III OSK 6698/21

III OSK 6698/21 - Wyrok NSA
Data orzeczenia
2025-03-13
orzeczenie prawomocne
Data wpływu
2021-09-23
Sąd
Naczelny Sąd Administracyjny
Sędziowie
Hanna Knysiak - Sudyka
Mirosław Wincenciak /przewodniczący/
Rafał Stasikowski /sprawozdawca/
Symbol z opisem
647  Sprawy związane z ochroną danych osobowych
Hasła tematyczne
Ochrona danych osobowych
Sygn. powiązane
II SA/Wa 2510/20 - Wyrok WSA w Warszawie z 2021-05-14
Skarżony organ
Generalny Inspektor Ochrony Danych Osobowych
Treść wyniku
Oddalono skargę kasacyjną
Powołane przepisy
Dz.U. 1997 nr 78 poz 483
art. 25 ust. 2 i 4, art. 53
Konstytucja Rzeczypospolitej Polskiej z dnia 2 kwietnia 1997 r. uchwalona przez Zgromadzenie  Narodowe w dniu 2 kwietnia 1997 r., przyjęta przez Naród w referendum konstytucyjnym w dniu  25 maja 1997 r., podpisana przez Prezydenta Rzeczypospolitej Polskiej w dniu 16 lipca 1997 r.
Dz.U. 2013 poz 1169
art. 2
Ustawa z dnia 17 maja 1989 r. o stosunku Państwa do Kościoła Katolickiego w Rzeczypospolitej Polskiej - tekst jednolity.
Sentencja
Naczelny Sąd Administracyjny w składzie: Przewodniczący: sędzia NSA Mirosław Wincenciak Sędziowie: sędzia NSA Rafał Stasikowski (spr.) sędzia del. WSA Hanna Knysiak-Sudyka Protokolant starszy asystent sędziego Łukasz Mazur po rozpoznaniu w dniu 13 marca 2025 r. na rozprawie w Izbie Ogólnoadministracyjnej skargi kasacyjnej P. K. od wyroku Wojewódzkiego Sądu Administracyjnego w Warszawie z dnia 14 maja 2021 r. sygn. akt II SA/Wa 2510/20 w sprawie ze skargi P. K. na postanowienie Prezesa Urzędu Ochrony Danych Osobowych z dnia 20 października 2020 r. nr DS.523.3422.2020.WP.MWY w przedmiocie odmowy wszczęcia postępowania oddala skargę kasacyjną.
Uzasadnienie
Wyrokiem z 14 maja 2021 r., II SA/Wa 2510/20, Wojewódzki Sąd Administracyjny w Warszawie oddalił skargę P. K. na postanowienie Prezesa Urzędu Ochrony Danych Osobowych z 20 października 2020 r., nr DS.523.3422.2020.WP.MWY, w przedmiocie odmowy wszczęcia postępowania.
Wyrok zapadł w następujących okolicznościach faktycznych i prawnych.
Postanowieniem z 20 października 2020 r. Prezes Urzędu Ochrony Danych Osobowych odmówił wszczęcia postępowania w sprawie skargi P. K. na nieprawidłowości w procesie przetwarzania jego danych osobowych przez Proboszcza [...] polegające na nieuaktualnieniu jego danych osobowych w księdze chrztu i nieodesłaniu uaktualnionego odpisu aktu chrztu. Postanowienie zostało wydane na podstawie art. 61a § 1 ustawy z dnia 14 czerwca 1960 r. Kodeks postępowania administracyjnego (Dz. U. z 2020 r., poz. 256 ze zm.; dalej "k.p.a.") w związku z art. 7 ust. 1 ustawy z dnia 10 maja 2018 r. o ochronie danych osobowych (Dz. U. 2019 r., poz. 1781 ze zm.; dalej "u.o.d.o.") i w związku z art. 91 rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z 27 kwietnia 2016r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (Dz. Urz. UE L 119 z 04.05.2016, str. 1, ze zm.; dalej: "RODO").
W uzasadnieniu Prezes UODO wskazał, iż 1 lipca 2020 r. do urzędu wpłynęła skarga na niezgodne z przepisami RODO przetwarzanie jego danych osobowych przez Proboszcza ww. Parafii. Skarżący wskazał, że Proboszcz nie uaktualnił jego danych osobowych w księdze chrztu i nie odesłał mu uaktualnionego odpisu jako potwierdzenia, mimo złożenia przez skarżącego oświadczenia woli o wystąpieniu z Kościoła katolickiego. Organ wskazał, że przepisy RODO przewidują również, że jeżeli w państwie członkowskim w momencie wejścia RODO w życie kościoły i związki lub wspólnoty wyznaniowe stosują szczegółowe zasady ochrony osób fizycznych w związku z przetwarzaniem, zasady takie mogą być nadal stosowane, pod warunkiem, że zostaną dostosowane do niniejszego rozporządzenia (art. 91 ust. 1). Kościoły i związki wyznaniowe, które spełniają tę przesłankę, podlegają nadzorowi niezależnego organu nadzorczego, który może być organem odrębnym, z zastrzeżeniem że spełnia warunki określone w rozdziale VI niniejszego rozporządzenia (art. 91 ust. 2).
Prezes UODO wskazał, że Kościół Katolicki w Polsce skorzystał ze wskazanej wyżej możliwości. W dniu 13 marca 2018 r. Konferencja Episkopatu Polski wydała "Dekret ogólny w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych w Kościele katolickim". W Dekrecie tym prawodawca kościelny wziął po uwagę zarówno zasady ochrony osób fizycznych w związku z przetwarzaniem ich danych osobowych stosowane dotychczas w Kościele katolickim w Polsce, jak też "konieczność pogodzenia ochrony danych osobowych z korzystaniem z podstawowego prawa do wolności religijnej, zagwarantowanego również w prawie pozytywnym, także w jego wymiarze instytucjonalnym". Regulacje zawarte w Dekrecie stanowią uszczegółowienie przepisów kanonicznego prawa powszechnego oraz uaktualnienie przepisów kanonicznego prawa partykularnego. W Dekrecie przewidziano też powołanie Kościelnego Inspektora Ochrony Danych oraz określono jego zadania i uprawnienia. W dniu 22 marca 2018 r. ww. Dekret został zatwierdzony przez Stolicę Apostolską (uzyskał recognitio Kongregacji ds. Biskupów), zaś 30 kwietnia 2018 r. nastąpiła jego prawna promulgacja (ogłoszenie) poprzez zamieszczenie na oficjalnej stronie internetowej Konferencji Episkopatu Polski.
Prezes UODO wskazał, że do zadań Kościelnego Inspektora Ochrony Danych należy m.in. monitorowanie i zapewnianie przestrzegania przepisów o ochronie danych osobowych w ramach i zgodnie z działaniem Kościoła katolickiego i jego struktur (art. 37 ust. 1 pkt 1 Dekretu), udzielanie osobie, której dane dotyczą, informacji dotyczących uprawnień przysługujących jej w związku z przetwarzaniem jej danych osobowych (pkt 3), jak też rozpatrywanie skarg dotyczących przestrzegania przepisów ustanowionych w Kościele w zakresie ochrony danych osobowych (art. 37 ust. 1 pkt 5 Dekretu). Prezes UODO podkreślił, że ponieważ – zgodnie z art. 52 ust. 1 RODO – każdy organ nadzorczy podczas wypełniania swoich zadań i wykonywania swoich uprawnień zgodnie z niniejszym rozporządzeniem działa w sposób w pełni niezależny, nie jest on kompetentny do rozpatrzenia i rozstrzygnięcia skargi dotyczącej przetwarzania danych osobowych w zakresie objętym kompetencjami Kościelnego Inspektora Ochrony Danych.
Skargę na powyższe postanowienie do Wojewódzkiego Sądu Administracyjnego w Warszawie wniósł skarżący.
W odpowiedzi na skargę Prezes UODO wniósł o jej oddalenie oraz podtrzymał dotychczasowe stanowisko.
Oddalając skargę, sąd I instancji wskazał, że nie zasługiwała ona na uwzględnienie, albowiem wydając zaskarżone postanowienie z 20 października 2020 r., Prezes UODO prawidłowo zastosował przepisy art. 61a § 1 k.p.a. w związku z art. 7 ust. 1 u.o.d.o., przyjmując, że w świetle regulacji prawnych wyrażonych w art. 91 RODO nie posiada uprawnień do rozpatrywania sprawy dotyczącej przetwarzania danych osobowych w bazach danych prowadzonych w ramach struktur Kościoła katolickiego.
Sąd I instancji wyjaśnił, że przepisy RODO przewidują, że jeżeli w państwie członkowskim w momencie wejścia RODO w życie kościoły i związki lub wspólnoty wyznaniowe stosują szczegółowe zasady ochrony osób fizycznych w związku z przetwarzaniem, zasady takie mogą być nadal stosowane, pod warunkiem, że zostaną dostosowane do ww. rozporządzenia (art. 91 ust. 1). Kościoły i związki wyznaniowe, które spełniają tę przesłankę, podlegają nadzorowi niezależnego organu nadzorczego, który może być organem odrębnym, z zastrzeżeniem, że spełnia warunki określone w rozdziale VI niniejszego rozporządzenia (art. 91 ust. 2). Sąd wskazał również, że jak wynika z treści art. 51 ust. 4 RODO (rozdział VI Niezależne organy nadzorcze), do dnia 25 maja 2018 r. każde państwo członkowskie zawiadamia Komisję o przepisach przyjętych na mocy niniejszego rozdziału, a następnie niezwłocznie o każdej kolejnej zmianie mającej na nie wpływ.
Sąd podniósł, że Konferencja Episkopatu Polski 13 marca 2018 r. wydała "Dekret ogólny w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych w Kościele katolickim" (Dekret), w którym prawodawca kościelny wziął po uwagę zarówno zasady ochrony osób fizycznych w związku z przetwarzaniem ich danych osobowych stosowane dotychczas w Kościele katolickim w Polsce, jak też "konieczność pogodzenia ochrony danych osobowych z korzystaniem z podstawowego prawa do wolności religijnej, zagwarantowanego również w prawie pozytywnym, także w jego wymiarze instytucjonalnym". Regulacje zawarte w Dekrecie stanowią uszczegółowienie przepisów kanonicznego prawa powszechnego oraz uaktualnienie przepisów kanonicznego prawa partykularnego. W Dekrecie przewidziano też powołanie Kościelnego Inspektora Ochrony Danych oraz określono jego zadania i uprawnienia (Rozdz. V Dekretu). W dniu 22 marca 2018 r. ww. Dekret został zatwierdzony przez Stolicę Apostolską (uzyskał recognitio Kongregacji ds. Biskupów), zaś 30 kwietnia 2018 r. nastąpiła jego prawna promulgacja poprzez zamieszczenie na oficjalnej stronie internetowej Konferencji Episkopatu Polski. W tym samym dniu Dekret wszedł w życie (art. 44 ww. Dekretu).
Sąd I instancji zauważył, że do zadań Kościelnego Inspektora Ochrony Danych należy m.in. monitorowanie i zapewnianie przestrzegania przepisów o ochronie danych osobowych w ramach i zgodnie z działaniem Kościoła katolickiego i jego struktur (art. 37 ust. 1 pkt 1 Dekretu), udzielanie osobie, której dane dotyczą informacji dotyczących uprawnień przysługujących jej w związku z przetwarzaniem jej danych osobowych (pkt 3), jak też rozpatrywanie skarg dotyczących przestrzegania przepisów ustanowionych w Kościele w zakresie ochrony danych osobowych (art. 37 ust. 1 pkt 5 Dekretu). Kościół Rzymskokatolicki jest instytucją o uregulowanej sytuacji prawnej, unormowanej m.in. w Konstytucji RP, w umowie międzynarodowej, jaką jest Konkordat między Stolicą Apostolską a Rzecząpospolitą Polską podpisany w Warszawie 28 lipca 1993 r. (Dz. U. z 1998 r. Nr 51, poz. 318) i w ustawach. W myśl art. 2 ustawy z dnia 17 maja 1989 r. o stosunku Państwa do Kościoła Katolickiego w Rzeczypospolitej Polskiej (Dz.U. z 2013 r. poz. 1169 ze zm.) Kościół rządzi się w swych sprawach własnym prawem, swobodnie wykonuje władzę duchowną i jurysdykcyjną oraz zarządza swoimi sprawami. Ponieważ – zgodnie z art. 52 ust. 1 RODO – każdy organ nadzorczy podczas wypełniania swoich zadań i wykonywania swoich uprawnień zgodnie z niniejszym rozporządzeniem działa w sposób w pełni niezależny, tak jak czyni to w oparciu o powołane wyżej regulacje prawne Kościelny Inspektor Ochrony Danych, Prezes UODO nie jest kompetentny do rozpatrzenia i rozstrzygnięcia skargi dotyczącej przetwarzania danych osobowych skarżącego w zakresie objętym kompetencjami wspomnianego Inspektora.
Zdaniem sądu należy również mieć na uwadze, że Dekret regulujący kwestie przetwarzania danych osobowych w Kościele katolickim wszedł w życie 30 kwietnia 2018 r., a zatem jeszcze przed okresem obowiązywania w kraju regulacji wprowadzonych przez RODO, które umożliwiają kościołom i związkom lub wspólnotom wyznaniowym stosowanie szczegółowych zasad ochrony osób fizycznych w związku z przetwarzaniem danych osobowych. Proces stosowania ww. zasad objęty jest nadzorem niezależnego organu nadzorczego, który może być organem odrębnym, z zastrzeżeniem, że spełnia warunki określone w rozdziale VI RODO. W Polsce funkcję takiego organu nadzoru pełni Kościelny Inspektor Ochrony Danych. W tym stanie rzeczy, zasadnie odmówiono skarżącemu wszczęcia postępowania, ponieważ Prezes UODO nie był właściwym rzeczowo do rozstrzygania w przedmiocie złożonej przez skarżącego do organu skargi dotyczącej nieprawidłowości w procesie przetwarzania jego danych osobowych przez Proboszcza polegającą na nieuaktualnieniu danych osobowych skarżącego w księdze chrztu i nienadesłaniu uaktualnionego odpisu aktu chrztu.
Mając powyższe na względzie, Sąd I instancji, działając na podstawie art. 151 ustawy z dnia 30 sierpnia 2002 r. – Prawo o postępowaniu przed sądami administracyjnymi (Dz. U. z 2019 r., poz. 2325 ze zm.; dalej "p.p.s.a."), oddalił skargę.
Skargę kasacyjną od powyższego wyroku wywiódł skarżący, zaskarżając wyrok w całości. Wniósł o uchylenie zaskarżonego wyroku w całości i rozpoznanie skargi przez uchylenie zaskarżonego postanowienia Prezesa UODOD. Nadto wniósł o rozpoznanie sprawy na rozprawie i zasądzenie zwrotu kosztów postępowania.
Na podstawie art. 174 pkt 1 p.p.s.a. zarzucił zaskarżonemu wyrokowi naruszenie przepisów prawa materialnego przez ich niewłaściwą wykładnię oraz nieprawidłowe zastosowanie, tj.:
1) naruszenie art. 91 ust. 1 w zw. z art. 99 ust. 1 RODO polegającego na ich nieprawidłowej wykładni polegającej na przyjęciu, że z art. 91 ust. 1 RODO wynika, iż przepis ten ma zastosowanie do Dekretu ogólnego w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych w Kościele katolickim z 13 marca 2018 r., który został przyjęty przed datą rozpoczęcia stosowania RODO określoną w art. 99 ust. 2 RODO, a po dacie jego wejścia w życie określonej w art. 99 ust. 1 RODO, i w konsekwencji na nieprawidłowym zastosowaniu przez WSA w Warszawie art. 91 ust. 1 RODO, pomimo niespełnienia warunku wynikającego z art. 91 ust. 1 RODO w zw. z art. 99 ust. 1 RODO, podczas gdy prawidłowa wykładnia wskazanych przepisów winna była doprowadzić WSA w Warszawie do wniosku, że art. 91 ust. 1 RODO nie miał zastosowania do wskazanego Dekretu, gdyż nie spełniał on warunku wynikającego ze wskazanych przepisów, dotyczącego tego, aby był on stosowany przed datą określoną na podstawie art. 99 ust. 1 RODO;
2) naruszenie art. 91 ust. 1 RODO poprzez jego nieprawidłową wykładnię polegającą na błędzie rekonstrukcji przez WSA w Warszawie rzeczywistej treści normy wyrażonej w art. 91 ust. 1 RODO, z której to normy wynika w rzeczywistości, a wbrew nieprawidłowej wykładni dokonanej przez WSA w Warszawie, że przepis ten ma zastosowanie tylko do takich zasad ochrony osób fizycznych w związku z przetwarzaniem, które były w rzeczywistości stosowane w dniu wejścia RODO, a jednocześnie stanowiły kompleksową regulację uprawnień przysługujących osobie, której dane dotyczą, ustanawiającą standard ochrony tychże uprawnień zasadniczo odpowiadający standardowi wynikającemu z RODO, w tym, w szczególności, w zakresie środków ochrony prawnej, a zwłaszcza prawa do skutecznego środka ochrony prawnej przed sądem, odpowiedzialności i sankcji, podczas gdy zasady określone w Dekrecie, o którym mowa w pkt 1.1) supra, warunków tych nie spełniały;
3) naruszenie art. 8 i art. 9 EKPC, a także art. 8 i art. 10 KPP UE, w obu przypadkach w zw. z art. 52 ust. 3 KPP UE, poprzez ich niezastosowanie skutkujące:
a) pozbawieniem skarżącego dostępu do proceduralnych gwarancji ochrony jego prawa do ochrony danych osobowych, w tym zwłaszcza prawa do jego sądowej ochrony oraz do środka ochrony, który powinien mu zapewnić krajowy organ nadzorczy w rozumieniu RODO, co w bezpośredni sposób naruszyło proceduralny aspekt prawa skarżącego do ochrony jego danych osobowych, chronionego przez art. 8 EKPC i art. 8 w zw. z art. 52 ust. 3 KPP UE;
b) poddaniem skarżącego jurysdykcji organu nadzorczego utworzonego w ramach Kościoła Katolickiego, w postaci Kościelnego Inspektora Ochrony Danych Osobowych, co naruszyło negatywny aspekt wolności wyznania przysługującej skarżącemu na mocy art. 9 EKPC i art. 10 w zw. z art. 52 ust. 3 KPP UE, ponieważ skarżący złożył oświadczenie woli o wystąpieniu z tegoż Kościoła i go nie cofnął, a w konsekwencji nie jest wiernym tego Kościoła.
Na podstawie akapitu trzeciego art. 267 TFUE w zw. z art. 6 ust. 1 EKPC, skarżący domagał się wystąpienia przez Naczelny Sąd Administracyjny do Trybunału Sprawiedliwości o wydanie rozstrzygnięcia wstępnego, dotyczącego wykładni zagadnień prejudycjalnych wskazanych w pkt. IV.30. uzasadnienia niniejszej skargi kasacyjnej, z uwagi na okoliczności przedstawione w pkt IV.31 tejże skargi kasacyjnej.
W odpowiedzi na skargę kasacyjną organ wniósł o jej oddalenie.
Naczelny Sąd Administracyjny zważył, co następuje.
Stosownie do treści art. 183 § 1 p.p.s.a. Naczelny Sąd Administracyjny rozpoznaje sprawę w granicach skargi kasacyjnej, z urzędu biorąc pod uwagę jedynie nieważność postępowania. Granice te determinują kierunek postępowania Naczelnego Sądu Administracyjnego. Wobec niestwierdzenia przesłanek nieważności postępowania, Naczelny Sąd Administracyjny dokonał oceny podstaw i zarzutów kasacyjnych.
Skarga kasacyjna nie zasługiwała na uwzględnienie.
Istota zagadnienia myślowego objętego treścią zarzutu pierwszego i drugiego skargi kasacyjnej wiąże się z ustaleniem, czy przepisy RODO znajdują zastosowanie do działalności Kościoła Katolickiego w Polsce, tj. ustalenie i rozstrzygnięcie, czy przed wejściem w życie przepisów RODO Kościół Katolicki w Polsce posiadał i stosował szczególne zasady ochrony osób fizycznych w związku z przetwarzaniem ich danych osobowych, czy następnie zasady te zostały dostosowane (tj. czy za dostosowanie uznać należy wydanie w dniu 13 marca 2018 r. Dekretu ogólnego w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych w Kościele Katolickim), a zatem, czy z mocy przepisu art. 91 ust. 1 RODO mogły być dalej stosowane, wypierając z zakresu objętego swoją regulacją przepisy RODO, które w tym zakresie stosownie do art. 99 ust. 2 RODO od dnia 25 maja 2018 r. nie mogło znaleźć zastosowania.
Rozstrzygnięcie tego zagadnienia wymaga rozróżnienia już na samym początku dwóch sfer działalności kościoła lub związku wyznaniowego, w tym Kościoła Katolickiego. Pierwszą z nich jest sfera odnosząca się do doktryny religijnej, jej zasad, fundamentów aksjologicznych, sakramentów, praktyk, obrzędów religijnych itp. oraz powiązanych z nimi czynności administracyjnych. Druga sfera odnosi się do pozostałej działalności kościołów i innych związków wyznaniowych, takich jak prowadzenie szkół, przedszkoli, innych placówek oświatowo-wychowawczych, resocjalizacyjnych, szpitali i szeregu innych inicjatyw pozostających w zakresie administracji świadczącej, czy pomocy drugiemu człowiekowi w potrzebie. Ta druga sfera towarzyszyła Kościołowi Katolickiemu od początków jego istnienia, wynikała i uwiarygadniała głoszone założenia sfery pierwszej. Wydaje się iż druga ze sfer podlega w całości pod bezpośrednie obowiązywanie przepisów RODO. Przedmiotem rozstrzyganego w sprawie zagadnienia prawnego jest zatem pierwsza sfera.
Zgodnie z art. 91 ust. 1 RODO "jeżeli w państwie członkowskim w momencie wejścia niniejszego rozporządzenia w życie kościoły i związki lub wspólnoty wyznaniowe stosują szczegółowe zasady ochrony osób fizycznych w związku z przetwarzaniem, zasady takie mogą być nadal stosowane, pod warunkiem że zostaną dostosowane do niniejszego rozporządzenia". Zdaniem Naczelnego Sądu Administracyjnego wbrew ocenie strony skarżącej kasacyjnie, przed dniem wejścia w życie RODO w Kościele Katolickim obowiązywał w zakresie ochrony danych osobowych dość rozbudowany zespół norm prawnych i był on stosowany. Ocena zakresu objętego regulacją oraz szczegółowość regulacji musi uwzględniać czas ich powstania i okoliczności zewnętrzne i wewnątrzkościelne oddziałujące na potrzebę ich ustanowienie i zakres. Aktem normatywnym o najwyżej randze i powszechnym zakresie obowiązywania w Łacińskim Kościele Katolickim jest Kodeks Prawa Kanonicznego, promulgowany w 1983 r. Data ta wskazuje, iż był on opracowany i przyjęte przed rewolucją technologiczną wywołaną przez upowszechnienie komputera i jego zastosowania w zautomatyzowanym przetwarzaniu danych osobowych.
Z punktu widzenia zasad ochrony danych osobowych w Kościele Katolickim rudymentarne znaczenie ma kanon 220 zgodnie z którym "nikomu nie wolno bezprawnie naruszać dobrego imienia, które ktoś posiada, ani też naruszać prawa każdej osoby do ochrony własnej intymności". Kanon ten uznawany jest powszechnie za podstawę ochrony prawa do prywatności i intymności wiernych w Kościele, ale i również – co należy dobitnie podkreślić – osób nie należących do Kościoła. Z punktu widzenia przedmiotu sprawy sądowoadministracyjnej istotne jest zaś to, że z jego egzegezy wywodzony jest w nauce prawa kanonicznego szereg obszarów, w obrębie których przejawia się ochrona sfery prywatności i intymności człowieka. Jedną z nich jest sfera prywatności związana z ochroną danych osobowych. Ważkość tego zagadnienia dostrzegł zresztą sam ustrojodawca kościelny, który na poziomie Kodeksu Prawa Kanonicznego (dalej KPK) dość szczegółowo i szeroko reguluje zagadnienia materialno-techniczne związane z gromadzeniem danych osobowych, zasad obowiązujących na etapie gromadzenia, przechowywania i udostępniania danych osobowych. Najlepiej obrazuje to przykład prowadzenia ksiąg parafialnych. Regulacja odnosząca się do ksiąg parafialnych zawarta jest w kanonie 535 KPK. Kan. 535 stanowi zaś co następuje. § 1. W każdej parafii należy prowadzić księgi parafialne, a mianowicie ochrzczonych, małżeństw, zmarłych oraz inne, zgodnie z przepisami Konferencji Episkopatu lub biskupa diecezjalnego. Proboszcz ma czuwać nad tym, by księgi były właściwie spisywane i przechowywane. § 2. W księdze ochrzczonych należy odnotować bierzmowanie, jak również to, co ma związek ze stanem kanonicznym wiernych z racji małżeństwa, z zachowaniem wszakże przepisu kan. 1133, z racji adopcji, jak również przyjęcia święceń wyższych, profesji wieczystej złożonej w instytucie zakonnym oraz zmiany obrządku; adnotacje muszą być zawsze uwidocznione w metryce chrztu. § 3. Każda parafia powinna mieć własną pieczęć. Wydawane zaświadczenia kanonicznego stanu wiernych oraz wszystkie akty, które mogą posiadać znaczenie prawne, mają być podpisane przez proboszcza lub jego delegata i opatrzone pieczęcią parafialną. § 4. Każda parafia winna mieć własny depozyt dokumentów czyli archiwum, w którym należy przechowywać księgi parafialne, łącznie z listami biskupów oraz innymi dokumentami, których zachowanie jest konieczne lub pożyteczne. Biskup diecezjalny lub jego delegat powinien, z okazji wizytacji lub w innym czasie, przejrzeć je wszystkie, a proboszcz ma czuwać nad tym, by nic z nich nie dostało się do obcych rąk. § 5. Należy pilnie przechowywać także stare księgi parafialne, zgodnie z wymogami prawa partykularnego.
Zakres danych, jakie powinny być zamieszczone w tych księgach, wynika ze szczegółowych unormowań regulujących udzielanie sakramentów i sakramentaliów (vide kanony 895, 1053-1054, 1121-1123, 1133, 1182).
Zwrócić uwagę należy również na treść kanonów od 486 do 491. Kanony te zaś stanowią co następuje. Kanon 486 - § 1. Z największą troską należy strzec wszystkich dokumentów dotyczących diecezji lub parafii. § 2. W każdej kurii, w miejscu bezpiecznym, należy urządzić archiwum diecezjalne czyli depozyt dokumentów, w którym winny być przechowywane dokumenty i pisma dotyczące spraw diecezjalnych - zarówno duchowych, jak i doczesnych - odpowiednio uporządkowane i pilnie strzeżone pod zamknięciem. § 3. Powinien być sporządzony inwentarz, czyli katalog dokumentów znajdujących się w archiwum, z dołączeniem krótkiego opisu każdej pozycji. Kan. 487 - § 1. Archiwum powinno być zamknięte, a klucz od go winien mieć tylko biskup i kanclerz. Nikomu nie wolno wchodzić do archiwum bez zezwolenia biskupa lub moderatora kurii i kanclerza równocześnie. § 2. Osoby zainteresowane mają prawo - gdy o to proszą osobiście lub przez pełnomocnika - otrzymać autentyczny odpis lub kopię dokumentu, z natury swej publicznego, który dotyczy ich osoby. Kan. 488 - Z archiwum nie wolno zabierać dokumentów, chyba ze tylko na krótki czas i za zgodą biskupa, albo moderatora kurii i kanclerza równocześnie. Kan. 489 - § 1. W kurii diecezjalnej powinno także być archiwum tajne albo przynajmniej w ogólnym archiwum winna się znajdować kasa pancerna, dobrze zamknięta i umocowana, której nie da wynieść z miejsca. Należy w nim przechowywać z największą pilnością dokumenty tajne. § 2. Każdego roku należy zniszczyć dokumenty spraw karnych w zakresie obyczajów, dotyczące osób zmarłych albo spraw zakończonych przed dziesięciu laty wyrokiem skazującym, zachowując krótkie streszczenie faktu wraz z tekstem wyroku. Kan. 490 - § l. Klucz od tajnego archiwum powinien mieć tylko biskup. § 2. Podczas wakansu stolicy nie wolno otwierać tajnego archiwum lub kasy pancernej. W razie prawdziwej konieczności, czyni to sam administrator diecezji. § 3. Z tajnego archiwum lub kasy pancernej nie wolno wynosić dokumentów. Kan. 491 - § 1. Biskup diecezjalny powinien zatroszczyć się o to, ażeby pilnie były przechowywane akta i dokumenty również archiwów kościołów katedralnych, kolegiackich, parafialnych oraz innych znajdujących się na jego terytorium, jak również o to, by sporządzane były w dwóch egzemplarzach inwentarze czyli katalogi. Jeden z nich ma być przechowywany w miejscowym archiwum, drugi zaś w archiwum diecezjalnym. § 2. Biskup diecezjalny winien zatroszczyć się także o utworzenie archiwum historycznego, w którym strzeżono by pilnie dokumenty posiadające walor historyczny, uporządkowane systematycznie. § 3. By korzystać z akt i dokumentów, o których w §§ 1 i 2, albo wypożyczać je, należy zachować normy ustanowione przez biskupa diecezjalnego.
W KPK obowiązuje jeszcze szereg innych przepisów, które pośrednio odnoszą się do zagadnień danych osobowych lub z których można wywnioskować właściwy sposób przetwarzania danych osobowych. Obowiązują także przepisy Konferencji Episkopatu Polski (vide: Przepisy Konferencji Episkopatu Polski o prowadzeniu ksiąg parafialnych: ochrzczonych, bierzmowanych, małżeństw i zmarłych, oraz księgi stanu dusz, opracowane przez ks. biskupa Fr. Jopa, a uchwalone i przyjęte przez Episkopat Polski dnia 5–7 września 1947 r. [w:] F. Bączkowicz, uzupełnił i poprawił: J. Baron, W. Stawinoga, Prawo kanoniczne. Podręcznik dla duchowieństwa, t. II, Opole 1958, s. 597–615).
Przytoczone zostały jedynie najbardziej fundamentalne prawa, reguły lub zasady odnoszące się do szczegółowych zasad ochrony prawa do prywatności osób fizycznych w związku z ich przetwarzaniem. Generalne wnioski z nich wypływające sprowadzają się do następujących tez: po pierwsze, w Kościele Katolickim obowiązuje zasada ochrony prawa do prywatności osoby fizycznej, bez względu na jej przynależność do Kościoła, a prawo do prywatności jest elementem szerszej kategorii jaką jest godność człowieka (vide kanon 212 § 3 KPK) na której budowane są relacje między osobą fizyczną a instytucjami kościelnymi; po drugie, przetwarzanie danych osobowych osób fizycznych odbywa się na piśmie w księgach, w sposób z góry zorganizowany i uporządkowany, a więc według pewnych abstrakcyjno-generalnych reguł oraz w sposób zdepersonalizowany, a więc niezależny od upodobań poszczególnych urzędników kościelnych (np. proboszczów lub biskupów); po trzecie, przetwarzanie danych osobowych prowadzone jest w sposób zapewniający ich ochronę, w tym ochronę fizyczną przed ich utratą, ujawnieniem, upublicznieniem, zniszczeniem itp., a zatem oparte zostało na wprowadzeniu systemu rozwiązań organizacyjno-technicznych zapewniających ich ochronę; po czwarte, nastąpiło zdelegowanie szczegółów regulacji na poziom prawa partykularnego, stanowionego przez poszczególne kościoły partykularne. Zasady te stanowią kamienie węgielne, które winny znaleźć swoje uszczegółowienie i konkretyzację na poziomie prawa partykularnego, jakim w rozpoznawanym przypadku jest prawo Kościoła Katolickiego funkcjonującego w Polsce. KPK wymaga bowiem, aby regulacja dotycząca tej materii dokonywana była na szczeblu prawa partykularnego, a szczególnie przez konferencje biskupów krajów, w których obowiązuje ustawodawstwo państwowe o ochronie danych osobowych. Konferencje biskupów winny przyjąć regulacje krajowe, z uwzględnieniem regulacji konstytucyjnych, czy konkordatowych.
Kompetencję w tym zakresie wykorzystała również Konferencja Episkopatu Polski, wydając w dniu 23 września 2009 r. instrukcję dotyczącą ochrony danych osobowych w działalności Kościoła Katolickiego w Polsce. Rozróżniała ona zasady gromadzenia i przetwarzania wiernych i osób, nienależących do Kościoła. Dyskusja o jej normatywności jest poza zakresem rozpoznawanej sprawy z dwóch powodów. Po pierwsze, przepis art. 91 ust. 1 RODO w odniesieniu do "szczegółowych zasad ochrony osób fizycznych", które były przed wejście RODO posługuje się pojęciem ich "stosowania" przez kościół lub związek wyznaniowy, a nie pojęciem ich obowiązywania, które łączymy z normatywnością. W ramach zarzutów (1. i 2.) nie podniesiono kwestii niestosowania Instrukcji z 2009 r. w działalności Kościoła Katolickiego w Polsce przed przyjęciem Dekretu w 2018 r. Po drugie, bez względu na sposób rozstrzygnięcia zagadnienia normatywności i stosowalności Instrukcji KEP z 2009 r., poza sporem jest, iż obowiązywały i były stosowane przepisy KPK, które pozwalały ustalić zakres i podstawowe zasady przetwarzania danych osobowych i sposób ich przetwarzania przez Kościół Katolicki, w tym ustalić w miarę precyzyjne normy-reguły postępowania urzędników kościelnych (wskazanych już wyżej proboszczy, czy biskupów) w odniesieniu do ochrony danych osobowych w procesach ich przetwarzania przy prowadzeniu ksiąg parafialnych.
W nawiązaniu do pierwszego z wymienionych wyżej powodów, jako fakt powszechnie znany należy wskazać, iż Kościół Katolicki od wieków prowadzi księgi parafialne z wykorzystaniem danych osobowych i odnotowuje w nich fakty udzielenia m.in. sakramentu chrztu, zawarcia małżeństwa czy śmierci członków danej wspólnoty religijnej. Nie istniała przy tym zasada powszechnego, nieograniczonego dostępu do tych informacji – możliwość wglądu do ksiąg czy uzyskiwania odpisów, bądź możliwość żądania dokonywania dowolnych w nich zmian przez każdą osobę bez podania powodu dostępu do tych danych. Zasada taka była stosowana od bliżej nieokreślonego okresu czasu i jest ona zakorzeniona w powszechnej świadomości społecznej, również ludzi pozostających poza Kościołem Katolickim.
Bez znaczenia z punktu widzenia RODO jest przy tym, czy było to efektem stosowania reguł skodyfikowanych, czy też powszechnie przyjętego prawa zwyczajowego, bowiem żadne rygory co do charakteru źródeł prawa, nie zostały zakreślone w art. 91 ust. 1 RODO. W świetle tego przepisu prawnie relewantne jest "stosowanie" określonych zasad ochrony danych osobowych. Tym niemniej zauważyć trzeba, że podstawą tych zasad były normy zawarte w prawie kanonicznym, w tym przepisy dotyczące ochrony prywatności i intymności, zawarte w Kodeksie Prawa Kanonicznego, zwłaszcza w cytowanych wyżej kanonach. I pewne jest także, że te rozwiązania normatywne formalnie obowiązują i są stosowane przynajmniej od ich promulgacji w 1983 r., a zatem na wiele lat przed wejściem w życie RODO. Zatem warunek istnienia szczegółowych odrębnych zasad ochrony osób fizycznych w związku z przetwarzaniem danych osobowych w Kościele Katolickim - przed wejściem w życie RODO - został spełniony.
Uprawnia to z kolei do przejścia do kolejnego kroku nakierowanego na ustalenie, czy zasady te zostały dostosowane do wymagań RODO. Aby odpowiedzieć na to pytanie koniecznym jest ustalenie, jak należy rozumieć użyte przez prawodawcę europejskiego w art. 91 ust. 1 pojęcie "dostosowanie". Czy chodzi tu o zapewnienie pełnej zgodności z postanowieniami nowego aktu prawnego (rangi rozporządzenia), bądź też czy możliwe jest - w ich ramach - ustanowienie odmiennych reguł, przy zapewnieniu ochrony danych w ogólnych obszarach zakreślonych RODO.
Do kwestii tej podejść można z perspektywy semantycznej lub z perspektywy zasad racjonalności, w tym założenia racjonalności prawodawcy. Pierwsza perspektywa nakazuje dokonać analizy językowej użytego w RODO wyrażenia językowego "dostosowania szczegółowych zasad ochrony osób fizycznych do RODO". Jest to semantycznie odmienne wyrażenie niż np. zapewnienie zgodności, czy pełnej zgodności dotychczasowych zasad z przepisami RODO. To rozróżnienie ma istotne znaczenie, przy czym nie można nie zauważyć, iż wymóg dostosowania wiązany jest jedynie z poziomem zasad. To zaś oznacza, że nie ma wymogu dostosowywania dotychczasowych rozwiązań szczegółowych wewnątrzkościelnych do przepisów RODO. Zatem już tylko z poziomu semantycznego wywieść można, iż dostosowanie dotychczasowych zasad ochrony osób fizycznych do przepisów RODO ograniczone jest li tylko do poziomu podstawowych zasad rządzących przepisami RODO. To zaś oznaczać może, iż niektóre regulacje prawa kościelnego będą inne niż szczegółowe regulacje RODO, w szczególności w kwestiach związanych z zagadnieniami doktryny religijnej, sakramentów, obrzędów i innych zagadnień odejmowanych tradycyjnie sferami zastrzeżonymi do autonomii Kościoła.
Druga perspektywa nakazuje przy dokonywaniu wykładni przyjęcie założenia, że europejski prawodawca jest racjonalny. O ile celem prawodawcy byłoby zapewnienie pełnej zgodności i identyczności, przewidzenie w RODO obowiązywania innej regulacji szczególnej, nie znajdowałby logicznego uzasadnienia. Stąd też zbędny byłby przepis art. 91 ust. 1, czy motyw 165 RODO. Kościoły i inne związki wyznaniowe podlegają - co do zasady - prawu powszechnie obowiązującemu. Wejście więc w życie regulacji na szczeblu unijnym, której postanowienia stosuje się bezpośrednio (rozporządzenie) miałoby taki skutek, że dane podmioty - jako nim bezpośrednio związane - musiałyby się do nich bezwzględnie zastosować. Jak można wywieść z treści art. 91 RODO, prawodawca unijny zamierzał jednak uwzględnić specyfikę przetwarzania danych osobowych, pozostających w związku z praktykami religijnymi i nauczaniem dogmatycznym kościołów i innych wspólnot religijnych. Uznał za zasadne więc uszanowanie ich odrębności i autonomii i dopuścił stosowanie odmiennych reguł ochrony danych osobowych, zapewniających jednak realizację celów RODO. Za taką interpretacją poddanych wykładni przepisów przemawia również motyw 165 RODO, zgodnie z którym niniejsze rozporządzenie nie narusza statusu przyznanego kościołom oraz związkom lub wspólnotom wyznaniowym na mocy prawa konstytucyjnego obowiązującego w państwach członkowskich i nie narusza tego statusu - jak uznano w art. 17 TFUE.
Rekapitulując, "dostosowanie" dotychczasowych szczegółowych regulacji rządzących przetwarzaniem danych osobowych przez Kościół Katolicki w Polsce, sprowadza się do zapewnienia realizacji podstawowych zasad RODO przez przepisy wewnątrzkościelne regulujące przetwarzanie danych osobowych na potrzeby wyznaniowe, przy założeniu, iż nie może ono prowadzić do naruszenia podstawowych elementów zasad wiary i konstrukcyjnych sakramentów, czy praktyk i obrzędów Kościoła. Ostatni element pozostaje bowiem w związku z pozycją ustrojową Kościoła Katolickiego wynikającą z Konstytucji.
Na gruncie polskiej Konstytucji z 1997 r. status prawny kościołów i innych związków wyznaniowych określony został w przepisach art. 25. Z punktu widzenia relacji prawnych między państwem a każdym kościołem lub związkiem wyznaniowym istotne są regulacje zawarte w art. 25 ust. 2, zgodnie z którym stosunki między państwem a kościołami i innymi związkami wyznaniowymi są kształtowane na zasadach poszanowania ich autonomii oraz wzajemnej niezależności każdego w swoim zakresie, jak również współdziałania dla dobra człowieka i dobra wspólnego, oraz w art. 25 ust. 3 zgodnie z którym, stosunki między Rzecząpospolitą Polską a Kościołem katolickim określają umowa międzynarodowa zawarta ze Stolicą Apostolską i ustawy.
Kościół Katolicki w Polsce ze względu na jego historyczne znaczenie w powstaniu Państwa Polskiego (należy li tylko zasygnalizować związek między narodzinami Państwa Polskiego w X. wieku a przyjęciem wiary katolickiej), pozostające poza sporem zasługi w trwaniu państwa, w jego osiągnięciach oraz w odzyskaniu niepodległego bytu państwowego, jak i w wykształceniu się Narodu Polskiego oraz jego unikatowej kultury, zyskał specjalną pozycję ustrojową, której normatywnym wyrazem jest przepis art. 25 ust. 4 Konstytucji. Wykładnia art. 91 ust. 1 RODO uwzględniać musi zatem motyw 165 RODO, a także konstytucyjną zasadę autonomii Kościoła Katolickiego zagwarantowaną Konstytucją RP oraz rozwiązania prawne zawarte w Konkordacie między Stolicą Apostolską i Rzecząpospolitą Polską oraz ustawę z 17 maja 1989 r. o stosunku Państwa do Kościoła Katolickiego w Rzeczypospolitej Polskiej (tekst jedn.: Dz. U. z 2019 r. poz. 1347).
Z treści art. 1 Konkordatu wynika, że Rzeczpospolita Polska i Stolica Apostolska potwierdzają, że Państwo i Kościół Katolicki są - każde w swej dziedzinie - niezależne i autonomiczne oraz zobowiązują się do pełnego poszanowania tej zasady we wzajemnych stosunkach i we współdziałaniu dla rozwoju człowieka i dobra wspólnego. Z kolei w myśl art. 2 ustawy o stosunku Państwa do Kościoła Katolickiego w Rzeczypospolitej Polskiej, Kościół rządzi się w swych sprawach własnym prawem, swobodnie wykonuje władzę duchowną i jurysdykcyjną oraz zarządza swoimi sprawami.
Przepisy art. 53 Konstytucji dość precyzyjnie regulują zagadnienie wolności sumienia i religii jednostki. Korzystanie z tej wolności odbywać może się przez przynależność do kościoła lub innego związku wyznaniowego. Żaden z nich nie odnosi się jednak do zagadnienia wystąpienia z kościoła lub związku wyznaniowego, czy też zasad przetwarzania danych osobowych wiernych i osób nienależących do grona wiernych przez kościół lub związek wyznaniowy. Analiza przepisów KPK wskazuje, że zagadnienie to objęte jest prawem własnym Kościoła Katolickiego. Wskazać należy, że zgodnie z religijną doktryną katolicką chrzest święty "opieczętowuje chrześcijanina niezatartym duchowym znamieniem (charakterem) jego przynależności do Chrystusa" (Katechizm Kościoła Katolickiego nr 1272, Poznań 1994). Prawo kanoniczne podkreśla zaś, że chrzest święty jako sakrament wywiera niezniszczalne znamię (kan. 849). Oznacza to, że pomimo dokonania aktu apostazji, czy oświadczenia woli o wystąpieniu z Kościoła Katolickiego, skutek sakramentu chrztu pozostaje, zgodnie z teologiczną zasadą semel catholicus, semper catholicus.
Istotne jest zwrócenie uwagi, że zagadnienia te znajdują swoje odwzorowanie na poziomie administracji wewnętrznej i zasad przetwarzania danych osobowych funkcjonujących w Kościele Katolickim od co najmniej 1983 r., a na zasadzie prawa zwyczajowego od znacznie dłużej. Fakt chrztu musi być odnotowany. Kanon 877 § 1 KPK przewiduje, że proboszcz miejsca, w którym chrzest jest sprawowany, powinien w księdze ochrzczonych dokładnie i bezzwłocznie zapisać imiona i nazwiska ochrzczonych, z podaniem szafarza, rodziców, rodziców chrzestnych oraz świadków, jeżeli byli obecni, jak też miejsca i daty udzielonego chrztu, wskazując również datę i miejsce urodzenia. Taki nakaz jest naturalną konsekwencją wagi teologicznej chrztu.
Abstrahując od złożonej problematyki skuteczności wystąpienia z Kościoła (vide te poglądy z zakresu teologii, zgodnie z którymi nawet pomimo dokonania aktu apostazji, czy oświadczenia woli o wystąpieniu z Kościoła Katolickiego skutek sakramentu chrztu pozostaje, zgodnie z teologiczną zasadą semel catholicus, semper catholicus.), niewątpliwe jest, iż podjęcie takiej próby poddane jest regulacji w normie sankcjonowanej, co uregulowane jest w kanonie 751 KPK oraz normie sankcjonującej z kanonu 1364 § 1 KPK, zaś prowadzenie ksiąg parafialnych, w tym ksiąg chrztu – uregulowane jest w cytowanych wyżej kanonach. Wypływa z tego wniosek, że są to zagadnienia objęte zakresem doktryny wiary, a tym samym instytucją ustrojową określaną w Konstytucji RP pojęciem normatywnym autonomii Kościoła Katolickiego.
Na podstawie ww. przepisów należy stwierdzić, iż to Kościół Katolicki jest jedynie władny decydować o tym, od kiedy należy się do Kościoła, co tę przynależność ogranicza lub odbiera, jak również w jaki sposób, jak długo i według jakich zasad - dostosowanych do RODO z uwzględnieniem autonomii Kościoła Katolickiego – będzie przetwarzał dane osobowe osób fizycznych. Są to sprawy wewnętrzne Kościoła, które zostały objęte regulacją KPK. W tej kwestii nie może rozstrzygać ani organ państwowy ani sąd powszechny. Dopuszczenie takiej interpretacji prowadziłaby bowiem do uznania, że nabycie członkostwa w Kościele Katolickim, czy jego utrata są zdarzeniami cywilnoprawnymi prowadzącymi do powstania lub ustania prawa podmiotowego, w wyniku składania oświadczeń woli przez strony, zaś zasady przetwarzania danych osobowych osób fizycznych z tym związanych stanowią przedmiot sprawy administracyjnej i podlegają nadzorowi oraz orzecznictwu organów administracyjnych państwa lub jego sądów administracyjnych. Byłaby to prosta droga do zaprzeczenia statusu przyznanego Kościołowi Katolickiemu na mocy przepisów Konstytucji, Konkordatu oraz ustaw zwykłych, a zatem również działanie zmierzające do wywrócenia porządku aksjologicznego przyjętego w przepisach i motywach (nr 165) RODO. Tym samym próba uniemożliwienia kościołowi lub innemu związkowi wyznaniowemu skutecznego odnotowywania wiernych, czyli ochrzczonych, byłaby naruszeniem jego autonomii oraz naruszeniem konstytucyjnej zasady wolności religijnej, a zatem fundamentów aksjologicznych i ustrojowych obowiązujących w Polsce.
Przyjęta przez autora skargi kasacyjnej wykładnia przepisów art. 91 ust. 1 RODO nie uwzględniła zatem zastosowania dyrektyw systemowych i aksjologicznych. Oparta została ona również na zaprzeczeniu faktu stosowania szczegółowych zasad ochrony osób fizycznych przez Kościół Katolicki w okresie poprzedzającym wejście w życie RODO. Pamiętać zaś należy, iż zarzut oparty na podstawie z art. 174 pkt 1 p.p.s.a. nie może być na zbudowany na kwestionowaniu stanu faktycznego przyjętego przez sąd administracyjny pierwszej instancji za podstawę wyrokowania. Brak jest zaś wątpliwości, iż był to podstawowy element podstawy faktycznej sprawy, na którym oparty został tak zaskarżony wyrok sądu, jak i postanowienie organu. Ta okoliczność również podważa zasadność zarzutów.
Dodać następnie należy, iż kwestia przetwarzania danych osobowych związanych z przynależnością do wspólnoty kościelnej, dla których administratorem jest osoba prawna będąca osobą prawną Kościoła Katolickiego w Polsce, jest sprawą autonomiczną Kościoła Katolickiego, a ich stosowanie nie jest powiązane z podmiotową przynależnością do Kościoła Katolickiego. Oznacza to, że zasady te są przedmiotowe i uniezależnione od przynależności podmiotu do Kościoła. Osoba, której dane osobowe są przetwarzane nie dysponuje zaś prawem żądania przetwarzania jej danych osobowych przez inny podmiot, w związku z podjęciem próby dokonania apostazji. Przetwarzanie danych osobowych związanych z sakramentami pozostaje bowiem w świetle przepisów KPK, Konstytucji, Konkordatu i ustawy z 17 maja 1989 r. o stosunku Państwa do Kościoła Katolickiego w Rzeczypospolitej Polskiej sprawą autonomiczną, do której zgodnie z art. 91 ust. 1 RODO stosuje się szczegółowe zasady ochrony osób fizycznych obowiązujące w Kościele Katolickim w Polsce. Z tego też względu bezzasadna jest argumentacja skargi kasacyjnej nawiązująca do art. 99 RODO, który w ust. 1 wskazuje moment wejścia w życie tegoż rozporządzenia, zaś w ust. 2 moment, od którego będzie miało ono zastosowanie, tj. od dnia 25 maja 2018 r. Jak wyżej wskazano, w momencie wejścia w życie RODO w Kościele Katolickim istniała regulacja dotyczącą przetwarzania danych osobowych, przede wszystkim w Kodeksie Prawa Kanonicznego, którą Kościół Katolicki w terminie określonym w art. 91 ust. 1 RODO dostosował do przepisów wynikających z RODO - Dekret ogólny w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych w Kościele katolickim, wydany przez Konferencję Episkopatu Polski, w dniu 13 marca 2018 r., podczas 378. Zebrania Plenarnego w Warszawie, na podstawie kan. 455 Kodeksu Prawa Kanonicznego, w związku z art. 18 Statutu KEP, po uzyskaniu specjalnego zezwolenia Stolicy Apostolskiej z dnia 3 czerwca 2017 r. Powyższy pogląd nie jest zresztą nowy w orzecznictwie sądowoadministracyjnym. NSA w wyroku z dnia 22 marca 2013 r. (OSK 597/12) stwierdził m.in., że "W ramach autonomii kościoła państwo nie może władczo wkraczać w proces przetwarzania na potrzeby kościoła danych osobowych osób należących do kościoła".
Naczelny Sąd Administracyjny jako niemającą znaczenia uznaje rozbudowaną argumentację autora skargi kasacyjnej w zakresie niewłaściwego zastosowania w polskiej wersji językowej słowa "szczegółowe" w odniesieniu do zasad ochrony osób fizycznych, użytego w art. 91 ust. 1 RODO. Wersja językowa polska jest równoprawna pozostałym wersjom językowym. Polski sąd obowiązany jest prowadzić postępowanie w języku polskim i stosować przepisy w języku polskim, jako te, które są zrozumiałe dla adresatów jego orzeczeń. Na marginesie dodać należy, że wykazanie obowiązku przyjęcia treści przepisu art. 91 ust. 1 RODO zawierającego słowo "kompleksowe" w miejsce "szczegółowe" wiązać musiałoby się z jednoczesnym wykazaniem, iż obowiązujące wówczas zasady w Kościele Katolickim nie były kompleksowe, a w tym zakresie zarzut nie został podniesiony. Optyka zwerbalizowanych w treści skargi kasacyjnej zarzutów była bowiem zogniskowana na wykazywaniu, iż nie były stosowane żadne zasady szczegółowe w zakresie przetwarzania danych osobowych, co skądinąd zakończyło się niepowodzeniem, udokumentowanym w toku powyższych rozważań.
Z tych względów żaden z zarzutów nie mógł odnieść zamierzonego skutku. Przyczyny te przemówiły również za nieuwzględnieniem wniosku o wystąpienie do TSUE w trybie art. 267 TFUE z pytaniem prejudycjalnym. Wątpliwości prawne, choć istotne, możliwe były do rozstrzygnięcia w drodze poszerzenia dyrektyw wykładni i uwzględnienia w jej ramach wiedzy powszechnej, które prawidłowe zastosowanej, pozwoliło na ustalenie znaczenia norm prawnych znajdujących zastosowanie w sprawie.
Zarzut sformułowany w punkcie trzecim jest nieskutecznie podniesiony. Zgodnie z prezentowanym w orzecznictwie Naczelnego Sądu Administracyjnego poglądem nie jest dopuszczalne w świetle brzmienia art. 174 p.p.s.a. formułowanie zarzutu skargi kasacyjnej jako naruszenie przepisu prawa "poprzez jego niezastosowanie" czy "pominięcie" (por. wyrok NSA z 1 czerwca 2004 r., OSK 284/04, niepubl., wyrok NSA z 3 grudnia 2008 r., I OSK 1807/07; wyrok NSA z 14 maja 2007 r., I OSK 1247/06; wyrok NSA z 28 marca 2007 r., I OSK 31/07; postanowienie NSA z 2 marca 2012 r., I OSK 294/12; wyrok NSA z 25 kwietnia 2012 r., II OSK 329/12; wyrok NSA z 6 grudnia 2013 r., I OSK 2255/12; wyrok NSA z 8 września 2017 r., I OSK 3080/15 – publik. CBOSA). Zarzut taki mógłby okazać się skuteczny jedynie wówczas, gdyby autor skargi kasacyjnej zarzucając niezastosowanie określonego przepisu jednocześnie wskazała przepis, który w jego przekonaniu został wadliwie zastosowany zamiast przepisu przez nią wskazywanego - wraz z podaniem uzasadnienia tego stanowiska. Wymogu tego skarga kasacyjna nie spełnia.
Naczelny Sąd Administracyjny, działając na podstawie art. 184 p.p.s.a., orzekł o oddaleniu skargi kasacyjnej.