Decyzja Prezesa UODO dotycząca prawa dostępu do danych, o którym mowa w tzw. Dyrektywie policyjnej

Decyzja Prezesa Urzędu Ochrony Danych Osobowych dotycząca prawa dostępu do danych osobowych w Krajowym Systemie Informacyjnym Policji. Skarga osoby fizycznej na nieprawidłowości w procesie przetwarzania danych osobowych przez Komendanta Głównego Policji. Skarżący żąda informacji o przetwarzaniu danych osobowych w KSIP zgodnie z dyrektywą Parlamentu Europejskiego i Rady. Biuro Wywiadu i Informacji Kryminalnych odmawia udzielenia informacji.

Tematyka: Decyzja Prezesa UODO, prawo dostępu do danych, Skarga, Komendant Główny Policji, KSIP, dyrektywa Parlamentu Europejskiego i Rady, Biuro Wywiadu i Informacji Kryminalnych, OchrDanychZwPrzestU, PolicjaU, PrzetInfPolicR, art. 26 ust. 1 OchrDanychZwPrzestU

Decyzja Prezesa Urzędu Ochrony Danych Osobowych (dalej jako: „Prezes UODO”) w sprawie odmowy
udzielenia informacji o przetwarzaniu danych osobowych Skarżącego przez Komendanta Głównego Policji
w Warszawie w Krajowym Systemie Informacyjnym Policji (dalej jako: „KSIP”). Zdaniem Prezesa UODO
Komendant Główny Policji (dalej jako: „Komendant”) nie był zobowiązany do udzielenia Skarżącemu
informacji dotyczących ewentualnego przetwarzania jego danych osobowych w KSIP.
Stan faktyczny – stanowisko Skarżącego
Do UODO wpłynęła skarga osoby fizycznej na nieprawidłowości w procesie przetwarzania jego danych osobowych
przez Komendanta. Nieprawidłowości miały polegać na przetwarzaniu jego danych osobowych w KSIP.
Skarżący zawarł w skardze wniosek o udzielenie mu informacji czy w KSIP są przetwarzane jego dane osobowe oraz
udzielenie informacji (w razie gdyby w bazie KSIP przetwarzane były jego dane osobowe) o:
a) celu i podstawie prawnej ich przetwarzania,
b) kategorii danych osobowych i danych, które są przetwarzane,
c) odbiorcach lub kategoriach odbiorców, którym dane osobowe zostały ujawnione, w szczególności o odbiorcach
w państwach trzecich lub organizacjach międzynarodowych,
d) okresie przechowywania danych osobowych, a gdyby nie było to możliwe, o kryteriach służących określeniu tego
okresu,
e) źródle pochodzenia danych,
f) przysługujących Skarżącemu prawach w związku z przetwarzaniem jego danych osobowych oraz udzielenie
Skarżącemu dostępu do jego danych osobowych poprzez przekazanie kopii jego danych osobowych albo wyciągu
z tych danych sporządzonego w przystępnej formie.
Skarżący zatem chciał skorzystać z prawa dostępu do danych (w tym prawa do kopii danych), określonego w art. 14
dyrektywy Parlamentu Europejskiego i Rady (UE) 2016/680 z 27.4.2016 r. w sprawie ochrony osób fizycznych
w związku z przetwarzaniem danych osobowych przez właściwe organy do celów zapobiegania przestępczości,
prowadzenia postępowań przygotowawczych, wykrywania i ścigania czynów zabronionych i wykonywania kar,
w sprawie swobodnego przepływu takich danych oraz uchylająca decyzję ramową Rady 2008/977/WSiSW (Dz. Urz.
UE L Nr 119 z 2016 r., s. 89 ze zm., dalej jako: OchrOsFizD). Uzasadniając żądanie Skarżący podniósł, że podjął
działania zmierzające do uzyskania informacji o tym, czy jego dane osobowe znajdują się w krajowych bazach
danych policji, w tym w Polsce. Ostatecznie żądał ich usunięcia.
Jednakże w drodze decyzji z lutego 2018 r. Biuro Wywiadu i Informacji Kryminalnych Komendy Głównej Policji
odmówiło Skarżącemu udzielenia żądanych informacji. Wskazano, że Policja nie jest zobowiązana do informowania
osoby, której dane osobowe przetwarza, o fakcie przetwarzania tych danych jak również o zakresie przetwarzania
czy też udostępniania danych osobowych.
Stanowisko Skarżącego sprowadzało się natomiast do stwierdzenia, że w sytuacji, gdy podmiot danych wystąpi
z żądaniem o realizację przysługujących mu praw w odniesieniu do danych osobowych, które Policja przetwarza, to
z wyłączeniem okoliczności przewidzianych w art. 26 ustawy z 14.12.2018 r. o ochronie danych osobowych
przetwarzanych w związku z zapobieganiem i zwalczaniem przestępczości (Dz.U. z 2019 r. poz. 125; dalej jako:
OchrDanychZwPrzestU), brak jest podstaw do odmowy przez Policję spełnienia żądania.
Artykuł 26 ust. 1 OchrDanychZwPrzestU stanowi o negatywnych przesłankach przekazywania informacji
i udostępniania danych osobowych. Zgodnie z tym artykułem nie przekazuje się informacji, o których mowa
w przepisach rozdziału 4 OchrDanychZwPrzestU (prawa osób, których dane dotyczą), oraz nie udostępnia się
danych osobowych, jeżeli mogłoby to powodować m.in. ujawnienie informacji uzyskanych w wyniku czynności
operacyjno-rozpoznawczych, utrudnienie lub uniemożliwienie rozpoznawania, zapobiegania, wykrywania lub
zwalczania czynów zabronionych, czy utrudnienie prowadzenia postępowania karnego, karnego wykonawczego,
karnego skarbowego lub w sprawach o wykroczenia lub wykroczenia skarbowe, zagrożenie życia, zdrowia ludzkiego
lub bezpieczeństwa i porządku publicznego, zagrożenie bezpieczeństwa narodowego, w tym obronności lub

bezpieczeństwa oraz ekonomicznych podstaw funkcjonowania państwa, czy istotne naruszenie dóbr osobistych
innych osób.
Stan faktyczny - stanowisko Komendy
Komendant wskazał, że Policja przetwarza dane osobowe zgodnie z art. 20 ustawy z 6.4.1990 r. o Policji (t.j.: Dz.U.
z 2019 r. poz. 161 ze zm.; dalej jako: PolicjaU). Ustawa ta określa zasady i tryb gromadzenia oraz udostępniania
informacji, w tym danych osobowych, w szczególności art. 20 ust. 2a. Artykuł ten odnosi się kwestii związanych
z uzyskiwaniem, sprawdzaniem, przetwarzaniem i wymianą informacji przez Policję.
Dane osobowe zebrane zgodnie z przepisami PolicjaU, w granicach ustawowych uprawnień Policji, dla realizacji
zadań w zakresie bezpieczeństwa i porządku publicznego przetwarzane bez wiedzy i zgody podmiotu danych
podlegają ograniczeniom w zakresie dostępu do informacji, w tym do uzyskania informacji o ich przetwarzaniu i do
usuwania informacji zebranych legalnie przy wykonywaniu ustawowych zadań. Komendant uznał zatem, że
udostępnienie wnioskowanych przez Skarżącego informacji mogłoby naruszyć obowiązek zapewnienia prawidłowej
realizacji prawnie określonych zadań na Policje.
Stanowisko UODO
Prezes UODO stwierdził, że Policja może pobierać, uzyskiwać, gromadzić, przetwarzać i wykorzystywać w celu
realizacji zadań ustawowych informacje, w tym dane osobowe w zakresie niezbędnym dla zrealizowania uprawnienia
lub spełnienia obowiązku wynikającego z przepisu prawa. Szczegółowe zasady przetwarzania danych osobowych
osób wymienionych w art. 20 ust. 2a PolicjaU określa rozporządzenie Ministra Spraw Wewnętrznych i Administracji
z 24.8.2018 r. w sprawie przetwarzania informacji przez Policję (Dz.U. z 2018 r. poz. 1636 ze zm.; dalej jako:
PrzetInfPolicR). Zgodnie z § 10 ust. 2 PrzetInfPolicR w KSIP mogą być przetwarzane również informacje,
w tym dane osobowe, do których gromadzenia, uzyskiwania i przetwarzania Policja jest uprawniona na
podstawie odrębnych ustaw, jeżeli przyczynia się to do koordynacji informacji oraz efektywniejszej
organizacji i realizacji ustawowych zadań Policji w zakresie wykrywania i ścigania sprawców przestępstw
oraz zapobiegania przestępczości i jej zwalczania, a także ochrony życia i zdrowia ludzi.
Kryterium niezbędności przetwarzania danych osobowych w KSIP musi być zawsze odnoszone do ustawowych
zadań Policji, których realizowaniu mają służyć przepisy art. 20 ust. 1, ust. 2a i 2b w zw. z art. 20 ust. 17 PolicjaU.
Zgodnie z art. 20 ust. 17b PolicjaU dane osobowe, o których mowa w ust. 17 usuwa się jeżeli organ Policji powziął
wiarygodną informację, że: czynu stanowiącego podstawę wprowadzenia informacji do zbioru nie popełniono albo
brak jest danych dostatecznie uzasadniających podejrzenie jego popełnienia, lub zdarzenie lub okoliczność,
w związku z którymi wprowadzono informacje do zbioru nie ma znamion czynu zabronionego, lub osoba, której dane
dotyczą została uniewinniona prawomocnym wyrokiem sądu.
Mając na uwadze powyższe należy stwierdzić, że Komendant nie był zobowiązany do udzielenia Skarżącemu
informacji dotyczących ewentualnego przetwarzania jego danych osobowych w KSIP. Wynika to wprost z art.
20 ust. 2a PolicjaU oraz art. 26 ust. 1 OchrDanychZwPrzestU.
Na uwagę zasługuje przede wszystkim walor edukacyjny tej decyzji. Prezes UODO dokonuje wyjaśnienia, na czym
może polegać i z jakich uregulowań może wynikać ograniczenie w ustawodawstwie krajowym przepisów OchrOsFizD
(w tym przypadku praw podmiotu danych).
Decyzja Prezesa UODO z 17.07.2019 r., ZSOŚS.440.64.2019

Prezes UODO stwierdza, że Komendant Policji nie był zobowiązany do udzielenia informacji Skarżącemu. Decyzja ta ma walor edukacyjny, wyjaśniając ograniczenia w ustawodawstwie dotyczące praw podmiotu danych. Decyzja Prezesa UODO z 17.07.2019 r., ZSOŚS.440.64.2019.