II SA/Wa 2510/20

II SA/Wa 2510/20 - Wyrok WSA w Warszawie
Data orzeczenia
2021-05-14
orzeczenie prawomocne
Data wpływu
2020-12-22
Sąd
Wojewódzki Sąd Administracyjny w Warszawie
Sędziowie
Andrzej Kołodziej /przewodniczący/
Ewa Kwiecińska /sprawozdawca/
Iwona Maciejuk
Symbol z opisem
647  Sprawy związane z ochroną danych osobowych
Sygn. powiązane
III OSK 6698/21 - Wyrok NSA z 2025-03-13
Skarżony organ
Generalny Inspektor Ochrony Danych Osobowych
Treść wyniku
Oddalono skargę
Sentencja
Wojewódzki Sąd Administracyjny w Warszawie w składzie następującym: Przewodniczący Sędzia WSA Andrzej Kołodziej, Sędzia WSA Ewa Kwiecińska (spr.), Sędzia WSA Iwona Maciejuk, po rozpoznaniu w trybie uproszczonym w dniu 14 maja 2021 r. sprawy ze skargi P. K. na postanowienie Prezesa Urzędu Ochrony Danych Osobowych z dnia [...] października 2020 r. nr [...] w przedmiocie odmowy wszczęcia postępowania oddala skargę
Uzasadnienie
Prezes Urzędu Ochrony Danych Osobowych wydał w dniu [...] października 2020 r. postanowienie nr [...], mocą którego odmówił wszczęcia postępowania w sprawie skargi P. K. na nieprawidłowości w procesie przetwarzania jego danych osobowych przez Proboszcza Parafii Rzymskokatolickiej pw. Św. [...] w P. polegające na nieuaktualnieniu jego danych osobowych w księdze chrztu i nieodesłaniu uaktualnionego odpisu aktu chrztu. Postanowienie zostało wydane na podstawie art. 61 a § 1 ustawy – Kodeks postępowania administracyjnego (Dz. U. z 2020 r., poz. 256 ze zm.) w związku z art. 7 ust. 1 ustawy o ochronie danych osobowych (Dz. U. 2019 r., poz. 1781 ze zm.) i w związku z art. 91 rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE.
Prezes Urzędu Ochrony Danych Osobowych w uzasadnieniu ww. postanowienia nadmienił, iż w dniu [...] lipca 2020 r. do urzędu wpłynęła skarga P. K. na niezgodne z przepisami rozporządzenia Parlamentu Europejskiego i Rady (UE) nr 2016/679 przetwarzanie jego danych osobowych przez Proboszcza Parafii Rzymskokatolickiej pw. Św. [...] w P. Skarżący wskazał, że Proboszcz nie uaktualnił jego danych osobowych w księdze chrztu i nie odesłał mu uaktualnionego odpisu jako potwierdzenia, mimo złożenia przez skarżącego oświadczenia woli o wystąpieniu z Kościoła katolickiego.
Organ stwierdził, iż w dniu 25 maja 2018 r. weszła w życie ustawa z dnia 10 maja 2018 r. o ochronie danych osobowych (Dz. U. 2019 r., poz. 1781 ze zm). Od dnia 25 maja 2018 r., bezpośrednie zastosowanie w polskim porządku prawnym mają przepisy rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (art. 99 RODO).
Zgodnie z art. 51 ust. 1 RODO, każde państwo członkowskie zapewnia, by za monitorowanie stosowania RODO odpowiadał co najmniej jeden niezależny organ publiczny w celu ochrony podstawowych praw i wolności osób fizycznych w związku z przetwarzaniem oraz ułatwiania swobodnego przepływu danych osobowych w Unii.
W związku z powyższym – na podstawie art. 34 ust. 1 u.o.d.o. – organem właściwym w sprawie ochrony danych osobowych jest w Polsce obecnie Prezes UODO. Przepisy RODO przewidują również, że jeżeli w państwie członkowskim w momencie wejścia RODO w życie kościoły i związki lub wspólnoty wyznaniowe stosują szczegółowe zasady ochrony osób fizycznych w związku z przetwarzaniem, zasady takie mogą być nadal stosowane, pod warunkiem, że zostaną dostosowane do niniejszego rozporządzenia (art. 91 ust. 1). Kościoły i związki wyznaniowe, które spełniają tę przesłankę, podlegają nadzorowi niezależnego organu nadzorczego, który może być organem odrębnym, z zastrzeżeniem że spełnia warunki określone w rozdziale VI niniejszego rozporządzenia (art. 91 ust. 2).
Kościół Katolicki w Polsce skorzystał ze wskazanej wyżej możliwości. W dniu 13 marca 2018 r. Konferencja Episkopatu Polski wydała "Dekret ogólny w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych w Kościele katolickim". W Dekrecie tym prawodawca kościelny wziął po uwagę zarówno zasady ochrony osób fizycznych w związku z przetwarzaniem ich danych osobowych stosowane dotychczas w Kościele katolickim w Polsce, jak też "konieczność pogodzenia ochrony danych osobowych z korzystaniem z podstawowego prawa do wolności religijnej, zagwarantowanego również w prawie pozytywnym, także w jego wymiarze instytucjonalnym". Regulacje zawarte w Dekrecie stanowią uszczegółowienie przepisów kanonicznego prawa powszechnego oraz uaktualnienie przepisów kanonicznego prawa partykularnego.
W Dekrecie przewidziano też powołanie Kościelnego Inspektora Ochrony Danych, zwanego dalej KIOD, oraz określono jego zadania i uprawnienia.
W dniu 22 marca 2018 r. ww. Dekret został zatwierdzony przez Stolicę Apostolską (uzyskał recognitio Kongregacji ds. Biskupów), zaś 30 kwietnia 2018 r. nastąpiła jego prawna promulgacja (ogłoszenie) poprzez zamieszczenie na oficjalnej stronie internetowej Konferencji Episkopatu Polski, zwanej dalej KEP.
Zgodnie z art. 36 ust. 1 Dekretu, KIOD jest wybierany przez Zebranie Plenarne KEP na czteroletnią kadencję. Wyboru dokonano podczas trwającego w dnia 7-9 czerwca 2018 r. 379. Zebrania Plenarnego KEP – Kościelnym Inspektorem Ochrony Danych został ks. dr hab. P. K. który 2 maja 2018 r. został powołany na pełniącego obowiązki KIOD.
Do zadań Kościelnego Inspektora Ochrony Danych należy m.in. monitorowanie i zapewnianie przestrzegania przepisów o ochronie danych osobowych w ramach i zgodnie z działaniem Kościoła katolickiego i jego struktur (art. 37 ust. 1 pkt 1 Dekretu), udzielanie osobie, której dane dotyczą, informacji dotyczących uprawnień przysługujących jej w związku z przetwarzaniem jej danych osobowych (pkt 3), jak też – co szczególnie istotne wobec oczekiwania skarżącego wyrażonego w podaniu skierowanym do państwowego organu nadzorczego – rozpatrywanie skarg dotyczących przestrzegania przepisów ustanowionych w Kościele w zakresie ochrony danych osobowych (art. 37 ust. 1 pkt 5 Dekretu).
Prezes UODO podkreślił, że ponieważ – zgodnie z art. 52 ust. 1 RODO – każdy organ nadzorczy podczas wypełniania swoich zadań i wykonywania swoich uprawnień zgodnie z niniejszym rozporządzeniem działa w sposób w pełni niezależny, nie jest on kompetentny do rozpatrzenia i rozstrzygnięcia skargi dotyczącej przetwarzania danych osobowych w zakresie objętym kompetencjami Kościelnego Inspektora Ochrony Danych.
P. K. wniósł do Wojewódzkiego Sądu Administracyjnego w Warszawie skargę na postanowienie Prezesa Urzędu Ochrony Danych Osobowych z dnia [...] października 2020 r. nr [...].
Skarżący zarzucił organowi naruszenie przepisów prawa materialnego poprzez ich niezastosowanie:
1) art. 25 ust. 2 - 4 Konstytucji RP,
2) art. 1, art. 5, art. 27 – Konkordatu,
3) art. 2 ustawy o stosunku Państwa do Kościoła Katolickiego w RP.
Wniósł na podstawie art. 111 § 2 P.p.s.a. o połączenie skargi ze sprawą o sygnaturze II SA/Wa 1325/20 w celu ich łącznego rozpoznania i odrębnego rozstrzygnięcia. Domagał się również na podstawie art. 106 § 3 P.p.s.a. przeprowadzenia dowodów uzupełniających z załączonych dokumentów:
1) pierwszego listu bpa A. M. z [...] maja 2018 r.,
2) drugiego listu bpa A. M. z [...] czerwca 2018 r.,
3) decyzji ks. P. K. podającego się za funkcjonariusza publicznego.
Skarżący wniósł, aby Sąd na podstawie art. 106 § 3 P.p.s.a. zażądał od Ministra Spraw Wewnętrznych i Administracji wydania protokołu z posiedzenia Komisji Wspólnej Przedstawicieli Rządu i Konferencji Episkopatu Polski w dniu 11 grudnia 2018 r.
Skarżący domagał się uchylenia zaskarżonej decyzję w całości oraz zobowiązania Prezesa Urzędu Ochrony Danych Osobowych do zbadania skargi na Parafię pw. św. [...] w P. w terminie 30 dni od dnia zwrotu akt organowi. Zażądał również zasądzenia od organu zwrotu kosztów postępowania.
P. K. stwierdził, iż trudno zrozumieć, dlaczego po dekadzie obrony wewnętrznych spraw Kościoła katolickiego, organ zmienił zdanie i postanowił w nie ingerować.
Nadmienił, iż źródłami powszechnie obowiązującego prawa Rzeczypospolitej Polskiej są: Konstytucja, ustawy, ratyfikowane umowy międzynarodowe oraz rozporządzenia, a nadto na obszarze działania organów, które je ustanowiły, akty prawa miejscowego. Do tej kategorii nie sposób zaliczyć przepisów prawa kościelnego.
Obrady Konferencji Episkopatu Polski są wewnętrzną sprawą Kościoła katolickiego. Wszelkie dekrety KEP są przejawem wolności religijnej i powinny być wolne od ingerencji władz publicznych. Wobec powyższego działanie organu narusza przez to art. 1 ust. 5 i art. 27 Konkordatu.
Zdaniem skarżącego zaskarżona decyzja naruszyła art. 27 Konkordatu poprzez "rozpoznanie kościelnego urzędu bez wiedzy i zgody Papieża". Konkordat jest nie tylko układem międzynarodowym, lecz ustawą mającą moc obowiązującą w stosunkach wewnętrznych, której postanowień sąd winien przestrzegać.
W odpowiedzi na skargę organ wniósł o jej oddalenie oraz podtrzymał twierdzenia zawarte w uzasadnieniu zaskarżonego postanowienia.
Wojewódzki Sąd Administracyjny w Warszawie zważył, co następuje.
Zgodnie z art. 1 § 1 i 2 ustawy z dnia 25 lipca 2002 r. – Prawo o ustroju sądów administracyjnych (t.j. Dz. U. z 2021 r. poz. 137 ze zm.), sądy administracyjne sprawują wymiar sprawiedliwości przez kontrolę działalności administracji publicznej, przy czym kontrola ta sprawowana jest pod względem zgodności z prawem, jeżeli ustawy nie stanowią inaczej.
W świetle powołanych przepisów cyt. ustawy, Wojewódzki Sąd Administracyjny w Warszawie, w zakresie swojej właściwości, ocenia zaskarżoną decyzję administracyjną, postanowienie, czy też inny akt lub czynność z zakresu administracji publicznej dotyczącą uprawnień lub obowiązków wynikających z przepisów prawa, z punktu widzenia ich zgodności z prawem materialnym i przepisami postępowania administracyjnego, według stanu faktycznego i prawnego obowiązującego w dacie wydania tego aktu lub podjęcia spornej czynności. Chodzi więc o kontrolę aktów lub czynności z zakresu administracji publicznej dokonywaną pod względem ich zgodności z prawem materialnym i przepisami procesowymi, nie zaś według kryteriów słuszności.
Ponadto, co wymaga podkreślenia, Sąd rozstrzyga w granicach danej sprawy, nie będąc jednak związany zarzutami i wnioskami skargi oraz powołaną podstawą prawną (vide art. 134 § 1 ustawy z dnia 30 sierpnia 2002 r. – Prawo o postępowaniu przed sądami administracyjnymi – t.j. Dz.U. z 2019 r. poz. 2325 ze zm. – dalej P.p.s.a.).
Należy jednocześnie wyraźnie zaznaczyć, że od dnia wejścia w życie Traktatu Akcesyjnego z dnia 16 kwietnia 2003 r. (Dz.U. z 2004 r. Nr 90, poz. 864), na mocy którego Polska stała się państwem członkowskim Unii Europejskiej, kontrola sądu administracyjnego obejmuje również zgodność rozstrzygnięć krajowych organów administracji publicznej z prawem europejskim (prawem Unii Europejskiej), rozumianym, jako całokształt dorobku prawnego Unii Europejskiej (acquis communautaire), w tym zasad ogólnych prawa europejskiego, interpretowanych oraz stosowanych w sposób jednolity na całym obszarze Unii Europejskiej.
W ocenie Sądu, analizowana pod tym kątem skarga P. K. nie zasługuje na uwzględnienie, albowiem wydając zaskarżone postanowienie z [...] października 2020 r., Prezes Urzędu Ochrony Danych Osobowych prawidłowo zastosował przepisy art. 61a § 1 k.p.a. w związku z art. 7 ust. 1 ustawy z dnia 10 maja 2018 r. o ochronie danych osobowych, przyjmując, że w świetle regulacji prawnych wyrażonych w art. 91 RODO, nie posiada uprawnień do rozpatrywania sprawy dotyczącej przetwarzania danych osobowych w bazach danych prowadzonych w ramach struktur Kościoła katolickiego.
Wyjaśnienia wymaga, że w dniu 25 maja 2018 r. weszła w życie ustawa z dnia 10 maja 2018 r. o ochronie danych osobowych (dalej u.o.d.o. 2018), ponadto, od dnia 25 maja 2018 r. bezpośrednie zastosowanie w polskim porządku prawnym mają przepisy rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (dalej RODO). Stosownie bowiem do przepisu art. 99 ust. 1 RODO, wchodzi ono w życie dwudziestego dnia po publikacji w Dzienniku Urzędowym Unii Europejskiej, która nastąpiła w dniu 4 maja 2016 r. (Dz.U.UE.L.2016.119.1), natomiast zastosowanie w państwach członkowskich wspomniane rozporządzenie ma od dnia 25 maja 2018 r. (art. 99 ust. 2 RODO).
Zgodnie z art. 51 ust. 1 RODO, każde państwo członkowskie zapewnia, by za monitorowanie stosowania RODO odpowiadał co najmniej jeden niezależny organ publiczny w celu ochrony podstawowych praw i wolności osób fizycznych w związku z przetwarzaniem oraz ułatwiania swobodnego przepływu danych osobowych w Unii. W związku z powyższym, na podstawie art. 34 ust. 1 u.o.d.o. z 2018 r. – organem właściwym w sprawie ochrony danych osobowych jest w Polsce obecnie Prezes Urzędu Ochrony Danych Osobowych.
Przepisy RODO przewidują ponadto, że jeżeli w państwie członkowskim w momencie wejścia RODO w życie kościoły i związki lub wspólnoty wyznaniowe stosują szczegółowe zasady ochrony osób fizycznych w związku z przetwarzaniem, zasady takie mogą być nadal stosowane, pod warunkiem, że zostaną dostosowane do ww. rozporządzenia (art. 91 ust. 1). Kościoły i związki wyznaniowe, które spełniają tę przesłankę, podlegają nadzorowi niezależnego organu nadzorczego, który może być organem odrębnym, z zastrzeżeniem, że spełnia warunki określone w rozdziale VI niniejszego rozporządzenia (art. 91 ust. 2).
Należy również wskazać, że jak wynika z treści art. 51 ust. 4 RODO (rozdział VI Niezależne organy nadzorcze), do dnia 25 maja 2018 r. każde państwo członkowskie zawiadamia Komisję o przepisach przyjętych na mocy niniejszego rozdziału, a następnie niezwłocznie o każdej kolejnej zmianie mającej na nie wpływ.
Konferencja Episkopatu Polski w dniu 13 marca 2018 r. wydała "Dekret ogólny w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych w Kościele katolickim" (Dekret), w którym prawodawca kościelny wziął po uwagę zarówno zasady ochrony osób fizycznych w związku z przetwarzaniem ich danych osobowych stosowane dotychczas w Kościele katolickim w Polsce, jak też "konieczność pogodzenia ochrony danych osobowych z korzystaniem z podstawowego prawa do wolności religijnej, zagwarantowanego również w prawie pozytywnym, także w jego wymiarze instytucjonalnym". Regulacje zawarte w Dekrecie stanowią uszczegółowienie przepisów kanonicznego prawa powszechnego oraz uaktualnienie przepisów kanonicznego prawa partykularnego. W Dekrecie przewidziano też powołanie Kościelnego Inspektora Ochrony Danych oraz określono jego zadania i uprawnienia (Rozdz. V Dekretu).
W dniu 22 marca 2018 r. ww. Dekret został zatwierdzony przez Stolicę Apostolską (uzyskał recognitio Kongregacji ds. Biskupów), zaś 30 kwietnia 2018 r. nastąpiła jego prawna promulgacja poprzez zamieszczenie na oficjalnej stronie internetowej Konferencji Episkopatu Polski. W tym samym dniu Dekret wszedł w życie (art. 44 ww. Dekretu).
Do zadań Kościelnego Inspektora Ochrony Danych należy m.in. monitorowanie i zapewnianie przestrzegania przepisów o ochronie danych osobowych w ramach i zgodnie z działaniem Kościoła katolickiego i jego struktur (art. 37 ust. 1 pkt 1 Dekretu), udzielanie osobie, której dane dotyczą informacji dotyczących uprawnień przysługujących jej w związku z przetwarzaniem jej danych osobowych (pkt 3), jak też – co szczególnie istotne wobec oczekiwania skarżącego wyrażonego w podaniu skierowanym do państwowego organu nadzorczego – rozpatrywanie skarg dotyczących przestrzegania przepisów ustanowionych w Kościele w zakresie ochrony danych osobowych (art. 37 ust. 1 pkt 5 Dekretu).
Kościół Rzymskokatolicki jest instytucją o uregulowanej sytuacji prawnej, unormowanej m.in. w Konstytucji Rzeczypospolitej Polskiej z dnia 2 kwietnia 1997 r., w umowie międzynarodowej, jaką jest Konkordat między Stolicą Apostolską
a Rzecząpospolitą Polską podpisany w Warszawie dnia 28 lipca 1993 r.
(Dz. U. z 1998 r. Nr 51, poz. 318) i w ustawach. W myśl art. 2 ustawy z dnia 17 maja 1989 r. o stosunku Państwa do Kościoła Katolickiego w Rzeczypospolitej Polskiej (Dz.U. z 2013 r. poz. 1169 ze zm.) Kościół rządzi się w swych sprawach własnym prawem, swobodnie wykonuje władzę duchowną i jurysdykcyjną oraz zarządza swoimi sprawami.
Ponieważ – zgodnie z art. 52 ust. 1 RODO – każdy organ nadzorczy podczas wypełniania swoich zadań i wykonywania swoich uprawnień zgodnie z niniejszym rozporządzeniem działa w sposób w pełni niezależny, tak jak czyni to w oparciu
o powołane wyżej regulacje prawne Kościelny Inspektor Ochrony Danych, Prezes UODO nie jest kompetentny do rozpatrzenia i rozstrzygnięcia skargi dotyczącej przetwarzania danych osobowych skarżącego w zakresie objętym kompetencjami wspomnianego Inspektora.
Należy również mieć na uwadze, że Dekret regulujący kwestie przetwarzania danych osobowych w Kościele katolickim wszedł w życie w dniu 30 kwietnia 2018 r., a zatem jeszcze przed okresem obowiązywania w naszym kraju regulacji wprowadzonych przez RODO, które umożliwiają kościołom i związkom lub wspólnotom wyznaniowym stosowanie szczegółowych zasad ochrony osób fizycznych w związku z przetwarzaniem danych osobowych. Proces stosowania ww. zasad objęty jest nadzorem niezależnego organu nadzorczego, który może być organem odrębnym, z zastrzeżeniem, że spełnia warunki określone w rozdziale VI RODO. W Polsce funkcję takiego organu nadzoru pełni Kościelny Inspektor Ochrony Danych. W tym stanie rzeczy, zasadnie odmówiono skarżącemu wszczęcia postępowania, ponieważ Prezes UODO nie był właściwym rzeczowo do rozstrzygania w przedmiocie złożonej przez skarżącego do organu skargi dotyczącej nieprawidłowości w procesie przetwarzania jego danych osobowych przez Proboszcza Parafii Rzymskokatolickiej p.w. Św. [...] z siedzibą w P. polegającą na nieuaktualnieniu danych osobowych skarżącego w księdze chrztu i nienadesłaniu uaktualnionego odpisu aktu chrztu.
Mając powyższe na względzie, Sąd, działając na podstawie art. 151 P.p.s.a. orzekł, jak w sentencji wyroku.