Centralna Baza Orzeczeń Sądów Administracyjnych

Naczelny Sąd Administracyjny w składzie: Przewodniczący: sędzia NSA Izabella Kulig-Maciszewska sędzia NSA Małgorzata Jaśkowska (spr.) sędzia del. WSA Ewa Kwiecińska Protokolant starszy inspektor sądowy Joanna Drapczyńska po rozpoznaniu w dniu 12 listopada 2015 roku na rozprawie w Izbie Ogólnoadministracyjnej skargi kasacyjnej Generalnego Inspektora Ochrony Danych Osobowych od wyroku Wojewódzkiego Sądu Administracyjnego w Warszawie z dnia 28 stycznia 2014 r. sygn. akt II SA/Wa 1366/13 w sprawie ze skargi Komendanta Głównego Policji na decyzję Generalnego Inspektora Ochrony Danych Osobowych z dnia [...] maja 2013 r. nr [...] w przedmiocie przetwarzania danych osobowych oddala skargę kasacyjną.

Wojewódzki Sąd Administracyjny w Warszawie wyrokiem z dnia 28 stycznia 2014 r., sygn. akt II SA/Wa 1366/13 po rozpoznaniu skargi Komendanta Głównego Policji uchylił decyzję Generalnego Inspektora Ochrony Danych Osobowych z dnia [...] maja 2013 r. nr [...] w przedmiocie przetwarzania danych osobowych oraz poprzedzającą ją decyzję z dnia [...] lutego 2012 r. nr [...] i stwierdził, że zaskarżona decyzja nie podlega wykonaniu w całości oraz zasądził zwrot kosztów postępowania.

Wyrok został wydany w następujących okolicznościach sprawy:

W dniu 7 listopada 2011 r. do Biura Generalnego Inspektora Ochrony Danych Osobowych wpłynęła skarga B. G., w której zwrócił się on do organu z wnioskiem o usunięcie uchybień w procesie przetwarzania jego danych osobowych przez Komendanta Miejskiego Policji w Z., który – pomimo zatarcia skazania – przetwarza jego dane osobowe w Krajowym Systemie Informacyjnym Policji. Zainteresowany podniósł, że w dniu [...] lipca 2007 r. został skazany na karę ograniczenia wolności, zaś w dniu [...] kwietnia 2011 r. nastąpiło zatarcie skazania. Pomimo skierowanego do Komendanta Miejskiego Policji w Z. wniosku o usunięcie danych osobowych z Krajowego Systemu Informacyjnego Policji, organ Policji nie uczynił temu zadość, toteż uzasadniona staje się skarga do GIODO, celem podjęcia decyzji nakazującej usunięcie danych z tego zbioru, jako że informacje w nim zawarte utrudniają zainteresowanemu realizację planów zawodowych, związanych ze służbami mundurowymi, gdzie wymagana jest nieposzlakowana opinia.

Decyzją z dnia [...] lutego 2012 r. Generalny Inspektor Ochrony Danych Osobowych, na podstawie art. 104 § 1 ustawy z dnia 14 czerwca 1960 r. – Kodeks postępowania administracyjnego (t. j.: Dz. U. z 2000 r. Nr 98, poz. 1071 ze zm.), art. 12 pkt 2, art. 22, art. 18 ust. 1 pkt 6 w związku z art. 23 ust. 1 pkt 2, art. 26 ust. 1, art. 27 ust. 2 pkt 2 ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (t. j.: Dz. U. z 2002 r. Nr 101, poz. 926 ze zm.), dalej u.o.d.o., w związku z art. 20 ust. 1 i ust. 2a ustawy z dnia 6 kwietnia 1990 r. o Policji (t. j.: Dz. U. z 2007 r. Nr 43, poz. 277 ze zm.), nakazał Komendantowi Głównemu Policji usunięcie danych osobowych B. G. z Krajowego Systemu Informacyjnego Policji w zakresie danych wskazanych w art. 20 ust. 2b pkt 2-5 ustawy o Policji, wprowadzonych do zbioru w ramach postępowania karnego prowadzonego w sprawie popełnionego przez B. G. czynu wypełniającego znamiona przestępstwa, określonego w art. 291 § 1 ustawy z dnia 6 czerwca 1997 r. – Kodeks karny (Dz. U. Nr 88, poz. 553 ze zm.).

W motywach decyzji GIODO wyjaśnił, że dla realizacji celu, jakim jest stanie przez Policję na straży bezpieczeństwa i porządku publicznego, konieczne jest przetwarzanie danych osób, wobec których prowadzone były postępowania karne, ale – zdaniem organu – dla realizacji tego celu zbędne jest przetwarzanie danych tych osób, co do których od popełnienia przez nie przestępstwa upłynął długi okres, pozwalający nawet na zatarcie dotyczącego ich skazania, a jednocześnie nie ma na ich temat żadnych innych informacji wskazujących na to, że ponownie weszły one w konflikt z prawem. Ustalenie zatem celu, w jakim dane te są przetwarzane, kształtuje okres, od którego nie powinny być przetwarzane. Zdaniem GIODO, administrator Krajowego Systemu Informacyjnego Policji, którym jest Komendant Główny Policji, przetwarza dane osobowe B. G., o których mowa w art. 20 ust. 2b pkt 2-5 ustawy o Policji, bez uzasadnionej potrzeby, czym narusza art. 26 ust. 1 u.o.d.o., toteż niezbędnym jest nakazanie organowi Policji przywrócenia stanu zgodnego z prawem w tym zakresie.

Decyzją z dnia [...] maja 2013 r. Generalny Inspektor Ochrony Danych Osobowych, na podstawie art. 138 § 1 pkt 2 ustawy z dnia 14 czerwca 1960 r. – Kodeks postępowania administracyjnego (t. j.: Dz. U. z 2013 r., poz. 267), art. 12 pkt 2, art. 18 ust. 1 pkt 6, art. 22 w związku z art. 23 ust. 1 pkt 2, art. 26 ust. 1 pkt 4, art. 27 ust. 2 pkt 2 u.o.d.o. w związku z art. 20 ust. 1, 2a i 2b ustawy z dnia 6 kwietnia 1990 r. o Policji (t. j.: Dz. U. z 2011 r. Nr 287, poz. 1687 ze zm.), po rozpatrzeniu wniosku Komendanta Głównego Policji o ponowne rozpatrzenie sprawy, uchylił zaskarżoną decyzję w całości i nakazał Komendantowi Głównemu Policji usunięcie danych osobowych B. G. z Krajowego Systemu Informacyjnego Policji w zakresie danych wprowadzonych do tego zbioru w ramach postępowania karnego prowadzonego w sprawie popełnionego przez zainteresowanego czynu wypełniającego znamiona przestępstwa, określonego w art. 291 § 1 kk.

W uzasadnieniu rozstrzygnięcia GIODO wskazał, że zarzuty podniesione przez Komendanta Głównego Policji nie mają usprawiedliwionych podstaw, bowiem – w ocenie GIODO – nie istnieje obecnie potrzeba przetwarzania w Krajowym Systemie Informacyjnym Policji danych osobowych B. G. Zatem przetwarzanie przez Komendanta Głównego Policji danych osobowych zainteresowanego w zakresie danych wprowadzonych w związku z popełnionym przez niego czynem wypełniającym znamiona przestępstwa, określonego w art. 291 § 1 kk, odbywa się z naruszeniem art. 26 ust. 1 u.o.d.o. i niezbędne jest nakazanie przywrócenia stanu zgodnego z prawem. Zaskarżona decyzja została więc uchylona w całości, z jednoczesną zmianą treści nakazu w zakresie usunięcia danych osobowych zainteresowanego, wprowadzonych do zbioru w ramach postępowania karnego prowadzonego w sprawie popełnionego przez B. G. czynu wypełniającego znamiona przestępstwa, określonego w art. 291 § 1 kk.

W skardze do Wojewódzkiego Sądu Administracyjnego w Warszawie na powyższą decyzję Komendant Główny Policji zarzucił naruszenie m.in. art. 20 ust. 2a, ust. 2b i ust. 17 ustawy o Policji poprzez odstąpienie od zastosowania tych przepisów jako przepisów szczególnych w stosunku do u.o.d.o. Zarzucono też przyjęcie terminu 4 lat i faktu zatarcia skazania jako okresu stanowiącego podstawę usunięcia danych z KSIP, mimo że ustawa o Policji nie wskazuje tych okoliczności jako podstawy usuwania danych, a także naruszenie art. 139 k.p.a.

W odpowiedzi na skargę Generalny Inspektor Ochrony Danych Osobowych i uczestnik postępowania B. G. wnieśli o oddalenie skargi.

Wojewódzki Sąd Administracyjny w Warszawie uwzględniając skargę Komendanta Głównego Policji na powyższą decyzję wskazał, że ustawa o ochronie danych osobowych jest regulacją stwarzającą prawne podstawy stosowania ochrony państwowej w sytuacjach nielegalnego przetwarzania danych osobowych obywateli przez zarówno podmioty prawa publicznego, jak i podmioty prawa prywatnego, posługujące się ich danymi osobowymi. W celu realizacji tej ochrony organ ochrony danych osobowych został wyposażony w kompetencje władcze, umożliwiające mu sankcjonowanie stwierdzanych nieprawidłowości w procesie przetwarzania danych osobowych. Generalny Inspektor Ochrony Danych Osobowych może więc – w drodze decyzji administracyjnej – nakładać stosowne nakazy bądź zakazy, których zasadniczą rolą jest przywrócenie stanu zgodnego z prawem. Ocena stanu faktycznego sprawy, dokonywana przez organ ochrony danych osobowych, bez względu na to, czy postępowanie zostało wszczęte wnioskiem strony, czy też prowadzone jest z urzędu, winna w tego rodzaju sprawach odbywać się pod kątem przesłanek legalnego przetwarzania danych osobowych. GIODO jest bowiem zobowiązany do rozstrzygania w kwestii ochrony danych osobowych, nie jest natomiast uprawniony do oceny innych zagadnień natury prawnej, jakie na gruncie sprawy mogą wystąpić, a które nie mają wymiaru ochrony danych osobowych. GIODO, oceniając stan sprawy i dokonując subsumpcji, stwierdza, czy kwestionowane przetwarzanie danych osobowych znajduje oparcie choćby w jednej z legalnych podstaw przetwarzania danych osobowych i w zależności od występujących w sprawie ustaleń – albo wydaje nakaz lub zakaz, albo odmawia uwzględnienia wniosku, ewentualnie umarza postępowanie. Wydanie nakazu usunięcia uchybień w procesie przetwarzania danych osobowych następuje wówczas, gdy organ ochrony danych osobowych stwierdza naruszenie norm w zakresie przetwarzania danych osobowych. W ocenie Sądu w niniejszej sprawie nie ma jednak ku temu podstaw.

Sąd wskazał, że z art. 1 u.o.d.o. wynika, że każdy ma prawo do ochrony dotyczących go danych osobowych, a przetwarzanie tych danych, w znaczeniu, o którym mowa w art. 7 pkt 2 tej ustawy, dopuszczalne jest tylko ze względu na określone dobra i tylko w zakresie i trybie określonym ustawą. Ustawa o ochronie danych osobowych służy ochronie danych osobowych. Jeśli zasadą jest, że dane osobowe mogą być przetwarzane za zgodą osoby, której dotyczą, to wszelkie wyjątki od niej muszą być interpretowane ściśle. Ustawa wprowadza wiele rozwiązań, które umożliwiają swobodne i zarazem dopuszczalne przetwarzanie danych osobowych w różnych sytuacjach. Z drugiej zaś strony, dokonując wykładni przepisów ustawy o ochronie danych osobowych, należy również wziąć pod uwagę cele i podstawowe jej założenia, określone w art. 1 ust. 2, gdzie wskazano, iż przetwarzanie danych osobowych może mieć miejsce ze względu na dobro publiczne, dobro osoby, której dane dotyczą lub dobro osób trzecich. Mając na uwadze powyższe, stosując przepisy tej ustawy, należy za każdym razem wyważać dobra, które legły u jej podstaw. Prawo do ochrony danych osobowych, jako jeden z elementów prawa do ochrony własnej prywatności, ma swoje źródło w przepisach art. 47, art. 49, art. 50 i art. 51 Konstytucji Rzeczypospolitej Polskiej. W praktyce prawo do ochrony danych osobowych ulega ograniczeniu z uwagi na interes publiczny lub usprawiedliwiony interes innych osób, czyli nie jest to prawo o charakterze absolutnym, jak większość praw chronionych konstytucyjnie.

Sąd powołał treść art. 47, art. 49, art. 51 ust. 1-5, art. 54 Konstytucji RP i podkreślił, że kryteria ważenia kolidujących ze sobą wartości konstytucyjnych wyrażonych w ww. przepisach podlegają ocenie z punktu widzenia mechanizmu proporcjonalności. Sąd wskazał, że na gruncie rozpoznawanej sprawy test proporcjonalności musi uwzględniać nie tylko prawo do ochrony prywatności zainteresowanego, ale także potrzebę wynikających z art. 31 ust. 3 Konstytucji RP ograniczeń wolności i praw obywatelskich, które to ograniczenia mają służyć – jak w niniejszej sprawie – zapewnieniu bezpieczeństwa i porządku publicznego. W tym zakresie ocena zasadności wniosku zainteresowanego o nakazanie usunięcia jego danych osobowych z Krajowego Systemu Informacyjnego Policji musi uwzględniać także uwarunkowania wynikające z innych regulacji prawnych funkcjonujących w systemie prawa, a nie tylko z ustawy o ochronie danych osobowych, jako że art. 31 ust. 3 Konstytucji RP wskazuje właśnie na ustawowe podstawy owych ograniczeń.

Zgodnie z art. 23 ust. 1 pkt 2 u.o.d.o., przetwarzanie danych jest dopuszczalne tylko wtedy, gdy jest to niezbędne dla zrealizowania uprawnienia lub spełnienia obowiązku wynikającego z przepisu prawa. Przepis ten statuuje jedną z legalnych podstaw przetwarzania danych osobowych. Zdaniem Sądu wiążąc treść tego przepisu z kompetencjami organów Policji w zakresie zapewniania bezpieczeństwa i porządku publicznego i łącząc te zadania z prawem tych organów do przetwarzania danych osobowych osób podejrzanych o popełnienie przestępstwa, a następnie skazanych prawomocnym wyrokiem sądu, jak również tych, wobec których skazanie uległo zatarciu, należy dojść do wniosku, że przetwarzanie danych osobowych B. G. w Krajowym Systemie Informacyjnym Policji oparte jest na obowiązujących przepisach prawnych.

Sąd wskazał, że we wniosku do Generalnego Inspektora Ochrony Danych Osobowych zainteresowany podniósł, że w dniu [...] lipca 2007 r. został skazany na karę ograniczenia wolności, zaś w dniu [...] kwietnia 2011 r. nastąpiło zatarcie skazania. Pomimo skierowanego do Komendanta Miejskiego Policji w Z. wniosku o usunięcie jego danych osobowych z Krajowego Systemu Informacyjnego Policji, organ Policji nie uczynił mu zadość, toteż wniósł skargę do GIODO, celem podjęcia decyzji nakazującej usunięcie danych z tego zbioru, jako że informacje w nim zawarte utrudniają mu realizację planów zawodowych, związanych ze służbami mundurowymi, gdzie wymagana jest nieposzlakowana opinia.

Instytucja zatarcia skazania ma na celu umożliwienie pełnej społecznej rehabilitacji skazanego, co wiąże się z uznaniem skazania za niebyłe i usunięciem wpisu o skazaniu z Krajowego Rejestru Karnego. Osoba skazana od momentu zatarcia skazania ma prawo twierdzić, że nie była karana, a żadna instytucja nie może ograniczyć jej praw z powołaniem się na karalność. Obowiązujące przepisy w zakresie zatrudniania pracowników honorują to prawo, bowiem jedynym wymaganym dokumentem przez podmiot zatrudniający, bądź powołujący do służby, który wiąże się z uprzednią karalnością kandydata, jest informacja o osobie z Krajowego Rejestru Karnego. Domaganie się złożenia innych dokumentów, czy to od kandydata, czy też innych podmiotów, w tym organów administracji publicznej, musi wynikać wprost z przepisów prawa ogólnie obowiązującego. Natomiast informacje, jakimi dysponuje Krajowy System Informacyjny Policji, nie stanowią źródła wiedzy powszechnie dostępnej, bowiem służą wyłącznie do realizacji zadań Policji, o których mowa w art. 1 ust. 2 ustawy o Policji. Dlatego informacje zawarte w Krajowym Systemie Informacyjnym Policji nie mogą służyć jako instrument prawny do prowadzenia polityki kadrowej przez pracodawców, toteż nie mają usprawiedliwionych podstaw prawnych obawy B. G. przedstawione w skierowanej do GIODO skardze. O ile bowiem dostęp do informacji o karalności osoby z Krajowego Rejestru Karnego ma charakter powszechny, to jednak informacje wytworzone przez organy Policji w Krajowym Systemie Informacyjnym Policji są zamkniętym, ogólnie niedostępnym zbiorem informacji i danych, służącym jedynie organom Policji dla realizowania ich ustawowych zadań związanych z zapewnieniem bezpieczeństwa i porządku publicznego.

Podstawę prawną do przetwarzania danych osobowych osób, wobec których były prowadzone postępowania przez organy Policji, stanowi art. 20 ust. 1 ustawy o Policji, zgodnie z którym Policja, z zachowaniem ograniczeń wynikających z art. 19, może uzyskiwać informacje, w tym także niejawnie, gromadzić je, sprawdzać oraz przetwarzać. Policja może pobierać, uzyskiwać, gromadzić, przetwarzać i wykorzystywać w celu realizacji zadań ustawowych informacje, w tym dane osobowe – o osobach podejrzanych o popełnienie przestępstw ściganych z oskarżenia publicznego, nieletnich dopuszczających się czynów zabronionych przez ustawę jako przestępstw ściganych z oskarżenia publicznego, o osobach o nieustalonej tożsamości lub usiłujących ukryć swoją tożsamość, o osobach stwarzających zagrożenie, o których mowa w ustawie z dnia 22 listopada 2013 r. o postępowaniu wobec osób z zaburzeniami psychicznymi stwarzających zagrożenie życia, zdrowia lub wolności seksualnej innych osób (Dz. U. z 2014 r., poz. 24) oraz o osobach poszukiwanych – także bez ich wiedzy i zgody (ust. 2a). W świetle art. 20 ust. 2b ustawy o Policji, gromadzone informacje mogą obejmować: dane osobowe, o których mowa w art. 27 ust. 1 u.o.d.o., z tym, że dane dotyczące kodu genetycznego wyłącznie o niekodujących regionach genomu, odciski linii papilarnych, zdjęcia, szkice i opisy wizerunku, cechy i znaki szczególne, pseudonimy, informacje o: miejscu zamieszkania lub pobytu, wykształceniu, zawodzie, miejscu i stanowisku pracy oraz sytuacji materialnej i stanie majątku, dokumentach i przedmiotach, którymi się posługują, sposobie działania sprawcy, jego środowisku i kontaktach, sposobie zachowania się sprawców wobec osób pokrzywdzonych. Wspomnianych informacji nie pobiera się w przypadku, gdy nie mają one przydatności wykrywczej, dowodowej lub identyfikacyjnej w prowadzonym postępowaniu. Okres przechowywania danych określono w art. 20 ust. 17 ustawy o Policji, zgodnie z którym dane osobowe zebrane w celu wykrycia przestępstwa przechowuje się przez okres niezbędny do realizacji ustawowych zadań Policji. Organy Policji dokonują weryfikacji tych danych po zakończeniu sprawy, w ramach której dane te zostały wprowadzone do zbioru, a ponadto nie rzadziej niż co 10 lat od dnia uzyskania lub pobrania informacji, usuwając zbędne dane. Dane osobowe szczególnie wrażliwe, ujawniające pochodzenie rasowe lub etniczne, poglądy polityczne, przekonania religijne lub filozoficzne, przynależność wyznaniową, partyjną lub związkową oraz dane o stanie zdrowia, nałogach lub życiu seksualnym osób, podejrzanych o popełnienie przestępstw ściganych z oskarżenia publicznego, które nie zostały skazane za te przestępstwa, podlegają komisyjnemu i protokolarnemu zniszczeniu niezwłocznie po uprawomocnieniu się stosownego orzeczenia (ust. 18).

Rozporządzenie Ministra Spraw Wewnętrznych i Administracji z dnia 5 września 2007 r. w sprawie przetwarzania przez Policję informacji o osobach (Dz. U. Nr 170, poz. 1203) w § 4 ust. 1 określa, że informacje przetwarza się w: centralnych zbiorach informacji – przeznaczonych do przetwarzania informacji niezbędnych do realizacji zadań Policji na obszarze całego kraju, wewnętrznych zbiorach informacji – przeznaczonych do przetwarzania informacji niezbędnych do realizacji zadań na obszarze właściwości miejscowej poszczególnych jednostek organizacyjnych Policji lub w zakresie właściwości rzeczowej poszczególnych komórek organizacyjnych Komendy Głównej Policji, zestawach zbiorów informacji – przeznaczonych do integracji i usprawniania procesów przetwarzania informacji zgromadzonych w odrębnych zbiorach. Administrator zbioru na podstawie § 11 ust. 1 rozporządzenia zobowiązany jest do oceny przydatności informacji w prowadzonych postępowaniach, po zakończeniu sprawy, w ramach której informacje zostały wprowadzone do zbioru, a następnie okresowo, z częstotliwością co najmniej raz na 10 lat. Przepis § 11 ust. 2 stanowi, iż przy dokonywaniu oceny, o której mowa w ust. 1, informacje uznaje się za nadal przydatne, jeżeli na ich podstawie nie można wykluczyć możliwości popełnienia w przyszłości przez osobę, której dotyczą, czynu zabronionego, w rozumieniu art. 115 § 1 ustawy z dnia 6 czerwca 1997 r. – Kodeks karny (Dz. U. Nr 88, poz. 553 ze zm.). Administrator zbioru ma obowiązek usunięcia informacji zgromadzonych w zbiorze: po uzyskaniu wiadomości, że zdarzenie lub okoliczność, w związku z którymi wprowadzono informacje do zbioru, nie ma znamion czynu zabronionego, jeżeli uzna dane informacje za zbędne dla realizacji zadań ustawowych Policji albo nie uzna ich za przydatne w prowadzonych przez Policję postępowaniach, w rozumieniu ust. 2 § 11 ww. rozporządzenia (ust. 3). Również rozporządzenie Ministra Spraw Wewnętrznych z dnia 31 grudnia 2012 r. w sprawie przetwarzania informacji przez Policję (Dz. U. z 2013 r., poz. 8) w § 10 ust. 1 wskazuje, że do wykonywania czynności w zakresie pobierania, uzyskiwania, gromadzenia, sprawdzania, przetwarzania i wykorzystywania informacji, w tym danych osobowych, o których mowa w art. 20 ust. 2a i 2b ustawy o Policji, prowadzi się w Policji Krajowy System Informacyjny Policji (KSIP) będący zestawem zbiorów danych przetwarzanych w systemach teleinformatycznych. W KSIP mogą być przetwarzane również informacje, w tym dane osobowe, do których gromadzenia, uzyskiwania i przetwarzania Policja jest uprawniona na podstawie odrębnych ustaw, jeżeli takie przetwarzanie przyczynia się do koordynacji informacji oraz efektywniejszej organizacji i realizacji ustawowych zadań Policji w zakresie wykrywania i ścigania sprawców przestępstw oraz zapobiegania przestępczości oraz jej zwalczania, a także ochrony życia i zdrowia ludzi (ust. 2).

W świetle powyższych regulacji, w ocenie Sądu, organy Policji są więc uprawnione do przetwarzania danych osób nie tylko podejrzanych o popełnienie przestępstwa, ale także skazanych prawomocnym wyrokiem sądu, jak również tych, wobec których skazanie uległo zatarciu. Realizowanie bowiem celu, jakim jest zapewnienie bezpieczeństwa i porządku publicznego przez organy Policji, wykazuje przesłankę niezbędności przetwarzania danych osobowych w Krajowym Systemie Informacyjnym Policji dla spełnienia obowiązku wynikającego z przepisu prawa (art. 1 ust. 2 ustawy o Policji), co oznacza, że sam proces przetwarzania zawartych w tym zbiorze danych ma oparcie w legalnej przesłance przetwarzania danych, o której mowa w art. 23 ust. 1 pkt 2 u.o.d.o. Kryterium niezbędności przetwarzania danych osobowych w KSIP musi być odnoszone do ustawowych zadań Policji, których realizowaniu mają służyć przepisy art. 20 ust. 1, ust. 2a i 2b w związku z art. 20 ust. 17 ustawy o Policji. Mechanizm działania zasady proporcjonalności nakazuje, by realizacja tych zadań odbywała się z poszanowaniem generalnych zasad konstytucyjnych, czyli zasady Państwa prawnego (art. 2 Konstytucji RP) i zasady legalizmu, wywodzonej z art. 7 Konstytucji RP. Wprowadzenie uregulowań ustawowych, które zezwalają organom Policji na przetwarzanie danych osobowych osób wchodzących w konflikt z prawem, mieści się więc w ramach zasady demokratycznego Państwa prawnego i zasady legalizmu, wszak zapewnienie ładu i porządku publicznego oraz bezpieczeństwa obywateli jest interesem nadrzędnym Państwa, realizowanym między innymi przez organy Policji. Tym samym niewłaściwe byłoby pozbawienie organów Policji dostępu do jak najpełniejszej informacji, którą Policja sama wytworzyła w sposób legalny.

Sąd wskazał, że potwierdzeniem tego jest wyrok Trybunału Konstytucyjnego z dnia 12 grudnia 2005 r. o sygn. akt K 32/04 (publ. OTK-A 2005/11/132), w którym stwierdzono, że przepis art. 20 ust. 17 ustawy o Policji nie przewiduje usuwania ze zbiorów danych zebranych o osobach podejrzanych o popełnienie przestępstw ściganych z oskarżenia publicznego, które zostały prawomocnie uniewinnione bądź wobec których postępowanie karne zostało prawomocnie bezwarunkowo umorzone niezwłocznie po uprawomocnieniu się stosownego orzeczenia. Prawomocne uniewinnienie konkretnej osoby lub bezwarunkowe umorzenie postępowania karnego wobec konkretnej osoby nie przesądza o tym, czy zgromadzone dane mogą zawierać informacje przydatne dla realizacji ustawowych zadań Policji wobec innych osób.

Zebrane przez Policję informacje przechowywane są w związku z prowadzonymi czynnościami, służącymi dobrostanowi Państwa. Dostrzegając niebezpieczeństwo płynące z faktu zachowania zbioru, jak również trudności kontroli prawidłowego postępowania ze zbiorami, czy też możliwości ekscesywnego ich wykorzystania, nie można jednak uznać, by tego rodzaju obawy miały determinować decyzję o wcześniejszym usuwaniu z KSIP danych, nawet przed terminem 10 lat, z którym ustawodawca łączy prawo organów Policji do posługiwania się informacjami w nim zawartymi i usuwania z niego informacji zbędnych czy nieprzydatnych. Sąd podkreślił, że przetwarzanie danych zawartych w KSIP ma służyć dobru ogólnemu, toteż dysponowanie informacjami zgromadzonymi w zbiorze przez okres, w jakim informacje te są organom Policji potrzebne, jest wprost proporcjonalne do celu, który organy te realizują w związku z koniecznością zapewnienia ładu i porządku publicznego oraz bezpieczeństwa obywateli. Omawiane uregulowania wynikające z ustawy o Policji, jakkolwiek ograniczają sferę prywatności osoby, wobec której nastąpiło zatarcie skazania, to jednak ograniczenia te podyktowane są niezbędnością w zapewnieniu bezpieczeństwa i porządku publicznego, a więc wynikają z interesu Państwa, na co art. 31 ust. 3 Konstytucji RP zezwala, wskazując właśnie na ustawowe podstawy owych ograniczeń. Przepisy art. 20 ust. 1, ust. 2a i 2b w związku z art. 20 ust. 17 ustawy o Policji mieszczą się zatem w granicach swobody regulacyjnej i odpowiadają zasadzie proporcjonalności. W ocenie Sądu wspomniane ograniczenie wolności obywatelskiej nie narusza zatem konstytucyjnej hierarchii dóbr. Ważne przy tym jest, że prawo wspólnotowe Unii Europejskiej nie sprzeciwia się szczególnemu uregulowaniu kwestii przetwarzania danych osobowych przez Policję, niż wynika to z ogólnie obowiązujących przepisów o ochronie danych osobowych.

Sąd wskazał, że dane osobowe B. G. zostały pozyskane przez organy Policji w sposób legalny i w taki też są przez nie przetwarzane. Biorąc pod uwagę art. 20 ust. 17 ustawy o Policji, nie można czynić Komendantowi Głównemu Policji, jako administratorowi danych zawartych w Krajowym Systemie Informacyjnym Policji, zarzutu, że w sposób bezprawny przechowuje dane osobowe B. G., mimo że nastąpiło zatarcie skazania. To organy Policji oceniają przydatność zebranych informacji i jakkolwiek Komendant Główny Policji nie wykazał, czy dane zainteresowanego są mu jeszcze przydatne do realizacji zadań Policji, to nie może budzić wątpliwości, że wobec nieupłynięcia jeszcze okresu 10 lat, licząc zarówno od daty skazania, jak i zatarcia skazania, dane B. G. mogą pozostawać w zbiorze służącym organom Policji. Ustawodawca celowo ograniczył się do określenia granicznego okresu 10 lat, obowiązującego do dokonania weryfikacji posiadanych w systemie informatycznym danych, jedynie pod kątem ich dalszej przydatności. Jeśli bowiem informacje o osobie zawarte w KSIP stają się nieprzydatne dla celów prewencyjnych, dowodowych czy wykrywczych, organ Policji może zdecydować o ich usunięciu, czyniąc to jednak nie rzadziej niż raz na 10 lat, przy uwzględnieniu oceny niezbędności przetwarzania danych pod kątem realizacji ustawowych zadań Policji.

W rozpoznawanej sprawie okres 10 lat jeszcze nie upłynął, toteż Generalny Inspektor Ochrony Danych Osobowych, nakazując przed upływem tego terminu usunięcie danych osobowych zainteresowanego z Krajowego Systemu Informacyjnego Policji w zakresie danych wskazanych w art. 20 ust. 2b pkt 2-5 ustawy o Policji, wprowadzonych do zbioru w ramach postępowania karnego prowadzonego w sprawie popełnionego przez B. G. czynu wypełniającego znamiona przestępstwa, określonego w art. 291 § 1 kk, naruszył art. 20 ust. 17 ustawy o Policji, gdyż przedwcześnie zobowiązał Komendanta Głównego Policji do usunięcia ww. danych osobowych, które w świetle tego przepisu, mogą nadal pozostawać w zbiorze. Tym bardziej więc zdaniem Sądu za nieuzasadnione należy uznać rozstrzygnięcie GIODO uchylające wcześniejszą decyzję nakazową i zobowiązujące organ Policji do usunięcia ze zbioru KSIP wszelkich danych zainteresowanego. Skoro dane te mogą być przetwarzane przez okres 10 lat, to w sytuacji, gdy okres ten nie upłynął jeszcze, nakaz usunięcia ze zbioru wszelkich danych nie ma usprawiedliwionych podstaw. Istotne przy tym jest, że mocą tej decyzji GIODO orzekł na niekorzyść organu Policji w postępowaniu z wniosku o ponowne rozpatrzenie sprawy, bo rozszerzył zakres uprzednio wydanego nakazu co do jego meritum, czym naruszył zakaz reformationis in peius w postępowaniu odwoławczym, a w konsekwencji przepis art. 139 k.p.a., jako że w sprawie nie zaistniały przesłanki wynikające z tego przepisu, które uprawniałyby organ ochrony danych osobowych do wydania takiego rozstrzygnięcia.

Z uwagi na powyższe, Wojewódzki Sąd Administracyjny w Warszawie, na podstawie art. 145 § 1 pkt 1 lit. a i c w związku z art. 135 ustawy z dnia 30 sierpnia 2002 r. – Prawo o postępowaniu przed sądami administracyjnymi (t. j.: Dz. U. z 2012 r., poz. 270 ze zm.), dalej p.p.s.a., uchylił decyzje organów obu instancji.

Skargę kasacyjną od powyższego wyroku złożył Generalny Inspektor Ochrony Danych Osobowych, zaskarżając wyrok w całości, zarzucając:

I. naruszenie prawa materialnego, tj.:

1) art. 20 ust. 1, ust. 2a, ust. 17 i ust. 17b ustawy o Policji poprzez błędną wykładnię, polegającą na przyjęciu, iż zasady przetwarzania (w tym usuwania) danych osobowych osób podejrzanych o popełnienie przestępstw ściganych z oskarżenia publicznego, nieletnich dopuszczających się czynów zabronionych przez ustawę jako przestępstw ściganych z oskarżenia publicznego, osób o nieustalonej tożsamości lub usiłujących ukryć swoją tożsamość oraz osób poszukiwanych, zostały w ustawie o Policji uregulowane w sposób kompleksowy i one mają zastosowanie w kwestii oceny legalności przetwarzania danych osobowych B. G. w Krajowym Systemie Informacyjnym Policji (KSIP) przed przepisami ustawy o ochronie danych osobowych,

2) art. 26 ust. 1, art. 23 ust. 1 pkt 2 i art. 27 ust. 2 pkt 2 u.o.d.o. poprzez błędną wykładnię polegającą na przyjęciu, że przepisy te nie mają zastosowania w kwestii oceny legalności przetwarzania danych osobowych B. G. w Krajowym Systemie Informacyjnym Policji (KSIP), gdyż kwestię tę regulują przepisy rozdziału 6 rozporządzenia Ministra Spraw Wewnętrznych z dnia 31 grudnia 2012 r. w sprawie przetwarzania informacji przez Policję (Dz. U. z 2013 r. poz. 8),

II. naruszenie przepisów postępowania, tj. art. 145 § 1 pkt 1 lit. c p.p.s.a. w związku z art. 139 k.p.a. poprzez błędne uznanie, iż Generalny Inspektor Ochrony Danych Osobowych orzekł na niekorzyść organu Policji w rozumieniu art. 139 k.p.a. w postępowaniu z wniosku o ponowne rozpatrzenie sprawy, co miało istotny wpływ na wynik sprawy.

Wskazując na powyższe zarzuty skarżący kasacyjnie organ wniósł o uchylenie w całości zaskarżonego wyroku i przekazanie sprawy do ponownego rozpoznania Wojewódzkiemu Sądowi Administracyjnemu w Warszawie.

W uzasadnieniu skargi kasacyjnej podniesiono, że Generalny Inspektor Ochrony Danych Osobowych nie kwestionuje konieczności gromadzenia przez Policję informacji o popełnieniu przez daną osobę czynu zabronionego, ani nie podważa sensu istnienia policyjnych zbiorów danych do tego służących jakim jest KSIP. Istotne natomiast z punktu widzenia ochrony danych osobowych jest nadanie temu procesowi sztywnych ram, które pozwolą na jego realizację zarówno w oparciu o przepisy ustawy o Policji, które stanowią podstawę prawną takich działań tej formacji, ale też z poszanowaniem przysługującego każdej osobie fizycznej prawa do zgodnego z prawem przetwarzania jej danych osobowych. Skarżący kasacyjnie nie podzielił stanowiska, iż zasady przetwarzania danych osobowych osób wymienionych w art. 20 ust. 2a ustawy o Policji zostały przez ustawodawcę uregulowane w sposób kompleksowy w ustawie o Policji jako przepisach szczególnych.

Organ podkreślił, analizując zarówno przepisy ustawy o Policji, jak i rozporządzenia Ministra Spraw Wewnętrznych z dnia 31 grudnia 2012 r. w sprawie przetwarzania informacji przez Policję, że przepisy ustawy o Policji są na tyle ogólne, że pozwalają Policji na zakwalifikowanie wszystkich zebranych przez nią danych osobowych, periodycznie co 10 lat, jako niezbędnych dla realizacji jej zadań. Zwrócił również uwagę, że żaden z przepisów nie zawiera nawet ogólnych kryteriów dla sformułowania "danych zbędnych" czy "danych niezbędnych dla realizacji ustawowych zadań wykonywanych przez Policję". Z powyższego można wnioskować, że Policja może przetwarzać dane osobowe bez wiedzy i zgody osoby, której dane dotyczą, przez nieograniczony okres. W ocenie Generalnego Inspektora zakres ogólności tych przepisów jest na tyle duży, że nie można uznać, że stanowią one lex specialis w stosunku do ustawy o ochronie danych osobowych. Zdaniem organu określają one jedynie wewnętrzne zasady, które są stworzone dla potrzeb Policji, nie odnoszą się zaś do uprawnień jednostki.

Stąd też w ocenie organu, w obecnym stanie prawnym zastosowanie w kwestii przetwarzania danych osobowych w KSIP będą miały przepisy ustawy o ochronie danych osobowych. Również to przepisy tej ustawy będą musiały być stosowane przez Policję w sytuacji oceniania każdego przypadku żądania usunięcia danych z KSIP. Powyższe wynika choćby z art. 3 ust. 1 ustawy o ochronie danych osobowych, według którego ustawę stosuje się do organów państwowych, organów samorządu terytorialnego oraz do państwowych i komunalnych jednostek organizacyjnych. W myśl zaś art. 5 tej ustawy jeżeli przepisy odrębnych ustaw, które odnoszą się do przetwarzania danych, przewidują dalej idącą ich ochronę, niż wynika to z niniejszej ustawy, stosuje się przepisy tych ustaw. Nie ulega wątpliwości, iż przepisy ustawy o Policji stanowiące podstawę prawną do przetwarzania przez Policję danych osobowych w KSIP nie przewidują dalej idącej ich ochrony niż ustawa o ochronie danych osobowych, a zatem w niniejszej sprawie zastosowanie znajdują przepisy o ochronie danych osobowych.

W myśl zaś art. 26 ust. 1 pkt 4 u.o.d.o. administrator danych przetwarzający dane powinien dołożyć szczególnej staranności w celu ochrony interesów osób, których dane dotyczą, a w szczególności jest obowiązany zapewnić, aby dane te były przechowywane w postaci umożliwiającej identyfikację osób których dane dotyczą, nie dłużej niż jest to niezbędne do osiągnięcia celu przetwarzania. W ocenie Generalnego Inspektora dla realizacji celu jakim jest stanie przez Policję na straży bezpieczeństwa i porządku publicznego zbędne jest przetwarzanie danych tych osób, co do których od popełnienia przez nie przestępstwa upłynął długi okres pozwalający nawet na zatarcie dotyczącego ich skazania, a jednocześnie nie ma na ich temat żadnych innych informacji wskazujących na to, że ponownie weszły w konflikt z prawem. Wskazać zatem należy, że ustalenie celu w jakim dane są przetwarzane kształtuje okres, po upływie którego nie powinny być one przetwarzane.

Generalny Inspektor w pełni podtrzymał stanowisko wyrażone w uchylonych decyzjach, iż kluczowym wyznacznikiem dla oceny, czy zasadne jest przetwarzanie danych osobowych B. G. w KSIP, jest cel gromadzenia określonych informacji, co determinuje konieczność dokonywania każdorazowej, zindywidualizowanej oceny wniosków o usunięcie danych z KSIP.

Odnosząc się zatem do celu przetwarzania danych osobowych w KSIP, jakim jest realizacja ustawowych zadań Policji określonych w art. 1 ust. 2 ustawy o Policji, organ zaznaczył, że w toku niniejszego postępowania Komendant Główny Policji nie wykazał, w jaki sposób przetwarzanie danych osobowych B. G. pomogło w realizacji celów określonych w tym przepisie. Organ podkreślił, że samo wskazanie, iż skarżący popełnił umyślnie czyn karalny w niedalekiej przeszłości i w związku z tym ogólnikowe stwierdzenie dotyczące podstawy przetwarzania tych danych, były dla organu nieprzekonywające. Istotny jest bowiem cytowany art. 26 ust. 1 pkt 4 u.o.d.o. Tymczasem wskazać należy, że chociaż dane osobowe skarżącego zostały pozyskane i wprowadzone do zbioru KSIP w związku z prowadzonym postępowaniem karnym, to od tamtego czasu nie doszło do postawienia mu innego zarzutu o charakterze prawnokarnym. Wobec powyższego w ocenie organu nieadekwatne jest przetwarzanie w KSIP danych osobowych w zakresie informacji o popełnionym w przeszłości przez skarżącego czynie, w sytuacji gdy nawet w świetle zasad wyznaczonych przepisami Kodeksu karnego jest on osobą niekaraną.

Odnosząc się do naruszenia zakazu reformationis in peius, organ wskazał, że nie było intencją organu pogorszenie sytuacji strony odwołującej się, jaką jest Komendant Główny Policji, a jedynie sprostowanie zakresu usuwanych danych osobowych określonego w decyzji I instancji. Nie należy traktować zakresu danych osobowych skarżącego wskazanego w decyzji wydanej w postępowaniu odwoławczym jako rozszerzenie zakresu danych osobowych skarżącego przetwarzanych w KSIP, bowiem ze względu na zatarcie wyroku w tym zbiorze w ogóle nie powinny się znajdować żadne dane osobowe skarżącego. Nawet gdyby uznać, że zaskarżoną decyzją organ orzekł na niekorzyść strony w rozumieniu art. 139 k.p.a., to zważywszy na fakt, iż zakres nakazu usunięcia danych osobowych z decyzji I instancji był niezgodny ze stanem faktycznym, zaś w postępowaniu odwoławczym wyszły na jaw nowe okoliczności - odstąpienie od tego zakazu należałoby uznać za dopuszczalne. Intencją GIODO było bowiem wyeliminowanie z obrotu prawnego decyzji wadliwej.

Obszerną odpowiedź na skargę kasacyjną złożył Komendant Główny Policji, wnosząc o oddalenie skargi kasacyjnej.

W uzasadnieniu wskazano, że wydanie nakazu nie miało podstaw w przepisach obowiązującego prawa. Przepisy ustawy o Policji są lex specialis w stosunku do u.o.d.o., a przetwarzanie danych przez Policję następuje zgodnie z zasadą proporcjonalności.

Naczelny Sąd Administracyjny zważył, co następuje:

Skarga kasacyjna nie zawiera usprawiedliwionych podstaw.

Prawo do ochrony danych osobowych jest prawem chronionym konstytucyjnie, w szczególności w art. 47 i 51 Konstytucji RP, oraz na podstawie przepisów u.o.d.o., które określają zasady tej ochrony, jak i sytuacje, w których dopuszczalne jest jego ograniczenie.

Zgodnie z art. 1 ust. 1 u.o.d.o. każdy ma prawo do ochrony dotyczących go danych osobowych. W myśl zaś ust. 2 powołanego artykułu, przetwarzanie danych osobowych może mieć miejsce ze względu na dobro publiczne, dobro osoby, której dane dotyczą, lub dobro osób trzecich w zakresie i trybie określonym ustawą.

Prawo do ochrony danych osobowych nie jest zatem prawem absolutnym i ulega ograniczeniu z uwagi na inne dobra konstytucyjnie chronione. Jak słusznie wskazał Sąd I instancji, kryteria ważenia kolidujących ze sobą powyższych wartości konstytucyjnych podlegają ocenie z punktu widzenia mechanizmu proporcjonalności. Stosownie bowiem do art. 31 ust. 3 Konstytucji RP, ograniczenia w zakresie korzystania z konstytucyjnych wolności i praw mogą być ustanawiane tylko w ustawie i tylko wtedy, gdy są konieczne w demokratycznym Państwie dla jego bezpieczeństwa lub porządku publicznego, bądź dla ochrony środowiska, zdrowia i moralności publicznej, albo wolności i praw innych osób. Ograniczenia te nie mogą naruszać istoty wolności i praw.

W rozpoznawanej sprawie dokonując oceny legalności przetwarzania danych osobowych B. G. w Krajowym Systemie Informacyjnym Policji, należało zatem uwzględnić nie tylko jego prawo do ochrony dotyczących go danych, ale także wynikające z art. 31 ust. 3 Konstytucji RP ograniczenia tego prawa, służące zapewnieniu bezpieczeństwa i porządku publicznego, który to obowiązek, zgodnie z art. 1 ust. 2 pkt 2 ustawy o Policji, spoczywa na organach Policji.

Zgodnie z art. 23 ust. 1 pkt 2 u.o.d.o., przetwarzanie danych jest dopuszczalne tylko wtedy, gdy jest to niezbędne dla zrealizowania uprawnienia lub spełnienia obowiązku wynikającego z przepisu prawa.

Aktem regulującym przetwarzanie danych osobowych przez organy Policji jest ustawa o Policji. Zgodnie z art. 20 ust. 1 tej ustawy, Policja, z zachowaniem ograniczeń wynikających z art. 19, może uzyskiwać informacje, w tym także niejawnie, gromadzić je, sprawdzać oraz przetwarzać. Stosownie do art. 20 ust. 2a ustawy o Policji, Policja może pobierać, uzyskiwać, gromadzić, przetwarzać i wykorzystywać w celu realizacji zadań ustawowych informacje, w tym dane osobowe, o osobach podejrzanych o popełnienie przestępstw ściganych z oskarżenia publicznego, nieletnich dopuszczających się czynów zabronionych przez ustawę jako przestępstwa ścigane z oskarżenia publicznego, osobach o nieustalonej tożsamości lub usiłujących ukryć swoją tożsamość oraz o osobach poszukiwanych, także bez ich wiedzy i zgody. Jak stanowi ust. 17 ww. artykułu, dane osobowe zebrane w celu wykrycia przestępstwa przechowuje się przez okres niezbędny do realizacji ustawowych zadań Policji. Organy Policji dokonują weryfikacji tych danych po zakończeniu sprawy, w ramach której dane te zostały wprowadzone do zbioru, a ponadto nie rzadziej niż co 10 lat od dnia uzyskania lub pobrania informacji, usuwając zbędne dane.

W wykonaniu delegacji ustawowej zawartej w art. 20 ust. 19 ustawy o Policji zostało wydane rozporządzenie Ministra Spraw Wewnętrznych z dnia 31 grudnia 2012 r. w sprawie przetwarzania informacji przez Policję (obowiązujące w dacie wydania zaskarżonej decyzji), dalej rozporządzenie. Zgodnie z § 1 rozporządzenia, określa ono: tryb gromadzenia oraz sposoby przetwarzania w zbiorach danych informacji, w tym danych osobowych, o: osobach podejrzanych o popełnienie przestępstw ściganych z oskarżenia publicznego, nieletnich dopuszczających się czynów zabronionych przez ustawę jako przestępstwa ścigane z oskarżenia publicznego, osobach o nieustalonej tożsamości lub usiłujących ukryć swoją tożsamość, osobach poszukiwanych ukrywających się przed organami ścigania lub wymiaru sprawiedliwości, osobach poszukiwanych uznanych za zaginione (pkt 1 lit. a-e); tryb gromadzenia oraz sposoby przetwarzania w zbiorach danych informacji, w tym danych osobowych uzyskanych lub przetwarzanych przez organy innych państw lub przez Międzynarodową Organizację Policji Kryminalnych – INTERPOL (pkt 2); tryb gromadzenia i sposoby przetwarzania w zbiorach danych informacji, w tym danych osobowych, określonych w pkt 1 przekazywanych organom innych państw lub Międzynarodowej Organizacji Policji Kryminalnych – INTERPOL w celu zapobiegania przestępczości i jej zwalczania (pkt 3); rodzaje służb policyjnych uprawnionych do korzystania ze zbiorów danych prowadzonych przez Policję lub zbiorów danych udostępnionych Policji (pkt 4); wzory dokumentów obowiązujących przy przetwarzaniu danych (pkt 5); sposób oceny danych pod kątem ich przydatności w prowadzonych sprawach (pkt 6).

Stosownie do § 32 ust. 1 rozporządzenia, dane osobowe zgromadzone w celu wykrycia przestępstwa podlegają systematycznej weryfikacji przez organy Policji zgodnie z art. 20 ust. 17 ustawy o Policji. W myśl § 32 ust. 2 rozporządzenia, przy weryfikacji danych osobowych pod kątem ich przydatności w prowadzonych postępowaniach uwzględnia się: rodzaj i charakter popełnionego czynu wyczerpującego znamiona przestępstwa (pkt 1); rodzaj i charakter dobra chronionego prawem naruszonego popełnionym przestępstwem (pkt 2); formy sprawstwa i umyślności jego popełnienia (pkt 3); postaci zamiaru i skutki czynu, w tym rodzaj i rozmiar wyrządzonej lub grożącej szkody (pkt 4); zagrożenie sankcją karną za popełnione przestępstwo (pkt 5); liczbę popełnionych przestępstw (pkt 6); czas, jaki upłynął od momentu wprowadzenia informacji do zbioru danych do momentu dokonywania weryfikacji (pkt 7); inne informacje zgromadzone o osobie (pkt 8); legalność uzyskania, pobrania lub zgromadzenia informacji oraz prawdziwość tych informacji (pkt 9); istnienie przesłanek legalności oraz niezbędności dalszego przetwarzania informacji do wykonania zadań ustawowych Policji (pkt 10); wystąpienie okoliczności określonych w art. 20 ust. 17b i 18 ustawy o Policji (pkt 11).

Z powołanych wyżej przepisów wynika, że organy Policji są uprawnione do przetwarzania danych osób również po zakończeniu prowadzonych przez nie postępowań, nie wyłączając danych osób, w stosunku do których skazanie uległo zatarciu. Podkreślenia wymaga, że to organy Policji dokonują oceny przydatności zebranych informacji. Nie można zgodzić się ze skarżącym kasacyjnie, że ww. przepisy nie określają kryteriów uznania danych za zbędne, czy niezbędne dla realizacji ustawowych zadań wykonywanych przez Policję, a Policja może przetwarzać dane osobowe bez wiedzy i zgody osoby, której dane dotyczą przez nieograniczony okres. Należy bowiem zauważyć, że ocena organów Policji w tym zakresie podlega kontroli Generalnego Inspektora Ochrony Danych Osobowych i sądu administracyjnego. Weryfikacja danych w Krajowym Systemie Informacyjnym Policji przez organy Policji odbywa się przy tym nie rzadziej niż co 10 lat od dnia uzyskania lub pobrania informacji, przy uwzględnieniu okoliczności, o których mowa w § 32 ust. 2 rozporządzenia.

Mając na względzie, że zapewnienie bezpieczeństwa i porządku publicznego jest ustawowym obowiązkiem nałożonym na organy Policji (art. 1 ust. 2 ustawy o Policji), stwierdzić należy, że wypełnia ono przesłankę niezbędności przetwarzania danych osobowych w Krajowym Systemie Informacyjnym Policji dla spełnienia obowiązku wynikającego z przepisu prawa, o której mowa w art. 23 ust. 1 pkt 2 u.o.d.o. Badając uprawnienia organów Policji do przetwarzania danych zawartych w Krajowym Systemie Informacyjnym Policji, stwierdzić należy, że takie działanie, jakkolwiek ogranicza prawo do ochrony danych osoby, wobec której nastąpiło zatarcie skazania, to jednak służyć ma zapewnieniu bezpieczeństwa i porządku publicznego, a więc interesowi Państwa, co jest dopuszczalne w świetle art. 31 ust. 3 Konstytucji RP. Przetwarzanie danych zawartych w Krajowym Systemie Informacyjnym Policji przez okres, w jakim informacje te są organom Policji potrzebne, pozostaje zatem w proporcji do celu, który organy te realizują w związku z koniecznością zapewnienia porządku publicznego oraz bezpieczeństwa obywateli. Podkreślenia natomiast wymaga, że kwestia, które dobra konstytucyjne będą miały pierwszeństwo przy dokonywaniu oceny legalności przetwarzania danych osobowych w Krajowym Systemie Informacyjnym Policji, winna być badana indywidualnie na gruncie konkretnej sprawy.

Takie też stanowisko zaprezentował Sąd I instancji i wbrew twierdzeniom skargi kasacyjnej, Sąd ten nie wyraził generalnego poglądu, że uregulowane w ustawie o Policji zasady przetwarzania danych osobowych mają zastosowanie przed przepisami ustawy o ochronie danych osobowych. Sąd uznał, że oceniając zasadność nakazania usunięcia danych osobowych zainteresowanego z Krajowego Systemu Informacyjnego Policji należy uwzględnić także uwarunkowania wynikające z innych regulacji prawnych funkcjonujących w systemie prawa, a nie tylko z ustawy o ochronie danych osobowych. W ocenie Sądu I instancji przepisy art. 20 ust. 1, ust. 2a i 2b w związku z art. 20 ust. 17 ustawy o Policji służą realizacji ustawowych zadań Policji, w tym zapewnieniu bezpieczeństwa i porządku publicznego, co stanowi określoną w art. 23 ust. 1 pkt 2 u.o.d.o. przesłankę niezbędności przetwarzania danych osobowych dla zrealizowania obowiązku określonego w ustawie. Sąd wziął pod uwagę przepisy u.o.d.o. i określone w nich dopuszczalne ograniczenia prawa do ochrony danych osobowych, a także wskazał na konieczność uwzględnienia konstytucyjnej zasady proporcjonalności, i uznał, że na gruncie niniejszej sprawy ograniczenie wolności obywatelskich nie narusza konstytucyjnej hierarchii dóbr. Ze stanowiska wyrażonego przez Sąd I instancji nie wynika zatem, że przepisy u.o.d.o. nie mają zastosowania przy dokonywaniu oceny legalności przetwarzania danych osobowych przez Policję, lecz, że do oceny takich działań należy stosować również przepisy ustawy o Policji, dokonując oceny hierarchii dóbr, jakie podlegają ochronie na podstawie obu tych ustaw. Nie można więc podzielić stanowiska skarżącego kasacyjnie, że stanowisko Sądu I instancji prowadzi do uznania, że przepisy u.o.d.o. nie będą miały zastosowania do oceny legalności przetwarzania danych osobowych w Krajowym Systemie Informacyjnym Policji. Niezasadny jest zatem zarzut podniesiony w pkt I. a skargi kasacyjnej.

Wobec powyższego, nieusprawiedliwiony jest również zarzut zawarty w pkt I. b skargi kasacyjnej. Sąd nie wyraził przy tym poglądu, że przy dokonywaniu oceny legalności przetwarzania danych osobowych nie mają zastosowania przepisy ustawy o ochronie danych osobowych, gdyż kwestię tę regulują przepisy rozdziału 6 rozporządzenia Ministra Spraw Wewnętrznych z dnia 31 grudnia 2012 r. w sprawie przetwarzania informacji przez Policję. W uzasadnieniu zaskarżonego wyroku Sąd nie odwoływał się do przepisów rozdziału 6 rozporządzenia.

Mając na uwadze powyższe rozważania, stwierdzić należy, że dokonana przez Sąd I instancji wykładnia przepisów art. 23 ust. 1 pkt 2 u.o.d.o., art. 20 ust. 1, ust. 2a, ust. 17 ustawy o Policji, przy uwzględnieniu zasady proporcjonalności wyrażonej w art. 31 ust. 3 Konstytucji RP zasługuje w pełni na aprobatę. W niniejszej sprawie przetwarzanie danych osobowych B. G. znajduje oparcie w przepisach prawa, a biorąc pod uwagę ustawowy okres, w jakim ma następować weryfikacja przez organy Policji przetwarzanych danych, stwierdzić należy, że nakazanie ich usunięcia przez GIODO nie miało usprawiedliwionych podstaw.

Ponadto, wbrew twierdzeniom skarżącego kasacyjnie organu, zasadnie stwierdził Sąd I instancji, że decyzja drugoinstancyjna została wydana z naruszeniem zakazu reformationis in peius, określonego w art. 139 k.p.a., gdyż GIODO rozszerzył zakres uprzednio wydanego rozstrzygnięcia, nakazując usunięcie także innych danych niż określone w art. 20 ust. 2b pkt 2-5 ustawy o Policji.

Mając powyższe na względzie, Naczelny Sąd Administracyjny orzekł jak w sentencji wyroku, na podstawie art. 184 p.p.s.a.