Centralna Baza Orzeczeń Sądów Administracyjnych

Wojewódzki Sąd Administracyjny w Warszawie w składzie następującym: Przewodniczący Sędzia WSA Sławomir Antoniuk (spr.) Sędziowie WSA Janusz Walawski Adam Lipiński Protokolant starszy sekretarz sądowy Dorota Kwiatkowska po rozpoznaniu na rozprawie w dniu 5 maja 2015 r. sprawy ze skargi Komendanta [...] na decyzję Generalnego Inspektora Ochrony Danych Osobowych z dnia [...] lipca 2014 r. nr [...] w przedmiocie nakazania usunięcia uchybień w procesie przetwarzania danych osobowych 1. uchyla zaskarżoną decyzję oraz decyzję Generalnego Inspektora Ochrony Danych Osobowych z dnia [...] listopada 2012 r. nr [...]; 2. stwierdza, że zaskarżona decyzja nie podlega wykonaniu w całości; 3. zasądza od Generalnego Inspektora Ochrony Danych Osobowych na rzecz Komendanta [...] kwotę 200 (słownie: dwieście) złotych, tytułem zwrotu kosztów postępowania.

Generalny Inspektor Ochrony Danych Osobowych decyzją z dnia [...] lipca 2014 r. nr [...] , wydaną na podstawie art. 138 1 pkt 1 k.p.a. oraz art. 12 pkt 2, art. 18 ust. 1 pkt 6, art. 22 w zw. z art. 23 ust 1 pkt 2, art. 26 ust. 1 pkt 4, art. 27 ust. 2 pkt 2 ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (Dz. U. z 2002 r. Nr 101, poz. 926 ze zm.) i w zw. z art. 20 ust. 1, 2a, 2b ustawy z dnia 6 kwietnia 1990 r. o Policji (Dz. U. z 2011 r. Nr 287, poz. 1687 ze zm.), utrzymał w mocy własną decyzję z dnia [...] listopada 2012 r. nr [...] nakazującą Komendantowi Głównemu Policji usunięcie danych osobowych P. S. z Krajowego Systemu Informacyjnego Policji (dalej jako KSIP).

W uzasadnieniu powyższej decyzji Generalny Inspektor Ochrony Danych Osobowych wskazał, iż do jego Biura wpłynął wniosek P. S. o wydanie decyzji administracyjnej nakazującej Komendantowi Głównemu Policji usunięcie jego danych osobowych z KSIP. Wnioskodawca podniósł, iż minęło już wystarczająco dużo czasu od zatarcia skazania, które nastąpił wyrokiem w sprawie o sygn. akt [...] i nic nie stoi na przeszkodzie, aby mogło dojść do wymazania jego danych z policyjnej bazy KSIP. Pragnie on bowiem korzystać z prawnych skutków tej instytucji pozostając osobą nigdy niekaraną w świetle prawa.

Generalny Inspektor Ochrony Danych Osobowych wszczął postępowanie wyjaśniające, w którego toku ustalił, iż:

1. W 2005 r. wobec skarżącego prowadzone było postępowanie karne w sprawie czynu wypełniającego znamiona przestępstwa określonego w art. 224 § 2 k.k., które zakończyło się wydaniem wyroku skazującego. Aktualnie nastąpiło zatarcie przedmiotowego skazania.

2. W związku z prowadzeniem przez Policję przedmiotowego postępowania dane skarżącego w zakresie danych wskazanych w art. 20 ust. 2b ustawy o Policji, zostały umieszczone w KSIP na podstawie art. 20 ust. 2a ustawy o Policji oraz rozporządzenia Ministra Spraw Wewnętrznych i Administracji z dnia 5 września 2007 r. w sprawie przetwarzania przez Policję informacji o osobach (Dz. U. z 2007 r. Nr 170, poz. 1203).

3. Skarżący pismem z dnia 21 maja 2012 r. oraz z dnia 5 czerwca 2012 r. zwracał się do Komendanta Głównego Policji w celu usunięcia jego danych osobowych z KSIP. W odpowiedzi na powyższe Komendant dwukrotnie odmówił skarżącemu usunięcia jego danych osobowych przetwarzanych w KSIP.

4. W wyjaśnieniach złożonych w toku niniejszego postępowania, Komendant wskazał, iż dane osobowe skarżącego przetwarzane są w oparciu o powszechnie obowiązujące przepisy ustawy o Policji oraz wydanego na jej podstawie rozporządzenia w sprawie przetwarzania przez Policję informacji o osobach. Dodatkowo podniósł, że skarżącemu przedstawiono zarzuty popełnienia czynu zabronionego z art. 224 § 2 k.k., którego dyspozycja dotyczy przestępstwa umyślnego, popełnionego z zamiarem bezpośrednim. Czyn ten został popełniony 7 lat temu, co zdaniem Komendanta "bez żadnej wątpliwości uzasadnia przyjęcie stanowiska, że istnieje (nie można wykluczyć) możliwości popełnienia takiego czynu zabronionego (...) wydaje się, iż kolejna weryfikacja tych danych, przeprowadzona na podstawie art. 20 ust. 17 ustawy o Policji, przy jednoczesnej pożądanej postawie skarżącego z punktu widzenia norm karnych (...) i związany z tym upływ czasu pozwoli wykluczyć możliwość popełnienia w przyszłości przez skarżącego czynu zabronionego". Aktualnie dane osobowe skarżącego przetwarzane są w KSIP na podstawie art. 20 ust. 2a ustawy o Policji w zw. z art. 20 ust. 17 tejże ustawy. Organy Policji dokonują weryfikacji tych danych po zakończeniu sprawy, w ramach której dane te zostały wprowadzone do zbioru, a ponadto nie rzadziej niż co 10 lat od dnia uzyskania lub pobrania informacji, usuwając zbędne dane.

Na podstawie tak ustalonego stanu faktycznego Generalny Inspektor w dniu [...] listopada 2012 r. wydał decyzję administracyjną, mocą której nakazał Komendantowi Głównemu Policji usunięcie uchybień w procesie przetwarzania danych osobowych skarżącego poprzez usunięcie jego danych osobowych z KSIP w zakresie danych wskazanych w art. 20 ust. 2b ustawy o Policji, wprowadzonych do tego zbioru w ramach postępowania karnego prowadzonego w sprawie popełnionego w 2005 r. przez skarżącego czynu wypełniającego znamiona przestępstwa określonego w art. 224 § 2 k.k.

Od tej decyzji Komendant Główny Policji złożył wniosek o ponowne rozpatrzenie stawy, w którym organ Policji zarzucił kwestionowanej decyzji naruszenia prawa materialnego, tj. art. 20 ust. 2a i ust. 17 ustawy o Policji oraz przepisów postępowania określonych w art. 7, 8 i 11 k.p.a. oraz wniósł o uchylenie zaskarżonej decyzji i uznanie, iż zgodnie z prawem przetwarza dane osobowe skarżącego.

Z uwagi na konieczność ustalenia aktualnego stanu faktycznego sprawy - związaną z uchyleniem przez Wojewódzki Sąd Administracyjny w Warszawie wyrokiem z dnia 10 października 2013 r. sygn. II SA/Wa 950/13) postanowienia Generalnego Inspektora stwierdzającego niedopuszczalność wniosku o ponowne rozpatrzenie sprawy - Generalny Inspektor wystąpił do Komendanta Głównego Policji o dodatkowe wyjaśnienia w sprawie. Komendant w piśmie z dnia 18 lutego 2014 r. poinformował, że szczegółowe wyjaśnienia w sprawie skarżącego zostały złożone w postępowaniu zakończonym wydaniem decyzji z dnia [...] listopada 2012 r., oraz że od tego momentu stan faktyczny i prawny sprawy w zakresie objętym wnioskiem Generalnego Inspektora nie uległ zmianie.

Po ponownym zapoznaniu się z całością materiału zgromadzonego w sprawie i przeanalizowaniu zarzutów wniosku o ponowne rozpatrzenie sprawy, Generalny Inspektor stwierdził brak podstaw do jego uwzględnienia i rozstrzygnięciem z dnia [...] lipca 2014 r. utrzymał zaskarżoną decyzję w mocy. W motywach rozstrzygnięcia organ przywołał treść art. 51 ust. 1 Konstytucji RP, art. 7 pkt 2, art. 23 i art. 27 ustawa o ochronie danych osobowych (Dz. U. z 2002 r. Nr 101, poz. 926 ze zm.) oraz podniósł, iż w świetle tych przepisów przetwarzanie danych osobowych może być uznane za zgodne z prawem jedynie wówczas, gdy administrator danych wykaże spełnienie co najmniej jednej z materialnych przesłanek ich przetwarzania, które zostały enumeratywnie wymienione w art. 23 (w przypadku danych zwykłych) i art. 27 ustawy (w przypadku danych sensytywnych). Obowiązkiem zaś administratora danych - wynikającym z art. 26 ust. 1 pkt 4 powołanej ustawy - jest dołożenie szczególnej staranności w celu ochrony interesów osób, których dane dotyczą, a w szczególności administrator obowiązany jest zapewnić, aby dane te były przechowywane w postaci umożliwiającej identyfikację osób których dane dotyczą, nie dłużej niż jest to niezbędne do osiągnięcia celu przetwarzania. Oznacza to, że "nawet wówczas, gdy określone dane odpowiadają celowi, w którym są zbierane i do tego celu adekwatne, to nie wynika z tego, iż mogą być one przetwarzane, w tym też udostępniane innym podmiotom, a czasowym wyznacznikiem jest tu osiągnięcie zamierzonego celu przetwarzania. Na administratorze danych ciąży więc obowiązek rozważenia celowości ustanowienia okresu ich udostępniania oraz weryfikowania okresu, w którym udostępniane są dane osobowe, a po jego upływie niezwłocznego ich usuwania.

Organ ochrony danych osobowych podkreślił, iż w dziedzinie przetwarzania różnego rodzaju informacji, w tym danych osobowych, funkcja Policji jest szczególna, bowiem zbiera ona takie informacje, które podlegają szczególnemu reżimowi ich przetwarzania. Znajduje to wyraz w art. 20 ustawy o Policji, na podstawie którego (ust. 1) Policja, z zachowaniem ograniczeń wynikających z art. 19, może uzyskiwać informacje, w tym także niejawnie, gromadzić je, sprawdzać oraz przetwarzać, (ust. 2a — w aktualnym brzmieniu) Policja może pobierać, uzyskiwać, gromadzić, przetwarzać i wykorzystywać w celu realizacji zadań ustawowych informacje, w tym dane osobowe, o osobach wymienionych w pkt 1 – 7 tego ustępu, także bez ich wiedzy i zgody. Zakres przetwarzania przedmiotowych informacji określa ust. 2a – 2b. Zgodnie zaś z art. 20 ust. 17 ustawy o Policji, dane osobowe zebrane w celu wykrycia przestępstwa przechowuje się przez okres niezbędny do realizacji ustawowych zadań Policji. Organy Policji dokonują weryfikacji tych danych po zakończeniu sprawy, w ramach której dane te zostały wprowadzone do zbioru, a ponadto nie rzadziej niż co 10 lat od dnia uzyskania lub pobrania informacji, usuwając zbędne dane. Organ przywołał także § 32 obowiązującego w dacie orzekania rozporządzenia Ministra Spraw Wewnętrznych z dnia 31 grudnia 2012 r. w sprawie przetwarzania informacji przez Policję, określającego kryteria weryfikacji danych osobowych zgromadzonych w celu wykrycia przestępstwa.

Po przeanalizowaniu powyższych uregulowań prawnych Generalny Inspektor Ochrony Danych Osobowych doszedł do wniosku, iż przepisy ustawy o Policji są na tyle ogólne, że pozwalają Policji na zakwalifikowanie wszystkich zebranych przez nią danych osobowych, periodycznie co 10 lat, jako niezbędnych dla realizacji jej zadań. Natomiast żaden z przepisów ustawy o Policji nie zawiera nawet ogólnych kryteriów dla sformułowania "zbędnych danych" czy "danych niezbędnych dla realizacji ustawowych zadań wykonywanych przez Policję". Z powyższego można wnioskować, że Policja może przetwarzać dane osobowe bez wiedzy i zgody osoby, której dane dotyczą, przez nieograniczony okres. W ocenie Generalnego Inspektora zakres ogólności tych przepisów jest na tyle duży, że nie można uznać, że stanowią one lex specialis w stosunku do ustawy o ochronie danych osobowych. Natomiast przepisy ww. rozporządzenia z dnia 31 grudnia 2012 r., pomimo że zawierają już szczegółowe kryteria weryfikacji danych osobowych przetwarzanych w KSIP, to z racji tego, że są to przepisy aktu prawnego niższego rzędu aniżeli ustawa, również nie mogą stanowić lex specialis w stosunku do ustawy o ochronie danych osobowych.

Zdaniem Generalnego Inspektora, zastosowanie w kwestii przetwarzania danych osobowych w KSIP będą miały przepisy ustawy o ochronie danych osobowych, które również będą musiały być stosowane przez Policję przy ocenie każdego przypadku żądania usunięcia danych z KSIP. Wynika to choćby z art. 3 ust. 1 tej ustawy, według którego ustawę stosuje się do organów państwowych, organów samorządu terytorialnego oraz do państwowych i komunalnych jednostek organizacyjnych. Niezasadny stał się zatem podniesiony przez Komendanta Głównego Policji zarzut naruszenia prawa materialnego poprzez odstąpienie od zastosowania - jako przepisów szczególnych - art. 20 ust. 17 w zw. z ust. 2a ustawy o Policji i przyjęcie za podstawę rozstrzygnięcia art. 23 ust. 1 pkt 2 i art. 26 ust. 1 ustawy.

Generalny Inspektor Ochrony Danych Osobowych wskazał także, iż w myśl art. 5 ustawy o ochronie danych osobowych, jeżeli przepisy odrębnych ustaw, które odnoszą się do przetwarzania danych, przewidują dalej idącą ich ochronę, niż wynika to z niniejszej ustawy, stosuje się przepisy tych ustaw. Przepisy ustawy o Policji stanowią podstawę prawną do przetwarzania przez Policję danych osobowych w KSIP, lecz nie przewidują dalej idącej ich ochrony niż ww. ustawa. Ustawa o Policji określa w istocie jedynie wewnętrzne zasady, które stworzone są tylko dla potrzeb Policji. Przepisy te eliminują konstytucyjnie chronione prawa obywatelskie w zakresie ochrony danych osobowych (w tym ich usuwania), bowiem nie odnoszą się do uprawnień jednostki, ani nie dają jej możliwości wystąpienia z wnioskiem o usunięcie jej danych osobowych.

W ocenie Generalnego Inspektora, dla realizacji celu, jakim jest stanie przez Policję na straży bezpieczeństwa i porządku publicznego, zbędne jest przetwarzanie danych tych osób, co do których od popełnienia przez nie przestępstwa upłynął długi okres czasu pozwalający nawet na zatarcie dotyczącego ich skazania, a jednocześnie nie ma na ich temat żadnych innych informacji wskazujących na to, że ponownie weszły w konflikt z prawem. Z taką zaś sytuacją mamy do czynienia w przypadku wnioskodawcy. Cel w jakim dane są przetwarzane, kształtuje okres, po upływie którego nie powinny one być przetwarzane. Odnosząc się zatem do celu przetwarzania danych osobowych w KSIP, jakim jest realizacja ustawowych zadań Policji określonych w art. 1 ust. 2 ustawy o Policji, w tym m.in. ochrona życia i zdrowia ludzi oraz mienia przed bezprawnymi zamachami naruszającymi te dobra (pkt 1), ochrona bezpieczeństwa i porządku publicznego (pkt 2), inicjowanie i organizowanie działań mających na celu zapobieganie popełnianiu przestępstw i wykroczeń oraz zjawiskom kryminogennym i współdziałanie w tym zakresie z organami państwowymi, samorządowymi i organizacjami społecznymi (pkt 3) oraz wykrywanie przestępstw i wykroczeń oraz ściganie ich sprawców (pkt 4), organ podkreślił, że chociaż dane osobowe P. S. zostały pozyskane i wprowadzone do zbioru KSIP w związku z prowadzonym postępowaniem karnym, to brak jest informacji aby od tamtego czasu doszło do postawienia mu innego zarzutu o charakterze prawnokarnym. Wobec powyższego zbędne jest przetwarzanie w KSIP danych osobowych w zakresie informacji o popełnionym w przeszłości przez wymienionego czynie, w sytuacji gdy nawet w świetle zasad wyznaczonych przepisami Kodeksu karnego jest już on osobą niekaraną.

Nadto, zdaniem Generalnego Inspektora, przetwarzanie przez Komendanta Głównego Policji danych osobowych skarżącego w zakresie danych wskazanych w art. 20 ust. 2b ustawy o Policji odbywa się z naruszeniem art. 26 ust. 1 pkt 4 ustawy o ochronie danych osobowych i niezbędne stało się nakazanie, na podstawie art. 18 ust. 1 ustawy o ochronie danych osobowych, przywrócenia stanu zgodnego z prawem z tym zakresie.

Odnosząc się do podniesionego we wniosku o ponowne rozpatrzenie sprawy zarzutu nieuwzględnienia faktu dokonania weryfikacji informacji dotyczących skarżącego przez Komendanta Głównego Policji pod kątem usunięcia danych uznanych za zbędne dla realizacji ustawowych zadań Policji w następstwie złożonego wniosku o usunięcie danych osobowych, organ wskazał, że fakt dokonania takiej weryfikacji, czy też jej negatywny wynik, nie jest istotny dla rozstrzygnięcia sprawy. Generalny Inspektor oceniając dopuszczalność przetwarzania danych osobowych nie jest bowiem związany ocenami dokonywanymi w tej kwestii przez administratorów danych. Za chybione organ uznał także pozostałe zarzuty, w tym zarzut mówiący o niedostatecznym wyjaśnieniu faktu i sposobu naruszenia przepisów o ochronie danych osobowych przez Komendanta Głównego Policji. Bowiem, w ocenie organu, w kompleksowy sposób wyjaśniono w zaskarżonej decyzji na czym polega naruszenie przepisów ustawy przez tego Komendanta.

Decyzja Generalnego Inspektora Ochrony Danych Osobowych z dnia [...] lipca 2014 r. stała się przedmiotem skargi wniesionej przez Komendanta Głównego Policji do Wojewódzkiego Sądu Administracyjnego w Warszawie. W skardze wymieniony Komendant zarzucił zaskarżonej decyzji naruszenie prawa materialnego, tj.:

1) art. 20 ust. 1, 2a, 2b, 17 I 17b ustawy o Policji - mające istotny wpływ na wynik sprawy, poprzez odstąpienie od zastosowania jako przepisów szczególnych art. 20 ust. 1, 2a, 2b, 17 i 17b ustawy o Policji i przyjęcie za podstawę rozstrzygnięcia art. 23 ust. 1 pkt 2, art. 26 ust. 1 pkt 4 i art. 27 ust. 2 pkt 2 ustawy o ochronie danych osobowych, w wyniku czego organ nakazał Komendantowi Głównemu Policji usunięcie uchybień w procesie przetwarzania danych osobowych P. S. z KSIP poprzez usunięcie jego danych osobowych w zakresie danych wskazanych w art. 20 ust. 2b ustawy o Policji wprowadzonych do tego zbioru w ramach postępowania karnego prowadzonego w sprawie popełnionego przez P. S. czynu wypełniającego znamiona przestępstwa określonego w art. 224 § 2 k.k.;

2) art. 20 ust. 2a i 2b oraz ust. 17 i 17b ustawy o Policji i art. 26 ust. 1 ustawy o ochronie danych osobowych - mające istotny wpływ na wynik sprawy, poprzez błędną wykładnię i niewłaściwe odczytanie treści normy prawnej, tj. dokonanie wykładni wykraczającej poza normy wynikające z tych przepisów i przyjęcie terminu 7 lat oraz faktu zatarcia skazania jako okresu, w którym Policja może przetwarzać dane osobowe o osobach podejrzanych o popełnienie przestępstw oraz uznanie przez organ ochrony danych osobowych, iż termin 7 lat przechowywania danych i zatarcie skazania stanowią podstawę usunięcia danych z KSIP, pomimo iż ustawa o Policji nie wskazuje tych okoliczności jako podstaw usuwania danych nakładając na Policję obowiązek regularnej, okresowej weryfikacji, z częstotliwością nie rzadziej niż raz na 10 lat i dokonywania oceny niezbędności danych do realizacji ustawowych zadań Policji;

Podniósł także zarzut naruszenia przepisów postępowania, które miały wpływ na wynik sprawy, tj. art. 6, 7, 8, 11 i art. 107 § 3 k.p.a., poprzez:

1) nieuwzględnienie w sprawie faktu dokonania weryfikacji informacji dotyczących wnioskodawcy przez Komendanta Głównego Policji pod kątem usunięcia danych uznanych za zbędne dla realizacji ustawowych zadań Policji w następstwie złożonego wniosku o usunięcie danych osobowych,

2) brak uzasadnienia faktycznego i prawnego decyzji w zakresie wyjaśnienia przesłanek podjętego rozstrzygnięcia nakazującego usunięcie danych osobowych P. S. z KSIP w zakresie danych wskazanych w art. 20 ust. 2b ustawy o Policji, podczas gdy dane osobowe P. S., w tym imię i nazwisko wraz z informacją o postawionych P. S.zarzutach popełnienia przestępstwa z art. 224 § 2 k.k. nie wchodzą w zakres katalogu informacji określonych w art. 20 ust. 2b ustawy o Policji,

3) brak wyjaśnienia przez organ przesłanek podjęcia decyzji nakazującej usunięcie danych osobowych P. S. z KSIP w zakresie danych wskazanych w art. 20 ust. 2b ustawy o Policji bez ustalenia, czy dane skarżącego wymienione w tym przepisie Policja przetwarza, bez wyjaśnienia powodów usunięcia tych właśnie danych dodatkowych, a pozostawienia informacji o prowadzonym postępowaniu karnym przeciwko P. S. o przestępstwo z art. 224 § 2 k.k. przetwarzanych na podstawie i w zakresie określonym art. 20 ust. 1 i 2a ustawy o Policji oraz bez uzasadnienia faktycznego i prawnego powodów usunięcia tych właśnie danych z art. 20 ust. 2b ustawy o Policji (gromadzonych fakultatywnie) podczas gdy informacje, w tym dane osobowe o osobach podejrzanych o popełnienie przestępstwa ściganego z oskarżenia publicznego Policja przetwarza na podstawie art. 20 ust. 1 i 2a ustawy o Policji i w zakresie określonym w tych przepisach a dodatkowa w art. 20 ust. 2b ustawy o Policji,

4) brak wyjaśnienia w toku postępowania faktu i sposobu naruszenia przepisów o ochronie danych osobowych przez Komendanta Głównego Policji, a także niewykazanie stopnia tego naruszenia skutkującego nakazem usunięcia danych osobowych P. S. z KSIP w zakresie danych osobowych wprowadzonych do tego zbioru w związku z postępowaniem karnym o czyn z art. 224 § 2 k.k., a jedynie ogólnikowe przytoczenie przez organ przepisów o ochronie danych osobowych bez faktycznego wykazania, iż Komendant Główny Policji narusza przepisy o ochronie danych osobowych w procesie przetwarzania danych osobowych P. S. przechowując te dane na podstawie art. 20 ust. 17 ustawy o Policji przez 7 lat, przy istniejącym obowiązku wykonywania weryfikacji danych przez organy Policji w zakresie niezbędności do realizacji zadań Policji nie rzadziej, niż co 10 lat.

Z podanych powodów Komendant Główny Policji wniósł o uchylenie zaskarżonej decyzji w całości oraz uznanie, iż organ Policji zgodnie z prawem przetwarza dane osobowe P. S..

W uzasadnieniu skargi Komendant Główny Policji podniósł m.in., iż powołane przez organ ochrony danych osobowych w uzasadnieniu zaskarżonej decyzji przepisy ustawy o Policji i rozporządzenia wykonawczego potwierdzają, że tak co do zakresu przetwarzania danych osobowych jaki okresu ich przetwarzania, w szczególności zaś sposobu zasad gromadzenia, udostępniania i usuwania danych osobowych, ustawa o Policji stanowi Iex specjalis w stosunku do ustawy o ochronie danych osobowych i wyłącza stosowanie tej ustawy (w zakresie, w którym przewiduje odrębną regulację lex spacialis dero gat legi generali). Ponadto w "prawie europejskim" zasady przetwarzania danych osobowych w ramach działalności policyjnej są odmiennie uregulowane aniżeli zasady ogólne. Zgodnie z art. 3 ust. 2 dyrektywy nr 95/46/WE Parlamentu Europejskiego i Rady z dnia 24 października 1995 r. w sprawie ochrony osób fizycznych w zakresie przetwarzania danych osobowych oraz swobodnego przepływu tych danych (Dz. Urz. UE, Polskie wydanie specjalne - rozdz. 13, tom 015, str. 355), dyrektywa ta nie dotyczy przetwarzania danych osobowych związanego z bezpieczeństwem publicznym oraz z działalnością państwa w dziedzinach prawa karnego oraz ze współpracą policyjną i sądową w sprawach karnych (nasza ustawa o ochronie danych osobowych jest aktem normatywnym implementującym tę dyrektywę). Wynika stąd oczywisty wniosek, iż określenie zasad przetwarzania danych osobowych w ramach takiej działalności wchodzi w zakres autonomicznej regulacji przepisami prawa krajowego poszczególnych państw członkowskich UE. Jest to wyraźnie potwierdzone w pkt 5 motywów decyzji ramowej Rady 2008/977IWSiSW z dnia 27 listopada 2008 r. w sprawie ochrony danych osobowych przetwarzanych w ramach współpracy policyjnej i sądowej w sprawach karnych (D. Urz. UE L 350 z 30.12.2008, str. 60). W art. 4 ust. 2 tej decyzji ustala się, że dane osobowe usuwa się ze zbioru jeżeli "nie są już potrzebne w celach, do których zostały legalnie zgromadzone lub w których są legalnie dalej przetwarzane" i nie ma mowy o automatycznym usuwaniu po upływie jakiegoś okresu czasu, bardziej lub mniej arbitralnie określonego. W art. 5 owszem wymaga się, ustalenia odpowiednich terminów, ale alternatywnie: terminów usunięcia danych lub właśnie terminów okresowego przeglądu mającego na celu ustalenie potrzeby dalszego przechowywania.

Komendant Główny Policji podkreślił, iż oceniając regulacje z art. 20 ust. 17 ustawy o Policji zarówno z perspektywy określoności jak i proporcjonalności ingerencji w prawa i wolności jednostki, a zwłaszcza w prawo do autonomii informacyjnej, należy uwzględnić nie tylko brzmienie kwestionowanego przepisu, lecz także wszystkie inne regulacje o charakterze gwarancyjnym, które określają podstawy, zakres, granice i zasady weryfikacji zgromadzonych danych osobowych. Analiza art. 20 ust. 17 ustawy o Policji nie jest możliwa i zasadna bez uwzględnienia legalizmu przetwarzania przez Policję danych osobowych, a więc bez odwołania się do zagadnień dotyczących zakresu podmiotowego i przedmiotowego gromadzonych danych wyznaczonego przepisami art. 20 ust. 2a i 2b ustawy o Policji, bez wskazania przesłanek materialnych pobierania danych ujętych w art. 20 ust. 2a ustawy o Policji, okresowej weryfikacji zgromadzonych danych, obowiązku usuwania danych zbędnych dla realizacji zadań Policji, a także bez uwzględnienia przepisów określających przypadki usuwania danych (art. 20 ust. 17b ustawy o Policji) lub alternatywnie ich anonimizacji (art. 20 ust. 17a) oraz bez uwzględnienia ograniczeń ustawowych udostępniania danych wyłącznie na podstawie ustawy i w zakresie niezbędnym do wykonania określonego przepisem ustawy obowiązku lub wykonania uprawnienia ustawowego, jak również bez analizy zadań ustawowych Policji wyrażonych w art. 1 ust. 2 ustawy, czy też sposobów przetwarzania informacji, określonych w przepisach wykonawczych. Analiza taka nie jest również możliwa bez odniesienia się do orzecznictwa Trybunału Konstytucyjnego, w tym wyroku z dnia 12 grudnia 2005 r. sygn. akt K 32/04, ale także orzecznictwa sądów administracyjnych dotyczącego art. 20 ust. 17 ustawy o Policji w tym prawomocnych wyroków WSA w Warszawie z dnia 10 marca 2011 r. sygn. akt II SA/Wa 1885/10, z dnia 28 listopada 2011 r. sygn. akt II SA/Wa 978/11, z dnia 7 sierpnia 2013 r. sygn. akt II SA/Wa 2328/12 oraz wyroków NSA z dnia 19 grudnia 2011 r. sygn. akt I OSK 1100/11 i z dnia 22 marca 2013 r. sygn. akt I OSK 786/12, które to orzeczenia w procesie stosowania przepisów art. 20 ustawy o Policji traktują przepisy ustawy o Policji jako Iex spedalis względem przepisów ustawy o ochronie danych osobowych, uznając ustawowe uprawnienie Policji do dokonywania oceny danych, zgodnie z kryteriami określonymi w rozporządzeniu MSWiA z dnia 5 września 2007 r. w sprawie przetwarzania przez Policje informacji o osobach (obowiązującego w chwili wydania decyzji z dnia [...] listopada 2012 r.), a obecnie w rozporządzeniu MSW z dnia 31 grudnia 2012 r. w prawie przetwarzania informacji przez Policję.

W odpowiedzi na skargę Generalny Inspektor Ochrony Danych Osobowych wniósł o jej oddalenie oraz podtrzymał stanowisko przedstawione w uzasadnieniu zaskarżonej decyzji.

Wojewódzki Sąd Administracyjny w Warszawie zważył, co następuje:

Stosownie do treści art. 1 § 1 i 2 ustawy z dnia 25 lipca 2002 r. – Prawo o ustroju sądów administracyjnych (Dz. U. Nr 153, poz. 1269 ze zm.), sąd administracyjny sprawuje wymiar sprawiedliwości poprzez kontrolę pod względem zgodności z prawem zaskarżonej decyzji administracyjnej i to z przepisami obowiązującymi w dacie jej wydania. Innymi słowy, sąd administracyjny kontroluje legalność rozstrzygnięcia zapadłego w postępowaniu z punktu widzenia jego zgodności z prawem materialnym i obowiązującymi przepisami prawa procesowego.

Skarga analizowana pod tym kątem zasługuje na uwzględnienie.

Na wstępie należy zaznaczyć, iż ustawa z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (tekst jedn. Dz. U. z 2002 r. Nr 101, poz. 926 ze zm. – wg stanu na dzień wydania zaskarżonej decyzji) jest regulacją stwarzającą prawne podstawy stosowania ochrony państwowej w sytuacjach nielegalnego przetwarzania danych osobowych obywateli przez zarówno podmioty prawa publicznego, jak i podmioty prawa prywatnego, posługujące się ich danymi osobowymi. W celu realizacji tej ochrony organ ochrony danych osobowych został wyposażony w kompetencje władcze, umożliwiające mu sankcjonowanie stwierdzanych nieprawidłowości w procesie przetwarzania danych osobowych. Generalny Inspektor Ochrony Danych Osobowych może więc – w drodze decyzji administracyjnej – nakładać stosowne nakazy bądź zakazy, których zasadniczą rolą jest przywrócenie stanu zgodnego z prawem (art. 18 ust. 1 pkt 1).

Ocena stanu faktycznego sprawy dokonywana przez organ ochrony danych osobowych w tego rodzaju sprawach powinna odbywać się pod kątem przesłanek legalnego przetwarzania danych osobowych. Generalny Inspektor jest zobowiązany do rozstrzygania w kwestii ochrony danych osobowych, nie jest natomiast uprawniony do oceny innych zagadnień natury prawnej, jakie na gruncie sprawy mogą wystąpić, a które nie mają wymiaru ochrony danych osobowych. Organ ochrony danych osobowych, oceniając stan sprawy i dokonując subsumpcji, stwierdza, czy kwestionowane przetwarzanie danych osobowych znajduje oparcie choćby w jednej z legalnych podstaw przetwarzania danych osobowych i w zależności od występujących w sprawie ustaleń – albo wydaje nakaz lub zakaz, albo odmawia uwzględnienia wniosku, ewentualnie umarza postępowanie. Wydanie nakazu usunięcia uchybień w procesie przetwarzania danych osobowych następuje wówczas, gdy organ ochrony danych osobowych stwierdza naruszenie norm w zakresie przetwarzania danych osobowych. W niniejszej sprawie nie ma jednak ku temu podstaw.

Z art. 1 ww. ustawy o ochronie danych osobowych wynika, że każdy ma prawo do ochrony dotyczących go danych osobowych, a przetwarzanie tych danych, w znaczeniu, o którym mowa w art. 7 pkt 2 tej ustawy, dopuszczalne jest tylko ze względu na określone dobra i tylko w zakresie i trybie określonym ustawą. Ustawa o ochronie danych osobowych służy ochronie danych osobowych. Jeśli zasadą jest, że dane osobowe mogą być przetwarzane za zgodą osoby, której dotyczą, to wszelkie wyjątki od niej muszą być – co warto podkreślić – interpretowane ściśle. Ustawa wprowadza wiele rozwiązań, które umożliwiają swobodne i zarazem dopuszczalne przetwarzanie danych osobowych w różnych sytuacjach. Z drugiej zaś strony, dokonując wykładni przepisów ustawy o ochronie danych osobowych, należy również wziąć pod uwagę cele i podstawowe jej założenia, określone w art. 1 ust. 2, gdzie wskazano, iż przetwarzanie danych osobowych może mieć miejsce ze względu na dobro publiczne, dobro osoby, której dane dotyczą lub dobro osób trzecich. Mając na uwadze powyższe, stosując przepisy tej ustawy, należy za każdym razem wyważać dobra, które legły u jej podstaw. Prawo do ochrony danych osobowych, jako jeden z elementów prawa do ochrony własnej prywatności, ma swoje źródło w przepisach art. 47, art. 49, art. 50 i art. 51 Konstytucji Rzeczypospolitej Polskiej. W praktyce prawo do ochrony danych osobowych ulega ograniczeniu z uwagi na interes publiczny lub usprawiedliwiony interes innych osób, czyli nie jest to prawo o charakterze absolutnym, jak większość praw chronionych konstytucyjnie.

Zgodnie z art. 47 Konstytucji RP, każdy ma prawo do ochrony prawnej życia prywatnego, rodzinnego, czci i dobrego imienia oraz do decydowania o swoim życiu osobistym. W myśl art. 49 ustawy zasadniczej, zapewnia się wolność i ochronę tajemnicy komunikowania się. Ich ograniczenie może nastąpić jedynie w przypadkach określonych w ustawie i w sposób w niej określony. Z kolei w świetle art. 51 ust. 1-5 Konstytucji RP, nikt nie może być obowiązany inaczej, niż na podstawie ustawy, do ujawniania informacji dotyczących jego osoby. Władze publiczne nie mogą pozyskiwać, gromadzić i udostępniać innych informacji o obywatelach, niż niezbędne w demokratycznym Państwie prawnym. Każdy ma prawo dostępu do dotyczących go urzędowych dokumentów i zbiorów danych. Ograniczenie tego prawa może określić ustawa. Każdy ma prawo do żądania sprostowania oraz usunięcia informacji nieprawdziwych, niepełnych lub zebranych w sposób sprzeczny z ustawą. Zasady i tryb gromadzenia oraz udostępniania informacji określa ustawa.

Natomiast według treści art. 54 ustawy zasadniczej, każdemu zapewnia się wolność wyrażania swoich poglądów oraz pozyskiwania i rozpowszechniania informacji.

Kryteria ważenia kolidujących ze sobą powyższych wartości konstytucyjnych podlegają ocenie z punktu widzenia mechanizmu proporcjonalności. Stosownie bowiem do art. 31 ust. 3 Konstytucji RP, ograniczenia w zakresie korzystania z konstytucyjnych wolności i praw mogą być ustanawiane tylko w ustawie i tylko wtedy, gdy są konieczne w demokratycznym Państwie dla jego bezpieczeństwa lub porządku publicznego, bądź dla ochrony środowiska, zdrowia i moralności publicznej, albo wolności i praw innych osób. Ograniczenia te nie mogą naruszać istoty wolności i praw. Z przepisu tego wynika, że każdy obywatel może korzystać z konstytucyjnych wolności i praw w granicach zakreślonych przez ustawę, albowiem chroniąc sferę wolności obywatelskich, Konstytucja dopuszcza także ograniczenia w zakresie korzystania z konstytucyjnych praw i wolności, stanowiąc, że "mogą być ustanawiane tylko w ustawie". Istotne przy tym jest, że ograniczenia w zakresie korzystania z praw i wolności mogą być wprowadzane tylko wówczas, gdy są konieczne w demokratycznym Państwie w celu zapewnienia jego bezpieczeństwa lub porządku publicznego, ochrony środowiska, zdrowia i moralności publicznej, ochrony wolności i praw innych osób. Określając konstytucyjne wolności i prawa obywatela, prawodawca dostrzega więc potrzebę wprowadzania ograniczeń tych dóbr. Przedkłada jedno dobro konstytucyjne nad drugie, wytyczając tym samym granice korzystania z wolności i praw, tworząc swoistą hierarchię dóbr, mieszczącą się w ich konstytucyjnych relacjach. Ograniczając pewną sferę wolności konstytucyjnej obywatela, przepis ustawy musi czynić to w sposób, który przede wszystkim nie naruszy jej istoty i nie spowoduje zachwiania relacji konstytucyjnego dobra, które jest ograniczane, do celu, jaki temu przyświeca, który to cel musi być także kwalifikowany w kategoriach wartości konstytucyjnej. Innymi słowy, konieczne jest zapewnienie konstytucyjnej równowagi między prawnie chronionymi dobrami i wartościami, gwarantującej ochronę prywatności przed nieuprawnionym dostępem do niej osób trzecich, przy jednoczesnym poszanowaniu interesu jednostki, jak i interesu Państwa, którego należy upatrywać w obowiązku zapewnienia ładu i porządku publicznego, a także bezpieczeństwa jego obywateli. Chodzi zatem o prawidłowe wyważenie proporcji, jakie muszą być zachowane, by przyjąć, że dane ograniczenie wolności obywatelskiej nie narusza konstytucyjnej hierarchii dóbr (zasada proporcjonalności).

Na gruncie rozpoznawanej sprawy badanie proporcjonalności musi więc uwzględniać nie tylko prawo do ochrony prywatności zainteresowanego, ale także potrzebę wynikających z art. 31 ust. 3 Konstytucji RP ograniczeń wolności i praw obywatelskich, które to ograniczenia mają służyć – jak w niniejszej sprawie – zapewnieniu bezpieczeństwa i porządku publicznego. W tym zakresie ocena zasadności wniosku zainteresowanego o nakazanie usunięcia jego danych osobowych z KSIP musi uwzględniać także uwarunkowania wynikające z innych regulacji prawnych funkcjonujących w systemie prawa, a nie tylko z ustawy o ochronie danych osobowych, jako że art. 31 ust. 3 ustawy zasadniczej wskazuje właśnie na ustawowe podstawy owych ograniczeń.

Zgodnie z art. 23 ust. 1 pkt 2 ww. ustawy o ochronie danych osobowych, przetwarzanie danych jest dopuszczalne tylko wtedy, gdy jest to niezbędne dla zrealizowania uprawnienia lub spełnienia obowiązku wynikającego z przepisu prawa. Przepis ten statuuje jedną z legalnych podstaw przetwarzania danych osobowych. Wiążąc treść tego przepisu z kompetencjami organów Policji w zakresie zapewniania bezpieczeństwa i porządku publicznego i łącząc te zadania z prawem tych organów do przetwarzania danych osobowych osób podejrzanych o popełnienie przestępstwa, a następnie skazanych prawomocnym wyrokiem sądu, jak również tych, wobec których skazanie uległo zatarciu, należy dojść do wniosku, że przetwarzanie danych osobowych P. S. w KSIP oparte jest na obowiązujących przepisach prawnych.

W toku postępowania Generalny Inspektor ustalił, iż w 2005 r. prowadzone było postępowanie karne przeciwko P. S. zakończone wyrokiem skazującym wymienionego za popełnienie czynu z art. 224 § 2 k.k. (stosowanie przemocy lub groźby bezprawnej w celu zmuszenia funkcjonariusza publicznego albo osoby do pomocy mu przybranej do przedsięwzięcia lub zaniechania prawnej czynności służbowej). W dacie wniesienia skargi P. S. do Generalnego Inspektora Ochrony Danych Osobowych nastąpiło już zatarcie skazania. Wymieniony domagając się od Generalnego Inspektora podjęcia decyzji nakazującej usunięcie jego danych z KSIP zasygnalizował, iż pomimo skierowanego do Komendanta Głównego Policji wniosku o usunięcie jego danych osobowych z tego zbioru organ Policji nie uwzględnił tego wniosku, a skarżący chciałby w pełni realizować swoje prawo wynikające z zatarcia skazania.

Odnosząc się do powyższej kwestii należy wskazać, iż instytucja zatarcia skazania ma na celu umożliwienie pełnej społecznej rehabilitacji skazanego, co wiąże się z uznaniem skazania za niebyłe i usunięciem wpisu o skazaniu z Krajowego Rejestru Karnego. Osoba skazana od momentu zatarcia skazania ma prawo twierdzić, że nie była karana, a żadna instytucja nie może ograniczyć jej praw z powołaniem się na karalność. Owo uprawnienie nie doznaje uszczerbku z powodu pozostawania danych o osobie popełniającej przestępstwo w KSIP, albowiem informacje, jakimi dysponuje Krajowy System Informacyjny Policji, nie stanowią źródła wiedzy powszechnie dostępnej, bowiem służą wyłącznie do realizacji zadań Policji, o których mowa w art. 1 ust. 2 ustawy z dnia 6 kwietnia 1990 r. o Policji (tekst jedn. Dz. U. z 2011 r. Nr 287, poz. 1687 ze zm.). Dlatego informacje zawarte w KSIP nie mogą służyć jako instrument prawny w innych celach niż określa to ustawa o Policji. O ile bowiem dostęp do informacji o karalności osoby z Krajowego Rejestru Karnego ma charakter powszechny, to jednak informacje wytworzone przez organy Policji w KSIP są zamkniętym, ogólnie niedostępnym zbiorem informacji i danych, służącym jedynie organom Policji dla realizowania ich ustawowych zadań związanych z zapewnieniem bezpieczeństwa i porządku publicznego.

Podstawę prawną do przetwarzania danych osobowych osób, wobec których były prowadzone postępowania przez organy Policji, stanowi art. 20 ust. 1 ww. ustawy o Policji, zgodnie z którym Policja, z zachowaniem ograniczeń wynikających z art. 19, może uzyskiwać informacje, w tym także niejawnie, gromadzić je, sprawdzać oraz przetwarzać. Policja może pobierać, uzyskiwać, gromadzić, przetwarzać i wykorzystywać w celu realizacji zadań ustawowych informacje, w tym dane osobowe – o osobach podejrzanych o popełnienie przestępstw ściganych z oskarżenia publicznego, nieletnich dopuszczających się czynów zabronionych przez ustawę jako przestępstw ściganych z oskarżenia publicznego, o osobach o nieustalonej tożsamości lub usiłujących ukryć swoją tożsamość, o osobach stwarzających zagrożenie, o których mowa w ustawie z dnia 22 listopada 2013 r. o postępowaniu wobec osób z zaburzeniami psychicznymi stwarzających zagrożenie życia, zdrowia lub wolności seksualnej innych osób (Dz. U. z 2014 r., poz. 24) oraz o osobach poszukiwanych – także bez ich wiedzy i zgody (ust. 2a). W świetle art. 20 ust. 2b ww. ustawy o Policji, gromadzone informacje, mogą obejmować: dane osobowe, o których mowa w art. 27 ust. 1 ww. ustawy o ochronie danych osobowych, z tym, że dane dotyczące kodu genetycznego wyłącznie o niekodujących regionach genomu, odciski linii papilarnych, zdjęcia, szkice i opisy wizerunku, cechy i znaki szczególne, pseudonimy, informacje o: miejscu zamieszkania lub pobytu, wykształceniu, zawodzie, miejscu i stanowisku pracy oraz sytuacji materialnej i stanie majątku, dokumentach i przedmiotach, którymi się posługują, sposobie działania sprawcy, jego środowisku i kontaktach, sposobie zachowania się sprawców wobec osób pokrzywdzonych. Wspomnianych informacji nie pobiera się w przypadku, gdy nie mają one przydatności wykrywczej, dowodowej lub identyfikacyjnej w prowadzonym postępowaniu. Okres przechowywania danych określono w art. 20 ust. 17 ustawy o Policji, zgodnie z którym dane osobowe zebrane w celu wykrycia przestępstwa przechowuje się przez okres niezbędny do realizacji ustawowych zadań Policji. Organy Policji dokonują weryfikacji tych danych po zakończeniu sprawy, w ramach której dane te zostały wprowadzone do zbioru, a ponadto nie rzadziej niż co 10 lat od dnia uzyskania lub pobrania informacji, usuwając zbędne dane. Dane osobowe szczególnie wrażliwe, ujawniające pochodzenie rasowe lub etniczne, poglądy polityczne, przekonania religijne lub filozoficzne, przynależność wyznaniową, partyjną lub związkową oraz dane o stanie zdrowia, nałogach lub życiu seksualnym osób, podejrzanych o popełnienie przestępstw ściganych z oskarżenia publicznego, które nie zostały skazane za te przestępstwa, podlegają komisyjnemu i protokolarnemu zniszczeniu niezwłocznie po uprawomocnieniu się stosownego orzeczenia (ust. 18).

W dacie wydania zaskarżonej decyzji obowiązywał już rozporządzenie Ministra Spraw Wewnętrznych z dnia 31 grudnia 2012 r. w sprawie przetwarzania informacji przez Policję (Dz. U z 2013 r. poz. 8), które określa: 1) tryb gromadzenia oraz sposoby przetwarzania w zbiorach danych informacji, w tym danych osobowych, o: a) osobach podejrzanych o popełnienie przestępstw ściganych z oskarżenia publicznego, b) nieletnich dopuszczających się czynów zabronionych przez ustawę jako przestępstwa ścigane z oskarżenia publicznego, c) osobach o nieustalonej tożsamości lub usiłujących ukryć swoją tożsamość, d) osobach poszukiwanych ukrywających się przed organami ścigania lub wymiaru sprawiedliwości, e) osobach poszukiwanych uznanych za zaginione; 2) tryb gromadzenia oraz sposoby przetwarzania w zbiorach danych informacji, w tym danych osobowych uzyskanych lub przetwarzanych przez organy innych państw lub przez Międzynarodową Organizację Policji Kryminalnych - INTERPOL; 3) tryb gromadzenia i sposoby przetwarzania w zbiorach danych informacji, w tym danych osobowych, określonych w pkt 1 przekazywanych organom innych państw lub Międzynarodowej Organizacji Policji Kryminalnych - INTERPOL w celu zapobiegania przestępczości i jej zwalczania; 4) rodzaje służb policyjnych uprawnionych do korzystania ze zbiorów danych prowadzonych przez Policję lub zbiorów danych udostępnionych Policji; 5) wzory dokumentów obowiązujących przy przetwarzaniu danych; 6) sposób oceny danych pod kątem ich przydatności w prowadzonych sprawach.

Zgodnie z § 4 pkt powołanego rozporządzenia, tryb gromadzenia informacji, w tym danych osobowych, w zbiorach danych obejmuje procedury zapewniające: a) dokumentowanie pobieranych, gromadzonych i uzyskiwanych informacji, b) kontrolę dostępu do zbiorów danych oraz nadzór nad przetwarzaniem informacji, c) weryfikację i usuwanie informacji ze zbiorów danych.

Co wymaga podkreślenia, dostęp do przedmiotowych danych jest ściśle reglamentowany § 30 tego rozporządzenia i ogranicza się do osób uprawnionych ze służby kryminalnej, prewencyjnej, śledczej, Lotnictwa Policji oraz wspomagającej działalność Policji i tylko w zakresie niezbędnym do wykonywania zadań służbowych.

Powołane rozporządzenia w Rozdziale 6 "Sposób oceny danych osobowych pod kątem ich przydatności w prowadzonych postępowaniach oraz sposoby weryfikacji i usuwania danych osobowych" precyzyjnie określa zasady weryfikacji przechowywanych w systemie danych osobowych pod kątem ich dalszej przydatności. Przepis § 32 w ust. 1 ustala, iż dane osobowe zgromadzone w celu wykrycia przestępstwa podlegają systematycznej weryfikacji przez organy Policji zgodnie z art. 20 ust. 17 ustawy o Policji (po zakończeniu sprawy, w ramach której dane zostały prowadzone do zbioru, a następnie okresowo nie rzadziej niż 10 lat od uzyskania lub pobrania informacji), zaś w ust. 2 określa, iż przy weryfikacji danych osobowych pod kątem ich przydatności w prowadzonych postępowaniach uwzględnia się: 1) rodzaj i charakter popełnionego czynu wyczerpującego znamiona przestępstwa; 2) rodzaj i charakter dobra chronionego prawem naruszonego popełnionym przestępstwem; 3) formy sprawstwa i umyślności jego popełnienia; 4) postaci zamiaru i skutki czynu, w tym rodzaj i rozmiar wyrządzonej lub grożącej szkody; 5) zagrożenie sankcją karną za popełnione przestępstwo; 6) liczbę popełnionych przestępstw; 7) czas, jaki upłynął od momentu wprowadzenia informacji do zbioru danych do momentu dokonywania weryfikacji; 8) inne informacje zgromadzone o osobie; 9) legalność uzyskania, pobrania lub zgromadzenia informacji oraz prawdziwość tych informacji; 10) istnienie przesłanek legalności oraz niezbędności dalszego przetwarzania informacji do wykonania zadań ustawowych Policji; 11) wystąpienie okoliczności określonych w art. 20 ust. 17b i 18 ustawy o Policji.

Mając powyższe unormowania na względzie za aktualny należy uznać pogląd wrażony wyroku WSA w Warszawie z dnia [...] listopada 2011 r. sygn. akt II SA/Wa 978/11 (publik. LEX nr 1133648), iż zasady przetwarzania danych osobowych osób wymienionych w art. 2a ustawy z 1990 r. o Policji zostały przez ustawodawcę uregulowane kompleksowo i stanowią lex specialis w stosunku do ustawy o ochronie danych osobowych. Norma art. 20 ust. 17 ustawy z 1990 r. o Policji mieści się w granicach swobody regulacyjnej określanej m.in. zasadą proporcjonalności.

W świetle powyższych regulacji, wbrew twierdzeniom Generalnego Inspektora Ochrony Danych Osobowych, organy Policji są uprawnione do przetwarzania danych osób nie tylko podejrzanych o popełnienie przestępstwa, ale także skazanych prawomocnym wyrokiem sądu, jak również tych, wobec których skazanie uległo zatarciu. Realizowanie bowiem celu, jakim jest zapewnienie bezpieczeństwa i porządku publicznego przez organy Policji, wykazuje przesłankę niezbędności przetwarzania danych osobowych w KSIP dla spełnienia obowiązku wynikającego z przepisu prawa (art. 1 ust. 2 ww. ustawy o Policji), co oznacza, że sam proces przetwarzania zawartych w tym zbiorze danych ma oparcie w legalnej przesłance przetwarzania danych, o której mowa w art. 23 ust. 1 pkt 2 ustawy o ochronie danych osobowych. Kryterium niezbędności przetwarzania danych osobowych w KSIP musi być odnoszone do ustawowych zadań Policji, których realizowaniu mają służyć przepisy art. 20 ust. 1, ust. 2a - 2b w związku z art. 20 ust. 17 ww. ustawy o Policji. Mechanizm działania zasady proporcjonalności nakazuje, by realizacja tych zadań odbywała się z poszanowaniem generalnych zasad konstytucyjnych, czyli zasady Państwa prawnego (art. 2 Konstytucji RP) i zasady legalizmu, wywodzonej z art. 7 ustawy zasadniczej. Wprowadzenie uregulowań ustawowych, które zezwalają organom Policji na przetwarzanie danych osobowych osób wchodzących w konflikt z prawem, mieści się więc w ramach zasady demokratycznego Państwa prawnego i zasady legalizmu, wszak zapewnienie ładu i porządku publicznego oraz bezpieczeństwa obywateli jest interesem nadrzędnym Państwa, realizowanym między innymi przez organy Policji. Tym samym niewłaściwe byłoby pozbawienie organów Policji dostępu do jak najpełniejszej informacji, którą Policja sama wytworzyła w sposób legalny.

Potwierdzeniem tego jest wyrok Trybunału Konstytucyjnego z dnia 12 grudnia 2005 r. o sygn. akt K 32/04 (publ. OTK-A 2005/11/132), w którym stwierdzono, że przepis art. 20 ust. 17 ww. ustawy o Policji nie przewiduje usuwania ze zbiorów danych zebranych o osobach podejrzanych o popełnienie przestępstw ściganych z oskarżenia publicznego, które zostały prawomocnie uniewinnione bądź wobec których postępowanie karne zostało prawomocnie bezwarunkowo umorzone niezwłocznie po uprawomocnieniu się stosownego orzeczenia. Prawomocne uniewinnienie konkretnej osoby lub bezwarunkowe umorzenie postępowania karnego wobec konkretnej osoby nie przesądza o tym, czy zgromadzone dane mogą zawierać informacje przydatne dla realizacji ustawowych zadań Policji wobec innych osób.

Zebrane przez Policję informacje przechowywane są w związku z prowadzonymi czynnościami, służącymi dobru Państwa. Dostrzegając niebezpieczeństwo płynące z faktu zachowania zbioru, jak również trudności kontroli prawidłowego postępowania ze zbiorami, czy też możliwości ekscesywnego ich wykorzystania, nie można jednak uznać, by tego rodzaju obawy miały determinować decyzję o wcześniejszym usuwaniu z KSIP danych, nawet przed terminem 10 lat (a ten w dacie orzekania przez Generalnego Inspektora jeszcze nie upłynął), z którym ustawodawca łączy prawo organów Policji do posługiwania się informacjami w nim zawartymi i usuwania z niego informacji zbędnych czy nieprzydatnych. Należy bowiem zastrzec, że przetwarzanie danych zawartych w KSIP ma służyć dobru ogólnemu, toteż dysponowanie informacjami zgromadzonymi w zbiorze przez okres czasu, w jakim informacje te są organom Policji potrzebne, jest wprost proporcjonalne do celu, który organy te realizują w związku z koniecznością zapewnienia ładu i porządku publicznego oraz bezpieczeństwa obywateli. Omawiane uregulowania wynikające z ustawy o Policji, jakkolwiek ograniczają sferę prywatności osoby, wobec której nastąpiło zatarcie skazania, to jednak ograniczenia te podyktowane są niezbędnością w zapewnieniu bezpieczeństwa i porządku publicznego, a więc wynikają z interesu Państwa, na co art. 31 ust. 3 Konstytucji RP zezwala, wskazując właśnie na ustawowe podstawy owych ograniczeń. Przepisy art. 20 ust. 1, ust. 2a - 2b w związku z art. 20 ust. 17 ww. ustawy o Policji mieszczą się zatem w granicach swobody regulacyjnej i odpowiadają zasadzie proporcjonalności. Należy tym samym przyjąć, że wspomniane ograniczenie wolności obywatelskiej nie narusza konstytucyjnej hierarchii dóbr. Ważne przy tym jest, że prawo wspólnotowe Unii Europejskiej nie sprzeciwia się szczególnemu uregulowaniu kwestii przetwarzania danych osobowych przez Policję, niż wynika to z ogólnie obowiązujących przepisów o ochronie danych osobowych.

Dostrzec także należy, iż na Policji krajowej spoczywa także obowiązek współdziałania z Policją innych państwa Unii Europejskiej w zakresie zwalczania i zapobiegania przestępczości. Obowiązek ten wynika z ustawy z dnia 16 września 2011 r. o wymianie informacji z organami ścigania państw członkowskich Unii Europejskiej, która w art. 1 ust. 2 pkt 3 wymienia Policję jako podmiot uprawnionymi do wymiany i przetwarzania (ust. 3) informacji z organami ścigania państw członkowskich Unii Europejskiej w celu wykrywania i ścigania sprawców przestępstw lub przestępstw skarbowych, zapobiegania przestępczości i jej zwalczania oraz przetwarzania informacji. Dla zrealizowania tego obowiązku, w ramach struktury Komendy Głównej Policji, funkcjonuje komórka organizacyjna pełniąca funkcję punktu kontaktowego do wymiany informacji między podmiotami uprawnionymi, a organami ścigania państw członkowskich Unii Europejskiej, która w celu realizacji swoich zadań, posiada bezpośredni dostęp do Krajowego Systemu Informacyjnego Policji (art. 4 ust. 1 i art. 6 ust. 1 pkt 1 tej ustawy). Zatem ten aspekt sprawy, na co słusznie zwrócić uwagę Komendant Główny Policji w kontekście prawodawstwa wspólnotowego, powinien również być brany pod uwagę przy podejmowaniu decyzji o zbędności danych osobowych byłych przestępców w KSIP.

Przenosząc te rozważania na grunt niniejszej sprawy stwierdzić należy, iż dane osobowe P. S. zostały pozyskane przez organy Policji w sposób legalny i w taki też są przez nie przetwarzane. Biorąc pod uwagę art. 20 ust. 17 ww. ustawy o Policji, nie można czynić Komendantowi Głównemu Policji, jako administratorowi danych zawartych w KSIP, zarzutu, że w sposób bezprawny przechowuje dane osobowe wymienionego, mimo że nastąpiło zatarcie skazania. To organy Policji oceniają przydatność zebranych informacji i jakkolwiek. Nie może budzić wątpliwości, że wobec nieupłynięcia jeszcze okresu 10 lat, licząc zarówno od daty wszczęcia postępowania karnego, skazania, jak i zatarcia skazania, dane P. S. mogą pozostawać w zbiorze służącym organom Policji. Ustawodawca celowo ograniczył się do określenia granicznego okresu 10 lat, obowiązującego do dokonania weryfikacji posiadanych w systemie informatycznym danych, jedynie pod kątem ich dalszej przydatności. Jeśli bowiem informacje o osobie zawarte w KSIP stają się nieprzydatne dla celów prewencyjnych, dowodowych czy wykrywczych, organ Policji może zdecydować o ich usunięciu, czyniąc to jednak nie rzadziej niż raz na 10 lat, przy uwzględnieniu oceny niezbędności przetwarzania danych pod kątem realizacji ustawowych zadań Policji.

W rozpoznawanej sprawie okres 10 lat jeszcze nie upłynął, toteż Generalny Inspektor Ochrony Danych Osobowych, nakazując przed upływem tego terminu usunięcie danych osobowych zainteresowanego z KSIP wprowadzonych do zbioru w ramach postępowania karnego prowadzonego w sprawie popełnionego przez P. S. czynu wypełniającego znamiona przestępstwa, określonego w art. 224 § 2 k.k., naruszył art. 20 ust. 17 ww. ustawy o Policji, gdyż przedwcześnie zobowiązał Komendanta Głównego Policji do usunięcia ww. danych osobowych, które w świetle tego przepisu, mogą nadal pozostawać w zbiorze. Skoro dane te mogą być przetwarzane przez okres 10 lat, to w sytuacji, gdy okres ten nie upłynął jeszcze, nakaz usunięcia ze zbioru wszelkich danych nie ma usprawiedliwionych podstaw.

Z uwagi na powyższe, uznając skargę za uzasadnioną, Wojewódzki Sąd Administracyjny w Warszawie, stosując art. 145 § 1 pkt 1 lit. "a" w związku z art. 135 ustawy z dnia 30 sierpnia 2002 r. – Prawo o postępowaniu przed sądami administracyjnymi (tekst jedn. Dz. U. z 2012 r., poz. 270 ze zm.), orzekł, jak w punkcie pierwszym sentencji wyroku. W oparciu o art. 152 ww. ustawy, Sąd wstrzymał wykonanie zaskarżonej decyzji w całości. Obowiązkiem organu ponownie rozpoznającego sprawę będzie zastosowanie się do stanowiska wyrażonego w niniejszym wyroku.

O kosztach orzeczono na podstawie art. 200, art. 205 § 1 i art. 209 ww. ustawy – Prawo o postępowaniu przed sądami administracyjnymi. Sąd zasądził od Generalnego Inspektora Ochrony Danych Osobowych na rzecz skarżącego Komendanta Głównego Policji kwotę 200 zł, stanowiącą wartość uiszczonego wpisu od skargi.