową, dane o stanie zdrowia, nałogach, życiu seksualnym. Gromadzenie i przechowywanie tego rodzaju danych, nie może więc szkodzić osobie prawomocnie uniewinnionej. Dane wrażliwe i tak nie mogą być zachowane, z racji unormowania zawartego w art. 20 ust. 18 ustawy o Policji. Dostrzegając zatem niebezpieczeństwo płynące zarówno z samego faktu zachowania zbioru dla celów potencjalnych postępowań, trudności kontroli prawidłowego postępowania ze zbiorami, jak również możliwości ekscesywnego ich wykorzystania, mimo wszystko należy uznać, że w demokratycznym państwie prawa, we współczesnych warunkach zagrożenia bezpieczeństwa przez przestępczość zorganizowaną i terroryzm, norma art. 20 ust. 17 ustawy o Policji (przewidująca obowiązek usuwania zbędnych danych co najmniej raz na 10 lat) mieści się w granicach swobody regulacyjnej określonej m.in. zasadą proporcjonalności (zob. wyrok Trybunału Konstytucyjnego z dnia 12 grudnia 2005 r., sygn. akt K 32/04, publ. OTK–A 2005/11/132) .

Poza tym w ocenie Trybunału Konstytucyjnego, pierwszą przyczyną dla której prawa jednostki mogą być ograniczane, jest ochrona dobra wspólnego, a w szczególności - wzgląd na potrzeby bezpieczeństwa i obronności kraju. Ochrona bezpieczeństwa państwa jest zatem szczególną wartością, w zderzeniu z którą prawa jednostki, nawet prawa podstawowe, mogą być - w niezbędnym zakresie - ograniczane. Dopuszczalność ograniczeń podyktowanych takimi względami jest zaś powszechnie przyjęta w państwach demokratycznych (por. wyrok TK z 16 lutego 1999 r. w sprawie SK 11/98, OTK z 1999 r., cz. I, poz. 5).

Co do zawartego w uzasadnieniu skargi kasacyjnej argumentu powołującego się na orzecznictwo dotyczące naruszenia art. 8 Europejskiej Konwencji o Ochronie Praw Człowieka i Podstawowych Wolności (Dz. U. z 1993 r., Nr 61, poz. 284), zgodnie z którym bezterminowe przechowywanie przez władze szczególnie wrażliwych danych osób, wobec których zakończono postępowanie karne bez skazania, jest niedopuszczalne w demokratycznym społeczeństwie, należy wskazać, że ustawa o Policji nie przewiduje bezterminowego przetwarzania znajdujących się w systemie policyjnym (KSIP) danych. Zgodnie bowiem z treścią art. 20 ust. 17 ustawy o Policji dane osobowe zebrane w celu wykrycia przestępstwa przechowuje się przez okres niezbędny do realizacji ustawowych zadań Policji. Organy Policji dokonują weryfikacji danych po zakończeniu sprawy, w ramach której zostały one wprowadzone do zbioru, a ponadto nie rzadziej niż co 10 lat od dnia uzyskania lub pobrania informacji, usuwając zbędne dane. Stąd też nie może być mowy o bezterminowym przetwarzaniu danych przez organy Policji w systemie KSIP, organy te są bowiem obowiązane do systematycznego przeglądania i usuwania zbędnych danych z systemu. Na marginesie należy również zauważyć, że wspomniany w art. 20 ust. 17 ustawy o Policji termin 10 lat w rozpatrywanej sprawie jeszcze nie upłynął.

Natomiast odnosząc się do podnoszonych w uzasadnieniu skargi kasacyjnej kwestii zatarcia skazania i usunięcia danych osobowych uczestnika postępowania z Krajowego Rejestru Karnego Naczelny Sąd Administracyjny wskazuje, że czym innym jest dostęp do informacji o karalności osoby z Krajowego Rejestru Karnego, który ma charakter powszechny, a zupełnie czym innym są informacje wytworzone przez organy Policji w związku z prowadzonymi postępowaniami i znajdujące się zamkniętym, ogólnie niedostępnym zbiorze informatycznym. A taki właśnie charakter ma Krajowy System Informacyjny Policji.

Nie można również zgodzić się z podnoszonymi w uzasadnieniu skargi kasacyjnej argumentami, że przepisy ustawy o Policji nie określają kryteriów uznania danych za zbędne, czy niezbędne dla realizacji ustawowych zadań wykonywanych przez Policję, a Policja może przetwarzać dane osobowe bez wiedzy i zgody osoby, której dane dotyczą przez nieograniczony okres. Należy bowiem zauważyć, że ocena organów Policji w tym zakresie podlega kontroli Generalnego Inspektora Ochrony Danych Osobowych i sądu administracyjnego. Natomiast weryfikacja danych w Krajowym Systemie Informacyjnym Policji przez organy Policji odbywa się przy tym nie rzadziej niż co 10 lat od dnia uzyskania lub pobrania informacji, przy uwzględnieniu okoliczności, o których mowa w § 32 ust. 2 rozporządzenia Ministra Spraw Wewnętrznych z dnia 31 grudnia 2012 r. w sprawie przetwarzania informacji przez Policję.

Z powyższych względów za uprawnione należy uznać stanowisko Sądu I instancji zawarte w uzasadnieniu zaskarżonego wyroku, zgodnie z którym Generalny Inspektor Ochrony Danych Osobowych nie miał uzasadnionych podstaw ku temu, aby zobowiązać Komendanta Głównego Policji do usunięcia danych osobowych uczestnika postępowania z KSIP. Policja posiada bowiem na podstawie art. 20 ust 2a ustawy o Policji prawo do gromadzenia i przetwarzania danych bez wiedzy i zgody m.in. osób podejrzanych o popełnienie przestępstw ściganych z oskarżenia publicznego, a mechanizm ważenia dóbr i adekwatność dalszego przechowywania danych zostały w sprawie uwzględnione przez odwołanie się do zasady proporcjonalności.

W ocenie Naczelnego Sądu Administracyjnego wykonanie zaskarżonej decyzji GIODO niweczyłaby całkowicie - w przypadku nakazania Komendantowi Głównemu Policji usunięcia tych informacji - wspomniane cele regulacji szczegółowej wynikającej z ustawy o Policji, które są konieczne z punktu widzenia podstawowych funkcji państwa, takich jak zapewnienie jego bezpieczeństwa.

Z tych wszystkich względów, Naczelny Sąd Administracyjny na podstawie art. 184 p.p.s.a. orzekł jak w sentencji wyroku.

-----------------------

2

3