Centralna Baza Orzeczeń Sądów Administracyjnych

Wojewódzki Sąd Administracyjny w Warszawie w składzie następującym: Przewodniczący Sędzia WSA Joanna Kube (spr.) Sędzia WSA Andrzej Góraj Sędzia WSA Ewa Radziszewska-Krupa Protokolant specjalista Joanna Głowala po rozpoznaniu na rozprawie w dniu 22 kwietnia 2022 r. sprawy ze skargi Komendanta Głównego Policji na decyzję Prezesa Urzędu Ochrony Danych Osobowych z dnia [...] czerwca 2021 r. nr [...] w przedmiocie przetwarzania danych osobowych oddala skargę

Prezes Urzędu Ochrony Danych Osobowych, dalej: "Prezes UODO", decyzją

z dnia [...] czerwca 2021 r. sygn. akt [...], na podstawie art. 104

§ 1 ustawy z dnia 14 czerwca 1960 r. Kodeksu postępowania administracyjnego (Dz. U. z 2021 r. poz. 735), dalej: "k.p.a.", w zw. z art. 5 ust. 1 pkt 6 w zw. z art. 12 oraz art. 31 ust. 1 pkt 5 w zw. z art. 8 ust. 1 pkt 5 ustawy z dnia 14 grudnia 2018 r.

o ochronie danych osobowych przetwarzanych w związku z zapobieganiem

i zwalczaniem przestępczości (Dz. U. z 2019 r. poz. 125), po przeprowadzeniu postępowania administracyjnego w sprawie skargi J. K. na nieprawidłowości w procesie przetwarzaniu jego danych osobowych przez Komendanta Głównego Policji, nakazał:

Komendantowi Głównemu Policji wyeliminowanie nieprawidłowości w procesie przetwarzania danych osobowych J. K., poprzez usunięcie jego danych osobowych z Krajowego Systemu Informacyjnego Policji, dalej: "KSIP", wprowadzonych do KSIP w ramach postępowania karnego prowadzonego w sprawie popełnionego w dniu [...] marca 2018 r. przez ww. czynu wypełniającego znamiona przestępstwa określonego w art. 177 § 1 ustawy z dnia 6 czerwca 1997 r. - Kodeks karny (Dz. U. z 2020 r. poz. 1444), dalej: "k.k.", w terminie 14 dni od dnia uprawomocnienia się decyzji.

Jak wynika z ustaleń w sprawie, w toku postępowania zainicjowanego skargą J. K. z dnia [...] sierpnia 2020 r. na niezgodne z prawem gromadzenie i przetwarzanie jego danych osobowych przez Komendanta Głównego Policji, polegające na przetwarzaniu jego danych osobowych w KSIP, Prezes UODO ustalił następujący stan faktyczny:

1. Wobec skarżącego w 2018 r. prowadzone było postępowanie karne w sprawie

o czyn z art. 177 § 1 k.k. Na zasadach określonych w ówcześnie obowiązującym art. 20 ust. 2a ustawy z dnia 6 kwietnia 1990 r. o Policji (Dz. U. z 2017 r. poz. 2067

z późn. zm.), w związku z przedstawieniem skarżącemu zarzutów, właściwe organy Policji pobrały jego dane osobowe, jako osoby podejrzanej o popełnienie przestępstwa ściganego z oskarżenia publicznego. Dane osobowe skarżącego zostały zarejestrowane w KSIP w formie tzw. rejestracji procesowej.

2. Postępowanie karne, w sprawie popełnionego w dniu [...] marca 2018 r. przez skarżącego czynu wypełniającego znamiona przestępstwa określonego w art. 177 § 1 k.k., wyrokiem Sądu Rejonowego w [...] z dnia [...] czerwca 2018 r., wydanym

w sprawie o sygn. [...], na podstawie art. 66 § 1 k.k. i art. 67 § 1 k.k., zostało warunkowo umorzone z okresem próby 1 roku od dnia uprawomocnienia się orzeczenia.

3. Skarżący wnioskiem z dnia [...] lipca 2020 r. zwrócił się do Komendanta Głównego Policji o usunięcie jego danych osobowych z KSIP. W swoim piśmie wskazał, że stara się o przyjęcie do służb mundurowych. Natomiast w policyjnym rejestrze widnieje ze względu na spowodowanie wypadku w dniu [...] marca 2018 r. Do wniosku dołączył kopię wyroku Sądu Rejonowego w [...] z dnia [...] czerwca 2018 r. w sprawie o sygn. akt [...].

4. Pismem z dnia [...] lipca 2020 r. Komendant Główny Policji udzielił skarżącemu odpowiedzi odmownej na jego wniosek o usunięcie jego danych osobowych z KSIP. Wskazał, że przetwarzanie danych jego osobowych w KSIP następuje

w związku z realizacją przez Policję zadań ustawowych na podstawie przepisów art. 21nb w związku z art. 20 ust. 1-1d oraz ust. 2ad-2ba ustawy z dnia 6 kwietnia 1990 r. o Policji (Dz. U. z 2020 r., poz. 360 z późn. zm.). Komendant Główny Policji stwierdził, że rejestr policyjny (KSIP) nie jest rejestrem powszechnie dostępnym, dostęp do niego jest reglamentowany, generuje on informacje o wszczętych

i prowadzonych przez Policję postępowaniach karnych bez względu na sposób ich zakończenia. Jednocześnie skarżący został poinformowany o możliwości złożenia skargi do Prezesa UODO w terminie 30 dni od powzięcia wiadomości o naruszeniu jego prawa do ochrony danych osobowych lub otrzymania informacji od administratora.

W ocenie Prezesa UODO, kluczowym wyznacznikiem dla oceny konieczności przetwarzania danych osobowych w KSIP jest cel gromadzenia określonych informacji, co determinuje konieczność dokonywania każdorazowej, zindywidualizowanej oceny wniosków o usunięcie danych z KSIP.

Zdaniem Prezesa UODO, dla realizacji celu jakim jest stanie przez Policję na straży bezpieczeństwa i porządku publicznego, zbędne jest przetwarzanie danych tych osób, co do których od popełnienia przez nie przestępstwa upłynął czas pozwalający nawet na usunięcie z Krajowego Rejestru Karnego informacji

o powyższym, a jednocześnie nie ma na ich temat żadnych innych informacji wskazujących na to, że ponownie weszły w konflikt z prawem.

Prezes UODO wskazał, że ustalenie celu w jakim dane są przetwarzane kształtuje okres, od którego nie powinny być przetwarzane. Wyjaśnił, że stosownie do art. 68 § 4 k.k., jeżeli wyznaczony w orzeczeniu warunkowo umarzającym postępowanie okres próby przebiegnie pomyślnie, to warunkowe umorzenie, po upływie 6 miesięcy od zakończenia okresu próby, uzyskuje znaczenie umorzenia definitywnego, a sprawca uchodzi za nieukaranego. Okoliczności faktyczne niniejszej sprawy wskazują, że okres próby u skarżącego skończył się z upływem 1 roku od dnia uprawomocnienia się orzeczenia, tj. od dnia [...] czerwca 2019 r. Natomiast umorzenie postępowania karnego prowadzonego przeciwko skarżącemu stało się ostateczne z dniem [...] listopada 2019 r.

W ocenie Prezesa UODO, w kontekście powyższego kluczowym elementem dla oceny, czy zasadne jest przetwarzanie danych osobowych skarżącego w KSIP, jest okoliczność, że upływ czasu od popełnienia przez niego czynu karalnego jest pozwalający na usunięcie informacji o prowadzeniu wobec skarżącego w przeszłości postępowania karnego z Krajowego Rejestru Karnego, wtedy też,

w świetle zasad wyznaczonych przepisami ustawy o Krajowym Rejestrze Karnym, jest on osobą niekaraną.

Prezes UODO podkreślił, że przetwarzanie w KSIP informacji o prowadzeniu postępowania karnego wobec osoby, która dopuściła się w przeszłości czynu zabronionego w sposób nieumyślny, przy czym nie została skazana za żadne przestępstwo (z uwagi na warunkowe umorzenie postępowania), przetwarzanie danych o prowadzonym przeciwko niej postępowaniu karnym jest okolicznością obciążającą ją i mającą negatywny wpływ na jej obecne życie.

Zaznaczył, że nie może być odniesieniem dla przetwarzania danych osobowych zawartych w KSIP jedynie ściśle określony okres, tj. wskazany w art. 16 ustawy

z dnia 14 grudnia 2018 r. okres 10 lat od dnia uzyskania informacji wprowadzonych do KSIP oraz ewentualnie na skutek wniosku o usunięcie danych osobowych, czy też złożeniem skargi do Prezesa UODO, abstrahując od celu jaki przyświeca danemu procesowi przetwarzania informacji.

Zdaniem Prezesa UODO, Komendant Główny Policji w toku postępowania nie wykazał, w jaki sposób przetwarzanie przez Policję danych osobowych skarżącego wpływa na zapobieganie i zwalczanie przestępstw. Samo zaś ogólnikowe powołanie jako podstawy przetwarzania tych danych, popełnienie przez skarżącego czynu zabronionego z art. 177 § 1 k.k. oraz wskazanie m.in. rodzaju naruszenia przez niego norm prawno-karnych oraz dóbr chronionych tym przepisem, są nieprzekonywujące.

Nadto wskazał, że stan faktyczny ustalony w toku niniejszego postępowania pozwala na wyprowadzenie wniosku, że pomimo, iż dane osobowe skarżącego zostały pozyskane i wprowadzone do zbioru KSIP w 2018 r. w związku

z prowadzonym wobec niego wówczas postępowaniem karnym, to od tamtego czasu nie doszło do postawienia mu innego zarzutu o charakterze prawno-karnym.

W szczególności obecnie nie toczy się przeciwko niemu żadne postępowanie karne, co czyni dalsze przetwarzanie danych osobowych skarżącego zbędnym.

Prezes UODO, odnośnie celu przetwarzania danych osobowych w KSIP jakim jest realizacja ustawowych zadań Policji określonych w art. 1 ust. 2 ustawy o Policji, zwrócił uwagę, że w toku prowadzonego postępowania Komendant Główny Policji nie wykazał w jaki sposób przetwarzanie danych skarżącego przyczyniło się do realizacji któregokolwiek z tych zadań, jak również przydatności tych danych do oceny kryminalistycznej, która może ostatecznie doprowadzić do wykluczenia możliwości popełnienia przez skarżącego w przyszłości czynu zabronionego.

Prezes UODO podkreślił, że jedynym podmiotem uprawnionym do dokonywania oceny stopnia winy i społecznej szkodliwości czynu przestępczego jest sąd. To sąd, stosując sprawiedliwościowe dyrektywy wymiaru kary, dokonuje oceny czynu z punktu widzenia naganności zachowania się sprawcy oraz jego stosunku psychicznego do popełnionego czynu. Nadto, wartościując powyższe, sąd analizuje nie tylko stopień społecznej szkodliwości czynu, ale również dyrektywę prewencji indywidualnej, biorąc pod uwagę dotychczasowy tryb życia sprawcy, sposób popełnienia czynu i zachowanie się po czynie.

Zdaniem Prezesa UODO, nie istnieje obecnie potrzeba przetwarzania w KSIP danych osobowych skarżącego. Zatem przetwarzanie przez Komendanta Głównego Policji danych osobowych skarżącego odbywa z naruszeniem art. 13 oraz art. 31 ust. 1 pkt 5 ustawy z dnia 14 grudnia 2018 r. i niezbędne jest nakazanie przywrócenia stanu zgodnego z prawem w tym zakresie.

Prezes UODO w związku z powyższym, na podstawie art. 8 ust. 1 pkt 5 ustawy z dnia 14 grudnia 2018 r., nakazał Komendantowi Głównemu Policji wyeliminowanie nieprawidłowości w procesie przetwarzania danych osobowych skarżącego poprzez usunięcie jego danych osobowych z KSIP wprowadzonych

w ramach postępowania karnego prowadzonego w sprawie popełnionego w dniu [...] marca 2018 r. przez skarżącego czynu wypełniającego znamiona przestępstwa określonego w art. 177 § 1 k.k., w terminie 14 dni od dnia uprawomocnienia się decyzji.

W skardze do Sądu Komendant Główny Policji zakwestionował decyzję Prezesa UODO z dnia [...] czerwca 2021 r., zarzucając jej naruszenie prawa materialnego oraz procesowego, w tym: art. 13, art. 14 ust. 2, art. 16 oraz art. 31 ust. 1 pkt 5 ustawy z dnia 14 grudnia 2018 r. o ochronie danych osobowych przetwarzanych w związku z zapobieganiem i zwalczaniem przestępczości oraz art. 21b, art. 21nb, art. 20 ust. 1-1d, 1j i ust. 2ad - 2ba, w związku z art. 1 ust. 1 i ust. 2 pkt 1-4 ustawy o Policji, a także art. 6, art. 7, art. 8 w zw. z art. 107 § 1 pkt 5 oraz § 3 oraz art. 6 i art. 14 w zw. z art. 107 § 1 pkt 8 k.p.a.

Komendant Główny Policji wniósł jednocześnie o uchylenie w całości zaskarżonej decyzji oraz uznanie, że Komendant Główny Policji zgodnie z prawem przetwarza, w tym przechowuje, dane osobowe J. K. w związku

z popełnionym przez niego w 2018 r. przestępstwem z art. 177 § 1 k.k. w Krajowym Systemie Informacyjnym Policji w celu realizacji ustawowych zadań Policji,

w szczególności w zakresie ochrony bezpieczeństwa i porządku publicznego, rozpoznawania, zapobiegania wykrywania i ścigania sprawców przestępstw

i wykroczeń, a także uznanie, iż zaskarżona decyzja nie została wydana we właściwej formie przewidzianej przepisami Kodeksu postępowania administracyjnego i ustawy o informatyzacji, tj. w formie dokumentu elektronicznego oraz nie została skutecznie doręczona Komendantowi Głównemu Policji. Ponadto, Komendant Główny Policji wniósł o zasądzenie na jego rzecz kosztów postępowania.

Zdaniem Komendanta Głównego Policji, przepisy art. 21nb w związku z art. 20 ust. 1 - 1d i ust. 2ad - 2ba oraz art. 20a ust. 1 i art. 1 ust. 2 ustawy o Policji w związku z przepisami art. 16, 17 oraz art. 31 ust. 1 pkt 5 ustawy o ochronie danych osobowych przetwarzanych w związku z zapobieganiem i zwalczaniem przestępczości w zakresie informacji, w tym danych osobowych, przetwarzanych

w KSIP przez Policję w celu realizacji jej zadań ustawowych, stanowią podstawę prawną uprawniającą Policję oraz Komendanta Głównego Policji do przetwarzania,

w tym przechowywania, danych osobowych w KSIP przez okres niezbędny dla realizacji zadań Policji oraz do weryfikowania przetwarzanych danych osobowych nie rzadziej niż co 10 lat (tj. nie wcześniej) od dnia ich zebrania, uzyskania, pobrania lub aktualizacji tych danych, a także do usuwania danych osobowych, uznanych

w wyniku tej weryfikacji za zbędne, a co się z tym wiąże do nie dokonywania weryfikacji i nieusuwania danych osobowych z KSIP przed upływem 10 letniego terminu weryfikacji danych, jeżeli dane osobowe zostały zebrane, uzyskane lub pobrane legalnie oraz są prawidłowe w świetle celów przetwarzania wyznaczonych zadaniami ustawowymi Policji.

Takie stanowisko, zdaniem strony skarżącej, w okolicznościach niniejszej sprawy wynika ze szczególnego charakteru KSIP oraz zasad przetwarzania przez Policję informacji, w tym danych osobowych w celu realizacji jej zadań ustawowych określonych w art. 1 ust. 1 i 2 ustawy o Policji, a także z ustanowionej w ustawie

o Policji ochrony zadań Policji oraz ochrony informacji, w tym danych osobowych, przetwarzanych w związku z realizacją tych zadań służących celom i dobrom określonym w art. 1 ust. 1 ustawy o Policji.

Biorąc pod uwagę odmienny od zbiorów urzędowych status policyjnego zbioru danych - w KSIP informacje, w tym dane osobowe, przetwarza się w celu wykonywania zadań ustawowych Policji, w sposób dyskrecjonalny - udostępnianie przez Komendanta Głównego Policji, jako administratora danych, informacji

z policyjnego zbioru danych odbiorcom, tj. innym organom władzy publicznej, służbom lub instytucjom, jest możliwe wyłącznie w przypadku, gdy taki obowiązek wynika z innych przepisów szczególnych, które określają także zakres i cel udostępnienia. Zatem informacje, w tym dane osobowe, przetwarzane w KSIP Komendant Główny Policji udostępnia organom władzy publicznej, służbom, instytucjom na podstawie obowiązujących ustaw w granicach przysługujących tym organom, służbom, instytucjom uprawnień w zakresie przetwarzania danych osobowych w celach realizacji ich zadań, a także organom innych państw lub agencjom Unii Europejskiej, organizacjom międzynarodowym uprawnionym do otrzymywania określonych informacji, w tym danych osobowych, na podstawie przepisów prawa Unii Europejskiej lub ratyfikowanych umów międzynarodowych.

Dane osobowe przetwarzane w KSIP, w celach określonych w art. 1 pkt 1 ustawy

o ochronie danych osobowych przetwarzanych w związku z zapobieganiem

i zwalczaniem przestępczości, weryfikuje się nie rzadziej niż co 10 lat od dnia zebrania, uzyskania, pobrania lub aktualizacji danych, zgodnie z art. 16 ust. 1 tej ustawy. Weryfikacja dokonywana jest w celu ustalenia, czy istnieją dane, których dalsze przechowywanie jest zbędne.

Komendant Główny Policji, opierając się na podstawie art. 16 ustawy

o ochronie danych osobowych przetwarzanych w związku z zapobieganiem

i zwalczaniem przestępczości w związku z art. 21nb ust. 1 i 2 ustawy o Policji, dokonuje weryfikacji danych osobowych przetwarzanych przez Policję w KSIP nie rzadziej niż co 10 lat od dnia ich zebrania, uzyskania, pobrania lub aktualizacji w celu ustalenia, czy istnieją dane, których dalsze przechowanie jest zbędne dla realizacji zadań ustawowych Policji. Komendant Główny Policji weryfikacji dokonuje jako administrator danych osobowych przetwarzanych w KSIP, a także jako centralny organ administracji rządowej właściwy w sprawach ochrony bezpieczeństwa ludzi oraz utrzymania bezpieczeństwa i porządku publicznego.

Tylko zatem Komendant Główny Policji lub upoważnione przez niego w tym zakresie organy Policji z racji uprawnień ustawowych do realizacji zadań Policji mają prawo weryfikować dane osobowe przetwarzane w KSIP pod kątem ich niezbędności i przydatności do realizacji zadań Policji, tj. ustalania, które są zbędne dla realizacji tych zadań i powinny być usunięte z KSIP.

Uprawnień do weryfikowania danych osobowych przetwarzanych w KSIP

w zakresie ustalenia ich zbędności lub niezbędności i przydatności do realizacji zadań Policji nie posiada Prezes UODO, gdyż de facto organ ten nie realizuje zadań Policji i nie jest organem właściwym w sprawach ochrony bezpieczeństwa ludzi oraz utrzymania bezpieczeństwa i porządku publicznego. Tym samym Prezes UODO nie jest władny i legitymowany do tego by stwierdzać, że dane osobowe osoby, która popełniła przestępstwo, przetwarzane w KSIP są zbędne dla realizacji zadań Policji

w szczególności w obszarze ochrony bezpieczeństwa państwa i ludzi oraz porządku publicznego, wynikających z art. 1 ust. 1 i 2 ustawy o Policji.

Zasady i tryb gromadzenia oraz udostępniania informacji określa zarówno ustawa o ochronie danych osobowych przetwarzanych w związku z zapobieganiem

i zwalczaniem przestępczości oraz ustawa o Policji, jak i szereg innych ustaw.

A zatem nie tylko ustawa o ochronie danych osobowych przetwarzanych w związku

z zapobieganiem i zwalczaniem przestępczości odnosi się do art. 51 Konstytucji RP. W zakresie gromadzenia i przetwarzania informacji przez Policję zastosowanie mają przepisy art. 20 i art. 21nb ustawy o Policji, które również odnoszą się do materii określonej w art. 51 Konstytucji RP. Z tego względu do przetwarzania przez Policję informacji o osobie oraz jej danych osobowych stosuje się w pierwszej kolejności przepisy ustawy o Policji, jako przepisy szczególne względem przepisów ustawy

o ochronie danych osobowych przetwarzanych w związku z zapobieganiem

i zwalczaniem przestępczości. Przepisy art. 21nb oraz art. 20 ust. 1-1d i ust. 2ad-2ba ustawy o Policji nie określają terminów usuwania oraz okresowej weryfikacji danych osobowych przetwarzanych w KSIP, poza terminami usuwania danych osobowych

z rejestru wykroczeń określonych w przepisach art. 20f ustawy o Policji. Zatem

w zakresie terminów weryfikacji danych osobowych przetwarzanych w KSIP zastosowanie ma przepis art. 16 ustawy o ochronie danych osobowych przetwarzanych w związku z zapobieganiem i zwalczaniem przestępczości określający termin dokonywania weryfikacji nie rzadziej niż co 10 lat od dnia zebrania, uzyskania, pobrania lub aktualizacji danych w celu ustalenia, czy istnieją dane, których dalsze przechowywanie jest zbędne. Przy czym weryfikacji, w celu ustalenia czy istnieją dane osobowe, których dalsze przechowywanie jest zbędne

w odniesieniu do danych osobowych przetwarzanych w KSIP dokonuje się

w kontekście celów przetwarzania danych osobowych w KSIP przez Policję, określonych w art. 21 nb oraz art. 20 ust. 1-1d i ust. 2ad-2ba w zw. z art. 1 ust 1 i 2 ustawy o Policji, a zatem pod kątem niezbędności i przydatności dla realizacji zadań ustawowych Policji określonych w art. 1 ust. 1 i 2 ustawy o Policji. Weryfikacji tej,

z racji celów przetwarzania danych osobowych w KSIP wyznaczonych zadaniami ustawowymi Policji, dokonuje Komendant Główny Policji oraz uprawnione przez niego organy Policji, dokonując tej weryfikacji właśnie pod kątem niezbędności

i przydatności przetwarzanych informacji, w tym danych osobowych, dla realizacji zadań Policji. Taki charakter przetwarzania przez Policję informacji, w tym danych osobowych, wynika z istoty przeznaczenia i funkcjonowania Policji jako umundurowanej i uzbrojonej formacji służącej społeczeństwu oraz przeznaczonej do ochrony bezpieczeństwa ludzi oraz utrzymania bezpieczeństwa i porządku publicznego. Prezes UODO nie jest zatem uprawniony do dokonywania weryfikacji danych osobowych przetwarzanych w KSIP pod kątem ich niezbędności

i przydatności do realizacji zadań ustawowych Policji oraz do ustalania, czy i które dane osobowe przetwarzane w KSIP przez Policję są zbędne dla realizacji jej zadań ustawowych, jak również nie jest władny do tego by decydować o usunięciu danych osobowych z KSIP zgromadzonych i przetwarzanych przez Policję legalnie w tym systemie, na podstawie przepisów prawa zgodnie z art. 13 i 14 ustawy o ochronie danych osobowych przetwarzanych w związku z zapobieganiem i zwalczaniem przestępczości oraz zgodnie z art. 21nb w zw. z art. 20 ust. 1-ld i ust. 2ad-2ba ustawy o Policji, zwłaszcza przed upływem 10 letniego terminu od dnia zebrania, uzyskania, pobrania lub aktualizacji danych przewidzianego w art. 16 ustawy

o ochronie danych osobowych przetwarzanych w związku z zapobieganiem

i zwalczaniem przestępczości. W niniejszej sprawie nie upłynął nawet 10 letni, który zobowiązuje Policję do dokonania weryfikacji danych osobowych przetwarzanych

w KSIP pod kątem ich niezbędności i przydatności dla realizacji zadań Policji oraz do ustalenia czy przechowywanie danych osobowych skarżącego w KSIP jest zbędne dla realizacji tych zadań. Dane osobowe skarżącego – J. K. - zostały wprowadzone (zgromadzone) w KSIP w 2018 r. w związku z popełnieniem przez niego przestępstwa z art. 177 §1 k.k. Zatem od dnia zgromadzenia danych osobowych skarżącego w KSIP do dnia rozstrzygnięcia niniejszej sprawy zaskarżoną decyzją upłynęły zaledwie 3 lata. Okres 3 lat, stosownie do przepisów art. 16 ustawy

o ochronie danych osobowych przetwarzanych w związku z zapobieganiem

i zwalczaniem przestępczości, nie obowiązuje Policji, ani tym bardziej nie uprawnia Prezesa UODO, do dokonywania weryfikacji danych osobowych skarżącego przetwarzanych w KSIP w związku z przestępstwem z art. 177 § 1 k.k., popełnionym

w 2018 r., pod kątem ich niezbędności i przydatności do realizacji zadań Policji oraz do ustalania czy istnieją dane zbędne dla realizacji tych zadań. Zgodnie

z art. 16 ustawy o ochronie danych osobowych przetwarzanych w związku

z zapobieganiem i zwalczaniem przestępczości, termin 10 lat od dnia zgromadzenia tych danych w KSIP przewidziany na dokonanie weryfikacji jeszcze nie upłynął, tym samym nie ustały cele przetwarzania danych osobowych skarżącego w KSIP.

Skoro termin 10 lat obowiązkowej weryfikacji danych osobowych skarżącego przetwarzanych w KSIP pod kątem ich niezbędności i przydatności dla realizacji zadań Policji oraz do ustalenia czy przechowywanie danych osobowych skarżącego w KSIP jest zbędne dla realizacji tych zadań jeszcze nie upłynął (a upłynęły zaledwie 3 lata), nie ma podstaw do tego i nie jest uprawnione żądanie i nakazanie usunięcia tych danych osobowych z KSIP.

Komendant Główny Policji dodatkowo podniósł, że zatarcie skazania

i usuniecie informacji o skazaniu z Krajowego Rejestru Karnego nie stanowi okoliczności i przesłanki przesądzającej o nieprawidłowości danych osobowych przetwarzanych w KSIP, a także przesłanki skutkującej uznaniem, iż dane osobowe przetwarzane w KSIP są zbędne dla realizacji zadań ustawowych Policji. Okoliczności te nie są zatem podstawą do usunięcia danych osobowych z KSIP. KSIP nie jest rejestrem skazanych, a informacje, w tym dane osobowe, przetwarzane w KSIP nie obejmują informacji o skazaniu osoby za przestępstwo, ani nie zawierają informacji o wyrokach skazujących, uniewinniających, czy innych orzeczeniach wydanych w sprawach karnych. W KSIP Policja przetwarza informacje, w tym dane osobowe, które sama zgromadziła, pobrała i uzyskała, realizując ustawowe zadania określone w art. 1 ust. 2 ustawy o Policji, oraz w ramach swoich ustawowych uprawnień określonych w art. 20 ust. 1-1d i ust. 2ad-2ba ustawy o Policji.

Komendant Główny Policji zarzucił Prezesowi UODO, że w toku prowadzonego postępowania, jak również w zaskarżonej decyzji nie wykazał, w jaki sposób KGP naruszył przepisy o ochronie danych osobowych, w tym w taki sposób, iż naruszenie to skutkowało nakazem usunięcia danych osobowych J. K. z KSIP.

Prezes UODO nie wykazał, iż KGP naruszył przepisy art. 13, art. 14 i art. 16 ustawy

o ochronie danych osobowych przetwarzanych w związku z zapobieganiem

i zwalczaniem przestępczości, oraz że naruszył przepisy art. 21nb, art. 20 ust. 1-1d, 1j i ust. 2ad - 2ba w związku z art. 1 ust. 1 i ust. 2 pkt 1-4 ustawy o Policji, stanowiące lex specialis względem art. 31 ust. 1 pkt 5 tej ustawy, a mając na uwadze fakt, iż nie upłynął 10 letni okres weryfikacji przetwarzania danych osobowych skarżącego

w KSIP, podjęcie przez Prezesa UODO decyzji o usunięciu danych osobowych skarżącego stanowi naruszenie powyższych przepisów ustawy o ochronie danych osobowych przetwarzanych w związku z zapobieganiem i zwalczaniem przestępczości oraz ustawy o Policji.

Komendant Główny Policji stwierdził, że Prezes UODO nie wykazał tym samym naruszenia przepisów art. 31 ust. 1 pkt 5 ustawy o ochronie danych osobowych przetwarzanych w związku z zapobieganiem i zwalczaniem przestępczości, bowiem cele przetwarzania danych osobowych przez Policję są zdeterminowane realizacją ustawowych zadań Policji określonych w art. 1 ust. 2 ustawy o Policji, które to zadania nie mają charakteru przewidywalnego, oraz których wykonanie nie jest obliczone na z góry określony czas. Komendant Główny Policji jest obowiązany zapewnić, aby dane były przechowywane nie dłużej niż jest to niezbędne dla osiągnięcia celu przetwarzania, a zatem w przypadku Policji nie dłużej niż jest to niezbędne dla realizacji zadań ustawowych Policji, tj. zadań wykonywanych w formach i metodach podlegających ochronie zgodnie z art. 20a ust. 1 ustawy o Policji.

Zgodnie zatem z art. 31 ust. 1 pkt 5 ustawy o ochronie danych osobowych przetwarzanych w związku z zapobieganiem i zwalczaniem przestępczości, w zw.

z art. 21nb i art. 20 ustawy o Policji tak długo, dopóki nie został osiągnięty cel przetwarzania danych osobowych, a osiągnięcie tego celu nie jest możliwe bez przetwarzania zgromadzonych danych osobowych, przetwarzanie tych danych przez administratora jest niezbędne i tym samym dopuszczalne w świetle przesłanek legalności przetwarzania danych wynikających z art. 13 i 14 ustawy o ochronie danych osobowych przetwarzanych w związku z zapobieganiem i zwalczaniem przestępczości.

Skarżący w kontekście powyższego stwierdził, iż przetwarzanie danych osobowych J. K., zgromadzonych legalnie na podstawie art. 20 ust. 2a, 2b i c ustawy o Policji (tj. na podstawie przepisów ustawy

o Policji obowiązujących przed wejściem w życie ustawy o ochronie danych osobowych przetwarzanych w związku z zapobieganiem i zwalczaniem przestępczości), jest niezbędne dla realizacji zadań ustawowych Policji, gdyż realizacja tych zadań bez przetwarzania tych danych nie jest możliwa, zwłaszcza realizacja zadań w zakresie ochrony życia i zdrowia ludzi oraz mienia przed bezprawnymi zamachami naruszającymi te dobra, ochrona bezpieczeństwa

i porządku publicznego, wykrywanie przestępstw i ściganie ich sprawców, a także inicjowanie, organizowanie działań mających na celu zapobieganie przestępstwom. Wykazanie sposobu realizacji powyższych zadań, a zatem sposobu wykorzystania przetwarzanych danych osobowych w konkretnej sprawie, czy zadaniach Policji, stanowiłoby - w świetle obowiązujących przepisów prawa - ujawnienie metod i form realizacji zadań Policji, a także naruszenie wspomnianego powyżej art. 20a ust. 1 ustawy o Policji.

Ponadto, zdaniem Komendanta Głównego Policji, ujawnienie przypadków wykorzystania danych osobowych przez Policję, co zdaniem Prezesa UODO ma uzasadniać niezbędność przetwarzania danych osobowych skarżącego, może stanowić naruszenie praw innych osób do ochrony ich danych osobowych, ich prawa do prywatności, prawa do życia, ochrony ich bezpieczeństwa, porządku publicznego

a także naruszenie przepisów postępowania karnego. Dążenie Prezesa UODO do wykazania przez Komendanta przypadków i okoliczności wykorzystania danych sprawcy przestępstwa, a w sytuacji braku takiego wykazania nakazanie usunięcia danych osobowych, stanowi nie tylko decyzję naruszającą przepisy prawa powszechnie obowiązującego materialnego i procesowego, ale także stanowi zagrożenie dla praw i wolności innych osób oraz ich bezpieczeństwa, którym to prawom i wolnościom realizacja zadań Policji i związane z tym przetwarzanie danych osobowych o osobach podejrzanych o popełnienie przestępstw ściganych

z oskarżenia publicznego ma służyć.

Komendant Główny Policji podniósł również zarzut rozstrzygnięcia sprawy przez Prezesa UODO na błędnej podstawie prawnej, tj. art. 8 ust. 1 pkt 5 ustawy

z dnia 14 grudnia 2018 r. oraz zarzut naruszenia art. 6 i art. 14 art. 107 § 1 pkt 8 k.p.a. oraz art. 392 oraz art. 46 § 9-10 w zw. z art. 14 § 1 i art. 107 § 1 pkt 8 k.p.a. oraz w związku z przepisami art. 3 pkt 2 i 17 oraz art. 16 ust. 1 i 3 ustawy z dnia 17 lutego 2005 r. o informatyzacji działalności podmiotów realizujących zadania publiczne (Dz. U. z 2020 r. poz. 346 z późn. zm.).

Komendant Główny Policji stwierdził, że wysłanie decyzji z dnia [...] czerwca 2021 r. o sygn. [...] za pomocą elektronicznej skrzynki podawczej ePUAP w dniu [...] lipca 2021 r., jako załącznika do pisma przewodniego, mogło doprowadzić do sytuacji, w której w obiegu prawnym faktycznie istnieją dwie identyczne decyzje rozstrzygające tą samą sprawę skarżącego co do istoty sprawy, tj. jedna decyzja z dnia [...] czerwca 2021 r. [...] wydania przez Prezesa UODO w formie papierowej z własnoręcznym podpisem działającego

z upoważnienia Prezesa UODO Dyrektora Departamentu Skarg [...], znajdująca się w aktach postępowania administracyjnego prowadzonego przez Prezesa UODO, nie doręczona Komendantowi Głównemu Policji w takiej formie i postaci oraz następnie druga decyzja stanowiąca plik pdf.

W odpowiedzi na skargę organ wniósł o jej oddalenie, podtrzymując dotychczasową argumentację.

Wojewódzki Sąd Administracyjny w Warszawie zważył, co następuje:

Skarga podlega oddaleniu, ponieważ zaskarżona decyzja jest zgodna

z prawem.

Prezes UODO ustalił w sposób wyczerpujący stan faktyczny sprawy i na jego podstawie rozstrzygnął sprawę co do istoty w oparciu o wskazaną w decyzji podstawę prawną w granicach przedmiotu postępowania wyznaczonego skargą wniesioną przez J. K..

Prezes UODO zasadnie przyjął, że cel przetwarzania przez Komendanta Głównego Policji danych osobowych J. K. w KSIP został zrealizowany i dlatego też dalsze przetwarzanie jego danych osobowych odbywa się z naruszeniem art. 13 oraz art. 31 ust. 1 pkt 5 ustawy z dnia 14 grudnia 2018 r.

o ochronie danych osobowych przetwarzanych w związku z zapobieganiem

i zwalczaniem przestępczości, co wymagało nakazania przywrócenia stanu zgodnego z prawem w tym zakresie.

Prezes UODO jest organem nadzorczym w zakresie przetwarzania danych osobowych. Ustawodawca przyznał Prezesowi UODO prawo do dokonania oceny zgodności działań organów Policji z przepisami w zakresie ochrony danych osobowych.

W art. 5 ust. 1 pkt 1-12 ustawy z dnia 14 grudnia 2018 r. o ochronie danych osobowych przetwarzanych w związku z zapobieganiem i zwalczaniem przestępczości zostały enumeratywnie wymienione zadania Prezesa UODO, wśród których oprócz szeroko rozumianych czynności związanych z monitorowaniem

i egzekwowaniem przepisów tej ustawy, do zadań Prezesa UODO należy również rozpatrywanie skarg osób, których dane osobowe są przetwarzane niezgodnie

z prawem i prowadzenie postępowań w tym zakresie.

Rację ma Prezes UODO, że przepisy ustawy o Policji są na tyle ogólne, że biorąc tylko je pod uwagę możliwym byłoby zakwalifikowanie wszystkich zebranych przez Policję danych osobowych, w oparciu o art. 16 ww. ustawy z dnia 14 grudnia 2018 r. periodycznie co 10 lat, jako niezbędnych dla realizacji jej zadań, co umożliwia bezterminowe przechowywanie danych pomimo osiągnięcia celu, w którym zostały zebrane.

Żaden bowiem z przepisów ustawy o Policji nie zawiera nawet ogólnych kryteriów dla użytego w art. 16 ustawy z dnia 14 grudnia 2018 r. sformułowania "zbędnych danych" czy "danych niezbędnych dla realizacji ustawowych zadań wykonywanych przez Policję". Z powyższego można by wnioskować, że Policja może przetwarzać dane osobowe bez wiedzy i zgody osoby, której dane dotyczą, przez nieograniczony okres.

W takiej sytuacji znajduje zastosowanie art. 31 ust. 1 pkt 5 ustawy z dnia 14 grudnia 2018 r., w którym ustawodawca określił warunek ograniczenia przechowywania danych osobowych wskazując, że okres przechowywania danych osobowych nie powinien być dłuższy, niż jest to niezbędne do osiągnięcia przez administratora celu ich przetwarzania.

Prawidłowo zatem Prezes UODO przyjął, że kluczowym wyznacznikiem dla oceny dopuszczalności przetwarzania danych osobowych w KSIP jest cel gromadzenia określonych informacji, co determinuje konieczność dokonywania każdorazowej, zindywidualizowanej oceny wniosków o usunięcie danych z tego zbioru. Ustalenie celu, w jakim dane są przetwarzane, kształtuje okres przez jaki dane mogą być przetwarzane. Przy czym cel musi zostać określony konkretnie i musi być zasadny w świetle realizacji ustawowych zadań Policji, a nie określony w sposób ogólnikowy.

Natomiast w przypadku ustania celu, dla którego dane są przetwarzane, niezbędnym jest ich usunięcie.

Prezes UODO w świetle poczynionych ustaleń miał podstawy przyjąć, że Komendant Główny Policji nie uzasadnił jaki konkretnie cel determinuje dalsze przetwarzanie danych osobowych J. K. w KSIP w związku

z prowadzonym przeciwko niemu postępowaniem karnym w sprawie o czyn z art. 177 § 1 k.k. Nie wykazał bowiem, w jaki sposób przetwarzanie jego danych osobowych przyczynia się do realizacji któregokolwiek z zadań określonych w art. 1 ust. 2 ustawy o Policji.

Słusznie Prezes UODO zakwestionował stanowisko Komendanta Głównego Policji, że przetwarzanie danych J. K. jest niezbędne w celu prowadzenia "dalszych prognoz kryminologicznych", bowiem pozostaje w kolizji

z wydanym w sprawie karnej rozstrzygnięciem Sądu, który jako organ do tego właściwy, takiej oceny uprzednio dokonał warunkowo umarzając wobec niego postępowanie karne.

Ponadto, jak trafnie podniósł organ, od czasu pozyskania i wprowadzenia do zbioru KSIP w 2018 r. w związku z prowadzonym postępowaniem karnym nie doszło do postawienia J. K. innego zarzutu o charakterze prawnokarnym. Obecnie nie toczy się przeciwko niemu żadne postępowanie karne.

Prezes UODO w świetle poczynionych ustaleń miał prawo przyjąć, że Komendant Główny Policji nie uzasadnił jaki konkretnie cel determinuje dalsze przetwarzanie danych osobowych J. K. w KSIP w związku

z prowadzonym przeciwko niemu postępowaniem karnym w sprawie o czyn z art. 177 § 1 k.k. Nie wykazał bowiem, w jaki sposób przetwarzanie danych osobowych J. K. przyczyniło się do realizacji któregokolwiek z zadań określonych w art. 1 ust. 2 ustawy o Policji. Nie wykazał również, jak ocena kryminalistyczna może ostatecznie doprowadzić do wykluczenia możliwości popełnienia przez J. K. w przyszłości czynu zabronionego.

Słusznie Prezes Urzędu zauważył, że jedynym podmiotem uprawnionym do dokonywania oceny stopnia winy i społecznej szkodliwości czynu przestępczego jest sąd. To sąd, stosując sprawiedliwościowe dyrektywy wymiaru kary, dokonuje oceny czynu z punktu widzenia naganności zachowania się sprawcy oraz jego stosunku psychicznego do popełnionego czynu. Sąd, poza stopniem społecznej szkodliwości czynu, analizuje również dyrektywę prewencji indywidualnej, biorąc pod uwagę dotychczasowy tryb życia sprawcy, sposób popełnienia czynu i zachowanie się po czynie. Zatem nie bez znaczenia dla oceny kryminologicznej J. K. pozostaje okoliczność, że sąd orzekając w sprawie dokonanego przez niego czynu zabronionego skorzystał z instytucji określonej w art. 66 § 1 k.k., tj. warunkowo umorzył postępowanie karne. Sąd, wydając rozstrzygnięcie w takim kształcie, dokonał de facto oceny kryminologicznej J. K. stwierdzając, że jego wina i społeczna szkodliwość popełnionego czynu nie są znaczne, a jego postawa jako sprawcy niekaranego za przestępstwo umyślne, jego właściwości

i warunki osobiste oraz dotychczasowy sposób życia uzasadniają przypuszczenie, że pomimo umorzenia postępowania będzie przestrzegał porządku prawnego,

w szczególności nie popełni przestępstwa.

W kontekście powyższego stanowisko Komendanta Głównego Policji, że przetwarzanie danych J. K. jest niezbędne w celu prowadzenia "dalszych prognoz kryminologicznych", pozostaje w kolizji z wydanym w sprawie karnej rozstrzygnięciem Sądu, który jako organ do tego właściwy, takiej oceny uprzednio dokonał warunkowo umarzając wobec niego postępowanie karne.

Jak trafnie zauważył Prezes UODO, w kwestii przetwarzania danych osobowych przez Policję wypowiedział się Europejski Trybunał Sprawiedliwości, który w wyroku z dnia 4 grudnia 2008 r. (sygn. 30562/04 i 30566/04) stwierdził, iż bezterminowe przechowywanie przez władze danych szczególnie wrażliwych jest niedopuszczalne w demokratycznym społeczeństwie i prowadzi do naruszenia art. 8 Europejskiej Konwencji Praw Człowieka, stanowiącego o prawie do ochrony życia prywatnego. Trybunał wskazał również, że prawo krajowe powinno zawierać odpowiednie mechanizmy ochronne w celu zapobieżenia takiego wykorzystania informacji osobistych, które naruszałoby art. 8 Konwencji. Trybunał podniósł, iż potrzeba takiej ochrony wzrasta, gdy ma się do czynienia z procesem automatycznego przetwarzania danych, a wykorzystywanie ich do celów policyjnych nie może być usprawiedliwieniem mniejszej ochrony.

W osnowie decyzji, na skutek oczywistej omyłki pisarskiej, został wskazany art. 8 ust. 1 pkt 5 ustawy z dnia 14 grudnia 2018 r., zamiast art. 8 ust. 2 pkt 5 ustawy z dnia 14 grudnia 2018 r., jako podstawa prawna nakazania Komendantowi Głównemu Policji przywrócenia stanu zgodnego z prawem w procesie przetwarzania danych osobowych J. K. w KSIP. Ww. omyłka pisarska została sprostowana postanowieniem Prezesa UODO z dnia [...] września 2021 r.

Za niezasadny należy uznać także zarzut naruszenia przez Prezesa UODO art. 6 i art. 14, art. 107 § 1 pkt 8 k.p.a. oraz art. 392 oraz art. 46 § 9-10 w zw. z art. 14 § 1 i art. 107 § 1 pkt 8 k.p.a. oraz w związku z przepisami art. 3 pkt 2 i 17 oraz art. 16 ust. 1 i 3 ustawy z dnia 17 lutego 2005 r. o informatyzacji działalności podmiotów realizujących zadania publiczne (Dz. U. z 2020 r. poz. 346 z późn. zm.).

W myśl art. 392 k.p.a. (według stanu prawnego obowiązującego w dacie wydania zaskarżonej decyzji), w przypadku gdy stroną lub innym uczestnikiem postępowania jest podmiot publiczny obowiązany do udostępniania i obsługi elektronicznej skrzynki podawczej, na podstawie art. 16 ust. 1a ustawy

o informatyzacji, doręczenia dokonuje się na elektroniczną skrzynkę podawczą tego podmiotu. Zdaniem Sądu, nie budzi wątpliwości, że Prezes UODO zgodnie

z powyższym przepisem oraz stosownie do zasady pisemności doręczył Komendantowi Głównemu Policji zaskarżoną decyzję w formie dokumentu elektronicznego w rozumieniu przepisów ustawy z dnia 17 lutego 2005 r.

o informatyzacji. Decyzja ta została opatrzona podpisem elektronicznym osoby upoważnionej do działania w imieniu Prezesa UODO, a następnie przesłana wraz

z pismem przewodnim do Komendanta Głównego Policji w formie umożliwiającej weryfikację podpisu do weryfikacji. Zaskarżona decyzja została załączona w formacie pdf do pisma przewodniego w formacie XML, stosownie do § 17 ust. 1 rozporządzenia Prezesa Rady Ministrów z dnia 14 września 2011 r. w sprawie sporządzania i doręczania dokumentów elektronicznych oraz udostępniania formularzy i wzorów i kopii dokumentów elektronicznych (Dz. U. z 2018 r. poz. 180), zgodnie, z którym pisma wnoszone za pomocą elektronicznej skrzynki podawczej sporządza się w formacie danych XML na podstawie dokumentów elektronicznych umieszczonych w centralnym repozytorium lub w lokalnym repozytorium. Jednocześnie w załączniku do ww. rozporządzenia określono formaty danych,

w jakich zapisuje się załączniki dodawane do pism, wśród których wymieniono

w szczególności format pliku pdf.

Z tych wszystkich względów Wojewódzki Sąd Administracyjny w Warszawie na podstawie art. 151 ustawy z dnia 30 sierpnia 2002 r. - Prawo o postępowaniu przed sądami administracyjnymi (t.j. Dz. U. z 2022 r., poz. 329) orzekł jak w wyroku.