II SA/Wa 3668/21

II SA/Wa 3668/21 - Wyrok WSA w Warszawie
Data orzeczenia
2022-10-27
orzeczenie prawomocne
Data wpływu
2021-10-27
Sąd
Wojewódzki Sąd Administracyjny w Warszawie
Sędziowie
Ewa Kwiecińska /przewodniczący sprawozdawca/
Joanna Kube
Tomasz Szmydt
Symbol z opisem
647  Sprawy związane z ochroną danych osobowych
Hasła tematyczne
Ochrona danych osobowych
Sygn. powiązane
III OSK 769/23 - Wyrok NSA z 2024-09-03
Skarżony organ
Generalny Inspektor Ochrony Danych Osobowych
Treść wyniku
Oddalono skargę
Powołane przepisy
Dz.U. 2022 poz 329
art. 151
Ustawa z dnia 30 sierpnia 2002 r. Prawo o postępowaniu przed sądami administracyjnymi  - t.j.
Dz.U.UE.L 2016 nr 119 poz 1 art. 9 ust. 2, art. 151 ust. 1
Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z  przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE
Sentencja
Wojewódzki Sąd Administracyjny w Warszawie w składzie następującym: Przewodniczący Sędzia WSA Ewa Kwiecińska (spr.), Sędzia WSA Joanna Kube, Sędzia WSA Tomasz Szmydt, po rozpoznaniu w trybie uproszczonym w dniu 27 października 2022 r. sprawy ze skargi D. K. na decyzję Prezesa Urzędu Ochrony Danych Osobowych z dnia [...] sierpnia 2021 r. nr [...] w przedmiocie przetwarzania danych osobowych oddala skargę
Uzasadnienie
D. K. (dalej: Skarżąca) w dniu [...] sierpnia 2019 r. złożyła wniosek do Urzędu Ochrony Danych Osobowych (dalej: Organ), w którym wniosła na podstawie art. 17 ust. 1 Rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679
z dnia 27 kwietnia 2016 r.:
- o zobowiązanie kierownictwa Związku Świadkowie Jehowy z siedzibą
w [...] ul. [...] (dalej: Związek), do zwrotu wszelkich dokumentów będących w posiadaniu Związku, co oznaczałoby usunięcie danych osobowych Skarżącej z zasobów Biura Oddziału Świadkowie Jehowy w Polsce i art. 38 Dyrektywy 95/46/WE, przetwarzanych bez koniecznej pisemnej i jakiejkolwiek zgody Skarżącej,
- o przeprowadzenie kontroli w sprawie ochrony danych osobowych przez organ, w celu ustalenia zgodności ich przetwarzania wg Rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych przez Związek,
- o usunięcie danych osobowych Skarżącej na podstawie rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych z zasobów Związku.
W uzasadnieniu Skarżąca podniosła, że w dniu 8 stycznia 2018 r. przesłała wezwanie do Komitetu Oddziału Świadków Jehowy w Polsce (dalej: Komitet),
z związku z wnioskiem z dnia [...] listopada 2017 r. Skarżąca zaznacza, iż nie było odpowiedzi na jej wniosek z dnia [...] listopada 2017 r. Komitet skierował do Skarżącej pismo w dniu 21 grudnia 2017 r. bez podstawy prawnej, dotyczące przesłania przez Skarżącą kserokopii urzędowego dokumentu stwierdzającego tożsamość, zawierającego podpis oraz zdjęcie wnioskodawcy. Skarżąca pisemnie wezwała Komitet do niezwłocznej realizacji jej żądania z wniosku osobiście przekazanego przed siedzibą Biura Oddziału w [...] dnia [...] września 2017 r. – co zostało udokumentowane nagraniem filmowym opublikowanym w Internecie i potwierdzone w piśmie z dnia 9 listopada 2017 r.
Skarżąca powołuje się na art. 17 ust 1 Rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679, który stanowi, że osoba, której dane dotyczą ma prawo żądać ich niezwłocznego usunięcia i to bez zbędnej zwłoki. Skarżąca podnosi, iż od skierowanego wezwania z dnia 8 stycznia 2018 r. upłynęło 1,5 roku, a Komitet do dziś nie udzielił odpowiedzi na jej wezwanie.
Prezes Urzędu Ochrony Danych Osobowych po przeprowadzeniu postępowania administracyjnego w sprawie ww. skargi, na nieprawidłowości w procesie przetwarzania danych osobowych Skarżącej przez Związek, polegające na niespełnieniu żądania usunięcia jej danych osobowych oraz zwrotu wszelkich dokumentów będących w posiadaniu Związku, na podstawie art. 104 § 1 ustawy z dnia 14 czerwca 1960 r. Kodeks postępowania administracyjnego (Dz. U. z 2021 r., poz. 735) w zw. z art. 7 ust. 1 i 2 ustawy z dnia 10 maja 2018 r. o ochronie danych osobowych (Dz. U. z 2019 r., poz. 1781) w zw. z art. 6 ust. 1 lit. f oraz art. 9 ust. 2 lit. d rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE ogólne rozporządzenie o ochronie danych (Dz. Urz. UE L 119
z 04.05.2016, str. 1 oraz Dz. Urz. UE L 127 z 23.05.2018, str. 2) wydał w dniu 24 sierpnia 2021 r. decyzję nr ZSPU.440.1182.2019.WP.NB.136621.136625,138365, odmawiającą uwzględnienia wniosku.
W uzasadnieniu przedmiotowej decyzji Prezes UODO podniósł, iż do Urzędu Ochrony Danych Osobowych wpłynęła skarga D. K., na nieprawidłowości w procesie przetwarzania jej danych osobowych przez związek wyznaniowy Świadkowie Jehowy w Polsce, z siedzibą w [...], polegające na niespełnieniu żądania usunięcia jej danych osobowych przez Związek oraz zwrotu wszelkich dokumentów będących w posiadaniu Związku.
Na podstawie zebranego materiału dowodowego Prezes Urzędu Ochrony Danych Osobowych ustalił następujący stan faktyczny:
1. Związek jest wpisany pod pozycją 34 w dziale A rejestru kościołów i innych związków wyznaniowych prowadzonego przez Ministra Spraw Wewnętrznych
i Administracji i zgodnie z art. 34 ust. 2 ustawy z dnia 17 maja 1989 r.
o gwarancjach wolności sumienia i wyznania (Dz. U. z 2017 r. poz. 1153) i posiada osobowość prawną.
2. Skarżąca w pismach z dnia [...] stycznia 2018 r. i [...] lutego 2018 r. zwróciła się do Związku m.in. o usunięcie jej danych osobowych oraz o odesłanie jej oryginałów wszelkich dokumentów zawierających jej dane osobowe, w tym druku S-77 (kopie pism Skarżącej do Związku z dnia [...] stycznia 2018 r., [...] lutego 2018 r.).
3. Związek wyjaśnił w niniejszym postępowaniu, że cyt. "Aktualny Status Członkowski Skarżącej to
(wyjaśnienia Związku z 7 lutego 2020 r.).
4. Związek wyjaśnił, że dane osobowe Skarżącej są przetwarzane w celu realizacji celów statutowych Związku, a także do ustalenia, dochodzenia lub obrony roszczeń prawnych na podstawie art. 6 ust. 1 lit. f oraz art. 9 ust. 2 lit. d i f RODO. Związek przetwarza obecnie dane osobowe Skarżącej w ograniczonym zakresie, tj. podstawowe dane osobowe identyfikujące Skarżącą, dane o jej statusie członkowskim, podstawowe dane kontaktowe oraz dane dotyczące okresu pełnienia funkcji pioniera stałego, ukończonego szkolenia oraz informacje o toczącym się w przeszłości postępowaniu przed Generalnym Inspektorem Ochrony Danych Osobowych, które prowadzone było na skutek skargi, złożonej przez Skarżącą na Związek. Ponadto Związek posiada również informację o postępowaniu cywilnym wszczętym przez Skarżącą w przeszłości wobec jednego ze starszych zboru Świadków Jehowy, w którym to postępowaniu wezwała na świadka członka Komitetu Oddziału Związku oraz o próbach wszczęcia przez Skarżącą postępowań karnych wobec kilku starszych zboru. Związek przechowuje te ograniczone dane dotyczące przynależności do zboru w celu (...) 3) żeby zapobiegać powtórnym chrztom, które nie są zgodne z podstawowymi wierzeniami religijnymi Świadków Jehowy oraz 4) na wypadek, gdyby w przyszłości Skarżąca zwróciła się z prośbą o przywrócenie statusu członka Związku. Przechowywanie wskazanych wyżej zapisów dotyczących historycznego statusu jako głosiciela oraz biblijnej podstawy ustania przynależności do zboru jest niezbędne do realizacji uzasadnionych celów religijnych Związku (wyjaśnienia Związku z dnia 7 lutego 2020 r.).
5. Związek nie stosuje szczegółowych zasad ochrony osób fizycznych w związku z przetwarzaniem danych osobowych w rozumieniu art. 91 ust. 1 rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia
27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku
z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (Dz. Urz. UE L 119
z 04.05.2016, str. 1 ze zm.), zwanego dalej RODO. Nie został powołany odrębny organ, o którym mowa w art. 91 ust. 2 RODO.
Zgodnie z ustaleniami przeprowadzonego postępowania przez Organ, Skarżąca posiada status byłego członka Związku. Z materiału dowodowego zgromadzonego w sprawie wynika, iż Skarżąca wystąpiła ze Związku, co potwierdza Związek w piśmie z dnia 7 lutego 2020 roku oraz Skarżąca w piśmie do Związku z dnia [...] marca 2021 r. Organ podkreśla, że Prezes UODO nie jest uprawniony do oceny, czy dana osoba jest, czy też nie jest członkiem danego związku wyznaniowego. Jak wynika z materiału dowodowego obecnie Związek przetwarza dane osobowe Skarżącej o charakterze historycznym, jako osoby, która wystąpiła ze Związku. Dane te potwierdzają fakt bycia w przeszłości członkiem Związku oraz wystąpienia z niego. Zgodnie z wyjaśnieniami Związku, dane te są niezbędne do realizacji celów statutowych Związku. Prawo wewnętrzne Związku przewiduje bowiem powrót odłączonego lub wykluczonego członka, a jednocześnie zgodnie z wierzeniami nie jest możliwy ponowny chrzest członka Związku.
W świetle przedstawionych okoliczności sprawy i powołanych przepisów prawa Organ stwierdził, że przetwarzanie przez Związek danych osobowych Skarżącej jako byłego członka Związku znajduje oparcie w art. 6 ust. 1 lit. f RODO – w zakresie tzw. danych zwykłych oraz art. 9 ust. 2 lit. d) RODO – w zakresie danych szczególnych kategorii.
W związku z żądaniem Skarżącej zwrotu wszelkich dokumentów będących
w posiadaniu Związku, organ podkreśla że żaden przepis RODO ani u.o.d.o. 2018 r. nie uprawnia Prezesa UODO do wydania nakazów udostępnienia dokumentów, czy kopii dokumentów. Dlatego Prezes UODO nie może zadośćuczynić ww. żądaniu Skarżącej i nakazać zwrotu dokumentów będących w posiadaniu Związku.
Organ odniósł się również do wniosku Skarżącej o przeprowadzenie kontroli procesów przetwarzania danych osobowych przez Związek i wskazał, że z treści art. 78 ust. 1 ustawy z dnia 10 maja 2018 r. o ochronie danych osobowych wynika, iż Prezes UODO przeprowadza kontrolę przestrzegania przepisów o ochronie danych osobowych. Wszczęcie postępowania kontrolnego należy do kompetencji Prezesa UODO i nie jest realizowane na żądanie strony w postępowaniu administracyjnym zainicjowanym jej wnioskiem.
Skarżąca pismem z dnia 16 września 2021 r. wniosła do Wojewódzkiego Sądu Administracyjnego w Warszawie skargę na decyzję Prezesa Urzędu Ochrony Danych Osobowych z dnia [...] sierpnia 2021 r. nr [...], wraz z wnioskiem o stwierdzenie przez Sąd, czy nie doszło w ww. sprawie do bezczynności, przewlekłego prowadzenia sprawy, nieważności decyzji, a nadto rażącego naruszenia prawa przez organ.
Skarżąca zarzuciła organowi naruszenie:
- przepisów postępowania, tj. art. 9 i art. 79a k.p.a.,
- naruszenie art. 15 rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r.,
- błędne ustalenie Organu, poprzez danie wiary wyjaśnieniom administratora,
w zakresie zachowania transparentności,
- uchybienie przez Organ przepisom art. 35, 36, 37 i 123 k.p.a.
Skarżąca wniosła o:
- ustalenie przez Sąd, czy doszło do bezczynności i przewlekłego prowadzenia sprawy z rażącym naruszeniem prawa przez Organ podczas wydawania decyzji z dnia 24 sierpnia 2021 r., w sytuacji, gdy Organ nie prowadził żadnego postępowania dowodowego,
- zasądzenie od Organu na rzecz Skarżącej sumy pieniężnej do wysokości połowy kwoty określonej w art. 154 § 6 P.p.s.a.,
- zasądzenie od Organu grzywny w trybie art. 149 § 2 P.p.s.a wg uznania Sądu, jeżeli doszło do rażącego naruszenia prawa przez Organ,
- zmianę ww. decyzji,
- uchylenie ww. decyzji i przekazanie sprawy Organowi do ponownego rozpoznania,
- zasądzenie zwrotu kosztów postępowania sądowego.
Skarżąca pismem z dnia 8 października 2021 r. wniosła do Wojewódzkiego Sądu Administracyjnego w Warszawie kolejną skargę na decyzję Prezesa Urzędu Ochrony Danych Osobowych z dnia [...] sierpnia 2021 r. nr [...].
Skarżąca ww. decyzji zarzuca:
- naruszenie prawa materialnego przez Organ poprzez błędne zastosowanie umowy międzynarodowej tj. Karty Praw Podstawowych Unii Europejskiej Art. 8 pkt. 1,2, ratyfikowanej 13 grudnia 2007 r.,
- naruszenie przepisów postępowania, tj. art. 77 § 1 k.p.a. oraz art. 86 k.p.a. przez ich niezastosowanie.
Skarżąca wnosi jak w skardze z dnia 16 września 2021 r.
W odpowiedzi na skargę z dnia 22 października 2021 r. Organ wniósł o jej oddalenie, powołując się na stan faktyczny taki jak w decyzji z dnia [...] sierpnia 2021 r. Organ podkreśla, iż ww. zarzuty Skarżącej są niezasadne. Niezasadne są także
w związku z tym żądania Skarżącej oparte na art. 149 § 2 P.p.s.a., zgodnie z którymi Sąd uwzględniając skargę na bezczynność lub przewlekłe prowadzenie postępowania przez organ, może ponadto orzec z urzędu albo na wniosek strony
o wymierzeniu organowi grzywny w wysokości określonej w art. 154 § 6 lub przyznać od organu na rzecz skarżącego sumę pieniężną do wysokości połowy kwoty określonej w art. 154 § 6. Organ wskazuje również, iż Prezes UODO nie nałożył na administratora sankcji finansowych oraz nie pociągnął go do odpowiedzialności karnej. Decyzja o nałożeniu administracyjnej kary pieniężnej należy do wyłącznych kompetencji Prezesa UODO i nie jest podejmowana na wniosek, natomiast ściganie przestępstw – także tych przewidzianych w przepisach o ochronie danych osobowych – oraz orzekanie, czy doszło do ich popełnienia, pozostaje poza zakresem kompetencji Prezesa UODO.
Wojewódzki Sąd Administracyjny w Warszawie zważył, co następuje:
Zgodnie z brzmieniem art. 1 § 1 i 2 ustawy z dnia 25 lipca 2002 r. – Prawo o ustroju sądów administracyjnych (t.j. Dz. U. z 2021 r., poz. 137 ze zm.), sąd administracyjny sprawuje wymiar sprawiedliwości poprzez kontrolę pod względem zgodności z prawem zaskarżonej decyzji administracyjnej i to z przepisami obowiązującymi w dacie jej wydania. Innymi słowy, sąd administracyjny nie orzeka co do istoty sprawy w zakresie danego przypadku, lecz jedynie kontroluje legalność rozstrzygnięcia zapadłego w postępowaniu z punktu widzenia jego zgodności z prawem materialnym i obowiązującymi przepisami prawa procesowego.
Oceniając skargę w świetle powyższych kryteriów, Sąd uznał, że nie zasługiwała ona na uwzględnienie.
Na wstępie wyjaśnić należy, że w rozporządzeniu Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych osobowych) zostały zawarte przepisy o ochronie osób fizycznych w związku z przetwarzaniem danych osobowych oraz przepisy o swobodnym przepływie danych osobowych.
Celem rozporządzenia było doprowadzenie do pełnej harmonizacji prawa w ramach UE i swobodnego przepływu danych osobowych. W założeniu ma to pozwolić mieszkańcom Unii Europejskiej na lepszą kontrolę ich danych osobowych.
Rozporządzenie zostało przyjęte 27 kwietnia 2016 r. W momencie wejścia w życie (od dnia 25 maja 2018 r.), po dwuletnim okresie przejściowym, zaczęło obowiązywać w krajach członkowskich Unii Europejskiej bezpośrednio, bez potrzeby wydawania aktów prawnych wdrażających je do porządku krajowego. Stosownie bowiem do przepisu art. 99 ust. 1 RODO, wchodzi ono w życie dwudziestego dnia po publikacji w Dzienniku Urzędowym Unii Europejskiej, która miała miejsce w dniu 4 maja 2016 r. (Dz. U. UE.L2016.119.1). Zastosowanie w państwach członkowskich wspomnianego rozporządzenie następuje natomiast od dnia 25 maja 2018 r. (art. 99 ust. 2 RODO).
Zgodnie z art. 51 ust. 1 RODO, każde państwo członkowskie zapewnia, by za monitorowanie stosowania RODO odpowiadał co najmniej jeden niezależny organ publiczny w celu ochrony podstawowych praw i wolności osób fizycznych w związku z przetwarzaniem oraz ułatwiania swobodnego przepływu danych osobowych w Unii. W związku z powyższym, na podstawie art. 34 ust. 1 u.o.d.o organem właściwym w sprawie ochrony danych osobowych jest w Rzeczypospolitej Polskiej Prezes Urzędu Ochrony Danych Osobowych.
Przepisy RODO przewidują również, że jeżeli w państwie członkowskim w momencie wejścia RODO w życie kościoły i związki lub wspólnoty wyznaniowe stosują szczegółowe zasady ochrony osób fizycznych w związku z przetwarzaniem, zasady takie mogą być nadal stosowane, pod warunkiem, że zostaną dostosowane do niniejszego rozporządzenia (art. 91 ust. 1). Kościoły i związki wyznaniowe, które spełniają tę przesłankę, podlegają nadzorowi niezależnego organu nadzorczego, który może być organem odrębnym, z zastrzeżeniem że spełnia warunki określone w rozdziale VI niniejszego rozporządzenia (art. 91 ust. 2).
Jak ustalono w toku postępowania administracyjnego związek wyznaniowy Świadkowie Jehowy w Polsce z siedzibą w[...], wpisany do Rejestru kościołów i innych związków wyznaniowych prowadzonego przez Ministra Spraw Wewnętrznych i Administracji pod pozycją 34 w dziale A, nie stosuje szczegółowych zasad ochrony osób fizycznych, w związku z przetwarzaniem danych osobowych w rozumieniu art. 91 ust. 1 RODO. Wobec powyższego Prezes UODO trafnie uznał, iż jest właściwym organem nadzorczym do rozpoznania niniejszej skargi Skarżącej D. K. na przetwarzanie jej danych osobowych przez związek wyznaniowy Świadkowie Jehowy w Polsce.
W motywie 165 preambuły RODO stwierdzono, że rozporządzenie nie narusza statusu przyznanego kościołom oraz związkom lub wspólnotom wyznaniowym na mocy prawa konstytucyjnego obowiązującego w państwach członkowskich i nie narusza tego statusu – jak uznano w art. 17 TFUE.
W myśl przepisu art. 17 TFUE Unia szanuje status przyznany na mocy prawa krajowego kościołom i stowarzyszeniom lub wspólnotom religijnym w państwach członkowskich i nie narusza tego statusu, a uznając tożsamość i szczególny wkład tych kościołów i organizacji, Unia prowadzi z nimi otwarty, przejrzysty i regularny dialog.
Kościoły i związki wyznaniowe o uregulowanej sytuacji prawnej w Polsce mają zagwarantowaną autonomię. Zgodnie z art. 25 ust. 3 Konstytucji RP, stosunki między państwem a kościołami i innymi związkami wyznaniowymi są kształtowane na zasadach poszanowania ich autonomii oraz wzajemnej niezależności każdego w swoim zakresie, jak również współdziałania dla dobra człowieka i dobra wspólnego. W dalszej części tego przepisu (ust. 4–5) stwierdzono, że stosunki między Rzecząpospolitą Polską a Kościołem katolickim określają umowa międzynarodowa zawarta ze Stolicą Apostolską i ustawy, natomiast stosunki między Rzecząpospolitą Polską a innymi kościołami oraz związkami wyznaniowymi określają ustawy uchwalone na podstawie umów zawartych przez Radę Ministrów z ich właściwymi przedstawicielami.
W orzecznictwie polskiego sądu konstytucyjnego – podobnie jak w doktrynie prawa – za sferę przynależną do autonomii związków wyznaniowych uznaje się "prawo wspólnot religijnych do samodzielnego decydowania o swoich sprawach wewnętrznych, w szczególności określenia treści wiary, struktur organizacyjnych oraz obsadzania stanowisk kościelnych" (wyrok TK z dnia 14 grudnia 2009 r., sygn. akt K 55/07, LEX nr 531412).
P. Stanisz wyróżnia pięć sfer wchodzących w zakres autonomii i niezależności kościołów: spawy dogmatyczne, doktrynalne i kultowe; zarząd i organizację związków wyznaniowych; tworzenie materialnych warunków działalności religijnej; propagowanie wyznawanej wiary; działalność wynikająca z przyjmowanej doktryny" (Piotr Stanisz, 2008, "Naczelne zasady instytualne relacji państwo-kościół" w: Artur Mezglewski; Henryk Misztal, Piotr Stanisz "Prawo wyznaniowe". s. 76-77, Warszawa, C. H. Beck).
Z zasady autonomii i niezależności wynika także nieobowiązywanie prawa wewnętrznego związków wyznaniowych w państwowym porządku prawnym. Jednak nie oznacza to izolacji państwa i kościołów, ani tworzonych przez nie porządków normatywnych. Stąd też normy prawa wewnętrznego związków wyznaniowych powinny być brane pod uwagę przy wydawaniu przez organy władzy publicznej rozstrzygnięć dotyczących wspólnot religijnych. Jednocześnie władze państwowe są pozbawione jakichkolwiek kompetencji w sferze wchodzącej w zakres autonomii związków wyznaniowych – a więc, np. w ustalaniu doktryny wiary, czy też zasad członkostwa. Natomiast ingerując w sferę działalności związków wyznaniowych – zarówno poprzez tworzenie, jak i stosowanie prawa – państwo powinno zachować powściągliwość. (Marcin Olszówka 2016, "wpływ Konstytucji RP z 1997 r. na system źródeł prawa wyznaniowego s. 155-156, Warszawa, Oficyna Wydawnicza Uczelni Łazarskiego; Konrad Duda "Prawo i obowiązek przetwarzania danych osobowych byłych wyznawców przez Kościoły i inne związki wyznaniowe", Studia z prawa wyznaniowego, Fam 21-2018, s. 376-377).
W piśmiennictwie przedmiotu podkreśla się, iż zagadnienia określenia zasad członkostwa w związku wyznaniowym wchodzą w zakres jego autonomii i niezależności – a więc organy państwa (a takim bez wątpienia jest Prezesa UODO), nie mają prawa zarówno normować tych kwestii, jak i oceniać skuteczności przyjęcia lub wykluczenia osoby ze wspólnoty wyznaniowej (tak: K. Duda, op. ot., s. 379). Dlatego też, w ocenie Sądu, za trafne uznać należało stanowisko Prezesa UODO, iż nie jest on uprawniony do oceny tego, czy dana osoba jest, czy też nie jest członkiem danego związku wyznaniowego.
Kwestia ta zresztą, w okolicznościach niniejszej sprawy nie jest przedmiotem sporu, gdyż zarówno Skarżąca, jak i Związek przyznają, że Skarżąca skutecznie wystąpiła ze związku wyznaniowego.
Jak ustalono w toku postępowania administracyjnego, obecnie Związek wyznaniowy przetwarza dane osobowe Skarżącej o charakterze historycznym, jako osoby, która wystąpiła ze Związku. Zgodnie z wierzeniami Związku dane te są niezbędne do realizacji celów statutowych Związku, prawo wewnętrzne Związku przewiduje bowiem powrót odłączonego lub wykluczonego członka, a jednocześnie zgodnie z wierzeniami nie jest możliwy ponowny chrzest członka Związku. Dane osobowe Skarżącej są przechowywane przez Związek w celu wykonywania statutowych zadań Związku, w tym ochrony głosicieli i zapewnienia czystości w Zborze zgodnie z wierzeniami religijnymi Świadków Jehowy, aby zapobiec ponownemu chrztu niezgodnemu z wierzeniom i umożliwić ewentualny powrót do Związku, na wypadek gdyby Skarżąca zwróciła się o przywrócenie statusu członka Związku.
W świetle powyższego za trafny uznać należało pogląd Organu, iż przetwarzanie przez Związek danych osobowych Skarżącej, jako byłego członka Związku znajduje oparcie w zakresie tzw. danych zwykłych w art. 6 ust. 1 lit f RODO, a w zakresie danych szczególnych kategorii w art. 9 ust. 2 lit. d) RODO.
Wyjaśnić w tym miejscu należy, iż czwartą podstawą dopuszczalności przetwarzania szczególnych kategorii danych, uregulowaną w art. 9 RODO jest przesłanka wskazana w ust. 2 lit. d tego artykułu, zgodnie z którą zakaz przetwarzania nie ma zastosowania, jeżeli "przetwarzania dokonuje się w ramach uprawnionej działalności prowadzonej z zachowaniem odpowiednich zabezpieczeń przez fundację, stowarzyszenie lub inny niezarobkowy podmiot o celach politycznych, światopoglądowych, religijnych lub związkowych, pod warunkiem że przetwarzanie dotyczy wyłącznie członków lub byłych członków tego podmiotu lub osób utrzymujących z nim stałe kontakty w związku z jego celami oraz że dane osobowe nie są ujawniane poza tym podmiotem bez zgody osób, których dane dotyczą".
Przesłanka ta wzorowana na podstawie z art. 8 ust. 2 lit. d dyrektywy 95/46/WE, jest również zbliżona do podstawy określonej w art. 27 ust. 2 pkt 4 u.o.d.o. z 1997 r. z tą różnicą, że prawodawca unijny rozszerzył dopuszczalność przetwarzania danych o dane dotyczące "byłych członków", co stanowi jednoznaczne rozstrzygnięcie wątpliwości pojawiających się w tym zakresie w praktyce stosowania przepisów o ochronie danych.
Omawiana podstawa jest rozległa pod kątem zakresu podmiotowego, ponieważ dotyczy różnych rodzajów podmiotów, które mają charakter niezarobkowy i działają w celach politycznych, światopoglądowych, religijnych lub związkowych. Komentowany przepis jako przykłady tego rodzaju podmiotów podaje fundacje i stowarzyszenia, niewątpliwie jednak dotyczy to także kościołów i związków wyznaniowych. Przesłanka charakteru niezarobkowego wyklucza z zakresu podmiotowego przedsiębiorców, gdyż ich istotną cechą jest cel zarobkowy rozumiany jako ukierunkowanie działalności na osiąganie zysku.
Gdy chodzi o zakres przedmiotowy, to omawiana podstawa ogranicza przetwarzanie do danych odnoszących się do członków lub byłych członków tego podmiotu oraz osób utrzymujących z nimi stałe kontakty, w związku z realizacją celów tego podmiotu. Oznacza to, że np. stowarzyszenia mogą przetwarzać dane nie tylko osób, które są członkami tego stowarzyszenia, ale także osób, które wspierają finansowo to stowarzyszenia (np. przekazując 1% podatku na cele tej organizacji), czy też osób, które korzystają z form wsparcia oferowanych przez tę organizację.
W motywie 55 preambuły wyjaśniono, że "przetwarzanie danych osobowych przez organy publiczne do celów – określonych w prawie konstytucyjnym lub prawie międzynarodowym publicznym – oficjalnie uznanych związków wyznaniowych odbywa się w interesie publicznym".
W praktyce kwestią wywołującą spory była dopuszczalność przetwarzania przez kościoły danych osób, które dokonały aktu apostazji, czyli formalnym aktem wystąpiły z kościoła. W obecnym stanie prawnym – na gruncie komentowanego przepisu, jednoznacznie przesądzającego, iż kościoły mogą przetwarzać również dane dotyczące byłych członków, kwestia ta nie powinna budzić wątpliwości, a roszczenia dotyczące usunięcia wszelkich danych z kościelnych zbiorów (np. ksiąg) należy uznać za nieznajdujące oparcia w przepisach. (tak: Rafał Fajgielski, "Komentarz do rozporządzenia nr 2016/679 w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych), [w.] "ogóle rozporządzenie o ochronie danych. Ustawa o ochronie danych osobowych. Komentarz", wyd. II, WKP 2022, komentarz do art. 9, teza 19, Lex Omega on-line).
Warto także wspomnieć, iż komentowany przepis wymaga, aby działalność wskazanych powyżej podmiotów w zakresie przetwarzania danych osobowych dokonywana była z zachowaniem odpowiednich zabezpieczeń, a dane osobowe nie były ujawniane poza tym podmiotem bez zgody osób, których dane dotyczą. Pierwszy z przywołanych tu wymogów oznacza konieczność stosowania przepisów rozporządzenia 2016/679, dotyczących zabezpieczenia przetwarzanych danych (określonych w art. 32 i innych przepisach komentowanego rozporządzenia), natomiast drugi wskazuje na swego rodzaju wewnętrzny charakter wykorzystania danych przez wskazaną w komentowanym przepisie grupę podmiotów – dane sensytywne nie powinny być ujawniane poza tym podmiotem (fundacją, stowarzyszeniem, kościołem itp.), bez zgody osoby, której dane dotyczą. Ostatni wymóg nie oznacza jednak, że przepisy szczególne nie mogą wprowadzić obowiązku ujawniania danych sensytywnych innym podmiotom.
Jak wynika z treści uzasadnienia zaskarżonej decyzji postępowanie administracyjne nie wykazało, aby dane osobowe Skarżącej były przechowywane bez zachowania odpowiednich zabezpieczeń, czy też były ujawniane pod Związkiem jest ograniczony i zastrzeżony wyłącznie do osób upoważnionych, jak wyjaśnił Związek.
Odnosząc się do kwestii zawartego w skardze do PUODO wniosku o wydanie przez organ Związkowi nakazu udostępnienia Skarżącej dokumentów, czy kopii dokumentów, stwierdzić należnym iż stanowisko organy jest w tym zakresie zgodnie z obowiązującym prawem, albowiem żaden z przepisów RODO ani ustawy o ochronie danych osobowych z 2018 r. nie uprawnia Prezesa UODO do wydawania nakazów udostępniania dokumentów lub kopii dokumentów.
W świetle powyższego skargę na podstawie art. 151 P.p.s.a. należało oddalić