I OSK 786/12

WyrokNaczelny Sąd Administracyjny2013-03-22

Skład orzekający: Joanna Banasiewicz, Małgorzata Pocztarek, Mirosław Gdesz

Analiza orzeczenia

Sekcja wygenerowana przez AI na podstawie treści orzeczenia — nie stanowi cytatu.

Zagadnienie prawne
Czy przepisy ustawy o ochronie danych osobowych mają zastosowanie do oceny legalności przetwarzania danych osobowych w Krajowym Systemie Informacyjnym Policji (KSIP), zwłaszcza w kontekście usuwania danych po zatarciu skazania?
Ratio decidendi
Naczelny Sąd Administracyjny uznał, że przepisy ustawy o ochronie danych osobowych mają zastosowanie do oceny legalności przetwarzania danych w KSIP, nawet jeśli ustawa o Policji stanowi przepis szczególny. Sąd stwierdził, że przepisy ustawy o Policji regulują kompleksowo kwestię przetwarzania danych, ale nie wykluczają stosowania ogólnych zasad ochrony danych osobowych. W ocenie NSA, Komendant Główny Policji nie wykazał w sposób wystarczający przesłanek dalszego przechowywania danych osobowych J.S. w KSIP, zgodnie z art. 20 ust. 17 ustawy o Policji, co uzasadniało oddalenie skargi kasacyjnej.
Stan faktyczny
Sprawa dotyczyła wniosku J.S. o usunięcie jego danych osobowych z Krajowego Systemu Informacyjnego Policji (KSIP) po zatarciu skazania za przestępstwo z art. 278 kk. Komendant Główny Policji odmówił usunięcia danych, argumentując potrzebą zapobiegania przestępczości. Generalny Inspektor Ochrony Danych Osobowych (GIODO) nakazał usunięcie danych, uznając, że dalsze przetwarzanie jest zbędne. Wojewódzki Sąd Administracyjny (WSA) uchylił decyzję GIODO, uznając, że przepisy ustawy o Policji stanowią lex specialis i Policja ma prawo oceniać przydatność danych. GIODO złożył skargę kasacyjną, kwestionując stanowisko WSA.
Rozstrzygnięcie
Oddalono skargę kasacyjną Generalnego Inspektora Ochrony Danych Osobowych.

Pełny tekst orzeczenia

Naczelny Sąd Administracyjny w składzie następującym: Przewodniczący Sędzia NSA Joanna Banasiewicz, Sędzia NSA Małgorzata Pocztarek (spr.), Sędzia del. WSA Mirosław Gdesz, Protokolant starszy inspektor sądowy Kamil Wertyński, po rozpoznaniu w dniu 22 marca 2013 r. na rozprawie w Izbie Ogólnoadministracyjnej skargi kasacyjnej Generalnego Inspektora Ochrony Danych Osobowych od wyroku Wojewódzkiego Sądu Administracyjnego w Warszawie z dnia 28 listopada 2011 r. sygn. akt II SA/Wa 978/11 w sprawie ze skargi Komendanta Głównego Policji na decyzję Generalnego Inspektora Ochrony Danych Osobowych z dnia 9 marca 2011 r. nr [...] w przedmiocie zobowiązania do usunięcia uchybień w procesie przetwarzania danych osobowych oddala skargę kasacyjną Wyrokiem z dnia 28 listopada 2011 r., sygn. akt II SA/Wa 978/11 Wojewódzki Sąd Administracyjny w Warszawie, po rozpoznaniu skargi Komendanta Głównego Policji na decyzję Generalnego Inspektora Ochrony Danych Osobowych z dnia 9 marca 2011 r. nr [..] w przedmiocie zobowiązanie do usunięcia uchybień w procesie przetwarzania danych osobowych, uchylił zaskarżoną decyzję oraz decyzję Generalnego Inspektora Ochrony Danych Osobowych z dnia 10 grudnia 2010 r. nr [..] stwierdził, że zaskarżona decyzja nie podlega wykonaniu w całości oraz zasądził od Generalnego Inspektora Ochrony Danych Osobowych na rzecz Komendanta Głównego Policji kwotę 200 zł (słownie: dwieście) tytułem zwrotu kosztów postępowania. W uzasadnieniu wyroku Sąd I instancji wskazał, iż Generalny Inspektor Ochrony Danych Osobowych decyzją z dnia 9 marca 2011 r. nr [..], wydaną na podstawie art. 138 § 1 pkt 1 ustawy z dnia 14 czerwca 1960 r. Kodeks postępowania administracyjnego (Dz. U. Nr 98, poz. 1071 z późn. zm.), art. 12 pkt 2, art. 18 ust. 1 pkt 6, art. 22 w zw. z art. 23 ust. 1 pkt 2, art. 26 ust 1 pkt 4, art. 27 ust. 2 pkt 2 ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (Dz. U. z 2002 r. Nr 101, poz. 926 ze zm.) i w związku z art. 20 ust. 1 i 2a i 2b ustawy z dnia 6 kwietnia 1990 r. o Policji (Dz. U. z 2007 r., Nr 43, poz. 277 ze zm.), utrzymał w mocy własną decyzję z dnia 10 grudnia 2010 r. nr [..]) nakazującą Komendantowi Głównemu Policji usunięcie uchybień w procesie przetwarzania danych osobowych J.S., poprzez usunięcie jego danych osobowych z Krajowego Systemu Informacyjnego Policji (dalej KSIP) w zakresie danych wprowadzonych do zbioru w ramach postępowania karnego prowadzonego w sprawie popełnionego przez wyżej wymienionego czynu wypełniającego znamiona przestępstwa określonego w art. 278 ustawy z dnia 6 czerwca 1997 r. Kodeks karny (Dz. U. z 1997 r., Nr 88, poz. 553 ze zm.). W toku postępowania administracyjnego przeprowadzonego w niniejszej sprawie organ Ochrony Danych Osobowych ustalił, iż:w 2006 r. wobec J.S. prowadzone było postępowanie karne w sprawie przestępstwa określonego w art. 278 Kk, które zakończyło się wydaniem wobec niego wyroku skazującego. W chwili obecnej nastąpiło zatarcie przedmiotowego skazania, w aktach sprawy znajduje się zaświadczenie z Krajowego Rejestru Karnego z dnia 6 lipca 2010 r. o niefigurowaniu w Kartotece Karnej KRK. W związku z prowadzeniem przez Policję przedmiotowego postępowania dane wyżej wymienionego, jako osoby podejrzanej o popełnienie przestępstwa ściganego z oskarżenia publicznego, zostały umieszczone w KSIP na podstawie rozporządzenia Ministra Spraw Wewnętrznych i Administracji z dnia 5 września 2007 r. w sprawie przetwarzania przez Policję informacji o osobach (Dz. U. z 2007 r. Nr 170, poz. 1203), zwanego dalej rozporządzeniem. W 2010 r. J.S. zwrócił się do Dyrektora Biura Wywiadu Kryminalnego, Komendy Głównej Policji z prośbą o usunięcie jego danych osobowych z KSIP wskazując, iż wobec jego osoby nastąpiło zatarcie skazania. W uzasadnieniu wskazał, iż nie figuruje już w Krajowym Rejestrze Karnym, opisał że za swój godny potępienia czyn poniósł bardzo surową karę. W odpowiedzi na wniosek Wydział Kryminalny Komendy Głównej Policji, pismem z dnia 16 lipca 2010 r. odmówił usunięcia danych z KSIP wskazując podstawy prawne ich przetwarzania. Wskazano również, że nie można wykluczyć popełnienia czynu zabronionego w przyszłości wobec czego istnieje negatywna przesłanka uniemożliwiająca usunięcie jego danych z KSIP. Kolejny raz, J.S. zwrócił się do Dyrektora Biura Wydziału Kryminalnego Komendy Głównej Policji wnosząc o ponowne rozpatrzenie sprawy motywując to tym, iż dalsze przetwarzanie danych osobowych w systemie bazy policyjnej dyskwalifikuje go jako kandydata do pracy w Wojsku Polskim. Biuro Wydziału Kryminalnego Komendy Głównej Policji pismem z dnia 20 sierpnia 2010 r. ponownie odmówiło usunięcia danych osobowych z KSIP wskazując jednocześnie, iż popełniony przez niego czyn spełniający przesłanki art. 278 § 1 Kk wskazuje, iż jego zachowanie musiała cechować umyślność, co daje większe prawdopodobieństwo powrotu do przestępstwa, dlatego też dalsze przetwarzanie danych jest zasadne. W wyjaśnieniach złożonych przed Generalnym Inspektorem Ochrony Danych Osobowych, Komendant Główny Policji wskazał, iż dane osobowe J.S. wprowadzone zostały do zbioru KSIP w ramach postępowania karnego prowadzonego w sprawie popełnionego przez niego czynu wypełniającego znamiona przestępstwa określonego w art. 278 Kk oraz przetwarzane są w oparciu o powszechnie obowiązujące przepisy ustawy o Policji oraz wydanego na jej podstawie rozporządzenia w sprawie przetwarzania przez Policję informacji o osobach. Podkreślono, że celem takiego przetwarzania jest realizacja zadań określonych w ustawie o Policji w zakresie zapobiegania kolejnym naruszeniom, jak też – w przypadku kolejnego naruszenia w celach wykrywczych. Popełnienie czynu cechującego się umyślnością kierunkową działania sprawcy, powinno skłaniać do przyjęcia poglądu, że istnieje możliwość popełnienia takiego czynu w przyszłości. Dlatego konieczne jest posiadanie przez Policję tego rodzaju wiedzy. Ponadto informacje z KSIP nie mogą bezpośrednio stanowić przesłanki do oceny osoby przez żaden z podmiotów uprawnionych do ich otrzymania. Dlatego nie słuszny jest pogląd iż fakt ubiegania się o pełnienie służby w wojsku jest uzależniony od nie posiadania rejestracji procesowej w KSIP, ponieważ żaden przepis nie zezwala organom wojskowym na takie wykorzystywanie zebranych w KSIP danych osobowych. W wyniku dokonanych ustaleń Generalny Inspektor Ochrony Danych Osobowych stwierdził, iż skarga J.S. jest zasadna i decyzją z dnia 10 grudnia 2010 r. nakazał Komendantowi Głównemu Policji usunięcie uchybień w procesie przetwarzania danych osobowych J.S., poprzez usunięcie jego danych osobowych z KSIP w zakresie danych wprowadzonych do zbioru w ramach postępowania karnego prowadzonego w sprawie popełnienia czynu wypełniającego znamiona przestępstwa określonego w art. 278 kk. We wniosku o ponowne rozpatrzenie sprawy zakończonej powyższą decyzją Komendant Główny Policji wniósł o jej uchylenie i zarzucił zapadłemu rozstrzygnięciu naruszenie przepisów prawa materialnego, tj. art. 20 ust. 2a, ust. 2b i ust. 17 ustawy o Policji poprzez odstąpienie od zastosowania ich jako przepisów szczególnych i przyjęcie jako podstawę rozstrzygnięcia art. 26 ust. 1 oraz art. 33 ustawy o ochronie danych osobowych. Jak wskazano, Generalny Inspektor pominął okoliczności, iż przepisy ustawy o Policji na podstawie których przetwarzane są dane osobowe w KSIP stanowią lex specialis w stosunku do ustawy o ochronie danych osobowych i tylko one znajdują zastosowanie w omawianej sprawie. Komendant podkreślił, że w jego ocenie regulacje te spełniają standardy ochrony danych osobowych i nie wymagają w zakresie okresu przetwarzania danych osobowych w KSIP posiłkowania się przepisami ogólnymi ustawy o ochronie danych osobowych. Dodatkowo zakwestionowano trafność argumentacji Generalnego Inspektora odnoszącą się do wpływu przetwarzanych danych na możliwość pełnienia zawodowej służby wojskowej. Zaznaczył ponadto, że ocena kryminologiczna J.S. wskazuje na duże prawdopodobieństwo ponownego popełnienia czynu zabronionego w przyszłości. Nie znajdując podstaw do uwzględnienia wniosku Generalny Inspektor Ochrony Danych Osobowych utrzymał zaskarżoną decyzję w mocy. W motywach rozstrzygnięcia z dnia 9 marca 2011 r. organ wskazał, iż ochrona danych osobowych zagwarantowana jest w art. 51 Konstytucji RP. Organ przywołał treść art. 51 ust. 1, 3, 5 Konstytucji RP i art. 7 pkt 2, art. 23 ust. 1 pkt 1, 2, 5, art. 27 ust. 1 i ust. 2 pkt 1 oraz art. 26 pkt 4 ustawy o ochronie danych osobowych. Poddał także analizie treść art. 20 ust. 1 i 2a, ust. 17 ustawy o Policji oraz § 1 pkt 1–4 oraz § 11 ust. 1–3 rozporządzenia z dnia 5 września 2007 r. w sprawie przetwarzania przez Policję informacji o osobach. W oparciu o powyższe przepisy Generalny Inspektor doszedł do wniosku, iż przy ocenie zasadności odmowy usunięcia danych osobowych skarżącego ze zbioru KSIP zastosowanie znajdzie powołany § 11 ust. 3 ww. rozporządzenia przewidujący możliwość usunięcia danych po dokonaniu oceny przetwarzanych informacji o osobach pod kątem ich przydatności w prowadzonych postępowaniach oraz niezbędności w realizacji zadań ustawowych Policji. Powyższa regulacja co prawda jest podstawą do przetwarzania danych osobowych, ale nie wprowadza żadnych kryteriów pozwalających na dokonanie oceny ich przydatności. W obecnym stanie prawnym zastosowanie w kwestii przetwarzania danych osobowych w KSIP będą zatem miały przepisy ustawy o ochronie danych osobowych. Również to przepisy tej ustawy będą musiały być stosowane przez Policję w sytuacji oceniania każdego przypadku żądania usunięcia danych z KSIP. W ocenie Generalnego Inspektora dla realizacji celu jakim jest stanie przez Policję na straży bezpieczeństwa i porządku publicznego zbędne jest przetwarzanie danych tych osób, co do których od popełnienia przez nie przestępstwa upłynął długi okres czasu pozwalający nawet na zatarcie dotyczącego ich skazania, a jednocześnie nie ma na ich temat żadnych innych informacji wskazujących na to że ponownie weszły w konflikt z prawem. Ustalenie celu w jakim dane są przetwarzane kształtuje okres, od którego nie powinny być przetwarzane. Odnosząc się do argumentacji Komendanta Głównego Policji, iż "KSIP nie stanowi zbioru (rejestru) danych osobowych osób skazanych", a więc "w zbiorze tym nie można przetwarzać informacji o sposobie zakończenia sprawy karnej, w tym o skazaniu", Generalny Inspektor podkreślił, iż przetwarzanie w KSIP nie tylko informacji o skazaniu, ale również o prowadzeniu postępowania karnego wobec osoby, która dopuściła się czynu zabronionego w odległej przeszłości, jest okolicznością obciążającą ją i niewątpliwie mającą negatywny wpływ na jej życie, m.in. w zakresie trudności w znalezieniu pracy. Instytucja zatarcia skazania ma swoje źródło w wyznawanej przez prawo karne zasadzie, że ukaranie człowieka nie może stanowić faktu, który obciążałby go na zawsze. Zatem nieadekwatne jest przetwarzanie w KSIP danych osobowych w zakresie informacji o popełnionym w przeszłości przez skarżącego czynie w sytuacji, gdy nawet w świetle zasad wyznaczonych przepisami k.k. jest on osobą niekaraną. Nadto stosownie do art. 42 ust. 3 Konstytucji RP każdego uważa się za niewinnego, dopóki jego wina nie zostanie stwierdzona prawomocnym wyrokiem sądu. Ustosunkowując się zaś do twierdzenia Komendanta Głównego Policji, iż przetwarzanie przez Policję danych osobowych osób, wobec których toczyły się postępowania karne stanowi dla tej formacji "ważne narzędzie w zapobieganiu i zwalczaniu przestępstw", organ Ochrony Danych Osobowych podniósł, iż w toku niniejszego postępowania organ ten nie wykazał w jaki sposób przetwarzanie danych osobowych J.S. pomogło w realizacji tego celu. Nawiązując zaś do dokonywanej przez Policję oceny kryminologicznej osób, których dane osobowe przetwarzane są w KSIP, jako podstawy do oceny ich przydatności dla realizacji zadań ustawowych Policji, Generalny Inspektor podkreślił, iż zdaniem organu ochrony danych osobowych, jedynym podmiotem uprawnionym do dokonywania oceny stopnia winy i społecznej szkodliwości czynu przestępczego jest sąd. To sąd stosując sprawiedliwościowe dyrektywy wymiaru kary dokonuje oceny czynu z punktu widzenia naganności zachowania się sprawcy oraz jego stosunku psychicznego do popełnionego czynu. Nadto wartościując powyższe, sąd analizuje nie tylko stopień społecznej szkodliwości czynu, ale również dyrektywę prewencji indywidualnej biorąc pod uwagę dotychczasowy tryb życia sprawcy, sposób popełnienia czynu i zachowanie się po czynie. Mając powyższe na uwadze Generalny Inspektor Ochrony Danych Osobowych stwierdził, że nie istnieje obecnie potrzeba przetwarzania w KSIP danych osobowych J.S.. Decyzja Generalnego Inspektora Ochrony Danych Osobowych z dnia 9 marca 2011 r. stała się przedmiotem skargi wniesionej przez Komendanta Głównego Policji do Wojewódzkiego Sądu Administracyjnego w Warszawie. Strona skarżąca wniosła o uchylenie zaskarżonej decyzji w całości i uznanie, że organ Policji zgodnie z prawem przetwarza dane osobowe J.S.. Komendant Główny Policji zaskarżonej decyzji zarzucił naruszenie prawa materialnego – art. 20 ust. 2a, 2b i 17 ustawy o Policji - mające wpływ na wynik sprawy, poprzez: odstąpienie od zastosowania - jako przepisów szczególnych art. 20 ust. 2a, ust. 2b i ust. 17 ustawy o Policji i przyjęcie za podstawę rozstrzygnięcia art. 26 ust. 1 oraz art. 33 ustawy o ochronie danych osobowych. Organ Policji podniósł, iż Krajowy System Informacyjny Policji nie stanowi rejestru (zbioru danych osobowych) osób skazanych czy też ukaranych – takie funkcje pełni Krajowy Rejestr Karny. KSIP rejestruje informacje o wszczętych i prowadzonych przez Policję postępowaniach bez względu na sposób ich zakończenia. Organy właściwe w przedmiocie prawomocnego zakończenia tych postępowań nie mają obowiązku informowania Policji o sposobie zakończenia postępowań. Skutkiem powyższego jest to, że umorzenie postępowania (z wyłączeniem umorzenia z powodu braku znamion czynu zabronionego) czy zatarcie skazania (uznanie za niebyłe)nie wpływa na fakt przetwarzania danych przez Policję, ponieważ nie jest on rejestrem skazanych. Dane J.S. trafiły do wspomnianego rejestru w związku z postawieniem mu zarzutów popełnienia przestępstwa z art. 278 kk. Celem KSIP jest realizacja zadań określonych w ustawie o Policji w zakresie zapobiegania kolejnych naruszeń prawa, jak też – w przepadku kolejnego naruszenia – w celach wykrywczych. Natomiast zgodnie z treścią art. 26a ust. 1 ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (Dz. U. z 2002 r. Nr 101, poz.926, z późn. zm.), niedopuszczalne jest ostateczne rozstrzyganie indywidualnej sprawy osoby, której dane dotyczą, jeżeli jego treść jest wyłącznie wynikiem operacji na danych osobowych, prowadzonych w systemie informatycznym takim jak np. KSIP. Zaznaczono również, że dane osobowe zebrane w celu wykrycia przestępstwa, jak stanowi art. 20 ust. 17 ustawy o Policji – przechowuje się przez okres, niezbędny dla realizacji ustawowych zadań wykonywanych przez Policję. Do zadań tych według art. 1 ust. 2 ustawy o Policji – należy ochrona życia i zdrowia ludzi oraz mienia przed bezprawnymi zamachami naruszającymi te dobra, ochrona bezpieczeństwa i porządku publicznego, inicjowanie i organizowanie działań mających na celu zapobieganie popełnianiu przestępstw. Organy Policji dokonują weryfikacji wchodzących w skład KSIP danych nie rzadziej niż co 10 lat od dnia uzyskania informacji usuwając dane zbędne. W przypadku J.S. nie wystąpiły okoliczności wyłączające dalsze przetwarzanie jego danych osobowych. W odpowiedzi na skargę Generalny Inspektor Ochrony Danych Osobowych wniósł o jej oddalenie oraz przytoczył argumentację świadczącą, zdaniem organu, o niezasadności zarzutów skargi. Wydając zaskarżony wyrok Sąd I instancji w pierwszej kolejności wskazał, iż zadaniem ustawy 29 sierpnia 1997 r. o ochronie danych osobowych (Dz. U. z 2002 r. Nr 101, poz. 926 ze zm.) jest stanie na straży interesów osób, których przetwarzane dane osobowe dotyczą oraz przestrzeganie zakresu i trybu przetwarzania tych danych. Omawiana ustawa w art. 1 stwierdza, że dane osobowe mogą być przetwarzane, jeżeli służy to dobru publicznemu, dobru osoby, której dane dotyczą lub dobru osób trzecich. Ochrona danych osobowych na podstawie przepisów powołanej ustawy nie powinna być oderwana od przepisów służących ochronie innych wartości. Przetwarzaniem danych osobowych stosownie do treści art. 7 pkt 2 ww. ustawy, jest jakąkolwiek operacją wykonywaną na danych osobowych, szczególnie tych znajdujących się w systemach informatycznych czyli np: zbieranie, utrwalanie, przechowywanie, opracowywanie, zmienianie, udostępnianie i usuwanie. Zgodnie z art. 23 ust. 1 pkt 2 ustawy o ochronie danych osobowych, przetwarzanie danych jest dopuszczalne tylko wtedy, gdy jest to niezbędne dla zrealizowania uprawnienia lub spełnienia obowiązku wynikającego z przepisu prawa. Wiążąc ten przepis z kompetencjami organów Policji w zakresie przetwarzania danych osobowych osób podejrzanych o popełnienie przestępstwa Sąd stwierdził, iż przetwarzanie danych osobowych J.S. w Krajowym Systemie Informacji Policyjnej oparte jest na obowiązujących przepisach prawnych. Sąd I instancji podkreślił, że instytucja zatarcia skazania, ma na celu umożliwienie pełniej społecznej rehabilitacji skazanego, co wiąże się z uznaniem skazania za niebyłe i usunięciem wpisu o skazaniu z Krajowego Rejestru Karnego. Osoba skazana, od momentu zatarcia skazania, ma prawo twierdzić, iż nie była karana, a żadna instytucja nie może ograniczyć jej praw z powołaniem się na karalność. Obowiązujące przepisy w zakresie zatrudniania pracowników honorują to prawo. W rozporządzeniu Ministra Pracy i Polityki Społecznej z dnia 28 maja 1996 r. w sprawie zakresu prowadzenia przez pracodawców dokumentacji w sprawach związanych ze stosunkiem pracy oraz sposobu prowadzenia akt osobowych pracownika (Dz. U. Nr 62, poz. 286 ze zm.), w § 1 zastrzeżono, iż pracodawca może żądać od osoby ubiegającej się o zatrudnienie złożenia następujących dokumentów: wypełnionego kwestionariusza osobowego dla osoby ubiegającej się o zatrudnienie, świadectw pracy z poprzednich miejsc pracy lub innych dokumentów potwierdzających okresy zatrudnienia, obejmujących okresy pracy przypadające w roku kalendarzowym, w którym pracownik ubiega się o zatrudnienie, dokumentów potwierdzających kwalifikacje zawodowe, wymagane do wykonywania oferowanej pracy, świadectwa ukończenia gimnazjum - w przypadku osoby ubiegającej się o zatrudnienie w celu przygotowania zawodowego, orzeczenia lekarskiego stwierdzającego brak przeciwwskazań do pracy na określonym stanowisku, innych dokumentów, jeżeli obowiązek ich przedłożenia wynika z odrębnych przepisów. Zatrudnienie w Siłach Zbrojnych regulowane jest min. w przepisie § 10 ust. 14 rozporządzenia Ministra Obrony Narodowej z dnia 9 marca 2010 r. w sprawie powoływania do zawodowej służby wojskowej (Dz. U. Nr 45, poz. 265). Według powołanego wyżej przepisu do wniosku o zatrudnienie żołnierz rezerwy lub osoba posiadająca stopień policyjny, lub innej formacji mundurowej), dołączają: życiorys, odpis skrócony aktu urodzenia, odpis lub kopię uwierzytelnioną dokumentu stwierdzającego uzyskanie wymaganego wykształcenia, informację o osobie z Krajowego Rejestru Karnego wystawioną nie wcześniej niż 30 dni przed upływem terminu złożenia wniosku, kopię uwierzytelnioną dowodu osobistego, zaświadczenie organu właściwego do wyznaczenia na stanowisko służbowe o możliwości wyznaczenia na stanowisko służbowe, dokument potwierdzający posiadany przez osobę stopień, o którym mowa w art. 17a ust. 1 ustawy, inne uwierzytelnione dokumenty potwierdzające posiadanie kwalifikacji i umiejętności niezbędnych na stanowisku służbowym, na które zainteresowani mają być wyznaczeni po powołaniu do zawodowej służby wojskowej. Zdaniem Sądu, jedynym wymaganym dokumentem przez organ zatrudniający, bądź powołujący do służby, który wiąże się z uprzednią karalnością kandydata jest informacja o osobie z Krajowego Rejestru Karnego. Domaganie się złożenia innych dokumentów, czy to od kandydata, czy też innych podmiotów, w tym organów administracji publicznej, musi wynikać wprost z przepisów prawa ogólnie obowiązujących. Informacje jakimi dysponuje Krajowy System Informacyjny Policji nie stanowią źródła wiedzy powszechnie dostępniej służą wyłącznie do realizacji zadań Policji, co wynika z § 4 rozporządzenia Ministra Spraw Wewnętrznych i Administracji z dnia 5 września 2007 r. Następnie Sąd I instancji wskazał, że legitymację prawną do przetwarzania danych osobowych osób, wobec których były prowadzone postępowania przez Policję stanowi art. 20 ust. 1 ustawy z dnia 6 kwietnia 1990 r. o Policji (Dz. U. z 2007 r. Nr 43, poz. 277 ze zm.), zgodnie z którym Policja, z zachowaniem ograniczeń wynikających z art. 19, może uzyskiwać informacje, w tym także niejawnie, gromadzić je, sprawdzać oraz przetwarzać. Policja może pobierać, uzyskiwać, gromadzić, przetwarzać i wykorzystywać w celu realizacji zadań ustawowych informacje, w tym dane osobowe, o osobach podejrzanych o popełnienie przestępstw ściganych z oskarżenia publicznego, nieletnich dopuszczających się czynów zabronionych przez ustawę jako przestępstwa ścigane z oskarżenia publicznego, osobach o nieustalonej tożsamości lub usiłujących ukryć swoją tożsamość oraz o osobach poszukiwanych, także bez ich wiedzy i zgody (ust. 2a). W świetle art. 20 ust.. 2b ustawy o Policji, gromadzone informacje, mogą obejmować: dane osobowe, o których mowa w art. 27 ust. 1 ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych, z tym, że dane dotyczące kodu genetycznego wyłącznie o niekodujących regionach genomu, odciski linii papilarnych, zdjęcia, szkice i opisy wizerunku, cechy i znaki szczególne, pseudonimy, informacje o: miejscu zamieszkania lub pobytu, wykształceniu, zawodzie, miejscu i stanowisku pracy oraz sytuacji materialnej i stanie majątku, dokumentach i przedmiotach, którymi się posługują, sposobie działania sprawcy, jego środowisku i kontaktach, sposobie zachowania się sprawców wobec osób pokrzywdzonych. Wspomnianych informacji, nie pobiera się, w przypadku gdy nie mają one przydatności wykrywczej, dowodowej lub identyfikacyjnej w prowadzonym postępowaniu. Okres przechowywania danych określono w art. 20 ust. 17 ustawy o Policji, zgodnie z którym dane osobowe zebrane w celu wykrycia przestępstwa przechowuje się przez okres, w którym są one niezbędne dla realizacji ustawowych zadań wykonywanych przez Policję. Organy Policji dokonują weryfikacji tych danych nie rzadziej niż co 10 lat od dnia uzyskania informacji, usuwając dane zbędne. Sąd podniósł również, iż rozporządzenie Ministra Spraw Wewnętrznych i Administracji z dnia 5 września 2007 r. w sprawie przetwarzania przez Policję informacji o osobach (Dz. U. Nr 107, poz. 1203) określa szczegółowe zasady przetwarzania zebranych danych osobowych. Zgodnie z § 4 ust. 1 powołanego rozporządzenia, informacje przetwarza się w: centralnych zbiorach informacji - przeznaczonych do przetwarzania informacji niezbędnych do realizacji zadań Policji na obszarze całego kraju, wewnętrznych zbiorach informacji - przeznaczonych do przetwarzania informacji niezbędnych do realizacji zadań na obszarze właściwości miejscowej poszczególnych jednostek organizacyjnych Policji lub w zakresie właściwości rzeczowej poszczególnych komórek organizacyjnych Komendy Głównej Policji, zestawach zbiorów informacji - przeznaczonych do integracji i usprawniania procesów przetwarzania informacji zgromadzonych w odrębnych zbiorach. Administrator zbioru na podstawie § 11 ust. 1 rozporządzenia zobowiązany jest do oceny przydatności informacji w prowadzonych postępowaniach, po zakończeniu sprawy, w ramach której informacje zostały wprowadzone do zbioru, a następnie okresowo, z częstotliwością co najmniej raz na 10 lat. Przepis § 11 ust. 2 stanowi, iż przy dokonywaniu oceny, o której mowa w ust. 1, informacje uznaje się za nadal przydatne, jeżeli na ich podstawie nie można wykluczyć możliwości popełnienia w przyszłości przez osobę, której dotyczą, czynu zabronionego w rozumieniu art. 115 § 1 ustawy z dnia 6 czerwca 1997 r. - Kodeks karny (Dz. U. Nr 88, poz. 553, z późn. zm.). Zdaniem Sądu I instancji, przetwarzania danych osobowych osób wymienionych w art. 2a ustawy o Policji, zostały przez ustawodawcę uregulowane kompleksowo i stanowią lex specialis w stosunku do ustawy o ochronie danych osobowych. Słuszne jest stanowisko Generalnego Inspektora Danych Osobowych, że prawodawca nie określił konkretnych kryteriów pozwalających na dokonanie oceny przydatności danych osobowych znajdujących się w KSIP lecz posłużył się kryteriami ogólnymi. Co wskazuje, iż ocenę przydatności danych w zbiorze informatycznym pozostawił organom Policji, albowiem to one stoją na straży porządku publicznego i znają specyfikę środowisk przestępczych. Sformułowanie zawarte w § 11 ust. 2 ww. rozporządzenia "informacje uznaje się za nadal przydatne, jeżeli na ich podstawie nie można wykluczyć możliwości popełnienia w przyszłości przez osobę, której dotyczą, czynu zabronionego" są nieostre, co wydaje się być celowym zabiegiem, zważywszy, iż ocenę tę należy odnosić do stanów przyszłych niepewnych, przewidywań. Nie właściwe byłoby pozbawienie Policji, dostępu do jak najpełniejszej informacji, którą Policja sama wytworzyła w sposób legalny. Sąd powołał się również na wyrok Trybunału Konstytucyjnego z dnia 12 grudnia 2005 r. sygn. akt K 32/04 (publik. OTK–A 2005/11/132). W jego uzasadnieniu podniesiono, iż przepis art. 20 ust. 17 ustawy o Policji, nie przewiduje usuwania ze zbiorów danych zebranych o osobach podejrzanych o popełnienie przestępstw ściganych z oskarżenia publicznego, które zostały prawomocnie uniewinnione bądź wobec których postępowanie karne zostało prawomocnie bezwarunkowo umorzone niezwłocznie po uprawomocnieniu się stosownego orzeczenia. "Trybunał Konstytucyjny jest świadomy, że prawomocne uniewinnienie konkretnej osoby lub bezwarunkowe umorzenie postępowania karnego wobec konkretnej osoby nie przesądza o tym, czy zgromadzone dane mogą zawierać informacje przydatne dla realizacji ustawowych zadań Policji wobec innych osób. Należy też zauważyć, że w rozważanym wypadku chodzi o dane, których zebranie nastąpiło w sposób legalny, za zgodą sądu. Możliwość zachowania danych nie dotyczy tzw. danych wrażliwych czyli ujawniających pochodzenie rasowe, etniczne, poglądy polityczne, przekonania religijne lub filozoficzne, przynależność wyznaniową, partyjną lub związkową, dane o stanie zdrowia, nałogach, życiu seksualnym. Zebrane i zachowane tego rodzaju dane, nie mogą więc szkodzić osobie prawomocnie uniewinnionej. Dane wrażliwe i tak nie mogą być zachowane, z racji na unormowania zawartego w art. 20 ust. 18 ustawy o Policji. Biorąc pod uwagę art. 20 ust. 17 ustawy o Policji, w ocenie Sądu, nie można czynić Komendantowi Głównemu Policji zarzutu, iż bezprawnie przechowuje dane osobowe ww. w KSIP mimo, iż nastąpiło zatarcie skazania. To organy Policji oceniają przydatność zebranych informacji. Ustawodawca ograniczył się do określenia granicznego okresu 10 lat, obowiązującego do dokonania weryfikacji posiadanych w systemie informatycznym danych jedynie pod kątem ich dalszej przydatności. Sąd I instancji podkreślił, że w omawianej sprawie okres 10 lat, od dnia uzyskania informacji dotyczącej J.S. jeszcze nie upłynął. Wymieniony dopuścił się przestępstwa umyślnego, dlatego nie można zakładać, iż przedmiotowa informacja jest zbędna dla celów prewencyjnych. Generalny Inspektor Ochrony Danych nakazując usunięcie danych osobowych z KSIP przed upływem ustawowo określonego okresu upoważniającego Policję do przetwarzania tych danych, jest zdaniem Sądu przedwczesne. Skargę kasacyjną od powyższego wyroku złożył Generalny Inspektor Ochrony Danych Osobowych zarzucając mu: 1) naruszenie przepisów prawa materialnego, a konkretnie art. 3 i art. 5 ustawy o ochronie danych osobowych oraz art. 20 ust. 1 ustawy o Policji poprzez błędną wykładnię polegającą na przyjęciu, iż przepisy ustawy o ochronie danych osobowych nie mają zastosowania w kwestii oceny legalności przetwarzania danych osobowych J.S. w Krajowym Systemie Informacyjnym Policji (KSIP), 2) naruszenie przepisów postępowania mające istotny wpływ na wynik sprawy, a konkretnie art. 134 P.p.s.a. w zw. z art. 1 ustawy – Prawo o ustroju sądów administracyjnych poprzez sprawowanie niewłaściwej kontroli nad postępowaniem administracyjnym na skutek błędnego przyjęcia, że art. 26 ust. 1, art. 27 ust. 2 pkt 2 ustawy o ochronie danych osobowych nie mają zastosowania w kwestii oceny legalności przetwarzania danych osobowych J.S. w Krajowym Systemie Informacyjnym Policji (KSIP). Powołując się na powyższe wniesiono o uchylenie w całości zaskarżonego wyroku i przekazanie sprawy do ponownego rozpoznania przez Wojewódzki Sąd Administracyjny w Warszawie. W motywach skargi kasacyjnej podniesiono, iż Generalny Inspektor Ochrony Danych Osobowych nie kwestionuje konieczności gromadzenia przez Policję informacji o popełnieniu przez daną osobę czynu zabronionego, ani nie podważa sensu istnienia policyjnych zbiorów danych do tego służących jakim jest KSIP. Istotnym natomiast z punktu widzenia ochrony danych osobowych jest nadanie temu procesowi sztywnych ram, które pozwolą na realizację powyższego procesu zarówno w oparciu o przepisy ustawy o Policji, które stanowią podstawę prawną takich działań tej formacji, ale również z poszanowaniem przysługującego każdej osobie fizycznej prawa do zgodnego z prawem przetwarzania jej danych osobowych. Nie sposób zgodzić się przy tym z twierdzeniem Sądu, iż ustawa o ochronie danych osobowych nie ma zastosowania do przetwarzania danych osobowych przez Policję. Przy ocenie zasadności odmowy usunięcia danych osobowych Skarżącego ze zbioru KSIP zastosowanie znajdzie § 11 ust. 3 rozporządzenia z dnia 5 września 2007 r. w sprawie przetwarzania przez Policję informacji o osobach, przewidujący możliwość usunięcia danych po dokonaniu oceny przetwarzanych informacji o osobach pod kątem ich przydatności w prowadzonych postępowaniach oraz niezbędności w realizacji zadań ustawowych Policji. Niemniej jednak podkreślić należy, iż powyższa regulacja co prawda jest podstawą do przetwarzania danych osobowych, ale nie wprowadza żadnych kryteriów pozwalających na dokonanie oceny ich przydatności. Zdaniem skarżącego kasacyjnie zasadnie przyjęto w uchylonych decyzjach, że w obecnym stanie prawnym zastosowanie w kwestii przetwarzania danych osobowych w KSIP będą miały przepisy ustawy o ochronie danych osobowych. Również to przepisy tej ustawy będą musiały być stosowane przez Policję w sytuacji oceniania każdego przypadku żądania usunięcia danych z KSIP. Powyższe wynika chociażby z brzmienia art. 3 ust. 1 ustawy, stosownie do treści którego ustawę stosuje się do organów państwowych, organów samorządu terytorialnego oraz do państwowych i komunalnych jednostek organizacyjnych. Zgodnie zaś z art. 5 ustawy jeżeli przepisy odrębnych ustaw, które odnoszą się do przetwarzania danych, przewidują dalej idącą ich ochronę, niż wynika to z niniejszej ustawy, stosuje się przepisy tych ustaw. Nie ulega wątpliwości, iż przepisy ustawy o Policji stanowiące podstawę prawną do przetwarzania przez Policję danych osobowych w KSIP nie przewidują dalej idącej ich ochrony aniżeli ustawa o ochronie danych osobowych, a zatem w przedmiotowej sprawie zastosowanie znajdują, wbrew twierdzeniu Sądu, również przepisy o ochronie danych osobowych. W ocenie Generalnego Inspektora dla realizacji celu jakim jest stanie przez Policję na straży bezpieczeństwa i porządku publicznego zbędne jest przetwarzanie danych tych osób, co do których od popełnienia przez nie przestępstwa upłynął długi okres czasu pozwalający nawet na zatarcie dotyczącego ich skazania, a jednocześnie nie ma na ich temat żadnych innych informacji wskazujących na to, że ponownie weszły w konflikt z prawem. Wskazać zatem należy, że ustalenie celu w jakim dane są przetwarzane kształtuje okres, od którego nie powinny być przetwarzane. Ustosunkowując się zatem do twierdzenia Sądu, iż przetwarzanie przez Policję danych osobowych osób, wobec których toczyły się postępowania karne stanowi dla tej formacji narzędzie w zapobieganiu i zwalczaniu przestępstw, skarżący podkreślił, iż w toku niniejszego postępowania Komendant Główny Policji nie wykazał w jaki sposób przetwarzanie danych osobowych J.S. pomogło w realizacji tego celu. Samo wskazanie, iż skarżący był oskarżony i został skazany za przestępstwo kradzieży i z związku z tym ogólne stwierdzenie dotyczące podstawy przetwarzania tych danych, m.in. co do wyjątkowości tego z powodu natężenia "złej woli" po stronie sprawcy, były dla organu nieprzekonywujące. Nadto stan faktyczny ustalony w toku niniejszego postępowania pozwala na wyprowadzenie wniosku, że pomimo iż dane osobowe skarżącego zostały pozyskane i wprowadzone do zbioru w 2006 r. w związku z prowadzonym wobec niego wówczas postępowaniem karnym, to od tego czasu nie doszło do postawienia mu innego zarzutu o charakterze prawnokarnym. Odnosząc się do celu przetwarzania danych osobowych w KSIP jakim jest realizacja ustawowych zadań Policji określonych w art. 1 ust. 2 ustawy o Policji, skarżący podkreślił, iż w toku prowadzonego postępowania Komendant Główny Policji nie wykazał również w jaki sposób przetwarzanie danych J.S. przyczyniło się do realizacji któregokolwiek z tych zadań, ograniczając się jedynie do lakonicznego stwierdzenia, iż "dane osobowe J.S. przetwarzane są zgodnie z przywołanymi wyżej przepisami, zaś celem jaki przemawia za dalszym ich przetwarzaniem jest przeciwdziałanie ewentualnym naruszeniom prawa (zamachom na dobra prawnie chronione) przez wymienionego, wobec istnienia zwiększonego (z uwagi na charakter ujawnionego czynu) prawdopodobieństwa powrotu do zachowań przestępnych i w tym kontekście brak pełnego przeświadczenia (niemożności wykluczenia), iż skarżący nie popełni czynu zabronionego". Ustosunkowując się zaś do argumentacji Sądu odnoszącej się do dokonywanej przez Policję oceny kryminalistycznej przydatności danych przetwarzanych w KSIP, która wskazuje, iż ocena ta z natury rzeczy oparta jest o kryteria nieostre nie pozwalające w sposób jednoznaczny na stwierdzenie czy dana osoba popełni w przyszłości czyn zabroniony, skarżący wskazał, że powyższe pozostaje w sprzeczności z twierdzeniem Komendanta Głównego Policji, iż "informacja jest usuwana ze zbiorów policyjnych wówczas, gdy dokonywana periodycznie aktualna ocena kryminologiczna wyklucza możliwość popełnienia w przyszłości czynu zabronionego przez osobę, której informacja dotyczy". Niezrozumiałym jest bowiem, jak ocena kryminalistyczna, która, jak sam Sąd podkreślił, oparta jest o nieostre, ocenne kryteria, może ostatecznie doprowadzić do wykluczenia możliwości popełnienia w przyszłości czynu zabronionego. Zdaniem organu ochrony danych osobowych, jedynym podmiotem uprawnionym do dokonywania oceny stopnia winy i społecznej szkodliwości czynu przestępczego jest sąd. To sąd stosując sprawiedliwościowe dyrektywy wymiaru kary dokonuje oceny czynu z punktu widzenia naganności zachowania się sprawcy oraz jego stosunku psychicznego do popełnionego czynu. W odpowiedzi na skargę kasacyjną Komendant Główny Policji wniósł o jej oddalenie. Naczelny Sąd Administracyjny zważył, co następuje: Naczelny Sąd Administracyjny zgodnie z dyspozycją art. 183 § 1 ustawy z dnia 30 sierpnia 2002r. Prawo o postępowaniu przed sądami administracyjnymi ( Dz. U. z 2012r. poz. 270 ze zm. ) dokonuje kontroli zaskarżonego wyroku w granicach skargi kasacyjnej. Granice te wyznaczają podstawy na jakich skarga kasacyjna została oparta. W niniejszej sprawie skarga kasacyjna oparta została na zarzutach naruszenia przepisów prawa materialnego oraz przepisów postępowania. W ramach drugiej podstawy kasacyjnej zarzucono Sądowi I instancji naruszenie art. 134 Ppsa w zw. z art. 1 art. ustawy – Prawo o ustroju sądów administracyjnych poprzez dokonanie niewłaściwej kontroli nad postępowaniem administracyjnym na skutek błędnego przyjęcia, że art. 26 ust. 1, art. 27 ust. 2 pkt 2 ustawy o ochronie danych osobowych nie mają zastosowania w kwestii oceny legalności przetwarzania danych osobowych J.S. w Krajowym Systemie Informacyjnym Policji (KSIP). Analiza uzasadnienia zaskarżonego wyroku pozwala jednoznacznie stwierdzić, że Sąd I instancji w ogóle nie zajmował się rozważaniami dotyczącymi art. 26 ust. 2 oraz art. 27 ust. 2 pkt. 2 ustawy z dnia 29 sierpnia 1997r. o ochronie danych osobowych ( Dz. U. z 2002r. Nr. 101, poz. 926 ze zm. ). Tym samym nie mógł przyjąć, że w/wym przepisy nie mają zastosowania w kwestii oceny legalności przetwarzania danych osobowych J.S. w KSIP. Sąd stwierdził jedynie, że podstawę prawną do przetwarzania danych osób, wobec których prowadzone było postępowanie przez Policję stanowi art. 20 ust. 1 ustawy z dnia 6 kwietnia 1990r. o Policji ( Dz. U. .z 2007r. Nr. 43, poz. 277 ze zm. ). Zgodnie z tym przepisem Policja, z zachowaniem ograniczeń wynikających z art. 19, może uzyskiwać informacje, w tym także niejawnie, gromadzić je, sprawdzać oraz przetwarzać. Szczegółowe zasady przetwarzania przez Policję danych osobowych zostały uregulowane w przepisach rozporządzenia Ministra Spraw Wewnętrznych i Administracji z dnia 5 września 2007r. w sprawie przetwarzania przez Policję informacji o osobach ( Dz. U. Nr. 170, poz. 1203 ). W myśl § 8 rozporządzenia Komendant Główny Policji zapewnia funkcjonowanie zestawu centralnych zbiorów informacji o nazwie Krajowy System Informacyjny Policji ( KSIP ). Wbrew twierdzeniom skargi kasacyjnej Sąd I instancji nie sformułował kategorycznego poglądu co do tego, że przepisy ustawy o ochronie danych osobowych nie mają zastosowania do zbioru jakim jest KSIP. Wręcz przeciwnie odwołując się do przepisu § 11 ust. 1 rozporządzenia, z którego wynika że administrator zbioru dokonuje oceny przydatności informacji w prowadzonych postępowaniach w sposób systematyczny, po zakończeniu sprawy, w ramach której informacje zostały wprowadzone do zbioru, a następnie okresowo, z częstotliwością co najmniej raz na 10 lat, Sąd powiedział że skoro w przedmiotowej sprawie nie upłynął jeszcze okres 10 lat , to przedwcześnie GIODO nakazał usunięcie danych z KSIP. Niezależnie od powyższego zarzut określony w pkt. 2 skargi kasacyjnej został sformułowany nieprawidłowo, nie można bowiem stawiając zarzut naruszenia przepisów postępowania ( w tym wypadku art. 134 Ppsa ) zarzucać poprzez ten przepis zastosowanie lub niezastosowanie przepisów prawa materialnego. Podstawy kasacyjne określone w art. 174 P.p.s.a. mają charakter odrębny i nie podlegają łączeniu, ponieważ odnoszą się do różnego rodzaju uchybień ( por. wyrok NSA z dnia 20 lipca 2012r. I OSK 2222/11 LEX nr 1213334 ). Nadto jak wynika z przepisu art. 174 pkt. 2 Ppsa podstawę skargi kasacyjnej stanowić może tylko takie naruszenie przepisów postępowania, które wpłynęło na wynik sprawy Okoliczność ta wymaga uzasadnienia, którego w rozpoznawanej skardze kasacyjnej jest brak. Nietrafne są także zarzuty naruszenia przez Sąd I instancji przepisów prawa materialnego – art. 3 i art. 5 ustawy o ochronie danych osobowych oraz art. 20 ust. 1 ustawy o Policji przez przyjęcie, że przepisy ustawy o ochronie danych osobowych nie mają zastosowania w kwestii oceny legalności przetwarzania danych osobowych skarżącego. Trzeba przede wszystkim wskazać, że Sąd I instancji nie wypowiedział w uzasadnieniu zaskarżonego wyroku przypisywanego mu w ww. zarzucie skargi kasacyjnej poglądu. Sąd stwierdził, że kwestie przetwarzania danych osobowych osób wymienionych w art. 2a ustawy o Policji zostały przez prawodawcę uregulowane kompleksowo i stanowią lex specialis w stosunku do ustawy o ochronie danych osobowych. Oznacza to jedynie, że w takiej sytuacji obowiązuje ogólna zasada dotycząca pierwszeństwa przepisu szczególnego w stosunku do przepisów ogólnych, a po drugie, że w takim przypadku niezależnie od przepisów szczególnych stosuje się przepisy dotyczące ogólnych zasad ochrony danych osobowych zawarte w ustawie o ochronie danych osobowych. W świetle powyższego przy ponownym rozpoznawaniu wniosku skarżącego Komendant Główny Policji powinien wykazać w sposób bardziej staranny i kompleksowy istnienie przesłanek dalszego przechowywania danych skarżącego określonych w art. 20 ust. 17 ustawy o Policji. Przepis ten pozwala na przechowywanie informacji zebranych w celu wykrycia przestępstwa przez okres, w którym są one niezbędne dla realizacji ustawowych zadań wykonywanych przez Policję. W pismach kierowanych przez Komendanta Głównego Policji do GIODO nie zostało wykazane w żaden sposób, że wskazany w tym przepisie ustawowy warunek przechowywania danych osobowych został spełniony. Mając wszystko to na uwadze Naczelny Sąd Administracyjny na podstawie art. 184 P.p.s.a. orzekł jak w sentencji.

Źródło: Centralna Baza Orzeczeń Sądów Administracyjnych (orzeczenia.nsa.gov.pl), pozyskano 14.07.2026. · Źródło