Do usuwania danych osobowych zgromadzonych w Krajowym Systemie Informacji Policji (KSIP) zastosowanie mają przepisy ustawy o ochronie danych osobowych, a nie przepisy ustawy o Policji, które uprawniają ją do tworzenia KSIP – takie stanowisko Wojewódzki Sąd Administracyjny w Warszawie (WSA) zajął w wyroku z dnia 24 października 2011 r. (sygn. akt II SA/Wa 625/11). Tym samym podzielił opinię Generalnego Inspektora Ochrony Danych Osobowych wyrażoną decyzji administracyjnej dotyczącej kobiety, która przez przypadek, tzn. dopiero gdy starała się o pracę w sądzie, dowiedziała się, że figuruje w KSIP.
Skarżąca w złożonej do GIODO skardze wskazała, że fakt, iż jej dane osobowe znajdują się w KSIP uniemożliwia jej podjęcie pracy w organach wymiaru sprawiedliwości. Postępowania karne, w związku z którymi jej dane zostały w KSIP umieszczone, zostały umorzone. W związku z powyższym jej dane osobowe powinny zostać stamtąd usunięte, o co skarżąca występowała do Komendanta Głównego Policji. Z racji tego, że jej żądania nie zostały uwzględnione, zwróciła się do GIODO, by nakazał policji usunięcie jej danych z KSIP.
GIODO po przeanalizowaniu sprawy nakazał Komendantowi Głównemu Policji usunięcie danych skarżącej z KSIP. W wydanej w tej sprawie decyzji GIODO wskazał, że wprawdzie przepisy regulujące działalność policji, w tym ustawa o Policji oraz rozporządzenie ministra spraw wewnętrznych i administracji z dnia 5 września 2007 r. w sprawie przetwarzania przez Policję informacji o osobach, uprawniają policję do „pobierania, uzyskiwania, gromadzenia, przetwarzania i wykorzystywania” w celu realizacji zadań ustawowych informacji – w tym danych osobowych, o osobach podejrzanych, bez ich wiedzy i zgody, ale jednocześnie stanowią, że administrator zbioru dokonuje oceny przydatności informacji w prowadzonych postępowaniach w sposób systematyczny, po zakończeniu sprawy, w ramach której informacje zostały wprowadzone do zbioru, a następnie okresowo, z częstotliwością co najmniej raz na 10 lat. Przesądzają także, że administrator zbioru usuwa informacje zgromadzone w zbiorze po uzyskaniu wiadomości, że zdarzenie lub okoliczność, w związku z którymi wprowadzono informacje do zbioru, nie ma znamion czynu zabronionego, a także wówczas, jeżeli uzna dane informacje za zbędne w realizacji zadań ustawowych Policji albo nie uzna ich za przydatne w prowadzonych przez Policję postępowaniach.
Zdaniem GIODO, powyżej wskazane przepisy są, co prawda, podstawą do przetwarzania danych osobowych, ale nie wprowadzają żadnych kryteriów pozwalających na dokonanie oceny przydatności tych danych. Dlatego też uznał, że w aktualnie obowiązującym stanie prawnym do przetwarzania danych osobowych w KSIP, w tym ich usuwania, zastosowanie będą miały przepisy ustawy o ochronie danych osobowych.
W swojej decyzji GIODO wskazał, że w myśl art. 26 ust. 1 pkt 4 ustawy o ochronie danych osobowych, administrator danych osobowych powinien przetwarzać je nie dłużej niż jest to niezbędne do osiągnięcia celu, w którym je zebrano. W jego ocenie, dla realizacji celu, jakim jest zapewnienie przez Policję bezpieczeństwa i porządku publicznego, zbędne jest przetwarzanie danych tych osób, co do których prawomocnie umorzono postępowanie karne. Wskazał, że ustanie celu, w jakim dane osobowe są przetwarzane, kształtuje okres, od którego nie powinny być wykorzystywane.
Komendant Główny Policji nie zgodził się z decyzją GIODO i skierował do niego wniosek o ponowne rozpatrzenie sprawy. Ponieważ GIODO utrzymał swoją decyzję w mocy, sprawa trafiła do WSA.
Podczas rozprawy przed Wojewódzkim Sądem Administracyjnym reprezentant policji podnosił, podobnie jak Komendant Główny we wniosku do GIODO o ponowne rozpatrzenie sprawy. Dowodził, iż w jego ocenie, regulacje te spełniają standardy ochrony danych osobowych i zarazem nie wymagają, w zakresie okresu przetwarzania danych osobowych w KSIP, posiłkowania, co do istoty, przepisami ogólnymi ustawy o ochronie danych osobowych.
Jednakże sędziowie nie podzielili opinii Policji, iż przepisy ustawy o Policji, na podstawie których Policja przetwarza dane osobowe w KSIP, stanowią lex specialis w stosunku do ustawy o ochronie danych osobowych i w związku z tym tylko one znajdują zastosowanie w analizowanej sprawie. W wydanym wyroku przychylili się do stanowiska GIODO, uznając, że przepisy określające zasady funkcjonowania policji nie regulują kwestii usunięcia danych z KSIP i nie mogą być traktowane jako lex specialis do ustawy o ochronie danych osobowych. Wskazali, że zgodnie z art. 5 ustawy o ochronie danych osobowych, przepisy odrębnych ustaw stosuje się wtedy, gdy przewidują dalej idącą ochronę danych. Tymczasem przepisy sektorowe odnoszące się do policji stanowią, że sama policja ocenia przydatność danych w KSIP. W opinii sędziów, trudno to uznać za kryteria i dalej idącą ochronę w sprawach o usunięcie danych.
Wyrok jest nieprawomocny.
