ZSOSS.440.112

PostanowieniePrezes UODO2019-05-23

Analiza orzeczenia

Sekcja wygenerowana przez AI na podstawie treści orzeczenia — nie stanowi cytatu.

Zagadnienie prawne
Czy organ Policji jest obowiązany do udzielenia osobie, której dane dotyczą, informacji o przetwarzaniu jej danych osobowych w bazach KCIK, czy też przetwarzanie to może odbywać się bez jej wiedzy i zgody na podstawie przepisów lex specialis?
Ratio decidendi
Przetwarzanie danych kryminalnych w KCIK ma charakter obligatoryjny i regulowane jest przez ustawę o KCiK oraz ustawę o Policji, które stanowią lex specialis wobec ustawy o ochronie danych osobowych. Przepisy te wyraźnie zezwalają na gromadzenie i przetwarzanie informacji kryminalnych bez wiedzy i zgody osób, których one dotyczą, w celu ochrony metod operacyjnych Policji i bezpieczeństwa publicznego. W związku z tym odmowa spełnienia obowiązku informacyjnego wynikającego z art. 33 ust. 1 ustawy o ochronie danych osobowych była zasadna i nie stanowi naruszenia prawa.
Stan faktyczny
Skarżący złożył wniosek do Komendanta Głównego Policji o udzielenie informacji na temat przetwarzania jego danych osobowych w bazach KCIK. Komendant Główny odmówił udzielenia informacji, powołując się na przepisy ustawy o KCiK i ustawy o Policji, które dopuszczają przetwarzanie danych kryminalnych bez wiedzy i zgody osób, których one dotyczą. Skarżący złożył skargę do Prezesa UODO, domagając się nakazania udzielenia informacji. Prezes UODO przeprowadził kontrolę, nie stwierdzając uchybień w przetwarzaniu, i oddalił skargę.
Rozstrzygnięcie
Odmawiam uwzględnienia wniosku

Pełny tekst orzeczenia

Warszawa, 23 maja 2019prawomocna Decyzja ZSOŚS.440.112.2018 Na podstawie art. 104 § 1 ustawy z dnia 14 czerwca 1960 r. Kodeks postępowania administracyjnego (Dz. U. z 2018 r. poz. 2096, ze zm.), art. 12 pkt 2, art. 22 oraz art. 23 ust. 1 pkt 2 ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (Dz. U. z 2016 r. poz. 922 ze zm.), w związku z art. 100 ustawy z dnia 14 grudnia 2018 r. o ochronie danych osobowych przetwarzanych w związku z zapobieganiem i zwalczaniem przestępczości (Dz. U. z 2019 r. poz. 125), po przeprowadzeniu postępowania administracyjnego w sprawie skargi Pana G. B., zam. w Ż., w przedmiocie odmowy udzielenia informacji przez Komendanta Głównego Policji o przetwarzaniu danych osobowych w bazach Krajowego Centrum Informacji Kryminalnych, odmawiam uwzględnienia wniosku Uzasadnienie Do Biura Generalnego Inspektora Ochrony Danych Osobowych (obecnie: Urząd Ochrony Danych Osobowych) wpłynęła w dniu (…) października 2017 r. skarga Pana G. B., zam. w Ż. (dalej „Skarżący”), dotycząca odmowy udzielenia informacji przez Komendanta Głównego Policji (dalej „Komendant Główny”) o przetwarzaniu danych osobowych Skarżącego w bazach Krajowego Centrum Informacji Kryminalnych (dalej „KCIK”). Należy przy tym wskazać, iż z dniem wejścia w życie ustawy z dnia 10 maja 2018 r. o ochronie danych osobowych, tj. 25 maja 2018 r., Generalny Inspektor Ochrony Danych Osobowych stał się Prezesem Urzędu Ochrony Danych Osobowych (dalej „Prezes UODO”). Zgodnie zaś z art. 100 ustawy z dnia 14 grudnia 2018 r. o ochronie danych osobowych przetwarzanych w związku z zapobieganiem i zwalczaniem przestępczości (Dz. U. z 2019 r. poz. 125), postępowania prowadzone przez Prezesa UODO, wszczęte i niezakończone przed dniem wejścia tej ustawy w życie, prowadzone są na podstawie przepisów dotychczasowych, tj. przepisów ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (Dz. U. z 2016 r. poz. 922 ze zm.). W skardze Skarżący wskazał, że Komendant Główny bez podstawy prawnej odmawia Skarżącemu udzielenia informacji w przedmiocie przetwarzania jego danych osobowych w bazach KCIK. Skarżący zakwestionował w skardze prawo Komendanta Głównego do odmowy udzielenia Skarżącemu informacji w przedmiocie przetwarzania jego danych osobowych w bazach KCIK i wniósł o nakazanie Komendantowi Głównemu udzielenia tej informacji. W skardze Skarżący zarzucił Komendantowi Głównemu naruszenie: – art. 7 i art. 51 ust. 3 Konstytucji Rzeczypospolitej Polskiej z dnia 2 kwietnia 1997 r. (Dz. U. z 1997 r. Nr 78, poz. 483 ze zm.), – art. 18 ust. 2 w związku z art. 4 pkt 4 ustawy z dnia 6 lipca 2001 r. o przetwarzaniu informacji kryminalnych, zwanej dalej „ustawą o KCiK” (Dz. U. z 2019 r. poz. 44 ze zm.; poprzedni tytuł aktu: ustawa o gromadzeniu, przetwarzaniu i przekazywaniu informacji kryminalnych), – art. 33 ust. 1 ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (Dz. U. z 2016 r. poz. 922 ze zm.), zwanej dalej „uodo”, w związku z art. 18 ust. 2 ustawy o KCiK, – art. 34 uodo w związku z art. 18 ust. 2 ustawy o KCiK. W toku postępowania wszczętego w wyniku skargi, Prezes UODO przeprowadził kontrolę w Komendzie Głównej Policji, uzyskał wyjaśnienia odnośnie okoliczności sprawy, zapoznał się z materiałem dowodowym i dokonał następujących ustaleń. Skarżący, pismem z (…) sierpnia 2017 r., złożył do Komendanta Głównego wniosek o udzielenie informacji w przedmiocie przetwarzania jego danych osobowych w bazach danych KCIK. W odpowiedzi na wspomniane pismo, Komendant Główny w piśmie z (…) września 2017 r. odmówił Skarżącemu udzielenia ww. informacji oraz poinformował Skarżącego, że gromadzenie, przetwarzanie i przekazywanie informacji kryminalnych na zasadach określonych w ustawie o KCIK, odbywa się bez wiedzy osób, których one dotyczą, a informacje te podlegają ochronie określonej w przepisach o ochronie informacji niejawnych. Komendant Główny wskazał także, iż „ustawa o KCIK (…) stanowi lex specialis wobec norm określonych w art. 25, 32 i 33 ustawy o ochronie danych osobowych (…)”, a w związku z tym „(…) Komendant Główny Policji jako Szef Centrum nie jest obowiązany do informowania osoby, której dane osobowe może gromadzić i przetwarzać, o fakcie przetwarzania tych danych jak również o zakresie przetwarzania czy też udostępniania danych osobowych.”. Komendant Główny podniósł również, że nie jest obowiązany do informowania o treści informacji, o odbiorcach danych, o usunięciu informacji i o zakresie usuniętych danych ze zbioru danych. W związku ze skargą, przeprowadzona została również kontrola Urzędu Ochrony Danych Osobowych, której zakresem objęto przetwarzanie przez Komendanta Głównego Policji danych osobowych Skarżącego w KCIK. Analiza całokształtu materiału dowodowego zebranego w sprawie, pozyskanego w toku kontroli, nie wykazała uchybień w procesie przetwarzania danych osobowych w zakresie objętym kontrolą i skargą. Ponadto, jak ustalono w toku kontroli, odmawiając odpowiedzi potwierdzającej albo zaprzeczającej faktowi przetwarzania danych osobowych Skarżącego, Komendant Główny Policji powołał się przede wszystkim na art. 2 ust. 2 ustawy o KCIK, zgodnie z którym gromadzenie, przetwarzanie i przekazywanie informacji kryminalnych na zasadach określonych w ustawie o KCIK odbywa się bez wiedzy i zgody osób, których one dotyczą. Analogiczny przepis, tj. art. 20 ust. 2a, wprowadzony został również do ustawy z dnia 6 kwietnia 1990 r. o Policji (Dz.U. z 2019 r. poz. 161 – dalej „ustawa o Policji”). Zgodnie z brzmieniem tego przepisu, Policja może pobierać, uzyskiwać, gromadzić, przetwarzać i wykorzystywać w celu realizacji zadań ustawowych informacje, w tym dane osobowe, o osobach w tym przepisie wymienionych, także bez ich wiedzy i zgody. Na podstawie art. 20 ust. 2a ustawy o Policji, Policja odmawia wykonania obowiązku informacyjnego wobec osób wnioskujących o jego wypełnienie w zakresie przetwarzania ich danych osobowych w Krajowym Systemie Informacyjnym Policji (KSIP). W takim stanie faktycznym i prawnym Prezes Urzędu Ochrony Danych Osobowych zważył, co następuje: Powołana wyżej ustawa o ochronie danych osobowych, stwarza prawne podstawy stosowania ochrony państwowej w sytuacjach nielegalnego przetwarzania danych osobowych obywateli przez zarówno podmioty prawa publicznego, jak i podmioty prawa prywatnego. W celu jej realizacji organ ochrony danych osobowych został wyposażony w kompetencje władcze, umożliwiające sankcjonowanie stwierdzanych nieprawidłowości w procesie przetwarzania danych osobowych. Oznacza to, iż organ ochrony danych osobowych, oceniając stan sprawy i dokonując subsumpcji, stwierdza, czy kwestionowane przetwarzanie danych osobowych znajduje oparcie choćby w jednej z przesłanek legalizujących przetwarzanie danych osobowych, wskazanej w art. 23 ust. 1 ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (Dz. U. z 2016 r. poz. 922 ze zm. – dalej „ustawa o ochronie danych osobowych”) i w zależności od występujących w sprawie ustaleń – albo wydaje nakaz lub zakaz, albo odmawia uwzględnienia wniosku, ewentualnie umarza postępowanie. Wydanie nakazu usunięcia uchybień w procesie przetwarzania danych osobowych następuje wówczas, gdy organ ochrony danych osobowych stwierdza naruszenie norm prawnych w zakresie przetwarzania danych osobowych. Zgodnie z treścią art. 1 ustawy o ochronie danych osobowych, każdy ma prawo do ochrony dotyczących go danych osobowych, a przetwarzanie tych danych, w znaczeniu, o którym mowa w art. 7 pkt 2 ww. ustawy, dopuszczalne jest tylko ze względu na określone dobra, tj. dobro publiczne, dobro osoby, której dane dotyczą lub dobro osoby trzeciej i tylko w zakresie oraz trybie określonym ustawą. Mając zatem na uwadze powyższe, stosując przepisy ustawy o chronię danych osobowych, należy za każdym razem wyważać dobra, które legły u jej podstaw. W przedmiotowej sprawie na uwadze należy mieć treść art. 23 ust. 1 pkt 2 ustawy o ochronie danych osobowych, który stanowi, iż przetwarzanie danych jest dopuszczalne, gdy jest to niezbędne dla zrealizowania uprawnienia lub spełnienia obowiązku wynikającego z przepisu prawa. Podstawę prawną do przetwarzania przez Komendanta Głównego danych osobowych w KCIK, stanowią przede wszystkim przepisy wspomnianej wyżej ustawy o KCIK. Zgodnie z art. 2 ust. 1 ustawy, „na zasadach określonych w ustawie informacje kryminalne przetwarza się w celu wykrywania i ścigania sprawców przestępstw oraz zapobiegania i zwalczania przestępczości”. Z brzmienia powyżej powołanego przepisu wynika, że przetwarzanie informacji kryminalnych jest obligatoryjne, a obowiązek w rzeczonym zakresie realizuje, na podstawie art. 5 ust. 1 i art. 6 ustawy o KCIK, Komendant Główny. Wobec powyższego, biorąc pod uwagę także brzmienie powołanego przez Komendanta Głównego art. 2 ust. 2 ustawy o KCIK, zgodnie z którym gromadzenie, przetwarzanie i przekazywanie informacji kryminalnych na zasadach określonych w ustawie o KCIK odbywa się bez wiedzy i zgody osób, których one dotyczą, należy przychylić się do argumentacji Komendanta Głównego, stanowiącej podstawę odmowy udzielenia informacji Skarżącemu. Słuszność odmownego stanowiska Komendanta Głównego w kwestii wykonania obowiązku informacyjnego w zakresie wskazanym w art. 33 ust. 1 ustawy o ochronie danych osobowych znajduje potwierdzenie w wyroku Wojewódzkiego Sądu Administracyjnego (sygn. akt: II SA/Wa 1885/10). W uzasadnieniu rzeczonego wyroku Wojewódzki Sąd Administracyjny orzekł, że „Odnosząc się do nakazania Komendantowi Głównemu Policji spełnienia wobec M. D. obowiązku informacyjnego w zakresie wskazanym w art. 33 ust. 1 ustawy o ochronie danych osobowych, także należy wskazać, iż przepis art. 20 ust. 2a ustawy o Policji stanowi lex specialis w stosunku do ww. przepisu ustawy o ochronie danych osobowych. Policja może przetwarzać dane osobowe m.in. osób podejrzanych o popełnienie przestępstw nie tylko bez ich zgody, ale co istotne w sprawie bez ich "wiedzy". Owo ustawowe ograniczenie prawa obywatelskiego do uzyskania wiedzy na temat informacji posiadanych o nim przez Policję wynika z konieczności ograniczania dostępu do informacji mogących chociażby pośrednio ujawnić metody operacyjne Policji, tj. źródła informacji o przestępstwach, powiązania środowisk przestępczych, itp. To z kolei usprawiedliwia przetwarzanie danych osobowych osób, o których mowa w art. 20 ust. 2a ustawy o Policji, bez ich wiedzy, albowiem dane te, co należy podkreślić, zostały uzyskane w sposób legalny, zgodny z prawem, pod nadzorem sądów powszechnych.”. Powyższe stanowisko Wojewódzki Sąd Administracyjny podtrzymał w kolejnym wyroku (sygn. akt II SA/Wa 1648/13), a następnie podzielił je Naczelny Sąd Administracyjny, rozpoznając skargę kasacyjną od przytoczonego orzeczenia (sygn. akt: I OSK 1100/11). Mając zatem na względzie analogię przepisów określonych w ustawie o KCIK (art. 2 ust. 2) oraz ustawie o Policji (art. 20 ust. 2a), należy przychylić się do stanowiska przedstawionego przez Komendanta Głównego Policji zarówno w toku kontroli jak i w odpowiedzi przekazanej Skarżącemu pismem z (…) września 2017 r., w której odmówiono wypełnienia obowiązku informacyjnego określonego w art. 33 ust. 1 ustawy o ochronie danych osobowych w zakresie przetwarzania danych osobowych w KCIK. W świetle powyższych ustaleń, nie można zgodzić się z zarzutem Skarżącego, jakoby Komendant Główny naruszył przepisy prawa w przedmiotowej sprawie i należy stwierdzić, iż Komendant Główny legitymuje się podstawą prawną do odmowy Skarżącemu udzielenia informacji w przedmiocie przetwarzania jego danych osobowych w KCIK. W tym stanie faktycznym i prawnym Prezes Urzędu Ochrony Danych Osobowych rozstrzygnął, jak w sentencji.

Źródło: Urząd Ochrony Danych Osobowych (uodo.gov.pl), pozyskano 14.07.2026. · Źródło