
Warszawa, 13 grudnia 2018prawomocna
Decyzja ZSOŚS.440.126.2018
-
-
Na podstawie art. 104 § 1 ustawy z dnia 14 czerwca 1960 r. - Kodeks postępowania administracyjnego (Dz.U. z 2018 poz. 2096) oraz art. 12 pkt 2, art. 22 i art. art. 32 ust. 1 pkt. 1-5a ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (Dz. U. z 2016 r., poz. 922 z późn. zm.), zwanej dalej „u.o.d.o.”, w związku z art. 160 ust. 1 i 2 ustawy z dnia 10 maja 2018 r. o ochronie danych osobowych (Dz. U. poz. 1000 z późn. zm.)
-
po przeprowadzeniu postępowania administracyjnego w sprawie skargi Pana M. S., zam. w G. w przedmiocie niezrealizowania wobec niego obowiązku informacyjnego przez Komendanta Głównego Policji
-
odmawiam uwzględnienia wniosku
-
-
Uzasadnienie
-
W dniu (…) czerwca 2015 r. do Biura Generalnego Inspektora Ochrony Danych Osobowych wpłynęła skarga skargi Pana M. S., zam. w G. w przedmiocie niezrealizowania wobec niego obowiązku informacyjnego przez Komendanta Głównego Policji. W treści skargi Skarżący wskazał, że (…) marca 2015 r. wystąpił do Komendy Głównej Policji z wnioskiem o udostępnienie mu na podstawie art. 32 u.o.d.o. wszelkich danych dotyczących jego osoby znajdujących się w Krajowym Systemie Informacyjnym Policji. Pismem z (…) marca 2015 r. Komendant Główny Policji odmówił ((…)) udzielenia ww. informacji, jako podstawę prawną wskazując „przepis art. 20 ust. 2a ustawy o Policji, który to przepis stanowi lex specialis w stosunku do art. 32 i 33 ustawy o ochronie danych osobowych” oraz wskazując, że „Policja nie jest zobowiązana do informowania osoby, której dane osobowe przetwarza, o fakcie przetwarzania tych danych jak również o zakresie przetwarzania czy też udostępniania danych osobowych”.
-
W związku z powyższym (…) grudnia 2015 r. Generalny Inspektor Ochrony Danych Osobowych skierował do Komendanta Głównego Policji wezwanie do złożenia wyjaśnień. Komendant Główny Policji w odpowiedzi pismem (…) z (…) stycznia 2016 r. odniósł się do pisma Skarżącego, ponownie przywołując art. 20 ust. 2a ustawy o Policji jako podstawę prawną swoich działań, a także wskazując że „dodać należy, iż zgodnie z art. 51 ust. 5 Konstytucji Rzeczypospolitej Polskiej zasady i tryb gromadzenia oraz udostępniania informacji określi ustawa (…) Konstytucja RP rozróżnia prawo do dostępu do zbiorów danych, którego ograniczenia może określać ustawa (art. 51 ust. 3 Konstytucji RP) od prawa do żądania usunięcia informacji nieprawdziwych, niepełnych lub zebranych w sposób sprzeczny ustawą (art. 51 ust. 4 Konstytucji RP). Jednocześnie należy dodać, iż prawo dostępu do zbiorów danych nie jest tożsame z prawem dostępu do informacji, jak również prawo do żądania usunięcia danych nie jest tożsame z prawem do udostępnienia danych, czy też z prawem dostępu do zbiorów danych”.
-
W takim stanie faktycznym i prawnym Prezes Urzędu Ochrony Danych Osobowych zważył, co następuje:
-
Powołana wyżej ustawa o ochronie danych osobowych z dnia 29 sierpnia 1997 r. stwarza prawne podstawy stosowania ochrony państwowej w sytuacjach nielegalnego przetwarzania danych osobowych obywateli przez zarówno podmioty prawa publicznego, jak i podmioty prawa prywatnego. W celu jej realizacji organ ochrony danych osobowych został wyposażony w kompetencje władcze, umożliwiające sankcjonowanie stwierdzanych nieprawidłowości w procesie przetwarzania danych osobowych. Wydanie nakazu usunięcia uchybień w procesie przetwarzania danych osobowych następuje wówczas, gdy organ ochrony danych osobowych stwierdza naruszenie norm prawnych w zakresie przetwarzania danych osobowych.
-
W przedmiotowej sprawie na uwadze należy w szczególności mieć na względzie art. 32 ust. 1 pkt. 1-5a u.o.d.o., zgodnie z którym każdej osobie przysługuje prawo do kontroli przetwarzania danych, które jej dotyczą, zawartych w zbiorach danych, a zwłaszcza prawo do:
- 1)
-
uzyskania wyczerpującej informacji, czy taki zbiór istnieje, oraz do ustalenia administratora danych, adresu jego siedziby i pełnej nazwy, a w przypadku gdy administratorem danych jest osoba fizyczna - jej miejsca zamieszkania oraz imienia i nazwiska;
- 2)
-
uzyskania informacji o celu, zakresie i sposobie przetwarzania danych zawartych w takim zbiorze;
- 3)
-
uzyskania informacji, od kiedy przetwarza się w zbiorze dane jej dotyczące, oraz podania w powszechnie zrozumiałej formie treści tych danych;
- 4)
-
uzyskania informacji o źródle, z którego pochodzą dane jej dotyczące, chyba że administrator danych jest zobowiązany do zachowania w tym zakresie w tajemnicy informacji niejawnych lub zachowania tajemnicy zawodowej;
- 5)
-
uzyskania informacji o sposobie udostępniania danych, a w szczególności informacji o odbiorcach lub kategoriach odbiorców, którym dane te są udostępniane;
- a)
-
5a) uzyskania informacji o przesłankach podjęcia rozstrzygnięcia, o którym mowa w art. 26a ust. 2 u.o.d.o.
-
Tryb udzielania powyższej informacji określa art. 33 ust. 1 u.o.d.o., wskazując, że na wniosek osoby, której dane dotyczą, administrator danych jest obowiązany, w terminie 30 dni, poinformować o przysługujących jej prawach oraz udzielić, odnośnie do jej danych osobowych, informacji, o których mowa w art. 32 ust. 1 pkt 1-5a u.o.d.o.
-
Rozpatrywać go należy wraz z korespondującym w swojej treści art. 34 pkt. 1-4 u.o.d.o., zgodnie z którym Administrator danych odmawia osobie, której dane dotyczą, udzielenia informacji, o których mowa w art. 32 ust. 1 pkt 1-5a, jeżeli spowodowałoby to:
- 1)
-
ujawnienie wiadomości zawierających informacje niejawne;
- 2)
-
zagrożenie dla obronności lub bezpieczeństwa państwa, życia i zdrowia ludzi lub bezpieczeństwa i porządku publicznego;
- 3)
-
zagrożenie dla podstawowego interesu gospodarczego lub finansowego państwa;
- 4)
-
istotne naruszenie dóbr osobistych osób, których dane dotyczą, lub innych osób.
-
Jako trafne należy uznać wskazanie przez Komendanta Głównego Policji orzecznictwa Naczelnego Sądu Administracyjnego oraz Wojewódzkiego Sądu Administracyjnego w Warszawie. Jak wskazuje bowiem Wojewódzki Sąd Administracyjny w Warszawie w uzasadnieniu wyroku z dnia 10 marca 2011 r., (sygn. akt II SA/Wa 1885/10), „przepis art. 20 ust. 2a ustawy o Policji stanowi lex specialis w stosunku do art. 33 ust. 1 ustawy o ochronie danych osobowych. Policja może przetwarzać dane osobowe m.in. osób podejrzanych o popełnienie przestępstw nie tylko bez ich zgody, ale, co istotne w sprawie, bez ich wiedzy. Owo ustawowe ograniczenie prawa obywatelskiego do uzyskania wiedzy na temat informacji posiadanych o nim przez Policję wynika z konieczności ograniczenia dostępu do informacji mogących chociażby pośrednio ujawnić metody operacyjne Policji, tj. źródła informacji o przestępstwach, powiązania środowisk przestępczych, itp. To z kolei usprawiedliwia przetwarzanie danych osobowych osób, o których mowa w art. 20 ust. 2a ustawy o Policji, bez ich wiedzy”.
-
Powyższy pogląd uzyskał aprobatę Naczelnego Sądu Administracyjnego, który rozpatrując skargę kasacyjną w powyższej sprawie, w wyroku z 19 grudnia 2011 r. (sygn. akt. I OSK 1100/11) wskazał, że „Sąd I instancji jedynie co do art. 33 u.o.d.o. uznał, że przepis ten ustępuje wobec lex specialis jakim jest art. 20 ust. 2a ustawy o Policji i Naczelny Sąd Administracyjny w pełni podziela pogląd wyrażany w tym zakresie w uzasadnieniu zaskarżonego wyroku co do art. 26 ust. 1 i 27 ust. 2pkt 2 u.o.d.o.”
-
Nie sposób zatem podzielić zarzutu Skarżącego o naruszeniu wskazanej normy konstytucyjnej przez Komendanta Głównego Policji. Mając bowiem na względzie przytoczone wyżej orzecznictwo, należy uznać, że w przedmiotowej sprawie spełnione zostały przesłanki określone w art. 51 ust. 3 Konstytucji RP. Dostęp do przedmiotowej informacji został ograniczony na poziomie ustawowym poprzez przytoczony już wcześniej art. 20a ustawy o Policji, który stanowi lex specialis do art. 33 u.o.d.o.
-
Linia orzecznicza w przedmiotowym zakresie była kontynuowana w wyroku Wojewódzkiego Sądu Administracyjnego w Warszawie z 10 stycznia 2014 r. (sygn. akt II SA/Wa 1648/13), w którym Sąd jasno wskazuje, że „art. 20 ust. 2a ustawy o Policji, stanowi lex specialis w stosunku do art. 33 ustawy o ochronie danych osobowych.. Skoro bowiem ustawodawca zezwolił Policji na gromadzenie i przetwarzanie danych osobowych nawet bez wiedzy osób, których dane te dotyczą, to nieracjonalnym byłoby założenie, że jednocześnie zobowiązuje Policję do informowania tych osób o okolicznościach opisanych w art. 32 ust. 1 pkt 1-5a ustawy o ochronie danych osobowych. Pomiędzy wyżej opisanymi unormowaniami występuje bowiem wzajemna sprzeczność”.
-
W obliczu przytoczonych wyżej wyroków nie można zatem się zgodzić również z twierdzeniami Skarżącego, że art. 20a ust. 2a ustawy o Policji wprowadza ograniczenie obowiązku informacyjnego administratora jedynie w zakresie obowiązku informowania o zbieraniu danych. Stoją one bowiem w sprzeczności z przytoczonym wyżej orzecznictwem, które daje jasną wykładnię, że wyłączenie stosowania dotyczy również art. 32 ust. 1 pkt 1-5a u.o.d.o.
-
Odnosząc się natomiast do twierdzenia Skarżącego, że przepisy rozporządzenia wykonawczego dotyczącego KSIP nie wykluczały uprawnienia do żądania wypełnienia obowiązku informacyjnego przez administratora danych zgromadzonych w KSIP w zakresie określonym w art. 33 ust. 1 u.o.d.o., należy zauważyć, że § 16 pkt 9 uchylonego rozporządzenia Ministra Spraw Wewnętrznych z dnia 31 grudnia 2012 r. w sprawie przetwarzania informacji przez Policję (Dz.U.2013.8 z dnia 2013.01.04) stanowił, że administrator zbioru danych zapewnia rejestrację, w formie odpowiedniej do właściwości danego zbioru danych, każdej operacji przetwarzania informacji, w tym danych osobowych, w zakresie wniosków składanych w związku z realizacją praw określonych w art. 32 ust. 1 pkt 6 i art. 33 ustawy o ochronie danych osobowych. Należy zatem stwierdzić, że rzeczony przepis nie nakładał na Komendanta Głównego Policji obowiązku informacyjnego, a jedynie obowiązek rejestracji operacji przetwarzania danych w zakresie składanych wniosków w związku z realizacją wyżej przytoczonych praw.
-
Tym samym, jak potwierdza orzecznictwo, KSIP jest zbiorem danych o szczególnym charakterze. Wyrazem tego są bez wątpienia przytoczone wyżej przepisy, które uwzględniając te specjalne uwarunkowania, tworzą dla niego specjalne, odrębne ramy prawne na poziomie ustawowym i aktu wykonawczego. Rozróżnia go to od „zwykłego” zbioru danych osobowych przetwarzanych np. w celu marketingowym. Ustawodawca, zgodnie z zasadą demokratycznego państwa prawnego, ogranicza prawo dostępu do niego, nawet osobom, których dane są lub mogą być w nim zawarte. Szczególny charakter danych w nim przetwarzanych, a także cel jakim jest zapewnienie bezpieczeństwa i porządku publicznego wymagają bowiem szczególnego kręgu odbiorców. Stąd też dostęp do powyższego zbioru ma przede wszystkim Policja oraz inne uprawnione organy państwa, zaś przetwarzanie może być poddane kontroli niezawisłego sądu.
-
Biorąc zatem pod uwagę powyższe, skargę wniesioną przez Skarżącego należy uznać za bezzasadną.
-
W tym stanie faktycznym i prawnym Prezes Urzędu Ochrony Danych Osobowych rozstrzygnął, jak w sentencji.
-