Centralna Baza Orzeczeń Sądów Administracyjnych
|
drukuj zapisz |
647 Sprawy związane z ochroną danych osobowych, Ochrona danych osobowych, Generalny Inspektor Ochrony Danych Osobowych, Oddalono skargę, II SA/Wa 865/19 - Wyrok WSA w Warszawie z 2019-09-09, Centralna Baza Orzeczeń Naczelnego (NSA) i Wojewódzkich (WSA) Sądów Administracyjnych, Orzecznictwo NSA i WSA
II SA/Wa 865/19 - Wyrok WSA w Warszawie
|
|
|||
|
2019-04-29 | |||
|
Wojewódzki Sąd Administracyjny w Warszawie | |||
|
Andrzej Góraj /przewodniczący/ Izabela Głowacka-Klimas /sprawozdawca/ Joanna Kruszewska-Grońska |
|||
|
647 Sprawy związane z ochroną danych osobowych | |||
|
Ochrona danych osobowych | |||
|
I OSK 162/20 - Postanowienie NSA z 2020-09-16 III OSK 2273/21 - Wyrok NSA z 2022-05-25 |
|||
|
Generalny Inspektor Ochrony Danych Osobowych | |||
|
Oddalono skargę | |||
|
Dz.U. 2018 poz 1000 art. 34 ust. 1 Ustawa z dnia 10 maja 2018 r. o ochronie danych osobowych Dz.U.UE.L 2016 nr 119 poz 1 art. art. 51 ust. 4, 52 ust. 1, 91 ust. 1, ust. 2 Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE |
|||
Sentencja
Wojewódzki Sąd Administracyjny w Warszawie w składzie następującym: Przewodniczący Sędzia WSA Andrzej Góraj, Sędzia WSA Izabela Głowacka – Klimas (spr.), Asesor WSA Joanna Kruszewska - Grońska, po rozpoznaniu w trybie uproszczonym w dniu 9 września 2019 r. sprawy ze skargi B.K. na postanowienie Prezesa Urzędu Ochrony Danych Osobowych z dnia [...] marca 2019 r. nr [...] w przedmiocie odmowy wszczęcia postępowania oddala skargę. |
||||
Uzasadnienie
Prezes Urzędu Ochrony Danych Osobowych (dalej: organ, Prezes UODO) postanowieniem z [...] marca 2019 r., działając na podstawie art. 61a § 1 ustawy z dnia 14 czerwca 1960 r. – Kodeks postępowania administracyjnego (Dz.U. z 2018 r. poz. 2096 ze zm.; dalej Kpa.) w związku z art. 7 ust. 1 ustawy z dnia 10 maja 2018 r. o ochronie danych osobowych (Dz.U. z 2018 r. poz. 1000 ze zm.) i w związku z art. 91 rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych; Dz.Urz. UE L 119 z 4 maja 2016, str. 1, ze zm.), odmówił wszczęcia postępowania w sprawie skargi B. K. dotyczącej przetwarzania jego danych osobowych przez Kurię Metropolitarną w L. (adres: [...] L.) oraz Parafię pw. [...] w L. (adres: ul. [...],[...] L.). Do wydania powyższego postanowienia doszło w następującym stanie sprawy. W dniu [...] lutego 2019 r. wpłynęła do Urzędu Ochrony Danych Osobowych skarga B. K. (dalej skarżący) na Kurię Metropolitarną w L. oraz Parafię pw. [...] w L. w sprawie przetwarzania jego danych osobowych. W treści wspomnianej skargi skarżący podniósł, że w dniu [...] maja 2018 r. zwrócił się do obu powyższych podmiotów z wnioskami o udzielenie informacji co do przetwarzania jego danych osobowych, o sposobie przechowywania i zabezpieczenia a także o przesłanie pełnej kopii jego danych. Z obu instytucji uzyskał identyczną odpowiedź, co świadczy o tym, jak podał, że instytucje te musiały komunikować się w jego sprawie i uzgodniły swoje stanowisko. Stanowisko to nie zawierało jednak merytorycznej odpowiedzi na ww. żądania. Wnioskiem z [...] stycznia 2019 r. ponowił wniosek oraz rozszerzył go, domagając się usunięcia wszystkich jego danych ze wszelkich rejestrów. W konsekwencji wniósł o wszczęcie stosownego postępowania i umożliwienie skorzystania z przysługujących mu uprawnień. W uzasadnieniu wskazanego na wstępie postanowienia organ podał, że w dniu 25 maja 2018 r. weszła w życie ustawa z dnia 10 maja 2018 r. o ochronie danych osobowych, ponadto, od dnia 25 maja 2018 r. bezpośrednie zastosowanie w polskim porządku prawnym mają przepisy rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (dalej RODO). Jak wskazał organ, przepisy RODO przewidują, że jeżeli w państwie członkowskim w momencie wejścia RODO w życie kościoły i związki lub wspólnoty wyznaniowe stosują szczegółowe zasady ochrony osób fizycznych w związku z przetwarzaniem, zasady takie mogą być nadal stosowane, pod warunkiem, że zostaną dostosowane do niniejszego rozporządzenia (art. 91 ust. 1). Kościoły i związki wyznaniowe, które spełniają tę przesłankę, podlegają nadzorowi niezależnego organu nadzorczego, który może być organem odrębnym, z zastrzeżeniem, że spełnia warunki określone w rozdziale VI niniejszego rozporządzenia (art. 91 ust. 2). Zdaniem organu, Kościół katolicki w Polsce skorzystał ze wskazanej wyżej możliwości. W dniu 13 marca 2018 r. Konferencja Episkopatu Polski wydała "Dekret ogólny w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych w Kościele katolickim" (dalej Dekret). W Dekrecie tym prawodawca kościelny wziął po uwagę m.in. zasady ochrony osób fizycznych w związku z przetwarzaniem ich danych osobowych stosowane dotychczas w Kościele katolickim w Polsce. Organ wyjaśnił, że w Dekrecie przewidziano też powołanie Kościelnego Inspektora Ochrony Danych (dalej KIOD) oraz określono jego zadania i uprawnienia (Rozdz. V Dekretu). W dniu 22 marca 2018 r. ww. Dekret został zatwierdzony przez Stolicę Apostolską (uzyskał recognitio Kongregacji ds. Biskupów), zaś 30 kwietnia 2018 r. nastąpiła jego prawna promulgacja (ogłoszenie) poprzez zamieszczenie na oficjalnej stronie internetowej Konferencji Episkopatu Polski. W tym samym dniu Dekret wszedł w życie (art. 44 ww. Dekretu). Zgodnie z art. 36 ust. 1 Dekretu, KIOD jest wybierany przez Zebranie Plenarne KEP na czteroletnią kadencję. Wyboru dokonano podczas trwającego w dniach 7-9 czerwca 2018 r. 379. Zebrania Plenarnego KEP – Kościelnym Inspektorem Ochrony Danych został ks. dr hab. P. K., który już 2 maja 2018 r. został powołany na pełniącego obowiązki KIOD. Dalej organ wskazał, że do zadań Kościelnego Inspektora Ochrony Danych należy m.in. monitorowanie i zapewnianie przestrzegania przepisów o ochronie danych osobowych w ramach i zgodnie z działaniem Kościoła katolickiego i jego struktur (art. 37 ust. 1 pkt 1 Dekretu), udzielanie osobie, której dane dotyczą informacji dotyczących uprawnień przysługujących jej w związku z przetwarzaniem jej danych osobowych (pkt 3), jak też – co szczególnie istotne wobec oczekiwania skarżącego wyrażonego w podaniu skierowanym do państwowego organu nadzorczego – rozpatrywanie skarg dotyczących przestrzegania przepisów ustanowionych w Kościele w zakresie ochrony danych osobowych (art. 37 ust. 1 pkt 5 Dekretu). Zdaniem organu, ponieważ – zgodnie z art. 52 ust. 1 RODO – każdy organ nadzorczy podczas wypełniania swoich zadań i wykonywania swoich uprawnień zgodnie z niniejszym rozporządzeniem działa w sposób w pełni niezależny, Prezes UODO nie jest kompetentny do rozpatrzenia i rozstrzygnięcia skargi dotyczącej przetwarzania danych osobowych w zakresie objętym kompetencjami KIOD. W ocenie organu, tak zaprezentowane stanowisko znajduje potwierdzenie w komentarzu do art. 91 rozporządzenia nr 2016/679 w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych). Zgodnie ze wspomnianym komentarzem "zarówno treść, jak i struktura dekretu wskazują na to, że prawodawca kościelny dostosował szczegółowe zasady ochrony danych osobowych stosowane w Kościele do wymogów określonych w rozporządzeniu, co pociąga za sobą zachowanie autonomii w tym zakresie i wyłączenie stosowania przepisów komentowanego rozporządzenia w odniesieniu do przetwarzania danych osobowych w Kościele katolickim". W skardze na wskazane na wstępie postanowienie organu skarżący wniósł o jego uchylenie. Zarzucił rażącą obrazę przepisów prawa materialnego, art. 91 ust 1 w związku z art. 91 ust 2 w związku z art. 99 ust 1 w związku z art. 99 ust 2 ogólnego rozporządzenia o ochronie danych. W opinii skarżącego, organ bezzasadnie odmówił wszczęcia postępowania w jego sprawie, błędnie wywodząc, że takowe ma nie być możliwe z uwagi na dyspozycję przepisu art. 91 RODO. Jak stwierdził organ, w dniu 13 marca 2018 r. Konferencja Episkopatu Polski wydała "Dekret ogólny w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych w Kościele Katolickim", w dekrecie tym przewidziano też powołanie Kościelnego Inspektora Ochrony Danych Osobowych, zaś 22 marca 2018 r. dekret ten został "zatwierdzony przez Stolicę Apostolską". Następnie organ poczynił rozważania na temat skutków powyższego i doszedł do wniosku, że postępowanie w sprawie należy umorzyć (podpierając się przy tym stanowiskiem bliżej nieznanego komentatora). Skarżący uznał, że powyższe stanowisko organu a także wysnute wnioski są w pełni chybione i pozbawione sensu z uwagi na poczynienie podstawowego błędu w postaci braku odczytania normy zawartej w art. 99 RODO. Skarżący wskazał, że art. 91 stanowi "Jeżeli w państwie członkowskim w momencie wejścia niniejszego rozporządzenia w życie". W opinii skarżącego, organowi (oraz komentatorowi) umknęło jednak, że wejście w życie RODO miało miejsce 24 maja 2016 (a nie 2018) r. RODO zostało bowiem opublikowane w Dzienniku Urzędowym Unii Europejskiej z dnia 4 maja 2016 r. Zgodnie zaś z art. 99 ust 1 RODO "Niniejsze rozporządzenie wchodzi w życie dwudziestego dnia po publikacji w Dzienniku Urzędowym Unii Europejskiej". Tym samym rozporządzenie zawiera własną legalną definicję wejścia w życie i w sposób dokładny i precyzyjny wskazuje jego datę. Do tegoż terminu w sposób wyraźny i nie budzący wątpliwości odwołuje się art. 91. Oznacza to, że wbrew stanowisku Prezesa UODO Kościół katolicki w żadnym razie nie skorzystał z możliwości, jaką dawał art. 91 i spóźnił się z wprowadzeniem wewnętrznych przepisów o prawie dwa lata. Skarżący zwrócił uwagę, że art. 99 rozporządzenia zawiera wyraźne i nie budzące wątpliwości interpretacyjne definicje tak wejścia w życie rozporządzenia (ust. 1), jak i jego zastosowania (ust. 2). Ta druga data nie ma jednak znaczenia dla terminu opisanego w art. 91 rozporządzenia. Zdaniem skarżącego, z uwagi na fakt, że stanowisko Prezesa UODO jest błędne i że winien on wszcząć i prowadzić postępowanie, a jakiekolwiek przepisy dowolnego kościoła nie mają tutaj zastosowania (z uwagi na uchybienie terminom), skarga niniejsza jest zasadna i konieczna. W odpowiedzi na skargę organ wniósł o jej oddalenie, podtrzymując stanowisko zaprezentowane w uzasadnieniu zaskarżonego postanowienia. Wojewódzki Sąd Administracyjny w Warszawie zważył, co następuje. Zgodnie z art. 1 § 1 i 2 ustawy z dnia 25 lipca 2002 r. – Prawo o ustroju sądów administracyjnych (t.j. Dz.U. z 2018 r. poz. 2107 ze zm.), sądy administracyjne sprawują wymiar sprawiedliwości przez kontrolę działalności administracji publicznej, przy czym kontrola ta sprawowana jest pod względem zgodności z prawem, jeżeli ustawy nie stanowią inaczej. W świetle powołanych przepisów cyt. ustawy, Wojewódzki Sąd Administracyjny w Warszawie, w zakresie swojej właściwości, ocenia zaskarżoną decyzję administracyjną, postanowienie, czy też inny akt lub czynność z zakresu administracji publicznej dotyczącą uprawnień lub obowiązków wynikających z przepisów prawa, z punktu widzenia ich zgodności z prawem materialnym i przepisami postępowania administracyjnego, według stanu faktycznego i prawnego obowiązującego w dacie wydania tego aktu lub podjęcia spornej czynności. Chodzi więc o kontrolę aktów lub czynności z zakresu administracji publicznej dokonywaną pod względem ich zgodności z prawem materialnym i przepisami procesowymi, nie zaś według kryteriów słuszności. Ponadto, co wymaga podkreślenia, Sąd rozstrzyga w granicach danej sprawy, nie będąc jednak związany zarzutami i wnioskami skargi oraz powołaną podstawą prawną (vide art. 134 § 1 ustawy z dnia 30 sierpnia 2002 r. – Prawo o postępowaniu przed sądami administracyjnymi – t.j. Dz.U. z 2018 r. poz. 1302 ze zm. – dalej p.p.s.a.). Należy jednocześnie wyraźnie zaznaczyć, że od dnia wejścia w życie Traktatu Akcesyjnego z dnia 16 kwietnia 2003 r. (Dz.U. z 2004 r. Nr 90, poz. 864), na mocy którego Polska stała się państwem członkowskim Unii Europejskiej, kontrola sądu administracyjnego obejmuje również zgodność rozstrzygnięć krajowych organów administracji publicznej z prawem europejskim (prawem Unii Europejskiej), rozumianym, jako całokształt dorobku prawnego Unii Europejskiej (acquis communautaire), w tym zasad ogólnych prawa europejskiego, interpretowanych oraz stosowanych w sposób jednolity na całym obszarze Unii Europejskiej. W ocenie Sądu, analizowana pod tym kątem skarga B. K. nie zasługuje na uwzględnienie, albowiem wydając zaskarżone postanowienie z [...] marca 2019 r., Prezes Urzędu Ochrony Danych Osobowych prawidłowo zastosował przepisy art. 61a § 1 Kpa. w związku z art. 7 ust. 1 ustawy z dnia 10 maja 2018 r. o ochronie danych osobowych, przyjmując, że w świetle regulacji prawnych wyrażonych w art. 91 RODO, nie posiada uprawnień do rozpatrywania sprawy dotyczącej przetwarzania danych osobowych w bazach danych prowadzonych w ramach struktur Kościoła katolickiego. Wyjaśnienia wymaga, że w dniu 25 maja 2018 r. weszła w życie ustawa z dnia 10 maja 2018 r. o ochronie danych osobowych (dalej u.o.d.o. 2018), ponadto, od dnia 25 maja 2018 r. bezpośrednie zastosowanie w polskim porządku prawnym mają przepisy rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (dalej RODO). Stosownie bowiem do przepisu art. 99 ust. 1 RODO, wchodzi ono w życie dwudziestego dnia po publikacji w Dzienniku Urzędowym Unii Europejskiej, która miała miejsce w dniu 4 maja 2016 r. (Dz.U.UE.L.2016.119.1), natomiast zastosowanie w państwach członkowskich wspomniane rozporządzenie ma od dnia 25 maja 2018 r. (art. 99 ust. 2 RODO). Zgodnie z art. 51 ust. 1 RODO, każde państwo członkowskie zapewnia, by za monitorowanie stosowania RODO odpowiadał co najmniej jeden niezależny organ publiczny w celu ochrony podstawowych praw i wolności osób fizycznych w związku z przetwarzaniem oraz ułatwiania swobodnego przepływu danych osobowych w Unii. W związku z powyższym, na podstawie art. 34 ust. 1 u.o.d.o. 2018 – organem właściwym w sprawie ochrony danych osobowych jest w Polsce obecnie Prezes Urzędu Ochrony Danych Osobowych. Przepisy RODO przewidują ponadto, że jeżeli w państwie członkowskim w momencie wejścia RODO w życie kościoły i związki lub wspólnoty wyznaniowe stosują szczegółowe zasady ochrony osób fizycznych w związku z przetwarzaniem, zasady takie mogą być nadal stosowane, pod warunkiem, że zostaną dostosowane do ww. rozporządzenia (art. 91 ust. 1). Kościoły i związki wyznaniowe, które spełniają tę przesłankę, podlegają nadzorowi niezależnego organu nadzorczego, który może być organem odrębnym, z zastrzeżeniem, że spełnia warunki określone w rozdziale VI niniejszego rozporządzenia (art. 91 ust. 2). Należy również wskazać, że jak wynika z treści art. 51 ust. 4 RODO (rozdział VI Niezależne organy nadzorcze), do dnia 25 maja 2018 r. każde państwo członkowskie zawiadamia Komisję o przepisach przyjętych na mocy niniejszego rozdziału, a następnie niezwłocznie o każdej kolejnej zmianie mającej na nie wpływ. Konferencja Episkopatu Polski w dniu 13 marca 2018 r. wydała "Dekret ogólny w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych w Kościele katolickim" (Dekret), w którym prawodawca kościelny wziął po uwagę zarówno zasady ochrony osób fizycznych w związku z przetwarzaniem ich danych osobowych stosowane dotychczas w Kościele katolickim w Polsce, jak też "konieczność pogodzenia ochrony danych osobowych z korzystaniem z podstawowego prawa do wolności religijnej, zagwarantowanego również w prawie pozytywnym, także w jego wymiarze instytucjonalnym". Regulacje zawarte w Dekrecie stanowią uszczegółowienie przepisów kanonicznego prawa powszechnego oraz uaktualnienie przepisów kanonicznego prawa partykularnego. W Dekrecie przewidziano też powołanie Kościelnego Inspektora Ochrony Danych oraz określono jego zadania i uprawnienia (Rozdz. V Dekretu). W dniu 22 marca 2018 r. ww. Dekret został zatwierdzony przez Stolicę Apostolską (uzyskał recognitio Kongregacji ds. Biskupów), zaś 30 kwietnia 2018 r. nastąpiła jego prawna promulgacja poprzez zamieszczenie na oficjalnej stronie internetowej Konferencji Episkopatu Polski. W tym samym dniu Dekret wszedł w życie (art. 44 ww. Dekretu). Do zadań Kościelnego Inspektora Ochrony Danych należy m.in. monitorowanie i zapewnianie przestrzegania przepisów o ochronie danych osobowych w ramach i zgodnie z działaniem Kościoła katolickiego i jego struktur (art. 37 ust. 1 pkt 1 Dekretu), udzielanie osobie, której dane dotyczą informacji dotyczących uprawnień przysługujących jej w związku z przetwarzaniem jej danych osobowych (pkt 3), jak też – co szczególnie istotne wobec oczekiwania skarżącego wyrażonego w podaniu skierowanym do państwowego organu nadzorczego – rozpatrywanie skarg dotyczących przestrzegania przepisów ustanowionych w Kościele w zakresie ochrony danych osobowych (art. 37 ust. 1 pkt 5 Dekretu). Kościół Rzymskokatolicki jest instytucją o uregulowanej sytuacji prawnej, unormowanej m.in. w Konstytucji Rzeczypospolitej Polskiej z dnia 2 kwietnia 1997 r., w umowie międzynarodowej, jaką jest Konkordat między Stolicą Apostolską a Rzecząpospolitą Polską podpisany w Warszawie dnia 28 lipca 1993 r. (Dz.U. z 1998 r. Nr 51, poz. 318) i w ustawach. W myśl art. 2 ustawy z dnia 17 maja 1989 r. o stosunku Państwa do Kościoła Katolickiego w Rzeczypospolitej Polskiej (Dz.U. z 2013 r. poz. 1169 ze zm.) Kościół rządzi się w swych sprawach własnym prawem, swobodnie wykonuje władzę duchowną i jurysdykcyjną oraz zarządza swoimi sprawami. Ponieważ – zgodnie z art. 52 ust. 1 RODO – każdy organ nadzorczy podczas wypełniania swoich zadań i wykonywania swoich uprawnień zgodnie z niniejszym rozporządzeniem działa w sposób w pełni niezależny, tak jak czyni to w oparciu o powołane wyżej regulacje prawne Kościelny Inspektor Ochrony Danych, Prezes UODO nie jest kompetentny do rozpatrzenia i rozstrzygnięcia skargi dotyczącej przetwarzania danych osobowych skarżącego w zakresie objętym kompetencjami wspomnianego Inspektora. Wobec powyższego stanowisko skarżącego zaprezentowane w skardze, że Kościół katolicki nie skorzystał z możliwości jaką dawał art. 91 RODO i spóźnił się z wprowadzeniem wewnętrznych przepisów o prawie dwa lata, nie znajduje jakiegokolwiek uzasadnienia w realiach rozpatrywanej sprawy. Należy bowiem mieć na uwadze, że Dekret regulujący kwestie przetwarzania danych osobowych w Kościele katolickim wszedł w życie w dniu 30 kwietnia 2018 r., a zatem jeszcze przed okresem obowiązywania w naszym kraju regulacji wprowadzonych przez RODO, które umożliwiają kościołom i związkom lub wspólnotom wyznaniowym stosowanie szczegółowych zasad ochrony osób fizycznych w związku z przetwarzaniem danych osobowych. Proces stosowania ww. zasad objęty jest nadzorem niezależnego organu nadzorczego, który może być organem odrębnym, z zastrzeżeniem, że spełnia warunki określone w rozdziale VI RODO. W Polsce funkcję takiego organu nadzoru pełni Kościelny Inspektor Ochrony Danych. W tym stanie rzeczy, zasadnie odmówiono skarżącemu wszczęcia postępowania, ponieważ Prezes UODO nie był właściwym rzeczowo do rozstrzygania w przedmiocie złożonej przez skarżącego do organu skargi dotyczącej uzyskanej odpowiedzi na jego wnioski o udzielenie informacji co do przetwarzania jego danych osobowych zarówno przez Kurię Metropolitarną w L., jak i Parafię pw. [...] w L. Mając powyższe na względzie, Sąd, działając na podstawie art. 151 p.p.s.a. orzekł, jak w sentencji wyroku. |