II SA/WA 1345/22

II SA/Wa 1345/22 - Wyrok WSA w Warszawie
Data orzeczenia
2022-11-21
orzeczenie prawomocne
Data wpływu
2022-08-03
Sąd
Wojewódzki Sąd Administracyjny w Warszawie
Sędziowie
Andrzej Wieczorek /sprawozdawca/
Izabela Głowacka-Klimas
Piotr Borowiecki /przewodniczący/
Symbol z opisem
647  Sprawy związane z ochroną danych osobowych
Skarżony organ
Generalny Inspektor Ochrony Danych Osobowych
Treść wyniku
Uchylono zaskarżone postanowienie
Sentencja
Wojewódzki Sąd Administracyjny w Warszawie w składzie następującym: Przewodniczący Sędzia WSA Piotr Borowiecki, Sędzia WSA Izabela Głowacka-Klimas, Sędzia WSA Andrzej Wieczorek (spr.), , po rozpoznaniu w trybie uproszczonym w dniu 21 listopada 2022 r. sprawy ze skargi E. B., H. B., S. M., M. M. na postanowienie Prezesa Urzędu Ochrony Danych Osobowych z dnia [...] czerwca 2022 r. nr [...] w przedmiocie odmowy wszczęcia postępowania 1. uchyla zaskarżone postanowienie; 2. zasądza od Prezesa Urzędu Ochrony Danych Osobowych na rzecz skarżących E.B., H.B., S. M., M. M. kwotę 117 (sto siedemnaście) złotych, tytułem zwrotu kosztów postępowania.
Uzasadnienie
Prezes Urzędu Ochrony Danych (zwany dalej Prezesem UODO/organem) postanowieniem z dnia [...] czerwca 2022 r. nr [...] po rozpatrzeniu skargi z dnia [...] kwietnia 2022 r. Pani E. B., Pana H. B., Pani S.M. i Pana M.M. (dalej skarżący) odmówił wszczęcia postępowania w sprawie nieprawidłowości w procesie przetwarzania danych osobowych skarżących przez Rzymskokatolicką Parafię p.w. św. [...] z siedzibą w K. (dalej Parafia).
Skarżący wnieśli w dniu [...] kwietnia 2022 r. do Prezesa UODO skargę na nieprawidłowości w procesie przetwarzania danych osobowych skarżących przez Parafię, polegające na udostępnieniu danych osobowych skarżących w postaci imion, nazwisk oraz adresów zamieszkania poprzez wywieszenie postanowienia Powiatowego Inspektora Nadzoru Budowlanego nr [....] z dnia [...] lutego 2022 r., zawierającego ww. dane osobowe skarżących, w gablocie przy Kościele pw. św. [...] w K. Wyjaśnili, iż są uczestnikami szeregu postępowań administracyjnych z udziałem Parafii, które to postępowania dotyczą rozbudowy cmentarza parafialnego. Podnieśli, że nie wyrażali zgody na to, aby Parafia rozpowszechniała ich dane osobowe.
Wskazali, że pismem z dnia [...] marca 2022 r. zwrócili się do Parafii
o zaprzestanie przetwarzania ich danych osobowych w ww. sposób i usunięcie wywieszonych dokumentów z gabloty znajdującej się przy Parafii. Parafia pismem
z dnia [...] marca 2022 r. odmówiła zrealizowania żądania skarżących i nie odniosła się do treści ich pisma.
W tym stanie rzeczy uznali, że zaszła konieczność wniesienia skargi do Prezesa UODO.
Prezes UODO zaskarżonym postanowieniem odmówił wszczęcia postępowania w sprawie nieprawidłowości w procesie przetwarzania danych osobowych skarżących przez Parafię. Organ stwierdził, że zgodnie z art. 61 § 1 ustawy z dnia 14 czerwca 1960 r. Kodeks postępowania administracyjnego (Dz. U. z 2021 r. poz. 735 ze zm.) zwanej dalej Kpa, postępowanie administracyjne wszczyna się na żądanie strony lub z urzędu. W myśl art. 61 a § 1 Kpa, gdy żądanie, o którym mowa w art. 61, zostało wniesione przez osobę niebędącą stroną lub z innych uzasadnionych przyczyn postępowanie nie może być wszczęte, organ administracji publicznej wydaje postanowienie o odmowie wszczęcia postępowania.
Organ wskazał, że w dniu [...] maja 2018 r. weszła w życie ustawa z dnia 10 maja 2018 r. o ochronie danych osobowych (Dz. U. z 2019 r. poz. 1781). Ponadto, od dnia 25 maja 2018 r. bezpośrednie zastosowanie w polskim porządku prawnym mają przepisy rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (Dz. Urz. UE L 119 z 4.05.2016, str. 1, Dz. Urz. UE L 127 z 23.05.2018, str. 2 oraz Dz. Urz. UE L 74 z 4.03.2021, str. 35), zwanego dalej RODO (art. 99 RODO). Zauważył, że przepisy RODO przewidują, że jeżeli w państwie członkowskim w momencie wejścia RODO w życie kościoły i związki lub wspólnoty wyznaniowe stosują szczegółowe zasady ochrony osób fizycznych
w związku z przetwarzaniem, zasady takie mogą być nadal stosowane, pod warunkiem, że zostaną dostosowane do niniejszego rozporządzenia (art. 91 ust. 1). Kościoły i związki wyznaniowe, które spełniają tę przesłankę, podlegają nadzorowi niezależnego organu nadzorczego, który może być organem odrębnym,
z zastrzeżeniem że spełnia warunki określone w rozdziale VI niniejszego rozporządzenia (art. 91 ust. 2).
Podniósł, że Kościół Katolicki w Polsce skorzystał ze wskazanej wyżej możliwości. W dniu 13 marca 2018 r. Konferencja Episkopatu Polski wydała "Dekret ogólny w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych w Kościele Katolickim" (dalej: Dekret).
W Dekrecie tym prawodawca kościelny wziął pod uwagę zarówno zasady ochrony osób fizycznych w związku z przetwarzaniem ich danych osobowych stosowane dotychczas w Kościele Katolickim w Polsce, jak też "konieczność pogodzenia ochrony danych osobowych z korzystaniem z podstawowego prawa do wolności religijnej, zagwarantowanego również w prawie pozytywnym, także w jego wymiarze instytucjonalnym". Regulacje zawarte w Dekrecie stanowią uszczegółowienie przepisów kanonicznego prawa powszechnego oraz uaktualnienie przepisów kanonicznego prawa partykularnego.
W Dekrecie przewidziano powołanie Kościelnego Inspektora Ochrony Danych (dalej: KIOD) oraz określono jego zadania i uprawnienia (Rozdz. V Dekretu).
W dniu 22 marca 2018 r. ww. Dekret został zatwierdzony przez Stolicę Apostolską (uzyskał recognitio Kongregacji ds. Biskupów), zaś 30 kwietnia 2018 r. nastąpiła jego prawna promulgacja (ogłoszenie) poprzez zamieszczenie na oficjalnej stronie internetowej Konferencji Episkopatu Polski (http://episkopat.pl/wpcontent/uploads/2018/06/DekretOgolnyKEPWSprawie OchronyOsóbFizycznychWZwiazkuZPrzetwarzaniemDanychOsobowychWKoscieleKatolickim.pdł). W tym samym dniu Dekret wszedł w życie (art. 44 Dekretu).
Do zadań Kościelnego Inspektora Ochrony Danych należy m.in. monitorowanie i zapewnianie przestrzegania przepisów o ochronie danych osobowych w ramach
i zgodnie z działaniem Kościoła katolickiego i jego struktur (art. 37 ust. 1 pkt 1 Dekretu), udzielanie osobie, której dane dotyczą informacji dotyczących uprawnień przysługujących jej w związku z przetwarzaniem jej danych osobowych (pkt 3), jak też - co szczególnie istotne wobec oczekiwania skarżących wyrażonego w podaniu skierowanym do państwowego organu nadzorczego - rozpatrywanie skarg dotyczących przestrzegania przepisów ustanowionych w Kościele w zakresie ochrony danych osobowych (art. 37 ust. 1 pkt 5 Dekretu).
Organ podniósł, że zgodnie z art. 52 ust. 1 RODO - każdy organ nadzorczy podczas wypełniania swoich zadań i wykonywania swoich uprawnień zgodnie
z niniejszym rozporządzeniem działa w sposób w pełni niezależny. Prezes UODO nie jest uprawniony do rozpatrzenia i rozstrzygnięcia skargi skarżących. Dotyczy ona bowiem danych osobowych skarżących przetwarzanych przez Parafię w związku
z realizowaniem prawa posiadania, zarządzania oraz zakładania i poszerzania cmentarzy grzebalnych przez parafię Kościoła Katolickiego (art. 45 ust. 1 ustawy
z dnia 17 maja 1989 r. o stosunku Państwa do Kościoła Katolickiego
w Rzeczypospolitej Polskiej (Dz.U. z 2019 r. poz.1347), a zatem w zakresie objętym kompetencjami Kościelnego Inspektora Ochrony Danych.
W tym stanie rzeczy organ orzekł jak w postanowieniu.
Skargę na powyższe postanowienie organu wnieśli do Wojewódzkiego Sądu Administracyjnego w Warszawie skarżący, zarzucając naruszenie art. 61a § 1 Kpa
w zw. z art. 34 ust. 1 ustawy z dnia 10 maja 2018 r. o ochronie danych osobowych, art. 51 ust. 1 i art. 91 rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku
z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE oraz art. 45 ust. 1 ustawy z dnia 17 maja 1989 r. o stosunku Państwa do Kościoła Katolickiego w Rzeczypospolitej Polskiej i art. 37 ust. 1 "Dekretu ogólnego w sprawie ochrony osób fizycznych w związku
z przetwarzaniem danych osobowych w Kościele Katolickim" wydanego przez Konferencję Episkopatu Polski w dniu 13 marca 2018 r. - przez błędne przyjęcie, że każde działanie lub zaniechanie kościelnej osoby prawnej, także niezwiązane
z zadaniami i uprawnieniami Kościoła Katolickiego, w zakresie przetwarzania danych osobowych nie podlega właściwości Prezesa Urzędu Ochrony Danych Osobowych - podczas gdy działania jednostek kościelnych niezwiązane z wykonywaniem zadań
i uprawnień Kościoła Katolickiego, a dotyczące przetwarzania danych osobowych, podlegają właściwości Prezesa Urzędu Ochrony Danych Osobowych.
Zdaniem skarżących błędne jest uznanie przez Prezesa UODO, iż przetwarzanie danych osobowych skarżących nastąpiło "w związku z realizowaniem prawa posiadania, zarządzania oraz zakładania i poszerzania cmentarzy grzebalnych przez parafię Kościoła Katolickiego (art. 45 ust. 1 ustawy z dnia 17 maja 1989 r.
o stosunku Państwa do Kościoła Katolickiego w Rzeczypospolitej Polskiej jak to przyjęto na str. 4 skarżonego postanowienia)". Ich zdaniem działania Parafii w ogóle nie mieszczą się w zadaniach i uprawnieniach Kościoła Katolickiego, gdyż nie sposób przyjąć, aby uprawnienia Kościoła obejmowały rozpowszechnianie czy upublicznianie dokumentów z postępowań administracyjnych poprzez wywieszanie ich w gablotach przykościelnych.
Zdaniem skarżących przepisy powołane w zaskarżonym postanowieniu należy rozumieć w taki sposób, że - na zasadzie wyjątku - kompetencjom Prezesa UODO
nie podlegają wyłącznie te działania jednostek kościelnych, które mieszczą się
w zadaniach i uprawnieniach Kościoła, np. prowadzenie ksiąg i rejestrów związanych z udzielanymi sakramentami, pochówkami. Skoro regulacje te mają charakter wyjątkowy, wyłączający zastosowanie prawa powszechnie obowiązującego
i kompetencje organów państwowych, to nie mogą być interpretowane rozszerzające.
Uznali, że nie można przyjąć, aby jednostki kościelne w ogóle nie podlegały właściwości organów państwowych.
W związku z powyższym wnosili o uchylenie zaskarżonego postanowienia
w całości, zasądzenie od organu na rzecz skarżących kosztów postępowania, rozpoznanie sprawy w postępowaniu uproszczonym.
W odpowiedzi na skargę organ podtrzymał stanowisko jak w zaskarżonym postanowieniu.
Wojewódzki Sąd Administracyjny w Warszawie zważył, co następuje:
Skarga zasługuje na uwzględnienie.
Przedmiotem skargi jest postanowienie organu z dnia [...] czerwca 2022 r.
nr [...] odmawiające wszczęcia postępowania
w sprawie nieprawidłowości w procesie przetwarzania danych osobowych skarżących przez Parafię.
Na wstępie należy wyjaśnić, że sprawa została rozpoznana na posiedzeniu niejawnym w trybie uproszczonym. Warunki rozpoznania sprawy w postępowaniu uproszczonym ustawodawca określił w art. 119 ustawy z dnia 30 sierpnia 2002 r. Prawo o postępowaniu przed sądami administracyjnymi (Dz. U. z 2022 r. poz. 329), dalej "p.p.s.a." Zgodnie z art. 119 pkt 3 p.p.s.a., sprawa może być rozpoznana w trybie uproszczonym, jeżeli przedmiotem skargi jest postanowienie wydane w postępowaniu administracyjnym, na które służy zażalenie albo kończące postępowanie, a także postanowienie rozstrzygające sprawę co do istoty oraz postanowienia wydane w postępowaniu egzekucyjnym i zabezpieczającym, na które służy zażalenie.
Zgodnie z art. 1 § 1 i § 2 ustawy z dnia 25 lipca 2002 r. – Prawo o ustroju sądów administracyjnych (Dz. U. z 2021 r. poz. 137), sądy administracyjne sprawują wymiar sprawiedliwości m. in. przez kontrolę działalności administracji publicznej, a kontrola ta sprawowana jest pod względem zgodności z prawem, jeżeli ustawy nie stanowią inaczej
W ocenie Sądu organ nie odniósł się do opisanego stanu faktycznego
i w związku z tym przedwcześnie zastosował przepis art. 61a Kpa i odmówił wszczęcia postępowania w sprawie ze skarg skarżących.
W dniu 25 maja 2018 r. weszła w życie ustawa z dnia 10 maja 2018 r. o ochronie danych osobowych (Dz. U. z 2019 r. poz. 1781; dalej: u.o.d.o.). Ponadto, od dnia 25 maja 2018 r. bezpośrednie zastosowanie w polskim porządku prawnym mają przepisy rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (Dz. Urz. UE L 119 z 4.05.2016, str. 1, Dz. Urz. UE L 127 z 23.05.2018, str. 2 orazDz. Urz. UE L 74 z 4.03.2021, str. 35), zwanego dalej RODO (art. 99 RODO).
Zgodnie z art. 51 ust. 1 RODO, każde państwo członkowskie zapewnia, by za monitorowanie stosowania RODO odpowiadał co najmniej jeden niezależny organ publiczny w celu ochrony podstawowych praw i wolności osób fizycznych w związku
z przetwarzaniem oraz ułatwiania swobodnego przepływu danych osobowych w Unii (zwany dalej "organem nadzorczym"). W związku z powyższym - na podstawie art. 34 ust. 1 u.o.d.o. - organem właściwym w sprawie ochrony danych osobowych jest
w Polsce obecnie Prezes UODO.
Przepisy RODO przewidują, że jeżeli w państwie członkowskim w momencie wejścia RODO w życie kościoły i związki lub wspólnoty wyznaniowe stosują szczegółowe zasady ochrony osób fizycznych w związku z przetwarzaniem, zasady takie mogą być nadal stosowane, pod warunkiem, że zostaną dostosowane do niniejszego rozporządzenia (art. 91 ust. 1). Kościoły i związki wyznaniowe, które spełniają tę przesłankę, podlegają nadzorowi niezależnego organu nadzorczego, który może być organem odrębnym, z zastrzeżeniem że spełnia warunki określone
w rozdziale VI niniejszego rozporządzenia (art. 91 ust. 2). W dniu 13 marca 2018 r. Konferencja Episkopatu Polski wydała "Dekret ogólny w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych w Kościele Katolickim" (dalej Dekret). W Dekrecie tym prawodawca kościelny wziął pod uwagę zarówno zasady ochrony osób fizycznych w związku z przetwarzaniem ich danych osobowych stosowane dotychczas w Kościele Katolickim w Polsce, jak też "konieczność pogodzenia ochrony danych osobowych z korzystaniem z podstawowego prawa do wolności religijnej, zagwarantowanego również w prawie pozytywnym, także w jego wymiarze instytucjonalnym". W Dekrecie przewidziano powołanie Kościelnego Inspektora Ochrony Danych (dalej KIOD) oraz określono jego zadania i uprawnienia (Rozdz. V Dekretu). W dniu 22 marca 2018 r. ww. Dekret został zatwierdzony przez Stolicę Apostolską (uzyskał recognitio Kongregacji ds. Biskupów), zaś 30 kwietnia 2018 r. nastąpiła jego prawna promulgacja (ogłoszenie) poprzez zamieszczenie na oficjalnej stronie internetowej Konferencji Episkopatu Polski (http://episkopat.pl/wpcontent/uploads/2018/06/DekretOgolnyKEPWSprawie OchronyOsobFizycznychWZwiazkuZPrzetwarzaniemDanychOsobowychWKoscieleKatolickim.pdł). W tym samym dniu Dekret wszedł w życie (art. 44 Dekretu).
Zgodnie z art. 36 ust. 1 Dekretu, KIOD jest wybierany przez Zebranie Plenarne KEP na czteroletnią kadencję. Wyboru dokonano podczas trwającego w dnia 7-9 czerwca 2018 r. 379. Zebrania Plenarnego KEP - Kościelnym Inspektorem Ochrony Danych został ks. dr hab. Piotr Kroczek, który 2 maja 2018 r. został powołany na pełniącego obowiązki KIOD.
Do zadań Kościelnego Inspektora Ochrony Danych należy m.in. monitorowanie i zapewnianie przestrzegania przepisów o ochronie danych osobowych w ramach
i zgodnie z działaniem Kościoła katolickiego i jego struktur (art. 37 ust. 1 pkt 1 Dekretu), udzielanie osobie, której dane dotyczą informacji dotyczących uprawnień przysługujących jej w związku z przetwarzaniem jej danych osobowych (pkt 3), jak też - co szczególnie istotne wobec oczekiwania strony skarżącej wyrażonego w podaniu skierowanym do państwowego organu nadzorczego - rozpatrywanie skarg dotyczących przestrzegania przepisów ustanowionych w Kościele w zakresie ochrony danych osobowych (art. 37 ust. 1 pkt 5 Dekretu).
Po dokonaniu powyższej analizy Prezes UODO stwierdził, że nie jest uprawniony do rozpatrzenia i rozstrzygnięcia skargi skarżących. Dotyczy ona bowiem danych osobowych skarżących przetwarzanych przez Parafię w związku
z realizowaniem prawa posiadania, zarządzania oraz zakładania i poszerzania cmentarzy grzebalnych przez parafię Kościoła Katolickiego (art. 45 ust. 1 ustawy
z dnia 17 maja 1989 r. o stosunku Państwa do Kościoła Katolickiego
w Rzeczypospolitej Polskiej (Dz.U. z 2019 r. poz.1347), a zatem w zakresie objętym kompetencjami Kościelnego Inspektora Ochrony Danych.
Zaskarżone postanowienie zostało wydane na podstawie art. 61a § 1 Kpa, który stanowi w sytuacji gdy żądanie, o którym mowa w art. 61, zostało wniesione przez osobę niebędącą stroną lub z innych uzasadnionych przyczyn postępowanie nie może być wszczęte, organ administracji publicznej wydaje postanowienie o odmowie wszczęcia postępowania.
Przepis ten ustanawia dwie podstawy do odmowy wszczęcia postępowania: podmiotową – wniesienie podania przez osobę niebędącą stroną i przedmiotową –
z innych uzasadnionych przyczyn postępowanie nie może być wszczęte. Obie
te przyczyny uniemożliwiają w ogóle procedowanie w sprawie i załatwienie wniosku
w formie decyzji administracyjnej. Przyczyny te muszą być znane organowi w chwili złożenia wniosku i być oczywiste. Na tym etapie postępowania organ bada jedynie kwestie formalne, tj., czy istnieją podstawy do wszczęcia postępowania w przedmiocie wniosku, nie podejmując analizy zasadności wniosku.
Odmawiając wszczęcia postępowania organ przywołał przepis art. 61a § 1 Kpa w związku z art. 7 ust. 1 ustawy z dnia 10 maja 2018 r. o ochronie danych osobowych i w związku z art. 91 ust. 2 rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku
z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE.
W ocenie Sądu organ nie wyjaśnił czy przetwarzanie danych osobowych skarżących, nastąpiło "w związku z realizowaniem prawa posiadania, zarządzania oraz zakładania i poszerzania cmentarzy grzebalnych przez parafię Kościoła Katolickiego (art. 45 ust. 1 ustawy z dnia 17 maja 1989 r. o stosunku Państwa
do Kościoła Katolickiego w Rzeczypospolitej Polskiej)", jak to przyjęto
w postanowieniu.
W ocenie Sądu zasadne jest odniesienie się organu do twierdzenia skarżących, że opisane w postanowieniu działania Parafii w ogóle nie mieszczą się w zadaniach
i uprawnieniach Kościoła Katolickiego. W tym stanie rzeczy organ winien wyjaśnić, czy, tego typu działania Parafii obejmujące rozpowszechnianie czy upublicznianie dokumentów z postępowań administracyjnych a więc nie związanych z ogólnie pojętym kultem poprzez wywieszanie ich w gablotach przykościelnych, podlegają ocenie KIOD.
Należy zauważyć, że przepisy powołane w zaskarżonym postanowieniu należy rozumieć w taki sposób, że - na zasadzie wyjątku - kompetencjom Prezesa UODO nie podlegają wyłącznie te działania jednostek kościelnych, które mieszczą się
w zadaniach i uprawnieniach Kościoła w zakresie kultu. Skoro regulacje te mają charakter wyjątkowy, wyłączający zastosowanie prawa powszechnie obowiązującego i kompetencje organów państwowych, to nie mogą być interpretowane rozszerzające. Potwierdza to przepis art. 37 ust. 1 pkt 1 Dekretu, który mówi o zapewnianiu przestrzegania przepisów o ochronie danych osobowych w ramach i zgodnie
z działaniem Kościoła Katolickiego.
Skarżący są uczestnikami szeregu postępowań administracyjnych z udziałem Parafii, które to postępowania dotyczą rozbudowy cmentarza parafialnego. O ile kwestie rozbudowy cmentarzy i kwestie postępowania z pozyskanymi w tym celu danymi osobowymi są regulowane na podstawie wskazanych wyżej przepisów Dekretu o tyle kwestia naruszeń RODO w innych sprawa powinna być rozważona przez Prezesa UODO.
Wobec powyższego stwierdzić należy, że stanowiska wyrażonego
w zaskarżonym postępowaniu, organ nie uzasadnił w sposób wymagany przez normę prawa określoną w przepisie art. 107 § 3 Kpa.
W tym stanie rzeczy organ rozpatrując sprawę ponownie weźmie pod uwagę wyżej opisane rozważania Sądu.
Z tych przyczyn Wojewódzki Sąd Administracyjny na podstawie art. 145 § 1
pkt. 1 lit. c) p.p.s.a. orzekł, jak w sentencji wyroku.
O kosztach postępowania sądowego orzeczono na podstawie art. 200 p.p.s.a.