Centralna Baza Orzeczeń Sądów Administracyjnych

Wojewódzki Sąd Administracyjny w Warszawie w składzie następującym: Przewodniczący Sędzia WSA Eugeniusz Wasilewski, Sędziowie WSA Stanisław Marek-Pietras, Jacek Fronczyk (spr.), Protokolant Starszy sekretarz sądowy Sylwia Mikuła, po rozpoznaniu na rozprawie w dniu 28 stycznia 2014 r. sprawy ze skargi K. na decyzję Generalnego Inspektora Ochrony Danych Osobowych z dnia [...] maja 2013 r. nr [...] w przedmiocie przetwarzania danych osobowych 1. uchyla zaskarżoną decyzję oraz poprzedzającą ją decyzję z dnia [...] lutego 2012 r. nr [...]; 2. stwierdza, że zaskarżona decyzja nie podlega wykonaniu w całości; 3. zasądza od Generalnego Inspektora Ochrony Danych Osobowych na rzecz skarżącego K. kwotę 200 (słownie: dwieście) złotych, tytułem zwrotu kosztów postępowania.

W dniu 7 listopada 2011 r. do Biura Generalnego Inspektora Ochrony Danych Osobowych wpłynęła skarga B. G., w której zwrócił się on do organu z wnioskiem o usunięcie uchybień w procesie przetwarzania jego danych osobowych przez Komendanta Miejskiego Policji w [...], który – pomimo zatarcia skazania – przetwarza jego dane osobowe w Krajowym Systemie Informacyjnym Policji. Zainteresowany podniósł, że w dniu [...] lipca 2007 r. został skazany na karę [...], zaś w dniu [...] kwietnia 2011 r. nastąpiło zatarcie skazania. Pomimo skierowanego do Komendanta Miejskiego Policji w [...] wniosku o usunięcie danych osobowych z Krajowego Systemu Informacyjnego Policji, organ Policji nie uczynił mu zadość, toteż uzasadnioną staje się skarga do GIODO, celem podjęcia decyzji nakazującej usunięcie danych z tego zbioru, jako że informacje w nim zawarte utrudniają zainteresowanemu realizację planów zawodowych, związanych ze służbami mundurowymi, gdzie wymagana jest nieposzlakowana opinia.

Decyzją z dnia [...] lutego 2012 r. nr [...] Generalny Inspektor Ochrony Danych Osobowych, mając za podstawę art. 104 § 1 ustawy z dnia 14 czerwca 1960 r. – Kodeks postępowania administracyjnego (t. j.: Dz. U. z 2000 r. Nr 98, poz. 1071 ze zm.), art. 12 pkt 2, art. 22, art. 18 ust. 1 pkt 6 w związku z art. 23 ust. 1 pkt 2, art. 26 ust. 1, art. 27 ust. 2 pkt 2 ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (t. j.: Dz. U. z 2002 r. Nr 101, poz. 926 ze zm.) w związku z art. 20 ust. 1 i ust. 2a ustawy z dnia 6 kwietnia 1990 r. o Policji (t. j.: Dz. U. z 2007 r. Nr 43, poz. 277 ze zm.), nakazał K. usunięcie danych osobowych B. G. z Krajowego Systemu Informacyjnego Policji w zakresie danych wskazanych w art. 20 ust. 2b pkt 2-5 ww. ustawy o Policji, wprowadzonych do zbioru w ramach postępowania karnego prowadzonego w sprawie popełnionego przez B. G. czynu wypełniającego znamiona przestępstwa, określonego w art. 291 § 1 ustawy z dnia 6 czerwca 1997 r. – Kodeks karny (Dz. U. Nr 88, poz. 553 ze zm.).

W motywach decyzji GIODO wyjaśnił, że dla realizacji celu, jakim jest stanie przez Policję na straży bezpieczeństwa i porządku publicznego, konieczne jest przetwarzanie danych osób, wobec których prowadzone były postępowania karne, ale – zdaniem organu – dla realizacji tego celu zbędne jest przetwarzanie danych tych osób, co do których od popełnienia przez nie przestępstwa upłynął długi okres czasu, pozwalający nawet na zatarcie dotyczącego ich skazania, a jednocześnie nie ma na ich temat żadnych innych informacji wskazujących na to, że ponownie weszły one w konflikt z prawem. Ustalenie zatem celu, w jakim dane te są przetwarzane, kształtuje okres, od którego nie powinny być przetwarzane. Zdaniem GIODO, administrator Krajowego Systemu Informacyjnego Policji, którym jest K., przetwarza dane osobowe B. G., o których mowa w art. 20 ust. 2b pkt 2-5 ww. ustawy o Policji, bez uzasadnionej potrzeby, czym narusza art. 26 ust. 1 ww. ustawy o ochronie danych osobowych, toteż niezbędnym jest nakazanie organowi Policji przywrócenia stanu zgodnego z prawem w tym zakresie.

Powyższą decyzję K. uczynił przedmiotem wniosku o ponowne rozpatrzenie sprawy, zarzucając wydanie jej z rażącym naruszeniem prawa materialnego, a to: art. 20 ust. 2a i ust. 17 ww. ustawy o Policji, poprzez odstąpienie od zastosowania, jako przepisów szczególnych, art. 20 ust. 17 w związku z ust. 2a ww. ustawy o Policji i przyjęcie za podstawę rozstrzygnięcia art. 26 ust. 1 oraz art. 33 ww. ustawy o ochronie danych osobowych, w wyniku czego organ ochrony danych osobowych nakazał K. usunięcie uchybień w procesie przetwarzania danych osobowych, poprzez usunięcie danych osobowych z Krajowego Systemu Informacyjnego Policji w zakresie danych z art. 20 ust. 2b pkt 2-5 ww. ustawy o Policji, wprowadzonych do zbioru w ramach prowadzonego postępowania karnego przeciwko B. G., którego czyn został stwierdzony prawomocnym wyrokiem karnym; art. 20 ust. 2a i 2b ww. ustawy o Policji, poprzez błędną wykładnię (niewłaściwe odczytanie treści normy prawnej) lub niewłaściwe zastosowanie (dokonanie wadliwej subsumpcji) przepisu do ustalonego stanu faktycznego w zakresie, w jakim nie stwierdzono, czy K. przetwarza informacje określone w art. 20 ust. 2b pkt 2-5 ww. ustawy o Policji oraz w zakresie, w jakim nie ustalono, które konkretnie nieprawidłowości podlegają usunięciu, tzn. które z informacji wskazanych w art. 20 ust. 2b pkt 2-5 ww. ustawy o Policji K. przetwarza z naruszeniem przepisów ww. ustawy o ochronie danych osobowych, a ponadto dokonanie wykładni przepisów art. 20 ust. 2a i 2b oraz ust. 17 ww. ustawy o Policji i art. 26 ust. 1 ww. ustawy o ochronie danych osobowych wykraczającej poza normy wynikające z tych przepisów i przyjęcie terminu 4 lat oraz faktu zatarcia skazania jako okresu, w którym Policja może przetwarzać dane osobowe o osobach podejrzanych o popełnienie przestępstw, pomimo iż ustawa o Policji nie wiąże bezpośrednio tych okoliczności z obowiązkiem usuwania danych, nakładając na Policję obowiązek regularnej okresowej ich weryfikacji, z częstotliwością nie rzadziej niż raz na 10 lat i dokonywania oceny niezbędności przetwarzania danych pod kątem realizacji ustawowych zadań Policji. K. zarzucił także naruszenie przepisów postępowania, mające istotny wpływ na wynik sprawy, w tym art. 7, art. 8, art. 11 i art. 107 § 3 kpa, poprzez nieuwzględnienie w sprawie faktu dokonania weryfikacji informacji dotyczących wnioskodawcy przez Komendanta Miejskiego Policji w [...] i K. pod kątem usunięcia danych uznanych za zbędne dla realizacji ustawowych zadań Policji w następstwie złożonego wniosku o usunięcie danych osobowych, a także poprzez brak spójności pomiędzy osnową decyzji a uzasadnieniem faktycznym i prawnym tej decyzji oraz niewyjaśnienie przesłanek podjętego rozstrzygnięcia, nakazującego usunięcie informacji określonych w art. 20 ust. 2b pkt 2-5 ww. ustawy o Policji, a ponadto naruszenie tych przepisów poprzez niewyjaśnienie w toku postępowania faktu i sposobu naruszenia przepisów ww. ustawy o ochronie danych osobowych przez K., a także nieprecyzyjne rozstrzygnięcie, jakie dokładnie (konkretnie) dane wnioskodawcy należy usunąć. Formułując przedstawione zarzuty, K. wniósł o uchylenie zaskarżonej decyzji i uznanie, że dane osobowe B. G. przetwarzane są zgodnie z prawem.

Decyzją z dnia [...] maja 2013 r. nr [...] Generalny Inspektor Ochrony Danych Osobowych, stosując art. 138 § 1 pkt 2 ustawy z dnia 14 czerwca 1960 r. – Kodeks postępowania administracyjnego (t. j.: Dz. U. z 2013 r., poz. 267), art. 12 pkt 2, art. 18 ust. 1 pkt 6, art. 22 w związku z art. 23 ust. 1 pkt 2, art. 26 ust. 1 pkt 4, art. 27 ust. 2 pkt 2 ww. ustawy o ochronie danych osobowych w związku z art. 20 ust. 1, 2a i 2b ustawy z dnia 6 kwietnia 1990 r. o Policji (t. j.: Dz. U. z 2011 r. Nr 287, poz. 1687 ze zm.), uchylił zaskarżoną decyzję w całości i nakazał K. usunięcie danych osobowych B. G. z Krajowego Systemu Informacyjnego Policji w zakresie danych wprowadzonych do tego zbioru w ramach postępowania karnego prowadzonego w sprawie popełnionego przez zainteresowanego czynu wypełniającego znamiona przestępstwa, określonego w art. 291 § 1 kk.

W uzasadnieniu rozstrzygnięcia GIODO wskazał, że zarzuty podniesione przez K. nie mają usprawiedliwionych podstaw, bowiem – w ocenie GIODO – nie istnieje obecnie potrzeba przetwarzania w Krajowym Systemie Informacyjnym Policji danych osobowych B. G. Zatem przetwarzanie przez K. danych osobowych zainteresowanego w zakresie danych wprowadzonych w związku z popełnionym przez niego czynem wypełniającym znamiona przestępstwa, określonego w art. 291 § 1 kk, odbywa się z naruszeniem art. 26 ust. 1 ww. ustawy o ochronie danych osobowych i niezbędne jest nakazanie przywrócenia stanu zgodnego z prawem. Zaskarżona decyzja została więc uchylona w całości, z jednoczesną zmianą treści nakazu w zakresie usunięcia danych osobowych zainteresowanego, wprowadzonych do zbioru w ramach postępowania karnego prowadzonego w sprawie popełnionego przez B. G. czynu wypełniającego znamiona przestępstwa, określonego w art. 291 § 1 kk.

W skardze do Wojewódzkiego Sądu Administracyjnego w Warszawie na powyższą decyzję K. zarzucił naruszenie art. 20 ust. 2a, ust. 2b i ust. 17 ww. ustawy o Policji, polegające na odstąpieniu od zastosowania tych przepisów, jako przepisów szczególnych, i przyjęcie za podstawę rozstrzygnięcia art. 26 ust. 1 pkt 4 ww. ustawy o ochronie danych osobowych, w wyniku czego organ nakazał K. danych osobowych B. G. z Krajowego Systemu Informacyjnego Policji w zakresie danych wprowadzonych do tego zbioru w ramach postępowania karnego prowadzonego w sprawie popełnionego przez B. G. czynu wypełniającego znamiona przestępstwa, określonego w art. 291 § 1 kk; art. 20 ust. 2a, ust. 2b oraz ust. 17 ww. ustawy o Policji i art. 26 ust. 1 ww. ustawy o ochronie danych osobowych, poprzez ich błędną wykładnię i niewłaściwe odczytanie ich treści, polegające na dokonaniu wykładni wykraczającej poza normy wynikające z tych przepisów i przyjęcie terminu 4 lat oraz faktu zatarcia skazania jako okresu, w którym Policja może przetwarzać dane o osobach podejrzanych o popełnienie przestępstw oraz uznanie przez GIODO, iż termin 4 lat przechowywania danych i zatarcie skazania stanowią podstawę usunięcia danych z KSIP, pomimo że ustawa o Policji nie wskazuje tych okoliczności jako podstaw usuwania danych, nakładając na Policję obowiązek regularnej, okresowej weryfikacji, z częstotliwością nie rzadziej niż raz na 10 lat i dokonywania oceny niezbędności przetwarzania danych w celu realizacji ustawowych zadań Policji; art. 139 w związku z art. 138 § 1 kpa, poprzez wydanie w postępowaniu odwoławczym decyzji pogarszającej sytuację K., a także niewykazanie w tej decyzji wystąpienia przesłanek rażącego naruszenia prawa lub rażącego naruszenia interesu społecznego, pozwalających na odstąpienie od zakazu reformationis in peius, co w rezultacie stanowi naruszenie tego zakazu w postępowaniu odwoławczym, gdyż zaskarżona decyzja GIODO nakazuje usunięcie danych osobowych B. G. z KSIP w zakresie wszystkich jego danych osobowych, wprowadzonych do tego zbioru w ramach postępowania karnego o czyn z art. 291 § 1 kk, podczas gdy decyzja poprzedzająca nakazywała usunięcie jedynie wybiórczych danych B. G., określonych w art. 20 ust. 2b pkt 2-5 ww. ustawy o Policji; art. 6, art. 7, art. 8, art. 11 i art. 107 § 3 kpa, poprzez nieuwzględnienie w sprawie faktu dokonania weryfikacji informacji dotyczących wnioskodawcy przez Komendanta Miejskiego Policji w [...] i K. pod kątem usunięcia danych uznanych za zbędne dla realizacji ustawowych zadań Policji w następstwie złożonego wniosku o usunięcie danych osobowych, jak również brak uzasadnienia faktycznego i prawnego decyzji w zakresie wyjaśnienia przesłanek podjętego rozstrzygnięcia na niekorzyść strony odwołującej, które nakazuje usunięcie wszystkich danych osobowych B. G. bez wykazania przez GIODO, iż w sprawie wystąpiło rażące naruszenie prawa lub naruszony został rażąco interes społeczny, pozwalający na odstąpienie od zakazu reformationis in peius w postępowaniu odwoławczym, a także pominięcie w zaskarżonej decyzji przepisu art. 139 kpa i niewyjaśnienie przez GIODO przesłanek podjęcia decyzji w tym trybie; brak wyjaśnienia w toku postępowania faktu i sposobu naruszenia przepisów ww. ustawy o ochronie danych osobowych przez K., a ponadto niewykazanie stopnia tego naruszenia skutkującego nakazem usunięcia danych B. G. z KSIP w zakresie danych osobowych wprowadzonych do tego zbioru w związku z postępowaniem karnym o czyn z art. 291 § 1 kk i jedynie ogólnikowe przytoczenie przez GIODO przepisów ustawy o ochronie danych osobowych bez faktycznego wykazania, iż K. narusza przepisy ustawy o ochronie danych osobowych w procesie przetwarzania danych osobowych B. G., przechowując te dane na podstawie art. 20 ust. 17 ww. ustawy o Policji dopiero 4 lata, przy istniejącym obowiązku wykonywania weryfikacji danych przez organy Policji w zakresie niezbędności ich przetwarzania w celu realizacji zadań Policji nie rzadziej niż co 10 lat; art. 35 § 1 i 3 oraz art. 36 w związku z art. 6, art. 8 i art. 12 kpa, poprzez rozstrzygnięcie sprawy bez zachowania ustawowych terminów załatwienia sprawy oraz nieinformowanie stron o niezałatwieniu sprawy w terminie, względnie o załatwieniu sprawy w innym terminie, aniżeli wynikający z przepisów kpa, a także przewlekłe prowadzenie postępowania, w szczególności postępowania odwoławczego, które GIODO prowadził od dnia [...] lutego 2012 r., tj. od momentu wpływu wniosku K. z dnia [...] lutego 2012 r. o ponowne rozpatrzenie sprawy, a zatem przez około 15 miesięcy, w sytuacji, gdy nie ujawniono nowych faktów lub nowych dowodów istotnych w sprawie w porównaniu do materiału zgromadzonego w postępowaniu pierwszoinstancyjnym, zakończonym decyzją GIODO z dnia [...] lutego 2012 r., co powodowało stan niepewności prawnej, naruszając zasadę zaufania do organów władzy publicznej, a także praworządnego i sprawiedliwego prowadzenia postępowania, uwzględniającego w decyzji zarówno interes społeczny, jak i słuszny interes obywateli. Podnosząc powyższe zarzuty, K. wniósł o uchylenie decyzji nakazującej usunięcie danych osobowych B. G. oraz o uznanie, że dane te przetwarzane są zgodnie z prawem.

W odpowiedzi na skargę Generalny Inspektor Ochrony Danych Osobowych wniósł o jej oddalenie, powołując się na argumentację przedstawioną w zaskarżonej decyzji.

B. G., będący uczestnikiem niniejszego postępowania, wniósł o oddalenie skargi, jako bezzasadnej.

Wojewódzki Sąd Administracyjny w Warszawie zważył, co następuje:

Stosownie do treści art. 1 § 1 i 2 ustawy z dnia 25 lipca 2002 r. – Prawo o ustroju sądów administracyjnych (Dz. U. Nr 153, poz. 1269 ze zm.), sąd administracyjny sprawuje wymiar sprawiedliwości poprzez kontrolę pod względem zgodności z prawem zaskarżonej decyzji administracyjnej i to z przepisami obowiązującymi w dacie jej wydania. Innymi słowy, sąd administracyjny kontroluje legalność rozstrzygnięcia zapadłego w postępowaniu z punktu widzenia jego zgodności z prawem materialnym i obowiązującymi przepisami prawa procesowego.

Skarga analizowana pod tym kątem zasługuje na uwzględnienie.

Ustawa z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (t. j.: Dz. U. z 2002 r. Nr 101, poz. 926 ze zm.) jest regulacją stwarzającą prawne podstawy stosowania ochrony państwowej w sytuacjach nielegalnego przetwarzania danych osobowych obywateli przez zarówno podmioty prawa publicznego, jak i podmioty prawa prywatnego, posługujące się ich danymi osobowymi. W celu realizacji tej ochrony organ ochrony danych osobowych został wyposażony w kompetencje władcze, umożliwiające mu sankcjonowanie stwierdzanych nieprawidłowości w procesie przetwarzania danych osobowych. Generalny Inspektor Ochrony Danych Osobowych może więc – w drodze decyzji administracyjnej – nakładać stosowne nakazy bądź zakazy, których zasadniczą rolą jest przywrócenie stanu zgodnego z prawem.

Nie powinno budzić wątpliwości, że ocena stanu faktycznego sprawy, dokonywana przez organ ochrony danych osobowych, bez względu na to, czy postępowanie zostało wszczęte wnioskiem strony, czy też prowadzone jest z urzędu, winna w tego rodzaju sprawach odbywać się pod kątem przesłanek legalnego przetwarzania danych osobowych. GIODO jest bowiem zobowiązany do rozstrzygania w kwestii – jak wskazuje sam tytuł przedmiotowej ustawy – ochrony danych osobowych, nie jest natomiast uprawniony do oceny innych zagadnień natury prawnej, jakie na gruncie sprawy mogą wystąpić, a które nie mają wymiaru ochrony danych osobowych. GIODO, oceniając stan sprawy i dokonując subsumpcji, stwierdza, czy kwestionowane przetwarzanie danych osobowych znajduje oparcie choćby w jednej z legalnych podstaw przetwarzania danych osobowych i w zależności od występujących w sprawie ustaleń – albo wydaje nakaz lub zakaz, albo odmawia uwzględnienia wniosku, ewentualnie umarza postępowanie. Wydanie nakazu usunięcia uchybień w procesie przetwarzania danych osobowych następuje wówczas, gdy organ ochrony danych osobowych stwierdza naruszenie norm w zakresie przetwarzania danych osobowych. W niniejszej sprawie nie ma jednak ku temu podstaw.

Z art. 1 ww. ustawy o ochronie danych osobowych wynika, że każdy ma prawo do ochrony dotyczących go danych osobowych, a przetwarzanie tych danych, w znaczeniu, o którym mowa w art. 7 pkt 2 tej ustawy, dopuszczalne jest tylko ze względu na określone dobra i tylko w zakresie i trybie określonym ustawą. Ustawa o ochronie danych osobowych służy ochronie danych osobowych. Jeśli zasadą jest, że dane osobowe mogą być przetwarzane za zgodą osoby, której dotyczą, to wszelkie wyjątki od niej muszą być – co warto podkreślić – interpretowane ściśle. Ustawa wprowadza wiele rozwiązań, które umożliwiają swobodne i zarazem dopuszczalne przetwarzanie danych osobowych w różnych sytuacjach. Z drugiej zaś strony, dokonując wykładni przepisów ustawy o ochronie danych osobowych, należy również wziąć pod uwagę cele i podstawowe jej założenia, określone w art. 1 ust. 2, gdzie wskazano, iż przetwarzanie danych osobowych może mieć miejsce ze względu na dobro publiczne, dobro osoby, której dane dotyczą lub dobro osób trzecich. Mając na uwadze powyższe, stosując przepisy tej ustawy, należy za każdym razem wyważać dobra, które legły u jej podstaw. Prawo do ochrony danych osobowych, jako jeden z elementów prawa do ochrony własnej prywatności, ma swoje źródło w przepisach art. 47, art. 49, art. 50 i art. 51 Konstytucji Rzeczypospolitej Polskiej. W praktyce prawo do ochrony danych osobowych ulega ograniczeniu z uwagi na interes publiczny lub usprawiedliwiony interes innych osób, czyli nie jest to prawo o charakterze absolutnym, jak większość praw chronionych konstytucyjnie.

Zgodnie z art. 47 Konstytucji RP, każdy ma prawo do ochrony prawnej życia prywatnego, rodzinnego, czci i dobrego imienia oraz do decydowania o swoim życiu osobistym. W myśl art. 49 ustawy zasadniczej, zapewnia się wolność i ochronę tajemnicy komunikowania się. Ich ograniczenie może nastąpić jedynie w przypadkach określonych w ustawie i w sposób w niej określony. Z kolei w świetle art. 51 ust. 1-5 Konstytucji RP, nikt nie może być obowiązany inaczej, niż na podstawie ustawy, do ujawniania informacji dotyczących jego osoby. Władze publiczne nie mogą pozyskiwać, gromadzić i udostępniać innych informacji o obywatelach, niż niezbędne w demokratycznym Państwie prawnym. Każdy ma prawo dostępu do dotyczących go urzędowych dokumentów i zbiorów danych. Ograniczenie tego prawa może określić ustawa. Każdy ma prawo do żądania sprostowania oraz usunięcia informacji nieprawdziwych, niepełnych lub zebranych w sposób sprzeczny z ustawą. Zasady i tryb gromadzenia oraz udostępniania informacji określa ustawa. Natomiast według treści art. 54 ustawy zasadniczej, każdemu zapewnia się wolność wyrażania swoich poglądów oraz pozyskiwania i rozpowszechniania informacji.

Kryteria ważenia kolidujących ze sobą powyższych wartości konstytucyjnych podlegają ocenie z punktu widzenia mechanizmu proporcjonalności. Stosownie bowiem do art. 31 ust. 3 Konstytucji Rzeczypospolitej Polskiej, ograniczenia w zakresie korzystania z konstytucyjnych wolności i praw mogą być ustanawiane tylko w ustawie i tylko wtedy, gdy są konieczne w demokratycznym Państwie dla jego bezpieczeństwa lub porządku publicznego, bądź dla ochrony środowiska, zdrowia i moralności publicznej, albo wolności i praw innych osób. Ograniczenia te nie mogą naruszać istoty wolności i praw. Z przepisu tego wynika, że każdy obywatel może korzystać z konstytucyjnych wolności i praw w granicach zakreślonych przez ustawę, albowiem chroniąc sferę wolności obywatelskich, Konstytucja dopuszcza także ograniczenia w zakresie korzystania z konstytucyjnych praw i wolności, stanowiąc, że "mogą być ustanawiane tylko w ustawie". Istotne przy tym jest, że ograniczenia w zakresie korzystania z praw i wolności mogą być wprowadzane tylko wówczas, gdy są konieczne w demokratycznym Państwie w celu zapewnienia jego bezpieczeństwa lub porządku publicznego, ochrony środowiska, zdrowia i moralności publicznej, ochrony wolności i praw innych osób. Określając konstytucyjne wolności i prawa obywatela, prawodawca dostrzega więc potrzebę wprowadzania ograniczeń tych dóbr. Przedkłada jedno dobro konstytucyjne nad drugie, wytyczając tym samym granice korzystania z wolności i praw, tworząc swoistą hierarchię dóbr, mieszczącą się w ich konstytucyjnych relacjach. Ograniczając pewną sferę wolności konstytucyjnej obywatela, przepis ustawy musi czynić to w sposób, który przede wszystkim nie naruszy jej istoty i nie spowoduje zachwiania relacji konstytucyjnego dobra, które jest ograniczane, do celu, jaki temu przyświeca, który to cel musi być także kwalifikowany w kategoriach wartości konstytucyjnej. Innymi słowy, konieczne jest zapewnienie konstytucyjnej równowagi między prawnie chronionymi dobrami i wartościami, gwarantującej ochronę prywatności przed nieuprawnionym dostępem do niej osób trzecich, przy jednoczesnym poszanowaniu interesu jednostki, jak i interesu Państwa, którego należy upatrywać w obowiązku zapewnienia ładu i porządku publicznego, a także bezpieczeństwa jego obywateli. Chodzi zatem o prawidłowe wyważenie proporcji, jakie muszą być zachowane, by przyjąć, że dane ograniczenie wolności obywatelskiej nie narusza konstytucyjnej hierarchii dóbr (zasada proporcjonalności).

Na gruncie rozpoznawanej sprawy test proporcjonalności musi więc uwzględniać nie tylko prawo do ochrony prywatności zainteresowanego, ale także potrzebę wynikających z art. 31 ust. 3 Konstytucji RP ograniczeń wolności i praw obywatelskich, które to ograniczenia mają służyć – jak w niniejszej sprawie – zapewnieniu bezpieczeństwa i porządku publicznego. W tym zakresie ocena zasadności wniosku zainteresowanego o nakazanie usunięcia jego danych osobowych z Krajowego Systemu Informacyjnego Policji musi uwzględniać także uwarunkowania wynikające z innych regulacji prawnych funkcjonujących w systemie prawa, a nie tylko z ustawy o ochronie danych osobowych, jako że art. 31 ust. 3 ustawy zasadniczej wskazuje właśnie na ustawowe podstawy owych ograniczeń.

Zgodnie z art. 23 ust. 1 pkt 2 ww. ustawy o ochronie danych osobowych, przetwarzanie danych jest dopuszczalne tylko wtedy, gdy jest to niezbędne dla zrealizowania uprawnienia lub spełnienia obowiązku wynikającego z przepisu prawa. Przepis ten statuuje jedną z legalnych podstaw przetwarzania danych osobowych. Wiążąc treść tego przepisu z kompetencjami organów Policji w zakresie zapewniania bezpieczeństwa i porządku publicznego i łącząc te zadania z prawem tych organów do przetwarzania danych osobowych osób podejrzanych o popełnienie przestępstwa, a następnie skazanych prawomocnym wyrokiem sądu, jak również tych, wobec których skazanie uległo zatarciu, należy dojść do wniosku, że przetwarzanie danych osobowych B. G. w Krajowym Systemie Informacyjnym Policji oparte jest na obowiązujących przepisach prawnych.

We wniosku do Generalnego Inspektora Ochrony Danych Osobowych zainteresowany podniósł, że w dniu [...] lipca 2007 r. został skazany na karę [...], zaś w dniu [...] kwietnia 2011 r. nastąpiło zatarcie skazania. Pomimo skierowanego do Komendanta Miejskiego Policji w [...] wniosku o usunięcie jego danych osobowych z Krajowego Systemu Informacyjnego Policji, organ Policji nie uczynił mu zadość, toteż wniósł skargę do GIODO, celem podjęcia decyzji nakazującej usunięcie danych z tego zbioru, jako że informacje w nim zawarte utrudniają mu realizację planów zawodowych, związanych ze służbami mundurowymi, gdzie wymagana jest nieposzlakowana opinia.

Instytucja zatarcia skazania ma na celu umożliwienie pełnej społecznej rehabilitacji skazanego, co wiąże się z uznaniem skazania za niebyłe i usunięciem wpisu o skazaniu z Krajowego Rejestru Karnego. Osoba skazana od momentu zatarcia skazania ma prawo twierdzić, że nie była karana, a żadna instytucja nie może ograniczyć jej praw z powołaniem się na karalność. Obowiązujące przepisy w zakresie zatrudniania pracowników honorują to prawo, bowiem jedynym wymaganym dokumentem przez podmiot zatrudniający, bądź powołujący do służby, który wiąże się z uprzednią karalnością kandydata, jest informacja o osobie z Krajowego Rejestru Karnego. Domaganie się złożenia innych dokumentów, czy to od kandydata, czy też innych podmiotów, w tym organów administracji publicznej, musi wynikać wprost z przepisów prawa ogólnie obowiązującego. Natomiast informacje, jakimi dysponuje Krajowy System Informacyjny Policji, nie stanowią źródła wiedzy powszechnie dostępnej, bowiem służą wyłącznie do realizacji zadań Policji, o których mowa w art. 1 ust. 2 ustawy z dnia 6 kwietnia 1990 r. o Policji (t. j.: Dz. U. z 2011 r. Nr 287, poz. 1687 ze zm.). Dlatego informacje zawarte w Krajowym Systemie Informacyjnym Policji nie mogą służyć jako instrument prawny do prowadzenia polityki kadrowej przez pracodawców, toteż nie mają usprawiedliwionych podstaw prawnych obawy B. G. przedstawione w skierowanej do GIODO skardze. O ile bowiem dostęp do informacji o karalności osoby z Krajowego Rejestru Karnego ma charakter powszechny, to jednak informacje wytworzone przez organy Policji w Krajowym Systemie Informacyjnym Policji są zamkniętym, ogólnie niedostępnym zbiorem informacji i danych, służącym jedynie organom Policji dla realizowania ich ustawowych zadań związanych z zapewnieniem bezpieczeństwa i porządku publicznego.

Podstawę prawną do przetwarzania danych osobowych osób, wobec których były prowadzone postępowania przez organy Policji, stanowi art. 20 ust. 1 ww. ustawy o Policji, zgodnie z którym Policja, z zachowaniem ograniczeń wynikających z art. 19, może uzyskiwać informacje, w tym także niejawnie, gromadzić je, sprawdzać oraz przetwarzać. Policja może pobierać, uzyskiwać, gromadzić, przetwarzać i wykorzystywać w celu realizacji zadań ustawowych informacje, w tym dane osobowe – o osobach podejrzanych o popełnienie przestępstw ściganych z oskarżenia publicznego, nieletnich dopuszczających się czynów zabronionych przez ustawę jako przestępstw ściganych z oskarżenia publicznego, o osobach o nieustalonej tożsamości lub usiłujących ukryć swoją tożsamość, o osobach stwarzających zagrożenie, o których mowa w ustawie z dnia 22 listopada 2013 r. o postępowaniu wobec osób z zaburzeniami psychicznymi stwarzających zagrożenie życia, zdrowia lub wolności seksualnej innych osób (Dz. U. z 2014 r., poz. 24) oraz o osobach poszukiwanych – także bez ich wiedzy i zgody (ust. 2a). W świetle art. 20 ust. 2b ww. ustawy o Policji, gromadzone informacje, mogą obejmować: dane osobowe, o których mowa w art. 27 ust. 1 ww. ustawy o ochronie danych osobowych, z tym, że dane dotyczące kodu genetycznego wyłącznie o niekodujących regionach genomu, odciski linii papilarnych, zdjęcia, szkice i opisy wizerunku, cechy i znaki szczególne, pseudonimy, informacje o: miejscu zamieszkania lub pobytu, wykształceniu, zawodzie, miejscu i stanowisku pracy oraz sytuacji materialnej i stanie majątku, dokumentach i przedmiotach, którymi się posługują, sposobie działania sprawcy, jego środowisku i kontaktach, sposobie zachowania się sprawców wobec osób pokrzywdzonych. Wspomnianych informacji nie pobiera się w przypadku, gdy nie mają one przydatności wykrywczej, dowodowej lub identyfikacyjnej w prowadzonym postępowaniu. Okres przechowywania danych określono w art. 20 ust. 17 ustawy o Policji, zgodnie z którym dane osobowe zebrane w celu wykrycia przestępstwa przechowuje się przez okres niezbędny do realizacji ustawowych zadań Policji. Organy Policji dokonują weryfikacji tych danych po zakończeniu sprawy, w ramach której dane te zostały wprowadzone do zbioru, a ponadto nie rzadziej niż co 10 lat od dnia uzyskania lub pobrania informacji, usuwając zbędne dane. Dane osobowe szczególnie wrażliwe, ujawniające pochodzenie rasowe lub etniczne, poglądy polityczne, przekonania religijne lub filozoficzne, przynależność wyznaniową, partyjną lub związkową oraz dane o stanie zdrowia, nałogach lub życiu seksualnym osób, podejrzanych o popełnienie przestępstw ściganych z oskarżenia publicznego, które nie zostały skazane za te przestępstwa, podlegają komisyjnemu i protokolarnemu zniszczeniu niezwłocznie po uprawomocnieniu się stosownego orzeczenia (ust. 18).

Rozporządzenie Ministra Spraw Wewnętrznych i Administracji z dnia 5 września 2007 r. w sprawie przetwarzania przez Policję informacji o osobach (Dz. U. Nr 107, poz. 1203) w § 4 ust. 1 określa, że informacje przetwarza się w: centralnych zbiorach informacji – przeznaczonych do przetwarzania informacji niezbędnych do realizacji zadań Policji na obszarze całego kraju, wewnętrznych zbiorach informacji – przeznaczonych do przetwarzania informacji niezbędnych do realizacji zadań na obszarze właściwości miejscowej poszczególnych jednostek organizacyjnych Policji lub w zakresie właściwości rzeczowej poszczególnych komórek organizacyjnych K., zestawach zbiorów informacji – przeznaczonych do integracji i usprawniania procesów przetwarzania informacji zgromadzonych w odrębnych zbiorach. Administrator zbioru na podstawie § 11 ust. 1 rozporządzenia zobowiązany jest do oceny przydatności informacji w prowadzonych postępowaniach, po zakończeniu sprawy, w ramach której informacje zostały wprowadzone do zbioru, a następnie okresowo, z częstotliwością co najmniej raz na 10 lat. Przepis § 11 ust. 2 stanowi, iż przy dokonywaniu oceny, o której mowa w ust. 1, informacje uznaje się za nadal przydatne, jeżeli na ich podstawie nie można wykluczyć możliwości popełnienia w przyszłości przez osobę, której dotyczą, czynu zabronionego, w rozumieniu art. 115 § 1 ustawy z dnia 6 czerwca 1997 r. – Kodeks karny (Dz. U. Nr 88, poz. 553 ze zm.). Administrator zbioru ma obowiązek usunięcia informacji zgromadzonych w zbiorze: po uzyskaniu wiadomości, że zdarzenie lub okoliczność, w związku z którymi wprowadzono informacje do zbioru, nie ma znamion czynu zabronionego, jeżeli uzna dane informacje za zbędne dla realizacji zadań ustawowych Policji albo nie uzna ich za przydatne w prowadzonych przez Policję postępowaniach, w rozumieniu ust. 2 § 11 ust. 3 ww. rozporządzenia. Również rozporządzenie Ministra Spraw Wewnętrznych z dnia 31 grudnia 2012 r. w sprawie przetwarzania informacji przez Policję (Dz. U. z 2013 r., poz. 8) w § 10 ust. 1 wskazuje, że do wykonywania czynności w zakresie pobierania, uzyskiwania, gromadzenia, sprawdzania, przetwarzania i wykorzystywania informacji, w tym danych osobowych, o których mowa w art. 20 ust. 2a i 2b ww. ustawy o Policji, prowadzi się w Policji Krajowy System Informacyjny Policji (KSIP) będący zestawem zbiorów danych przetwarzanych w systemach teleinformatycznych. W KSIP mogą być przetwarzane również informacje, w tym dane osobowe, do których gromadzenia, uzyskiwania i przetwarzania Policja jest uprawniona na podstawie odrębnych ustaw, jeżeli takie przetwarzanie przyczynia się do koordynacji informacji oraz efektywniejszej organizacji i realizacji ustawowych zadań Policji w zakresie wykrywania i ścigania sprawców przestępstw oraz zapobiegania przestępczości oraz jej zwalczania, a także ochrony życia i zdrowia ludzi (ust. 2).

W świetle powyższych regulacji, organy Policji są więc uprawnione do przetwarzania danych osób nie tylko podejrzanych o popełnienie przestępstwa, ale także skazanych prawomocnym wyrokiem sądu, jak również tych, wobec których skazanie uległo zatarciu. Realizowanie bowiem celu, jakim jest zapewnienie bezpieczeństwa i porządku publicznego przez organy Policji, wykazuje przesłankę niezbędności przetwarzania danych osobowych w Krajowym Systemie Informacyjnym Policji dla spełnienia obowiązku wynikającego z przepisu prawa (art. 1 ust. 2 ww. ustawy o Policji), co oznacza, że sam proces przetwarzania zawartych w tym zbiorze danych ma oparcie w legalnej przesłance przetwarzania danych, o której mowa w art. 23 ust. 1 pkt 2 ww. ustawy o ochronie danych osobowych. Kryterium niezbędności przetwarzania danych osobowych w KSIP musi być odnoszone do ustawowych zadań Policji, których realizowaniu mają służyć przepisy art. 20 ust. 1, ust. 2a i 2b w związku z art. 20 ust. 17 ww. ustawy o Policji. Mechanizm działania zasady proporcjonalności nakazuje, by realizacja tych zadań odbywała się z poszanowaniem generalnych zasad konstytucyjnych, czyli zasady Państwa prawnego (art. 2 Konstytucji RP) i zasady legalizmu, wywodzonej z art. 7 ustawy zasadniczej. Wprowadzenie uregulowań ustawowych, które zezwalają organom Policji na przetwarzanie danych osobowych osób wchodzących w konflikt z prawem, mieści się więc w ramach zasady demokratycznego Państwa prawnego i zasady legalizmu, wszak zapewnienie ładu i porządku publicznego oraz bezpieczeństwa obywateli jest interesem nadrzędnym Państwa, realizowanym między innymi przez organy Policji. Tym samym niewłaściwe byłoby pozbawienie organów Policji dostępu do jak najpełniejszej informacji, którą Policja sama wytworzyła w sposób legalny.

Potwierdzeniem tego jest wyrok Trybunału Konstytucyjnego z dnia 12 grudnia 2005 r. o sygn. akt K 32/04 (publ. OTK-A 2005/11/132), w którym stwierdzono, że przepis art. 20 ust. 17 ww. ustawy o Policji nie przewiduje usuwania ze zbiorów danych zebranych o osobach podejrzanych o popełnienie przestępstw ściganych z oskarżenia publicznego, które zostały prawomocnie uniewinnione bądź wobec których postępowanie karne zostało prawomocnie bezwarunkowo umorzone niezwłocznie po uprawomocnieniu się stosownego orzeczenia. Prawomocne uniewinnienie konkretnej osoby lub bezwarunkowe umorzenie postępowania karnego wobec konkretnej osoby nie przesądza o tym, czy zgromadzone dane mogą zawierać informacje przydatne dla realizacji ustawowych zadań Policji wobec innych osób.

Zebrane przez Policję informacje przechowywane są w związku z prowadzonymi czynnościami, służącymi dobrostanowi Państwa. Dostrzegając niebezpieczeństwo płynące z faktu zachowania zbioru, jak również trudności kontroli prawidłowego postępowania ze zbiorami, czy też możliwości ekscesywnego ich wykorzystania, nie można jednak uznać, by tego rodzaju obawy miały determinować decyzję o wcześniejszym usuwaniu z KSIP danych, nawet przed terminem 10 lat, z którym ustawodawca łączy prawo organów Policji do posługiwania się informacjami w nim zawartymi i usuwania z niego informacji zbędnych czy nieprzydatnych. Należy bowiem zastrzec, że przetwarzanie danych zawartych w KSIP ma służyć dobru ogólnemu, toteż dysponowanie informacjami zgromadzonymi w zbiorze przez okres czasu, w jakim informacje te są organom Policji potrzebne, jest wprost proporcjonalne do celu, który organy te realizują w związku z koniecznością zapewnienia ładu i porządku publicznego oraz bezpieczeństwa obywateli. Omawiane uregulowania wynikające z ustawy o Policji, jakkolwiek ograniczają sferę prywatności osoby, wobec której nastąpiło zatarcie skazania, to jednak ograniczenia te podyktowane są niezbędnością w zapewnieniu bezpieczeństwa i porządku publicznego, a więc wynikają z interesu Państwa, na co art. 31 ust. 3 Konstytucji RP zezwala, wskazując właśnie na ustawowe podstawy owych ograniczeń. Przepisy art. 20 ust. 1, ust. 2a i 2b w związku z art. 20 ust. 17 ww. ustawy o Policji mieszczą się zatem w granicach swobody regulacyjnej i odpowiadają zasadzie proporcjonalności. Należy tym samym przyjąć, że wspomniane ograniczenie wolności obywatelskiej nie narusza konstytucyjnej hierarchii dóbr. Ważne przy tym jest, że prawo wspólnotowe Unii Europejskiej nie sprzeciwia się szczególnemu uregulowaniu kwestii przetwarzania danych osobowych przez Policję, niż wynika to z ogólnie obowiązujących przepisów o ochronie danych osobowych.

Dane osobowe B. G. zostały pozyskane przez organy Policji w sposób legalny i w taki też są przez nie przetwarzane. Biorąc pod uwagę art. 20 ust. 17 ww. ustawy o Policji, nie można czynić K., jako administratorowi danych zawartych w Krajowym Systemie Informacyjnym Policji, zarzutu, że w sposób bezprawny przechowuje dane osobowe B. G., mimo że nastąpiło zatarcie skazania. To organy Policji oceniają przydatność zebranych informacji i jakkolwiek K. nie wykazał, czy dane zainteresowanego są mu jeszcze przydatne do realizacji zadań Policji, to nie może budzić wątpliwości, że wobec nieupłynięcia jeszcze okresu 10 lat, licząc zarówno od daty skazania, jak i zatarcia skazania, dane B. G. mogą pozostawać w zbiorze służącym organom Policji. Ustawodawca celowo ograniczył się do określenia granicznego okresu 10 lat, obowiązującego do dokonania weryfikacji posiadanych w systemie informatycznym danych, jedynie pod kątem ich dalszej przydatności. Jeśli bowiem informacje o osobie zawarte w KSIP stają się nieprzydatne dla celów prewencyjnych, dowodowych czy wykrywczych, organ Policji może zdecydować o ich usunięciu, czyniąc to jednak nie rzadziej niż raz na 10 lat, przy uwzględnieniu oceny niezbędności przetwarzania danych pod kątem realizacji ustawowych zadań Policji.

W rozpoznawanej sprawie okres 10 lat jeszcze nie upłynął, toteż Generalny Inspektor Ochrony Danych Osobowych, nakazując przed upływem tego terminu usunięcie danych osobowych zainteresowanego z Krajowego Systemu Informacyjnego Policji w zakresie danych wskazanych w art. 20 ust. 2b pkt 2-5 ww. ustawy o Policji, wprowadzonych do zbioru w ramach postępowania karnego prowadzonego w sprawie popełnionego przez B. G. czynu wypełniającego znamiona przestępstwa, określonego w art. 291 § 1 kk, naruszył art. 20 ust. 17 ww. ustawy o Policji, gdyż przedwcześnie zobowiązał K. do usunięcia ww. danych osobowych, które w świetle tego przepisu, mogą nadal pozostawać w zbiorze. Tym bardziej więc za nieuzasadnione należy uznać rozstrzygnięcie GIODO uchylające wcześniejszą decyzję nakazową i zobowiązujące organ Policji do usunięcia ze zbioru KSIP wszelkich danych zainteresowanego. Skoro dane te mogą być przetwarzane przez okres 10 lat, to w sytuacji, gdy okres ten nie upłynął jeszcze, nakaz usunięcia ze zbioru wszelkich danych nie ma usprawiedliwionych podstaw. Istotne przy tym jest, że mocą tej decyzji GIODO orzekł na niekorzyść organu Policji w postępowaniu z wniosku o ponowne rozpatrzenie sprawy, bo rozszerzył zakres uprzednio wydanego nakazu co do jego meritum, czym naruszył zakaz reformationis in peius w postępowaniu odwoławczym, a w konsekwencji przepis art. 139 ustawy z dnia 14 czerwca 1960 r. – Kodeks postępowania administracyjnego (t. j.: Dz. U. z 2013 r., poz. 267), jako że – w świetle poczynionych rozważań Sądu – w sprawie nie zaistniały przesłanki wynikające z tego przepisu, które uprawniałyby organ ochrony danych osobowych do wydania takiego rozstrzygnięcia. Dlatego też, Sąd zdecydował o wyeliminowaniu z obrotu prawnego obu podjętych w sprawie decyzji, uchylając je (por. wyroki Naczelnego Sądu Administracyjnego z dnia 19 grudnia 2011 r. o sygn. akt I OSK 1100/11 i z dnia 22 marca 2013 r. o sygn. akt I OSK 786/12, publ. http://orzeczenia.nsa.gov.pl).

Z uwagi na powyższe, uznając skargę za uzasadnioną, Wojewódzki Sąd Administracyjny w Warszawie, stosując art. 145 § 1 pkt 1 lit. "a" i "c" w związku z art. 135 ustawy z dnia 30 sierpnia 2002 r. – Prawo o postępowaniu przed sądami administracyjnymi (t. j.: Dz. U. z 2012 r., poz. 270 ze zm.), orzekł, jak w punkcie pierwszym sentencji wyroku. W oparciu o art. 152 ww. ustawy, Sąd wstrzymał wykonanie zaskarżonej decyzji w całości.

Obowiązkiem organu ponownie rozpoznającego sprawę będzie zastosowanie się do stanowiska wyrażonego w niniejszym wyroku.

O kosztach orzeczono na podstawie art. 200, art. 205 § 1 i art. 209 ww. ustawy – Prawo o postępowaniu przed sądami administracyjnymi. Sąd zasądził od Generalnego Inspektora Ochrony Danych Osobowych na rzecz skarżącego K. kwotę 200 zł, stanowiącą wartość uiszczonego wpisu od skargi.