drukuj    zapisz    Powrót do listy

647 Sprawy związane z ochroną danych osobowych, Ochrona danych osobowych, Generalny Inspektor Ochrony Danych Osobowych, Uchylono zaskarżony wyrok oraz decyzję I i II instancji, I OSK 1828/12 - Wyrok NSA z 2013-10-24, Centralna Baza Orzeczeń Naczelnego (NSA) i Wojewódzkich (WSA) Sądów Administracyjnych, Orzecznictwo NSA i WSA

I OSK 1828/12 - Wyrok NSA

Data orzeczenia
2013-10-24 orzeczenie prawomocne
Data wpływu
2012-07-24
Sąd
Naczelny Sąd Administracyjny
Sędziowie
Małgorzata Pocztarek /przewodniczący sprawozdawca/
Monika Nowicka
Roman Ciąglewicz
Symbol z opisem
647 Sprawy związane z ochroną danych osobowych
Hasła tematyczne
Ochrona danych osobowych
Sygn. powiązane
II SA/Wa 2767/11 - Wyrok WSA w Warszawie z 2012-05-07
Skarżony organ
Generalny Inspektor Ochrony Danych Osobowych
Treść wyniku
Uchylono zaskarżony wyrok oraz decyzję I i II instancji
Powołane przepisy
Dz.U. 2002 nr 101 poz 926 art. 43
Ustawa z dnia 29 sierpnia 1997 r. o ochronie danych osobowych - tekst jedn.
Dz.U.UE.L 1995 nr 281 poz 31 art. 3 ust. 2
Dyrektywa 95/46/WE Parlamentu Europejskiego i Rady z dnia 24 października 1995 r. w sprawie ochrony osób fizycznych w zakresie przetwarzania danych osobowych i swobodnego przepływu tych danych.
Sentencja

Naczelny Sąd Administracyjny w składzie następującym: Przewodniczący Sędzia NSA Małgorzata Pocztarek (spr.), Sędzia NSA Monika Nowicka, Sędzia NSA Roman Ciąglewicz, Protokolant asystent Marcin Rączka, po rozpoznaniu w dniu 24 października 2013 r. na rozprawie w Izbie Ogólnoadministracyjnej skargi kasacyjnej W.G. od wyroku Wojewódzkiego Sądu Administracyjnego w Warszawie z dnia 7 maja 2012 r. sygn. akt II SA/Wa 2767/11 w sprawie ze skargi W.G. na decyzję Generalnego Inspektora Ochrony Danych Osobowych z dnia 9 listopada 2011 r. nr [...] w przedmiocie ochrony danych osobowych 1. uchyla zaskarżony wyrok i zaskarżoną decyzję oraz utrzymaną nią w mocy decyzję Generalnego Inspektora Ochrony Danych Osobowych z dnia 13 października 2011 r., nr [...]; 2. zasądza od Generalnego Inspektora Ochrony Danych Osobowych na rzecz W.G. kwotę 580 (pięćset osiemdziesiąt) złotych tytułem zwrotu kosztów postępowania.

Uzasadnienie

Wojewódzki Sąd Administracyjny w Warszawie wyrokiem z dnia 7 maja 2012 r. sygn. akt II SA/Wa 2767/11, oddalił skargę W.G. na decyzję Generalnego Inspektora Ochrony Danych Osobowych z dnia 9 listopada 2011 r. nr [...] w przedmiocie ochrony danych osobowych.

Z uzasadnienia zaskarżonego wyroku wynika, że Generalny Inspektor Ochrony Danych Osobowych decyzją z dnia 9 listopada 2011 r. nr [...], wydaną na podstawie art. 138 § 1 pkt 1 ustawy z dnia 14 czerwca 1960 r. - Kodeks postępowania administracyjnego (Dz. U. z 2002 r. Nr 98, poz. 1071 ze zm.), zwanej dalej k.p.a., art. 22 w zw. z art. 43 ust. 2 ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (Dz. U. 2002 r. Nr 101, poz. 926, ze zm.), po rozpoznaniu wniosku o ponowne rozpatrzenie sprawy, utrzymał w mocy swoją wcześniejszą decyzję z dnia 13 października 2011 r. nr [...]o umorzeniu postępowania w sprawie ze skargi W.G. na przetwarzanie jego danych osobowych przez Proboszcza Parafii Rzymskokatolickiej pw. Wszystkich Świętych w [...].

Jak wynika z ustaleń organu, W.G. pismem z dnia 27 czerwca 2011 r. skierował do Generalnego Inspektora Ochrony Danych Osobowych wniosek o wydanie decyzji administracyjnej zobowiązującej Proboszcza Parafii Rzymskokatolickiej pw. Wszystkich Świętych w [...], przy ul. [...][...]do sprostowania jego nieaktualnych danych osobowych, na podstawie art. 32 ust. 1 pkt 6 ustawy o ochronie danych osobowych, po uprzednim wezwaniu do złożenia wyjaśnień w tej sprawie, na mocy art. 14 pkt 2 tej ustawy. Wnioskodawca zarzucił Proboszczowi Parafii, iż mimo złożenia przez niego oświadczenia z dnia 15 czerwca 2011 r. o wystąpieniu z Kościoła katolickiego wraz z wnioskiem o sprostowanie nieaktualnych danych osobowych nie została o tym fakcie zamieszczona adnotacja w księdze ochrzczonych.

Proboszcz Parafii Rzymskokatolickiej pw. Wszystkich Świętych w [...]w odpowiedzi na złożone w dniu 3 lipca 2011 r. zapytanie Generalnego Inspektora Ochrony Danych Osobowych poinformował, że dane osobowe W.G. znajdują się w księdze ochrzczonych Parafii. Natomiast przetwarzanie tych danych wynika z faktu, że akt chrztu, sporządzony zgodnie z wymogami prawa kanonicznego, jest dowodem przyjętego chrztu. W myśl prawa kanonicznego, W.G. pozostaje katolikiem (członkiem Kościoła katolickiego). W związku z ujawnionym przez niego zamiarem wystąpienia z Kościoła katolickiego został on w dniu 20 czerwca 2011 r. pisemnie powiadomiony o warunkach i procedurze aktualizacji jego danych osobowych w księdze ochrzczonych. Proboszcz wskazał, że procedura ta winna być prowadzona w oparciu o wydane przez Konferencję Episkopatu Polski "Zasady postępowania w sprawie formalnego aktu wystąpienia z Kościoła z dnia 27 września 2008 r." Dokument ten stanowi aktualnie obowiązującą kościelną regulację postępowania w tego rodzaju sprawach, a W.G. nie zastosował się do obowiązującej procedury.

Generalny Inspektor Ochrony Danych Osobowych w uzasadnieniu zarówno decyzji z dnia 9 listopada 2011 r. jak i poprzedzającej ją decyzji z dnia 13 października 2011 r. wskazał, iż zgodnie z art. 43 ust. 2 powołanej ustawy o ochronie danych osobowych, w odniesieniu do zbiorów, o których mowa w ust. 1 pkt 1 i 3, oraz zbiorów, o których mowa w ust. 1 pkt 1a, przetwarzanych przez Agencję Bezpieczeństwa Wewnętrznego, Agencję Wywiadu, Służbę Kontrwywiadu Wojskowego, Służbę Wywiadu Wojskowego oraz Centralne Biuro Antykorupcyjne, Generalnemu Inspektorowi nie przysługują uprawnienia określone w art. 12 pkt 2, art. 14 pkt 1 i 3-5 oraz art. 15-18.

Artykuł 43 ust. 1 pkt 3 stanowi zaś, że z obowiązku rejestracji zbioru danych zwolnieni są administratorzy danych dotyczących osób należących do kościoła lub innego związku wyznaniowego, o uregulowanej sytuacji prawnej, przetwarzanych na potrzeby tego kościoła lub związku wyznaniowego.

Zdaniem organu, Kościół katolicki, jako instytucja o uregulowanej sytuacji prawnej w zakresie swojej działalności jest niezależny i przy wykonywaniu władzy duchowej posługuje się swoim wewnętrznym prawem. Funkcjonowanie tej instytucji zostało unormowane w Konstytucji RP, w umowie międzynarodowej (Konkordat) oraz w ustawach.

Generalny Inspektor Ochrony Danych Osobowych stwierdził, że w takiej sytuacji, wobec treści art. 43 ust. 2 ustawy o ochronie danych osobowych, nie ma podstaw do wydania decyzji merytorycznej w sprawie skargi skarżącego na przetwarzanie jego danych osobowych przez Proboszcza Parafii Rzymskokatolickiej pw. Wszystkich Świętych w [...], co oznacza, że wszczęte w tej sprawie postępowanie nie może się toczyć i z uwagi na jego bezprzedmiotowość podlega umorzeniu w trybie art. 105 § 1 k.p.a.

W skardze na decyzję z dnia 9 listopada 2011 r. W.G., wnosząc o jej uchylenie, nie zgodził się ze stanowiskiem Generalnego Inspektora Ochrony Danych Osobowych, co do braku jego kognicji wobec kościołów i stwierdził, że w sprawie przetwarzania jego danych przez Proboszcza Parafii Rzymskokatolickiej pw. Wszystkich Świętych w [...]organ powinien był wydać decyzję administracyjną na podstawie art. 12 pkt 2 ustawy o ochronie danych osobowych.

W ocenie wnoszącego skargę, decyzja Generalnego Inspektora Ochrony Danych Osobowych o umorzeniu postępowania jest niezgodna z art. 3 ust. 2 dyrektywy 95/46/WE Parlamentu Europejskiego i Rady z dnia 24 października 1995 r. w sprawie ochrony osób fizycznych w zakresie przetwarzania danych osobowych i swobodnego przepływu tych danych.

Powołując się na przepis art. 267 Traktatu o funkcjonowaniu Unii Europejskiej, wnioskował o zwrócenie się przez Wojewódzki Sąd Administracyjny w Warszawie do Trybunału Sprawiedliwości Unii Europejskiej z pytaniem prejudycjalnym, czy przepis art. 3 ust. 2 dyrektywy 95/46/WE Parlamentu Europejskiego i Rady z dnia 24 października 1995 r. w sprawie ochrony osób fizycznych w zakresie przetwarzania danych osobowych i swobodnego przepływu tych danych obejmuje przetwarzanie danych dotyczących osób należących do kościoła lub innego związku wyznaniowego, o uregulowanej sytuacji prawnej, na potrzeby tego kościoła lub związku wyznaniowego. Argumentując, powołał się między innymi na stanowisko Trybunału Sprawiedliwości Unii Europejskiej zawarte w wyroku wydanym w sprawie C-101/01 z dnia 6 listopada 2003 r., który przyjął, że przetwarzanie danych przez kościoły nie wykracza poza zakres prawa Wspólnoty (obecnie - Unii Europejskiej).

Skarżący ponadto złożył wniosek o skierowanie pytania prawnego do Trybunału Konstytucyjnego w sprawie art. 43 ust. 2 i 3 ustawy o ochronie danych osobowych.

Generalny Inspektor Ochrony Danych Osobowych w odpowiedzi na skargę wniósł o jej oddalenie podtrzymując w całości argumentację przedstawioną w uzasadnieniu zaskarżonej decyzji.

Wojewódzki Sąd Administracyjny w Warszawie uznał, że skarga nie zasługuje na uwzględnienie.

W uzasadnieniu wyroku podał, że ustawa z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (Dz. U. z 2002 r. Nr 101, poz. 926 ze zm.) jest regulacją stwarzającą prawne podstawy stosowania ochrony państwowej w sytuacjach nielegalnego przetwarzania danych osobowych obywateli przez zarówno podmioty prawa publicznego, jak i podmioty prawa prywatnego, posługujące się ich danymi osobowymi. W celu realizacji tej ochrony, organ ochrony danych osobowych został wyposażony w kompetencje władcze, umożliwiające mu sankcjonowanie stwierdzanych nieprawidłowości w procesie przetwarzania danych osobowych. Generalny Inspektor Ochrony Danych Osobowych może więc – w drodze decyzji administracyjnej - nakładać stosowne nakazy bądź zakazy, których zasadniczą rolą jest przywrócenie stanu zgodnego z prawem. Jednak wydanie decyzji merytorycznej możliwe jest jedynie wówczas, gdy ingerencja organu jest w ogóle dopuszczalna, bowiem nie każdy stan faktyczny pozwala na stosowanie wspomnianej ochrony prawnej. Organ ochrony danych osobowych jest bowiem zobowiązany do merytorycznego rozstrzygania tylko w tych sytuacjach, w jakich przepisy ustawy o ochronie danych osobowych pozwalają mu na wydanie odpowiedniego zakazu bądź nakazu. Generalny Inspektor Ochrony Danych Osobowych, oceniając stan sprawy i dokonując subsumpcji, stwierdza w pierwszej kolejności, czy kwestionowane przetwarzanie danych osobowych pozwala mu na władczą ingerencję, w dalszej kolejności zaś, czy znajduje oparcie choćby w jednej z legalnych podstaw przetwarzania danych osobowych, i w zależności od występujących w sprawie ustaleń - organ albo wydaje nakaz lub zakaz, albo odmawia uwzględnienia wniosku, ewentualnie umarza postępowanie.

Zdaniem Sądu I instancji, z uwagi na treść art. 43 ust. 1 pkt 3 i art. 43 ust. 2 ustawy o ochronie danych osobowych Generalny Inspektor Ochrony Danych Osobowych nie miał podstaw do wydania decyzji merytorycznej.

Sąd wyjaśnił, że dane osobowe W.G. znajdujące się w księdze ochrzczonych w Parafii Rzymskokatolickiej pw. Wszystkich Świętych w [...]umieszczone są w zbiorze, o którym mowa w art. 43 ust. 1 pkt 3 ustawy o ochronie danych osobowych, tj. zbiorze dotyczącym osób należących do kościoła lub innego związku wyznaniowego. Zgodnie z brzmieniem tego przepisu, z obowiązku rejestracji zbioru danych zwolnieni są administratorzy danych dotyczących osób należących do kościoła lub innego związku wyznaniowego, o uregulowanej sytuacji prawnej, przetwarzanych na potrzeby tego kościoła lub związku wyznaniowego.

Kościół katolicki należy do instytucji o uregulowanej sytuacji prawnej, bowiem jego funkcjonowanie zostało unormowane zarówno w Konstytucji Rzeczypospolitej Polskiej, umowie międzynarodowej - Konkordacie podpisanym w dniu 28 lipca 1993 r. między Stolicą Apostolską i Rzecząpospolitą Polską (Dz. U. z 1998 r. Nr 51, poz. 318) oraz ustawie z dnia 17 maja 1989 r. o stosunku Państwa do Kościoła Katolickiego w Rzeczypospolitej Polskiej (Dz. U. Nr 29, poz. 154 ze zm.).

Z kolei w myśl art. 43 ust. 2 tej ustawy, w odniesieniu do zbiorów, o których mowa w ust. 1 pkt 1 i 3, oraz zbiorów, o których mowa w ust. 1 pkt 1a, przetwarzanych przez Agencję Bezpieczeństwa Wewnętrznego, Agencję Wywiadu, Służbę Kontrwywiadu Wojskowego, Służbę Wywiadu Wojskowego oraz Centralne Biuro Antykorupcyjne, Generalnemu Inspektorowi nie przysługują uprawnienia określone w art. 12 pkt 2, art. 14 pkt 1 i 3-5 oraz art. 15-18.

Sąd I instancji podkreślił, iż ze wskazanych przepisów wynika, że nie jest dopuszczalna merytoryczna ingerencja Generalnego Inspektora Ochrony Danych Osobowych w sprawy przetwarzania danych osobowych osób należących do kościoła lub innego związku wyznaniowego, o uregulowanej sytuacji prawnej, przetwarzanych na potrzeby tego kościoła lub związku.

Ponadto Sąd wskazał, że Traktat z Lizbony z dnia 13 grudnia 2007 r., który wszedł w życie w dniu 1 grudnia 2009 r., zmieniający Traktat o Unii Europejskiej i Traktat ustanawiający Wspólnotę Europejską (Dz.Urz.UE.C.2007.306.1) wprowadził artykułem 2 punkt 29 zmianę do Traktatu ustanawiającego Wspólnotę Europejską (obecnie Traktatu o funkcjonowaniu Unii Europejskiej) polegającą na dodaniu artykułu 16b, który zastąpił artykuł 286, w brzmieniu "1. Każda osoba ma prawo do ochrony danych osobowych jej dotyczących. 2. Parlament Europejski i Rada, stanowiąc zgodnie ze zwykłą procedurą ustawodawczą, określają zasady dotyczące ochrony osób fizycznych w zakresie przetwarzania danych osobowych przez instytucje, organy i jednostki organizacyjne Unii oraz przez Państwa Członkowskie w wykonywaniu działań wchodzących w zakres zastosowania prawa Unii, a także zasady dotyczące swobodnego przepływu takich danych. Przestrzeganie tych zasad podlega kontroli niezależnych organów. Zasady przyjęte na podstawie niniejszego artykułu pozostają bez uszczerbku dla zasad szczególnych przewidzianych w artykule 25a Traktatu o Unii Europejskiej".

Traktat Lizboński jednocześnie artykułem 2 punkt 30 dodał do Traktatu o funkcjonowaniu Unii Europejskiej artykuł 16c ust. 1 w brzmieniu "Unia szanuje status przyznany na mocy prawa krajowego kościołom i stowarzyszeniom lub wspólnotom religijnym w Państwach Członkowskich i nie narusza tego statusu".

Mając na uwadze artykuł 16c Traktatu o funkcjonowaniu Unii Europejskiej oraz fakt, że Konstytucja Rzeczypospolitej Polskiej (art. 25 ust. 3), a także Konkordat (art. 1) gwarantują rozdział między Państwem a Kościołem katolickim na zasadzie autonomii oraz wzajemnej niezależności każdego w swoim zakresie, Sąd I instancji przyjął, że przetwarzanie przez Kościół katolicki danych osobowych jego wiernych w relacji wewnętrznej nie podlega kognicji państwowej, a przez to także i wspólnotowej, co oznacza, że w sprawie niniejszej, organ ochrony danych osobowych nie ma prawnej możliwości ingerowania w proces przetwarzania danych osobowych skarżącego przez Proboszcza Parafii Rzymskokatolickiej pw. Wszystkich Świętych w [...].

W ocenie Sądu I instancji, do przetwarzania tego rodzaju danych nie ma zatem zastosowania dyrektywa 95/46/WE Parlamentu Europejskiego i Rady z dnia 24 października 1995 r. w sprawie ochrony osób fizycznych w zakresie przetwarzania danych osobowych i swobodnego przepływu tych danych. Jak wskazuje, bowiem przepis art. 3 ust. 2 tej dyrektywy, nie ma ona zastosowania do przetwarzania danych osobowych w ramach działalności wykraczającej poza zakres prawa Wspólnoty (...).

Sąd nie podzielił także stanowiska strony skarżącej, co do tego, że wyrok Trybunału Sprawiedliwości Unii Europejskiej z dnia 6 listopada 2003 r. o sygn. akt C-101/01 wskazuje kierunek, w którym - zgodnie z oczekiwaniami skarżącego - winna zmierzać wykładnia cytowanego przepisu art. 3 ust. 2 ww. dyrektywy 95/46/WE. Powołany wyrok nie ma bowiem odniesienia do niniejszej sprawy, gdyż wydany został w innym stanie faktycznym, w związku z przetwarzaniem danych osobowych przez osobę fizyczną i nie odnosi się w żadnym zakresie do kwestii przetwarzania danych osobowych przez kościoły i związki wyznaniowe.

Sąd I instancji nie dostrzegł także konieczności zwrócenia się z pytaniem prawnym do Trybunału Konstytucyjnego, co do art. 43 ust. 2 i 3 ustawy o ochronie danych osobowych. Wyjaśnił, że skarżący nie może skutecznie żądać od Sądu zwrócenia się z pytaniem o zbadanie konstytucyjności określonych przepisów, ponieważ przedstawienie Trybunałowi Konstytucyjnemu pytania prawnego może mieć miejsce jedynie wówczas, gdy to Sąd poweźmie wątpliwości w tym zakresie.

Skargę kasacyjną od powyższego wyroku wniósł do Naczelnego Sądu Administracyjnego W.G., zaskarżając go w całości zarzucił Sądowi I instancji naruszenie przepisów prawa materialnego tj.

1) art. 43 ust. 2 w zw. z art. 43 ust. 1 pkt 3 ustawy z dn. 29 sierpnia 1997 r. o ochronie danych osobowych w zw. z art. 3 ust. 2 tiret pierwsze dyrektywy 95/46/WE Parlamentu Europejskiego i Rady z dnia 24 października 1995 r. w sprawie ochrony osób fizycznych w zakresie przetwarzania danych osobowych i swobodnego przepływu tych danych oraz w zw. z art. 8 Karty Praw Podstawowych UE w zw. z art. 6 ust. 1 Traktatu o Unii Europejskiej, polegające na przyjęciu, że art. 43 ust. 2 w zw. z art. 43 ust. 1 pkt 3 ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych, interpretowany zgodnie z celem i treścią art. 3 ust. 2 tiret pierwsze dyrektywy 95/46/WE, z uwzględnieniem art. 8 KPP UE mającej status prawny równy Traktatom założycielskim na mocy art. 6 ust. 1 TUE, należy interpretować jako wyłączające kognicję Generalnego Inspektora Ochrony Danych Osobowych opisaną w art. 12 pkt 2, art. 14 pkt. 1 i 3-5 oraz art. 15-18 uodo w odniesieniu do zbioru danych prowadzonego przez parafię Kościoła Katolickiego, obejmującego dane osobowe skarżącego, który złożył oświadczenie woli o wystąpieniu z Kościoła Katolickiego, podczas gdy prawidłowo interpretowane przepisy te winny prowadzić do wniosku, że w omawianym zakresie GIODO przysługuje kompetencja wskazana w art. 12 pkt 2, art. 14 pkt. 1 i 3-5 oraz art. 15-18 uodo.

Wskazując na powyższe podstawy skargi kasacyjnej skarżący wniósł o uchylenie zaskarżonego wyroku w całości i rozpoznanie skargi poprzez uchylenie zaskarżonej decyzji w całości oraz zasądzenie kosztów postępowania według norm przepisanych.

W uzasadnieniu skargi kasacyjnej podniesiono, iż nie można do indywidualnej sytuacji skarżącego stosować art. 43 ust. 1 pkt 3 uodo, bowiem prawo do ochrony danych osobowych jest prawem indywidualnym (co więcej -stanowi ono indywidualne, a nie zbiorowe, prawo podstawowe, chronione przez zasadę ochrony praw fundamentalnych) i w każdym przypadku żądania o udzielenie ochrony prawnej w związku z danymi jednostki, które zostały objęte zbiorem danych osobowych, należy przeanalizować to, czy dane takiej jednostki zasadnie zostały zaliczone do danego zbioru (w tym przypadku - zbioru danych dotyczących "dotyczących osób należących do kościoła lub innego związku wyznaniowego, o uregulowanej sytuacji prawnej, przetwarzanych na potrzeby tego kościoła lub związku wyznaniowego"), zaś w sytuacji skarżącego analiza taka prowadzi do wniosku, że nie było podstaw do zakwalifikowania jego danych do wskazanego zbioru, bowiem na skutek złożenia oświadczenia woli o wystąpieniu, nie był on osobą należącą do Kościoła Katolickiego. Nawet gdyby uznać, że dane skarżącego, pomimo jego wystąpienia z Kościoła Katolickiego (lub też bezskuteczności wystąpienia), należały do zbioru danych dotyczących osób należących do kościoła lub innego związku wyznaniowego, o uregulowanej sytuacji prawnej, przetwarzanych na potrzeby tego kościoła lub związku wyznaniowego" z tej przyczyny, że kiedyś w przeszłości należał (lub nadal formalnie należy) on do Kościoła Katolickiego i to uprawnia Kościół Katolicki do przetwarzania jego danych ad infinitum, to i tak obowiązkiem zarówno GIODO, jak i WSA w Warszawie, było dokonanie kontroli zgodności ustawy transponującej dyrektywę 95/46/WE z tą dyrektywą (i szerzej - z całokształtem prawa UE), a rezultat takiej kontroli jest zdaniem skarżącego taki, że ustawa (w sposób, w jaki została zinterpretowana przez GIODO i przez WSA w Warszawie) nie jest zgodna w omawianym zakresie z prawem UE. GIODO ma w ocenie skarżącego pełną kognicję wobec kościołów i związków wyznaniowych. Nawet jednak gdyby jej nie miał, to i tak jest całkowicie nie do przyjęcia, aby organ ochrony danych osobowych zasłaniał się wyłączeniem swojej kognicji wobec kościołów i związków wyznaniowych, w sytuacji, w której udzielenia ochrony żąda osoba, która wg swego przekonania oraz złożonego oświadczenia, nie jest członkiem danego kościoła.

Ponadto wskazano, iż nie do przyjęcia jest pogląd, iż w przypadku, gdy jednostka żąda podjęcia czynności ochronnych jej danych sensytywnych (których standard ochrony jest wyższy, niż w przypadku danych "zwykłych" - zob. szerzej E. Kulesza, Ochrona danych o stanie zdrowia w świetle ustawodawstwa europejskiego i polskiej ustawy o ochronie danych osobowych, PiM nr 5/2000), ochrona tych danych podlegałaby wyłączeniu ( z zakresu kognicji GIODO) z uwagi na fakt, że w przeszłości przetwarzanie takich danych było legalizowane przez art. 27 ust. 2 pkt 4 uodo. Ten ostatni przepis ma zresztą istotne znaczenie dla systemowej wykładni art. 43 ust. 1 pkt 3 w zw. z art. 43 ust. 2 uodo, dokonywanej już choćby tylko na płaszczyźnie samej ustawy o ochronie danych osobowych (prawa krajowego). Skoro ustawodawca poddał szczególnej ochronie dane dotyczące "przekonań religijnych lub filozoficznych" (art. 27 ust. 1 uodo), zabraniając ich przetwarzania, ale jednocześnie dopuścił wyjątkowo ich przetwarzanie w zakresie "niezbędnym do wykonywania statutowych zadań kościołów", pod warunkiem jednak, że chodzi o dane "wyłącznie członków tych organizacji" (art. 27 ust. 2 pkt 4 uodo), to jasną jest intencja ustawodawcy, zgodnie z którą ochrona danych sensytywnych zostaje osłabiona tylko tam, gdzie jest to niezbędne i dotyczy aktualnego (a nie byłego) członka danego kościoła. Tymczasem w sprawie przesłanki takie nie zachodzą, choćby z uwagi na to, iż dane te nie odnoszą się do aktualnego członka Kościoła Katolickiego (skoro skarżący zeń wystąpił). W ten sam sposób należy odczytywać art. 43 ust. 2 w zw. z art. 43 ust. 1 pkt 3 uodo, nawet gdyby abstrahować od ponadustawowych źródeł prawa.

Skarżący wniósł również o skierowanie przez Naczelny Sąd Administracyjny do Trybunału Sprawiedliwości pytań prejudycjalnych dotyczących wykładni prawa UE, na podstawie art. 267 TFUE, w następującym brzmieniu:

1) Czy art. 3 ust. 2 tiret pierwsze dyrektywy 95/46/WE konkretyzujący zasadę ochrony danych osobowych, interpretowany z uwzględnieniem art. 8 Karty Praw Podstawowych UE w zw. z art. 6 ust. 1 TUE, należy interpretować jako oznaczający, że dyrektywa ta nie ma zastosowania do przetwarzania danych osobowych w ramach zbiorów danych dotyczących osób należących do kościoła lub innego związku wyznaniowego, o uregulowanej w danym państwie członkowskim sytuacji prawnej, przetwarzanych, na potrzeby tego kościoła lub związku wyznaniowego?;

2) Czy w konsekwencji należy przyjąć, ze krajowy organ ochrony danych osobowych, o którym mowa w art. 28 ust. 1 dyrektywy 95/46/WE, w zakresie, w jakim kontroluje stosowanie przepisów tej dyrektywy na terytorium danego państwa członkowskiego, winien obejmować swoją kognicją również przetwarzanie danych osobowych w ramach zbiorów danych dotyczących osób należących do kościoła lub innego związku wyznaniowego, o uregulowanej w danym państwie członkowskim sytuacji prawnej, przetwarzanych na potrzeby tego kościoła lub związku wyznaniowego?;

3) Czy wpływ na odpowiedź na pytanie nr 1 ma okoliczność, że osoba, o której dane osobowe chodzi w stanie faktycznym objętym postępowaniem głównym, w sposób skuteczny wystąpiła z Kościoła, który nadal przetwarza jej dane osobowe?;

4) Czy wpływ na odpowiedź na pytanie nr 1 ma art. 17 Traktatu o Funkcjonowaniu UE, względnie art. 1 ust. 1 albo art. 2 Protokołu (nr 30) w sprawie stosowania Karty praw podstawowych Unii Europejskiej do Rzeczypospolitej Polskiej i Zjednoczonego Królestwa?.

W odpowiedzi na skargę kasacyjną organ wniósł o jej oddalenie.

Naczelny Sąd Administracyjny zważył, co następuje:

Zgodnie z art. 183 § 1 P.p.s.a. Naczelny Sąd Administracyjny rozpoznaje sprawę w granicach skargi kasacyjnej, bierze jednak z urzędu pod rozwagę nieważność postępowania, której przesłanki enumeratywnie wymienione w art. 183 § 2 P.p.s.a. w rozpoznawanej sprawie nie występują. Oznacza to, że przytoczone w skardze kasacyjnej przyczyny wadliwości prawnej zaskarżonego wyroku determinują zakres kontroli dokonywanej przez Naczelny Sąd Administracyjny. Sąd ten w odróżnieniu do wojewódzkiego sądu administracyjnego nie bada całokształtu sprawy, lecz tylko weryfikuje zasadność zarzutów podniesionych w skardze kasacyjnej.

W rozpoznawanej sprawie skargę kasacyjną oparto na zarzucie naruszenia prawa materialnego - art. 43 ust. 2 w zw. z art. 43 ust. 1 pkt 3 ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych w zw. z art. 3 ust. 2 tiret pierwsze dyrektywy 95/46/WE Parlamentu Europejskiego i Rady z dnia 24 października 1995 r. w sprawie ochrony osób fizycznych w zakresie przetwarzania danych osobowych i swobodnego przepływu tych danych oraz w zw. z art. 8 Karty Praw Podstawowych UE w zw. z art. 6 ust. 1 Traktatu o Unii Europejskiej, polegające na przyjęciu, że art. 43 ust. 2 w zw. z art. 43 ust. 1 pkt 3 ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych, interpretowany zgodnie z celem i treścią art. 3 ust. 2 tiret pierwsze dyrektywy 95/46/WE, z uwzględnieniem art. 8 KPP UE mającej status prawny równy Traktatom założycielskim na mocy art. 6 ust. 1 TUE, należy interpretować jako wyłączające kognicję Generalnego Inspektora Ochrony Danych Osobowych opisaną w art. 12 pkt 2, art. 14 pkt. 1 i 3-5 oraz art. 15-18 u.o.d.o w odniesieniu do zbioru danych prowadzonego przez parafię Kościoła Katolickiego, obejmującego dane osobowe skarżącego, który złożył oświadczenie woli o wystąpieniu z Kościoła Katolickiego, podczas gdy prawidłowo interpretowane przepisy te winny prowadzić do wniosku, że w omawianym zakresie GIODO przysługuje kompetencja wskazana w art. 12 pkt 2, art. 14 pkt. 1 i 3-5 oraz art. 15-18 u.o.d.o.

Skarga kasacyjna jest uzasadniona, albowiem Wojewódzki Sąd Administracyjny w Warszawie wadliwie zastosował art. 43 ust. 2 u.o.d.o.

W świetle art. 43 ust. 2 u.o.d.o., Generalnemu Inspektorowi nie przysługują uprawnienia określone w art. 12 pkt 2, w odniesieniu do zbiorów, o których mowa w ust. 1 pkt 3, czyli danych dotyczących osób należących do kościoła. Tak zdefiniowany zbiór nie zawiera zatem danych dotyczących osób nienależących do kościoła. Dane osób nienależących do kościoła tworzą zbiór odrębny, nawet jeśli dane są przetwarzane na potrzeby kościoła i jeśli są zgromadzone na materialnych nośnikach danych zawierających zarówno dane osób należących, jak i osób nienależących do kościoła. Okolicznością przesądzającą o zakwalifikowaniu danych do jednego ze zbiorów jest rzeczywista przynależność lub brak przynależności osoby, o której dane chodzi, do kościoła (por. Janusz Barta, Paweł Fajgielski, Ryszard Markiewicz "Ochrona danych osobowych. Komentarz", LEX 2011, teza 6 do art. 43). Ustalenie przynależności do kościoła nie może być oderwane od chwili rozstrzygania sprawy w przedmiocie ochrony danych osobowych. Każdy organ administracji publicznej, a więc także Generalny Inspektor Ochrony Danych Osobowych, załatwiający sprawę w formie przewidzianej w art. 104 § 1 K.p.a. w związku z art. 22 u.o.d.o., ma obowiązek wydania decyzji w oparciu o stan faktyczny i prawny z daty orzekania. W tym zakresie przepisy art. 32 ust. 1 pkt 6 oraz art. 43 ust. 2 w związku z art. 43 ust.1 pkt 3 u.o.d.o. nie wprowadzają odmiennej regulacji. W konsekwencji oznacza to, że Generalnemu Inspektorowi Ochrony Danych Osobowych nie przysługują uprawnienia określone w art. 12 pkt 2 u.o.d.o. jedynie w odniesieniu do osób należących do kościoła. Natomiast uprawnienia te przysługują mu w odniesieniu do tej części zbiorów prowadzonych przez kościół, która dotyczy osób nienależących do kościoła. Trafność tego stanowiska potwierdza także regulacja dotycząca przetwarzania danych tzw. wrażliwych. Przepis art. 27 ust. 1 u.o.d.o. zawiera zasadę zakazu przetwarzania danych wrażliwych m.in. danych ujawniających przekonania religijne. Wprawdzie nie jest to zakaz absolutny, to jednak wynikający z art. 27 ust. 2 pkt 4 u.o.d.o. zakres wyjątku od tej zasady jest ograniczony do przetwarzania danych dotyczących wyłącznie członków kościoła. Ponadto zwolnienie od zakazu jest obwarowane niezbędnością przetwarzania danych do wykonania statutowych zadań kościoła oraz zapewnieniem pełnych gwarancji ochrony ich przetwarzania. Analiza powyższych przepisów prowadzi do wniosku, że przetwarzanie danych ujawniających przekonania religijne osób niebędących członkami kościoła, nawet w przypadku, gdy służy do wykonania statutowych zadań kościoła, jest zabronione.

Zakres uprawnień Generalnego Inspektora Ochrony Danych Osobowych, w zależności od osób, których te dane dotyczą, został określony w art. 43 ust. 2 u.o.d.o. Wobec przetwarzania danych wrażliwych z art. 27 ust. 1 u.o.d.o., zgodnie z art. 43 ust. 2 w związku z art. 43 ust. 1 pkt 3 u.o.d.o., organ zachowuje pełne uprawnienia, w tym wskazane w art. 12 pkt 2 u.o.d.o. Wobec danych dotyczących wyłącznie członków kościoła, przetwarzanych w warunkach określonych w art. 27 ust. 2 pkt 4 u.o.d.o organowi nie przysługują uprawnienia wymienione w art. 43 ust. 2 u.o.d.o. Także regulacja art. 1 ust. 1 w związku z art. 27 ust. 2 pkt 4 u.o.d.o. pozwala na takie odczytanie art. 43 ust. .2 w związku z art. 43 ust. 1 pkt 3 u.o.d.o., według którego w odniesieniu do tej części zbiorów prowadzonych przez Kościół katolicki, która nie dotyczy osób należących do tego Kościoła, Generalnemu Inspektorowi Ochrony Danych Osobowych przysługują uprawnienia określone w art. 12 pkt 2 u.o.d.o.

Powyższe stanowisko dotyczące art. 43 ust. 2 u.o.d.o. nie pozostaje w sprzeczności z wyrażoną w art. 25 ust. 3 Konstytucji RP zasadą autonomii kościołów i związków wyznaniowych kształtującą stosunki między państwem a kościołami. Autonomia warunkowana jest rozdzielnością, odmiennością celów realizowanych przez państwo i kościoły. Podmioty te, jako mające inny charakter, powinny móc działać niezależnie od siebie. Organy władzy publicznej realizują zadania publiczne niezależnie od jakichkolwiek instytucji wyznaniowych. W przypadku kościołów chodzi o wykonywanie funkcji religijnych, samorządność w sprawach związanych z kultem i określenie wewnętrznej organizacji. Autonomia nie może być jednak rozumiana jako pozbawienie państwa jego immanentnej cechy, jaką jest suwerenność (por. B. Banaszak, op. cit. s. 187 oraz powołany tamże P. Borecki "Geneza modelu stosunków Państwo – Kościół w Konstytucji RP", Warszawa 2008, s.387).

Ponadto wskazać należy na przepisy regulujące stosunki państwa i kościoła zawarte w ustawie z dnia 17 maja 1989 r. o gwarancjach wolności sumienia i wyznania. W Dziale II tej ustawy, określającym stosunek państwa do kościołów i związków wyznaniowych, stwierdza się m.in., że kościoły i inne związki wyznaniowe w Polsce działają w konstytucyjnych ramach ustrojowych Rzeczypospolitej Polskiej; ich sytuację prawną i majątkową regulują przepisy rangi ustawowej (art. 8). Stosunek państwa do wszystkich kościołów i innych związków wyznaniowych opiera się na poszanowaniu wolności sumienia i wyznania. Gwarancjami wolności sumienia i wyznania w stosunkach państwa z kościołami i innymi związkami wyznaniowymi są: oddzielenie kościołów i innych związków wyznaniowych od państwa; swoboda wypełniania przez kościoły i inne związki wyznaniowe funkcji religijnych; równouprawnienie wszystkich kościołów i innych związków wyznaniowych, bez względu na formę uregulowania ich sytuacji prawnej (art. 9). Rzeczypospolita Polska jest państwem świeckim, neutralnym w sprawach religii i przekonań (art. 10 ust. 1). Kościoły i inne związki wyznaniowe są niezależne od państwa przy wykonywaniu swoich funkcji religijnych (art. 11 ust. 1). Uprawnienia obywateli korzystających z wolności sumienia i wyznania są określone w Dziale I, w szczególności w art. 2 pkt 1-12 tej ustawy. Stosownie do treści art. 2 pkt 1, korzystając z wolności sumienia i wyznania obywatele mogą tworzyć wspólnoty religijne, zwane dalej "kościołami i innymi związkami wyznaniowymi", zakładane w celu wyznawania i szerzenia wiary religijnej, posiadające własny ustrój, doktrynę i obrzędy kultowe. Zgodnie z art. 2 pkt 2a cyt. ustawy, obywatele mogą należeć lub nie należeć do kościołów i innych związków wyznaniowych.

W rozpoznawanej sprawie przedmiotem sporu jest przetwarzanie danych osobowych na potrzeby Kościoła Katolickiego. Stosunki między Rzeczypospolitą Polską a Kościołem Katolickim określają umowa międzynarodowa i ustawy. Ratyfikowana ustawą z dnia 8 stycznia 1998 r. o ratyfikacji Konkordatu między Stolicą Apostolską a Rzecząpospolitą Polską (Dz. U. Nr 12, poz. 42 ), umowa międzynarodowa – Konkordat między Stolicą Apostolską a Rzecząpospolitą Polską, podpisana w dniu 28 lipca 1993 r. (Dz. U. z 1998 r. Nr 51, poz. 318), w przepisie art. 1 Rzeczypospolita Polska i Stolica Apostolska potwierdzają, że Państwo i Kościół każde w swojej dziedzinie są niezależne i autonomiczne oraz zobowiązują się do pełnego poszanowania tej zasady we wzajemnych stosunkach i we współdziałaniu dla rozwoju człowieka i dobra wspólnego. W art. 5, przestrzegając prawa do wolności religijnej, Państwo zapewnia Kościołowi Katolickiemu, bez względu na obrządek, swobodne i publiczne pełnienie jego misji, łącznie z wykonywaniem jurysdykcji oraz zarządzaniem i administrowaniem jego sprawami na podstawie prawa kanonicznego.

Z kolei w ustawie z dnia 17 maja 1989 r. o stosunku Państwa do Kościoła Katolickiego w Rzeczypospolitej Polskiej (Dz. U. Nr 29, poz. 154 ze zm.) art. 3 stanowi, że ustawa określa zasady stosunku Państwa do Kościoła, w tym jego sytuację prawną i majątkową. W sprawach odnoszących się do Kościoła, nieuregulowanych niniejszą ustawą, stosuje się powszechnie obowiązujące przepisy prawa, o ile nie są sprzeczne z wynikającymi z niej zasadami. Zgodnie z art. 2 tej ustawy, Kościół rządzi się w swych sprawach własnym prawem, swobodnie wykonuje władzę duchowną i jurysdykcyjną oraz zarządza swoimi sprawami.

Przechodząc od rozważań ogólnych na grunt rozpoznawanej sprawy wskazać należy, iż w odniesieniu do danych skarżącego, zawartych w Księdze Chrztów, są one przetwarzane w rozumieniu art. 7 pkt 2 u.o.d.o. (przechowywanie). Księga ta stanowi zbiór ewidencyjny, o którym mowa w art. 2 ust. 2 pkt 1 u.o.d.o. Sąd pierwszej instancji uznał, że w sprawie jest niesporne, iż dane skarżącego są umieszczone w zbiorze określonym w art. 43 ust. 1 pkt 3 u.o.d.o., a więc zbiorze osób należących do kościoła, o uregulowanej sytuacji prawnej, przetwarzanych na potrzeby tego kościoła. W tej mierze w pełni zaaprobował stanowisko Generalnego Inspektora Ochrony Danych Osobowych oparte na wyjaśnieniu Proboszcza Parafii Wszystkich Świętych w [...], w którym stwierdził on niezachowanie przez skarżącego procedury wystąpienia z Kościoła Katolickiego. Skutkowało to przyjęciem, że skarżący nadal jest osobą należącą do tego kościoła, w związku z tym organ w tej sprawie nie jest uprawniony do wydania merytorycznej decyzji administracyjnej. Wojewódzki Sąd Administracyjny w Warszawie nie dostrzegł, że w tej mierze organ nie określił, jakie znaczenie ma oświadczenie złożone przez skarżącego o wystąpieniu z Kościoła Katolickiego. Jest przy tym oczywiste, że nie jest rzeczą organu administracji ocenianie zachowanie przez skarżącego lub niezachowanie zasad prawa kościelnego, obowiązujących w razie zgłoszenia zamiaru wystąpienia z kościoła. Jest natomiast obowiązkiem organu przeprowadzenie oceny złożonego w aktach sprawy dowodu w postaci oświadczenia o wystąpieniu przez skarżącego z Kościoła Katolickiego.

Generalny Inspektor Ochrony Danych Osobowych stosownie do art. 6 Kpa działa na podstawie przepisów prawa. Chodzi tu o prawo powszechnie obowiązujące tj. Konstytucję RP i inne ustawy. Niezbędne było zatem wyjaśnienie, czy W.G. na gruncie prawa powszechnego skutecznie wystąpił z Kościoła Katolickiego. W świetle art. 53 ust. 1 i 2 Konstytucji RP, każdy obywatel ma prawo wyboru religii i rezygnacji z jej wyznawania. Korzystając z wolności sumienia i wyznania obywatele mogą w szczególności (...) należeć lub nie należeć do kościołów i innych związków wyznaniowych (art. 2 pkt 2a ustawy z dnia 17 maja 1989r. o gwarancjach wolności sumienia i wyznania).

Powyższe rozważania upoważniają do stwierdzenia, że w sprawie błędnie zastosowano art. 43 ust. 2 w związku z art. 43 ust.1 pkt, 3 u.o.d.o. Wynikające z niego ograniczenie kompetencji GIODO ma miejsce tylko do zbiorów obejmujących dane osobowe osób należących do Kościoła Katolickiego. W niniejszej sprawie skarżący złożył oświadczenie o wystąpieniu z kościoła. Obowiązkiem organu administracji publicznej, który został powołany do ochrony danych osobowych i który stosownie do art. 6 Kpa działa na podstawie obowiązującego prawa, było na jego gruncie dokonanie oceny znaczenia tego oświadczenia dla określenia granic swoich kompetencji. W razie uznania, że skarżący w świetle prawa powszechnego skutecznie wystąpił z kościoła art. 43 ust. 2 ustawy nie może być stosowany. Sąd I instancji zaaprobował w tej mierze wadliwe stanowisko GIODO, koncentrując swoją uwagę wyłącznie na rozważaniach poświęconych autonomii Kościoła Katolickiego i nie dostrzegając, że każdy obywatel RP ma zagwarantowaną wolność sumienia i wyznania, ta zaś przekłada się na to, że może zdecydować o wystąpieniu z kościoła. Złożenie w tej mierze stosownego oświadczenia może wywrzeć określone skutki prawne dla określenia statusu danej osoby jako należącej lub nienależacej do kościoła. W żadnym wypadku okoliczność ta nie może być zignorowana przez organ oraz sąd administracyjny.

Z tych względów Naczelny Sąd Administracyjny uznając, że skarga kasacyjna zasługuje na uwzględnienie, na podstawie art. 188 P.p.s.a. orzekł jak w sentencji wyroku. O kosztach postępowania kasacyjnego orzeczono na podstawie art. 203 pkt 1 w związku z art. 205 § 2 i art. 209 P.p.s.a oraz § 14 ust. 2 pkt 2 lit. "a" rozporządzenia Ministra Sprawiedliwości z dnia 28 września 2002 r. w sprawie opłat za czynności radców prawnych oraz ponoszenia przez Skarb Państwa kosztów pomocy prawnej udzielonej przez radcę prawnego ustanowionego z urzędu (Dz. U . Nr 163, poz. 1349 ze zm.).



Powered by SoftProdukt