Centralna Baza Orzeczeń Sądów Administracyjnych

Naczelny Sąd Administracyjny w składzie następującym: Przewodniczący Sędzia NSA Małgorzata Pocztarek (spr.), Sędzia NSA Monika Nowicka, Sędzia NSA Roman Ciąglewicz, Protokolant asystent Marcin Rączka, po rozpoznaniu w dniu 24 października 2013 r. na rozprawie w Izbie Ogólnoadministracyjnej skargi kasacyjnej M.W. od wyroku Wojewódzkiego Sądu Administracyjnego w Warszawie z dnia 13 lutego 2012 r. sygn. akt II SA/Wa 1320/11 w sprawie ze skargi M.W. na decyzję Generalnego Inspektora Ochrony Danych Osobowych z dnia 13 kwietnia 2011 r. nr [...] w przedmiocie umorzenia postępowania w zakresie ochrony danych osobowych 1. uchyla zaskarżony wyrok i zaskarżoną decyzję oraz utrzymaną nią w mocy decyzję Generalnego Inspektora Ochrony Danych Osobowych z dnia 25 stycznia 2011 r., nr [...]; 2. zasądza od Generalnego Inspektora Ochrony Danych Osobowych na rzecz M.W. kwotę 580 (pięćset osiemdziesiąt) złotych tytułem zwrotu kosztów postępowania.

Wojewódzki Sąd Administracyjny w Warszawie wyrokiem z dnia 13 lutego 2012 r. sygn. akt II SAWa 1320/11, oddalił skargę M.W. na decyzję Generalnego Inspektora Ochrony Danych Osobowych z dnia 13 kwietnia 2011 r. nr [...] w przedmiocie umorzenia postępowania w zakresie ochrony danych osobowych.

Z uzasadnienia zaskarżonego wyroku wynika, że Generalny Inspektor Ochrony Danych Osobowych, decyzją z dnia 25 stycznia 2011 r. nr [...], wydaną na podstawie art. 105 § 1 ustawy z dnia 14 czerwca 1960 r. - Kodeks postępowania administracyjnego (Dz. U. z 2000 r. Nr 98, poz. 1071 z późn. zm.) - dalej: kpa, art. 22, art. 43 ust. 2 ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (Dz. U. z 2002 r. Nr 101, poz. 926 ze zm.), po przeprowadzeniu postępowania administracyjnego w sprawie skargi M.W. na przetwarzanie jego danych osobowych przez Proboszcza Parafii Rzymskokatolickiej pod wezwaniem [...] ([...]), umorzył postępowanie.

Pismem z dnia 02 lutego 2011 r. M.W. złożył wniosek o ponowne rozpatrzenie sprawy.

Generalny Inspektor Ochrony Danych Osobowych, po rozpatrzeniu przedmiotowego wniosku, działając na podstawie art. 138 § 1 pkt 1 kpa oraz art. 12 pkt 2, art. 22 i art. 43 ust. 2 ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (Dz. U. z 2002 r. Nr 101, poz. 926 ze zm.), decyzją z dnia 13 kwietnia 2011 r. nr [...], utrzymał w mocy zaskarżoną decyzję.

W uzasadnieniu ww. decyzji Generalny Inspektor Ochrony Danych Osobowych wyjaśnił, że M.W. w dniu 04 października 2010 r. wniósł do Generalnego Inspektora Ochrony Danych Osobowych skargę na przetwarzanie jego danych osobowych przez Proboszcza Parafii Rzymskokatolickiej pod wezwaniem [...] (dalej: Proboszcz). Wymieniony zarzucił Proboszczowi, iż mimo złożenia przez niego oświadczenia o wystąpieniu z Kościoła Katolickiego nie została o tym fakcie zamieszczona stosowna adnotacja w księdze chrztu. W związku z powyższym strona wniosła o wydanie decyzji administracyjnej zobowiązującej Proboszcza - ks. D.M. do sprostowania jej nieaktualnych danych osobowych przechowywanych w Kościele na podstawie art. 32 ust. 1 pkt 6.

Organ odwoławczy ustalił, że M.W. skierował do Proboszcza pismo, którym zwrócił się o dokonanie adnotacji przy informacji o jego chrzcie o treści: "Dnia 10 września 2010 r. formalnym aktem wystąpił z Kościoła Katolickiego", oczekując w ciągu 14 dni na odpis aktu chrztu ze stwierdzeniem zgodności z księgą chrztów. W odpowiedzi na powyższe Proboszcz pismem z dnia 15 września 2010 r. poinformował stronę, że Papieska Rada do spraw tekstów prawnych dnia 13 marca 2006 r. opublikowała list okólny z wyjaśnieniami odnośnie do aktu formalnego wystąpienia z Kościoła Katolickiego oraz że dla ułatwienia jednolitego stosowania powyższych wskazań Konferencja Episkopatu Polski wydała w dniu 27 września 2008 r. "Zasady postępowania w sprawie formalnego aktu wystąpienia z Kościoła". Następnie, w toku postępowania, do Biura GIODO wpłynęły wyjaśnienia Proboszcza, z których wynikało, że skarżący nie należy do Parafii pod wezwaniem [...]i że nie została wobec niego wszczęta procedura w sprawie wystąpienia z Kościoła Katolickiego zgodnie z "Zasadami postępowania w sprawie formalnego aktu wystąpienia z Kościoła" z dnia 27 września 2008 r. W tym stanie faktycznym Generalny Inspektor Ochrony Danych Osobowych w dniu 25 stycznia 2011 r. wydał decyzję o umorzeniu postępowania w przedmiotowej, po otrzymaniu której M.W. złożył wniosek o ponowne rozpatrzenie sprawy.

Generalny Inspektor Ochrony Danych Osobowych po powtórnym rozpatrzeniu zgromadzonego w sprawie materiału dowodowego i przeanalizowaniu wniosku o ponowne rozpatrzenie sprawy wskazał, że przepis art. 43 ust. 2 ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych stanowi, że w odniesieniu do zbiorów, o których mowa w ust. 1 pkt 1 i 3 oraz zbiorów, o których mowa w ust. 1 pkt 1a, przetwarzanych przez Agencje Bezpieczeństwa Wewnętrznego, Agencję Wywiadu, Służbę Kontrwywiadu Wojskowego, Służbę Wywiadu Wojskowego oraz Centralne Biuro Antykorupcyjne, Generalnemu Inspektorowi nie przysługują uprawnienia określone w art. 12 pkt 2, art. 14 pkt 1 i 3 i 3-5 oraz art. 15-18. Z kolei z art. 43 ust. 1 pkt 3 wynika, że z obowiązku rejestracji zbioru danych zwolnieni są administratorzy danych dotyczących osób należących do kościoła lub innego związku wyznaniowego, o uregulowanej sytuacji prawnej, przetwarzanych na potrzeby tego kościoła lub związku wyznaniowego. W związku z powyższym wyjaśnił, że Generalny Inspektor ma w stosunku do powyższych instytucji prawo kontroli zgodności danych z przepisami o ochronie danych osobowych, nie ma jednak prawa wydawania decyzji administracyjnych, ani rozpatrywania skarg w sprawach wykonywania przez nie przepisów o ochronie danych osobowych.

Organ II instancji podniósł, iż Kościół Rzymsko-Katolicki należy do instytucji o uregulowanej sytuacji prawnej, bowiem jest instytucją, której funkcjonowanie zostało unormowane w Konstytucji RP, ustawach, umowie międzynarodowej - Konkordacie. Generalny Inspektor wyjaśnił, że z treści art. 2 ustawy z dnia 17 maja 1989 r. o stosunku Państwa do Kościoła Katolickiego w RP (Dz. U. z 1989 r. Nr 29, poz. 154 ze zm.), określającej zasady stosunku Państwa do Kościoła, w tym jego sytuację prawną i majątkową, wynika, że Kościół rządzi się w swoich sprawach własnym prawem, swobodnie wykonuje władzę duchową i jurysdykcyjną oraz zarządza własnymi sprawami. Natomiast w sprawach odnoszących się do Kościoła nieuregulowanych przedmiotową ustawą stosuje się powszechnie obowiązujące przepisy prawa, o ile nie są sprzeczne z wynikającymi z niej zasadami (art. 3 ust. 2).

Organ odwoławczy zauważył, że treść ww. przepisów wskazuje, iż Kościół Katolicki oraz inne związki wyznaniowe o uregulowanej sytuacji prawnej w zakresie swojej działalności są niezależne i przy wykonywaniu władzy duchowej posługują się swoim wewnętrznym prawem.

W związku z treścią art. 43 ust. 2 ustawy o ochronie danych osobowych, GIODO uznał, iż w rozpoznawanej sprawie nie może prowadzić postępowania wyjaśniającego, ukierunkowanego na wydanie merytorycznej decyzji administracyjnej, ani przeprowadzać czynności kontrolnych, z wyłączeniem prawa żądania złożenia pisemnych lub ustnych wyjaśnień oraz wzywania i przesłuchiwania osób w zakresie niezbędnym do ustalenia stanu faktycznego.

W związku z powyższym organ odwoławczy stwierdził, że na podstawie dokonanych ustaleń brak jest jego kognicji do wydania merytorycznej decyzji w sprawie, co determinuje zasadność uznania, że spełnione zostały przesłanki umorzenia postępowania, przewidziane przepisem art. 105 § 1 kpa, w myśl którego gdy postępowanie z jakiejkolwiek przyczyny stało się bezprzedmiotowe, organ administracji wydaje decyzję o umorzeniu postępowania.

Pismem z dnia 10 maja 2011 r. M.W. złożył do Wojewódzkiego Sądu Administracyjnego w Warszawie skargę na ww. decyzję GIODO z dnia 13 kwietnia 2011 r. nr [...].

W odpowiedzi na skargę organ wniósł o jej oddalenie, podtrzymując stanowisko wyrażone w zaskarżonej decyzji.

Pismem z dnia 02 listopada 2011 r. skarżący wniósł o uwzględnienie przez Sąd przy rozpoznawaniu sprawy Dyrektywy Parlamentu Europejskiego i Rady 95/46/WE z 24 października 1995 r. w sprawie ochrony osób fizycznych w zakresie przetwarzania danych osobowych i swobodnego przepływu tych danych.

Wojewódzki Sąd Administracyjny w Warszawie uznał, że skarga nie zasługuje na uwzględnienie.

W uzasadnieniu wyroku podał, że zgodnie z treścią art. 12 ustawy z dnia 25 lipca 1997 r. o ochronie danych osobowych (Dz. U. z 2002 r. Nr 101, poz. 926) do zadań Generalnego Inspektora Danych Osobowych należy:

- kontrola zgodności przetwarzania danych z przepisami o ochronie danych osobowych,

- wydawanie decyzji administracyjnych i rozpatrywanie skarg w sprawach wykonania przepisów o ochronie danych osobowych,

- zapewnienie wykonania przez zobowiązanych obowiązków o charakterze niepieniężnym wynikających z decyzji, o których mowa w pkt 2, przez stosowanie środków egzekucyjnych przewidzianych w ustawie o postępowaniu egzekucyjnym w administracji,

- prowadzenie rejestru zbioru danych oraz udzielanie informacji o zarejestrowanych zbiorach,

- opiniowanie projektów ustaw i rozporządzeń dotyczących ochrony danych osobowych,

- inicjowanie i podejmowanie przedsięwzięć w zakresie doskonalenia ochrony danych osobowych,

- uczestniczenie w pracach międzynarodowych organizacji i instytucji zajmujących się problematyką ochrony danych osobowych.

Powyższy przepis statuuje główne zadania i kompetencje Generalnego Inspektora Ochrony Danych Osobowych, który pełni funkcję zarówno organu kontrolującego poprawność przetwarzania danych osobowych zgodnie z obowiązującymi przepisami prawa oraz rzecznika interesu poszczególnych osób i interesów publicznych, jak i organu wyposażonego we władcze kompetencje wydawania decyzji administracyjnych i rozpatrywania skarg w sprawach wykonania przepisów o ochronie danych osobowych. W celu wykonania zadań, o których mowa w przytoczonej normie prawnej, Generalny Inspektor ma prawo żądać złożenia pisemnych lub ustnych wyjaśnień oraz wzywać i przesłuchiwać osoby w zakresie niezbędnym do ustalenia stanu faktycznego (art. 14 pkt 2 omawianej ustawy).

Następnie Sąd I instancji wskazał, iż przedmiotowe uprawnienia organu mogą być jednak ograniczane, a nawet wyłączane w odniesieniu do określonych podmiotów. Wyłączenie takie przewiduje m. in. art. 43 ust. 2 powyższej ustawy, zgodnie z którym, w odniesieniu do zbiorów, o których mowa w ust. 1 pkt 1 i 3 oraz zbiorów, o których mowa w ust. 1 pkt 1a przetwarzanych przez Agencję Bezpieczeństwa Wewnętrznego, Agencję Wywiadu, Służbę Kontrwywiadu Wojskowego, Służbę Wywiadu Wojskowego oraz Centralne Biuro Antykorupcyjne, Generalnemu Inspektorowi nie przysługują uprawnienia określone w art. 12 pkt 2; art. 14 pkt 1 i 3-5; art. 15-18. Zbiory, o których mowa w art. 43 ust. 1 pkt 1, 1a i 3, są to zbiory zawierające informacje niejawne, które uzyskane zostały w wyniku czynności operacyjno-rozpoznawczych przez funkcjonariuszy organów uprawnionych do tych czynności oraz zbiory dotyczące osób należących do kościoła lub innego związku wyznaniowego, o uregulowanej sytuacji prawnej, przetwarzanych na potrzeby tego kościoła lub związku wyznaniowego. Wobec więc regulacji przepisu art. 43 ust. 1 pkt 3 omawianej ustawy, nie zgłasza się zbiorów osób ochrzczonych w danej parafii czy duchownych przynależnych do danej diecezji czy zakonu.

Zdaniem Sądu I instancji, bezspornym jest, że dane osobowe skarżącego umieszczone są w zbiorze, o którym mowa w art. 43 ust. 1 pkt 3 ustawy o ochronie danych osobowych, tj. w zbiorze dotyczącym osób należących do kościoła lub innego związku wyznaniowego. Dlatego też Sąd uznał za prawidłowe działanie organu, który ograniczył swoją aktywność jedynie do czynności na jaką pozwalała mu ustawa – czyli czynności wskazanych w art. 14 ust. 2 przedmiotowej ustawy. Organ wezwał bowiem Proboszcza Parafii Rzymskokatolickiej pod wezwaniem [...]w [...]do złożenia pisemnych wyjaśnień odnośnie skargi M.W. w zakresie przetwarzania jego danych osobowych. W odpowiedzi uzyskał wyjaśnienia Proboszcza, iż skarżący nie należy do jego Parafii, oraz że Proboszcz nie posiada wiedzy o tym, aby skarżący wszczął procedurę wystąpienia z Kościoła Katolickiego, zgodnie z zasadami ustalonymi przez Konferencję Episkopatu Polski.

Wobec powyższego organ poprawnie uznał, iż w sprawie ma zastosowanie art. 43 ust. 2 omawianej ustawy, a tym samym prawidłowo stwierdził brak swojej właściwości w zakresie wydania decyzji administracyjnej, o jakiej mowa w art. 12 ust. 2 ustawy.

Ponadto Sąd podkreślił, iż wbrew twierdzeniom podniesionym przez stronę na rozprawie w dniu 13 lutego 2012 r., bez wpływu na omawiane wyłączenie kompetencji Generalnego Inspektora Ochrony Danych Osobowych, o jakim mowa w art. 43 ust. 2 przedmiotowej ustawy, pozostaje to, czy skarżący w sposób skuteczny wystąpił z Kościoła Katolickiego. Tworząc ww. przepis ustawodawca posłużył się sformułowaniem "zbiór danych". Sposób rozumienia tego zwrotu wyjaśnił zaś w art. 7 pkt 1 ustawy, stwierdzając, że przez zbiór danych rozumie się każdy – posiadający strukturę zestaw danych o charakterze osobowym, dostępnych według określonych kryteriów, niezależnie od tego, czy zestaw ten jest rozproszony lub podzielony funkcjonalnie.

Sąd I instancji wskazał, iż treść powyższych norm prawnych wskazuje w sposób niebudzący wątpliwości na to, że zbiór danych obejmuje swoim zasięgiem wiele danych, tj. wiele danych należących do wielu osób. Tym samym, bez związku z przedmiotem wyłączenia, o jakim mowa w art. 43 ust. 1 pkt 3 ustawy, pozostaje ewentualna skuteczność wystąpienia strony z Kościoła. Ustawa w omawianym przepisie nie odnosi się bowiem do danych jednostkowych, a do zbioru danych. Stąd więc, badanie w niniejszym postępowaniu skuteczności wystąpienia skarżącego z Kościoła pozostaje w oderwaniu od istoty przedmiotowej sprawy.

Sąd I instancji wyjaśnił ponadto, iż nawet hipotetycznie przyjmując, iż kwestia wystąpienia z Kościoła ma wpływ na stosowanie normy art. 43 ust. 2 ustawy, to wskazać należy, iż skarżący nie wykazał, aby wystąpił z Kościoła w sposób skuteczny. Powoływanie się w tym zakresie przez skarżącego na złożenie oświadczenia woli, o jakim mowa w art. 60 i następnych kodeksu cywilnego, jest niewystarczające. Sposób działania osób, które zamierzają formalnie wystąpić z Kościoła Katolickiego określiła Konferencja Episkopatu Polski wydając w dniu 27 września 2008 r. "Zasady postępowania w sprawie formalnego aktu wystąpienia z Kościoła". Skoro więc skarżący należy do Kościoła, to aby z niego skutecznie wystąpić musi zastosować się do kościelnych zasad regulujących tę kwestię. Są to bowiem wewnętrzne unormowania organizacji, do której należy skarżący, regulujące wzajemne relacje między organizacją, a jej członkami.

Co się tyczy sposobu zakończenia postępowania administracyjnego, to w ocenie Sądu, stan faktyczny sprawy umożliwiał organowi wydanie skarżonej decyzji. Przepis art. 105 ust. 1 kpa, na którym zostało oparte rozstrzygnięcie organu, jako przesłankę obligatoryjną umorzenia postępowania uznaje bezprzedmiotowość tego postępowania. Przywołany przepis zezwala organom administracji na wydanie decyzji o umorzeniu postępowania w sytuacji, gdy w świetle przepisów prawa materialnego i ustalonego stanu faktycznego brak jest sprawy administracyjnej mogącej być przedmiotem postępowania. Sprawa administracyjna jest bowiem konsekwencją istnienia stosunku administracyjno-prawnego, czyli takiej sytuacji prawnej, w której strona ma prawo żądać od organu administracyjnego skonkretyzowania jej indywidualnych uprawnień, wynikających z prawa materialnego (patrz wyrok Sądu Najwyższego z dnia 09 listopada 1995 r., sygn. akt III ARN 50/59 - OSNP 11/96/150).

W orzecznictwie i judykaturze przyjmuje się zgodnie, że bezprzedmiotowość postępowania administracyjnego, o której stanowi art. 105 § 1 kpa, oznacza, że brak jest któregoś z elementów materialnego stosunku prawnego, a wobec tego nie można wydać decyzji załatwiającej sprawę przez rozstrzygnięcie co do jej istoty.

Analizując skargę Sąd I instancji nie podzielił również zarzutu skarżącego, iż działanie organu było niezgodne z zapisami Dyrektywy Europejskiej 95/46/WE Parlamentu Europejskiego i Rady z dnia 24 października 1995 r. w sprawie ochrony osób fizycznych w zakresie przetwarzania danych osobowych i swobodnego przepływu tych danych, oraz niezgodne z orzecznictwem Europejskiego Trybunału Sprawiedliwości. Podkreślił, że przepisy wyżej powołanej dyrektywy mają charakter ogólny. Stąd nie sposób na ich podstawie wywieść, iż działanie organu było z nimi niezgodne, w szczególności w sytuacji, gdy sporna materia dotycząca kompetencji Generalnego Inspektora Ochrony Danych Osobowych w sprawach dotyczących kościołów i związków wyznaniowych, została w sposób wyraźny uregulowana w obowiązującej ustawie o ochronie danych osobowych.

Skargę kasacyjną od powyższego wyroku wniósł do Naczelnego Sądu Administracyjnego M.W., zaskarżając go w całości zarzucił Sądowi I instancji naruszenie przepisów prawa materialnego tj.

1) art. 43 ust. 2 w zw. z art. 43 ust. 1 pkt 3 ustawy z dn. 29 sierpnia 1997 r. o ochronie danych osobowych w zw. z art. 3 ust. 2 tiret pierwsze dyrektywy 95/46/WE Parlamentu Europejskiego i Rady z dnia 24 października 1995 r. w sprawie ochrony osób fizycznych w zakresie przetwarzania danych osobowych i swobodnego przepływu tych danych oraz w zw. z art. 8 Karty Praw Podstawowych UE w zw. z art. 6 ust. 1 Traktatu o Unii Europejskiej, polegające na przyjęciu, że art. 43 ust. 2 w zw. z art. 43 ust. 1 pkt 3 ustawy z dn. 29 sierpnia 1997 r. o ochronie danych osobowych, interpretowany zgodnie z celem i treścią art. 3 ust. 2 tiret pierwsze dyrektywy 95/46/WE, z uwzględnieniem art. 8 KPP UE mającej status prawny równy Traktatom założycielskim na mocy art. 6 ust. 1 TUE, należy interpretować jako wyłączające kognicję Generalnego Inspektora Ochrony Danych Osobowych opisaną w art. 12 pkt 2, art. 14 pkt. 1 i 3-5 oraz art. 15-18 uodo w odniesieniu do zbioru danych prowadzonego przez parafię Kościoła Katolickiego, obejmującego dane osobowe skarżącego, który złożył oświadczenie woli o wystąpieniu z Kościoła Katolickiego, podczas gdy prawidłowo interpretowane przepisy te winny prowadzić do wniosku, że w omawianym zakresie GIODO przysługuje kompetencja wskazana w art. 12 pkt 2, art. 14 pkt. 1 i 3-5 oraz art. 15-18 uodo.

Wskazując na powyższe podstawy skargi kasacyjnej skarżący wniósł o uchylenie zaskarżonego wyroku w całości i rozpoznanie skargi poprzez uchylenie zaskarżonej decyzji w całości oraz zasądzenie kosztów postępowania według norm przepisanych.

W uzasadnieniu skargi kasacyjnej podniesiono, iż nie można do indywidualnej sytuacji skarżącego stosować art. 43 ust. 1 pkt 3 uodo, bowiem prawo do ochrony danych osobowych jest prawem indywidualnym (co więcej -stanowi ono indywidualne, a nie zbiorowe, prawo podstawowe, chronione przez zasadę ochrony praw fundamentalnych) i w każdym przypadku żądania o udzielenie ochrony prawnej w związku z danymi jednostki, które zostały objęte zbiorem danych osobowych, należy przeanalizować to, czy dane takiej jednostki zasadnie zostały zaliczone do danego zbioru (w tym przypadku - zbioru danych dotyczących "dotyczących osób należących do kościoła lub innego związku wyznaniowego, o uregulowanej sytuacji prawnej, przetwarzanych na potrzeby tego kościoła lub związku wyznaniowego"), zaś w sytuacji skarżącego analiza taka prowadzi do wniosku, że nie było podstaw do zakwalifikowania jego danych do wskazanego zbioru, bowiem na skutek złożenia oświadczenia woli o wystąpieniu, nie był on osobą należącą do Kościoła Katolickiego. Nawet gdyby uznać, że dane skarżącego, pomimo jego wystąpienia z Kościoła Katolickiego (lub też bezskuteczności wystąpienia), należały do zbioru danych dotyczących osób należących do kościoła lub innego związku wyznaniowego, o uregulowanej sytuacji prawnej, przetwarzanych na potrzeby tego kościoła lub związku wyznaniowego" z tej przyczyny, że kiedyś w przeszłości należał (lub nadal formalnie należy) on do Kościoła Katolickiego i to uprawnia Kościół Katolicki do przetwarzania jego danych ad infinitum, to i tak obowiązkiem zarówno GIODO, jak i WSA w Warszawie, było dokonanie kontroli zgodności ustawy transponującej dyrektywę 95/46/WE z tą dyrektywą (i szerzej - z całokształtem prawa UE), a rezultat takiej kontroli jest zdaniem skarżącego taki, że ustawa (w sposób, w jaki została zinterpretowana przez GIODO i przez WSA w Warszawie) nie jest zgodna w omawianym zakresie z prawem UE. GIODO ma w ocenie skarżącego pełną kognicję wobec kościołów i związków wyznaniowych. Nawet jednak gdyby jej nie miał, to i tak jest całkowicie nie do przyjęcia, aby organ ochrony danych osobowych zasłaniał się wyłączeniem swojej kognicji wobec kościołów i związków wyznaniowych, w sytuacji, w której udzielenia ochrony żąda osoba, która wg swego przekonania oraz złożonego oświadczenia, nie jest członkiem danego kościoła.

Ponadto wskazano, iż nie do przyjęcia jest pogląd, iż w przypadku, gdy jednostka żąda podjęcia czynności ochronnych jej danych sensytywnych (których standard ochrony jest wyższy, niż w przypadku danych "zwykłych" - zob. szerzej E. Kulesza, Ochrona danych o stanie zdrowia w świetle ustawodawstwa europejskiego i polskiej ustawy o ochronie danych osobowych, PiM nr 5/2000), ochrona tych danych podlegałaby wyłączeniu (z zakresu kognicji GIODO) z uwagi na fakt, że w przeszłości przetwarzanie takich danych było legalizowane przez art. 27 ust. 2 pkt 4 uodo. Ten ostatni przepis ma zresztą istotne znaczenie dla systemowej wykładni art. 43 ust. 1 pkt 3 w zw. z art. 43 ust. 2 uodo, dokonywanej już choćby tylko na płaszczyźnie samej ustawy o ochronie danych osobowych (prawa krajowego). Skoro ustawodawca poddał szczególnej ochronie dane dotyczące "przekonań religijnych lub filozoficznych" (art. 27 ust. 1 uodo), zabraniając ich przetwarzania, ale jednocześnie dopuścił wyjątkowo ich przetwarzanie w zakresie "niezbędnym do wykonywania statutowych zadań kościołów", pod warunkiem jednak, że chodzi o dane "wyłącznie członków tych organizacji" (art. 27 ust. 2 pkt 4 uodo), to jasną jest intencja ustawodawcy, zgodnie z którą ochrona danych sensytywnych zostaje osłabiona tylko tam, gdzie jest to niezbędne i dotyczy aktualnego (a nie byłego) członka danego kościoła. Tymczasem w materialnej sprawie przesłanki takie nie zachodzą, choćby z uwagi na to, iż dane te nie odnoszą się do aktualnego członka Kościoła Katolickiego (skoro skarżący zeń wystąpił). W ten sam sposób należy odczytywać art. 43 ust. 2 w zw. z art. 43 ust. 1 pkt 3 uodo, nawet gdyby abstrahować od ponadustawowych źródeł prawa.

Skarżący wniósł również o skierowanie przez Naczelny Sąd Administracyjny do Trybunału Sprawiedliwości pytań prejudycjalnych dotyczących wykładni prawa UE, na podstawie art. 267 TFUE, w następującym brzmieniu:

1) Czy art. 3 ust. 2 tiret pierwsze dyrektywy 95/46/WE konkretyzujący zasadę ochrony danych osobowych, interpretowany z uwzględnieniem art. 8 Karty Praw Podstawowych UE w zw. z art. 6 ust. 1 TUE, należy interpretować jako oznaczający, że dyrektywa ta nie ma zastosowania do przetwarzania danych osobowych w ramach zbiorów danych dotyczących osób należących do kościoła lub innego związku wyznaniowego, o uregulowanej wdanym państwie członkowskim sytuacji prawnej, przetwarzanych, na potrzeby tego kościoła lub związku wyznaniowego?;

2) Czy w konsekwencji należy przyjąć, ze krajowy organ ochrony danych osobowych, o którym mowa w art. 28 ust. 1 dyrektywy 95/46/WE, w zakresie, w jakim kontroluje stosowanie przepisów tej dyrektywy na terytorium danego państwa członkowskiego, winien obejmować swoją kognicją również przetwarzanie danych osobowych w ramach zbiorów danych dotyczących osób należących do kościoła lub innego związku wyznaniowego, o uregulowanej w danym państwie członkowskim sytuacji prawnej, przetwarzanych na potrzeby tego kościoła lub związku wyznaniowego?;

3) Czy wpływ na odpowiedź na pytanie nr 1 ma okoliczność, że osoba, o której dane osobowe chodzi w stanie faktycznym objętym postępowaniem głównym, w sposób skuteczny wystąpiła z Kościoła, który nadal przetwarza jej dane-osobowe?;

4) Czy wpływ na odpowiedź na pytanie nr 1 ma art. 17 Traktatu o Funkcjonowaniu UE, względnie art. 1 ust. 1 albo art. 2 Protokołu (nr 30) w sprawie stosowania Karty praw podstawowych Unii Europejskiej do Rzeczypospolitej Polskiej i Zjednoczonego Królestwa?.

W odpowiedzi na skargę kasacyjną organ wniósł o jej oddalenie.

Naczelny Sąd Administracyjny zważył, co następuje:

Zgodnie z art. 183 § 1 P.p.s.a. Naczelny Sąd Administracyjny rozpoznaje sprawę w granicach skargi kasacyjnej, bierze jednak z urzędu pod rozwagę nieważność postępowania, której przesłanki enumeratywnie wymienione w art. 183 § 2 P.p.s.a. w rozpoznawanej sprawie nie występują. Oznacza to, że przytoczone w skardze kasacyjnej przyczyny wadliwości prawnej zaskarżonego wyroku determinują zakres kontroli dokonywanej przez Naczelny Sąd Administracyjny. Sąd ten w odróżnieniu do wojewódzkiego sądu administracyjnego nie bada całokształtu sprawy, lecz tylko weryfikuje zasadność zarzutów podniesionych w skardze kasacyjnej.

W rozpoznawanej sprawie skargę kasacyjną oparto na zarzucie naruszenia prawa materialnego - art. 43 ust. 2 w zw. z art. 43 ust. 1 pkt 3 ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych w zw. z art. 3 ust. 2 tiret pierwsze dyrektywy 95/46/WE Parlamentu Europejskiego i Rady z dnia 24 października 1995 r. w sprawie ochrony osób fizycznych w zakresie przetwarzania danych osobowych i swobodnego przepływu tych danych oraz w zw. z art. 8 Karty Praw Podstawowych UE w zw. z art. 6 ust. 1 Traktatu o Unii Europejskiej, polegające na przyjęciu, że art. 43 ust. 2 w zw. z art. 43 ust. 1 pkt 3 ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych, interpretowany zgodnie z celem i treścią art. 3 ust. 2 tiret pierwsze dyrektywy 95/46/WE, z uwzględnieniem art. 8 KPP UE mającej status prawny równy Traktatom założycielskim na mocy art. 6 ust. 1 TUE, należy interpretować jako wyłączające kognicję Generalnego Inspektora Ochrony Danych Osobowych opisaną w art. 12 pkt 2, art. 14 pkt. 1 i 3-5 oraz art. 15-18 u.o.d.o w odniesieniu do zbioru danych prowadzonego przez parafię Kościoła Katolickiego, obejmującego dane osobowe skarżącego, który złożył oświadczenie woli o wystąpieniu z Kościoła Katolickiego, podczas gdy prawidłowo interpretowane przepisy te winny prowadzić do wniosku, że w omawianym zakresie GIODO przysługuje kompetencja wskazana w art. 12 pkt 2, art. 14 pkt. 1 i 3-5 oraz art. 15-18 u.o.d.o.

Skarga kasacyjna jest uzasadniona, albowiem Wojewódzki Sąd Administracyjny w Warszawie wadliwie zastosował art. 43 ust. 2 u.o.d.o.

W świetle art. 43 ust. 2 u.o.d.o., Generalnemu Inspektorowi nie przysługują uprawnienia określone w art. 12 pkt 2, w odniesieniu do zbiorów, o których mowa w ust. 1 pkt 3, czyli danych dotyczących osób należących do kościoła. Tak zdefiniowany zbiór nie zawiera zatem danych dotyczących osób nienależących do kościoła. Dane osób nienależących do kościoła tworzą zbiór odrębny, nawet jeśli dane są przetwarzane na potrzeby kościoła i jeśli są zgromadzone na materialnych nośnikach danych zawierających zarówno dane osób należących, jak i osób nienależących do kościoła. Okolicznością przesądzającą o zakwalifikowaniu danych do jednego ze zbiorów jest rzeczywista przynależność lub brak przynależności osoby, o której dane chodzi, do kościoła (por. Janusz Barta, Paweł Fajgielski, Ryszard Markiewicz "Ochrona danych osobowych. Komentarz", LEX 2011, teza 6 do art. 43). Ustalenie przynależności do kościoła nie może być oderwane od chwili rozstrzygania sprawy w przedmiocie ochrony danych osobowych. Każdy organ administracji publicznej, a więc także Generalny Inspektor Ochrony Danych Osobowych, załatwiający sprawę w formie przewidzianej w art. 104 § 1 K.p.a. w związku z art. 22 u.o.d.o., ma obowiązek wydania decyzji w oparciu o stan faktyczny i prawny z daty orzekania. W tym zakresie przepisy art. 32 ust. 1 pkt 6 oraz art. 43 ust. 2 w związku z art. 43 ust.1 pkt 3 u.o.d.o. nie wprowadzają odmiennej regulacji. W konsekwencji oznacza to, że Generalnemu Inspektorowi Ochrony Danych Osobowych nie przysługują uprawnienia określone w art. 12 pkt 2 u.o.d.o. jedynie w odniesieniu do osób należących do kościoła. Natomiast uprawnienia te przysługują mu w odniesieniu do tej części zbiorów prowadzonych przez kościół, która dotyczy osób nienależących do kościoła. Trafność tego stanowiska potwierdza także regulacja dotycząca przetwarzania danych tzw. wrażliwych. Przepis art. 27 ust. 1 u.o.d.o. zawiera zasadę zakazu przetwarzania danych wrażliwych m.in. danych ujawniających przekonania religijne. Wprawdzie nie jest to zakaz absolutny, to jednak wynikający z art. 27 ust. 2 pkt 4 u.o.d.o. zakres wyjątku od tej zasady jest ograniczony do przetwarzania danych dotyczących wyłącznie członków kościoła. Ponadto zwolnienie od zakazu jest obwarowane niezbędnością przetwarzania danych do wykonania statutowych zadań kościoła oraz zapewnieniem pełnych gwarancji ochrony ich przetwarzania. Analiza powyższych przepisów prowadzi do wniosku, że przetwarzanie danych ujawniających przekonania religijne osób nie będących członkami kościoła, nawet w przypadku, gdy służy do wykonania statutowych zadań kościoła, jest zabronione.

Zakres uprawnień Generalnego Inspektora Ochrony Danych Osobowych, w zależności od osób, których te dane dotyczą, został określony w art. 43 ust. 2 u.o.d.o. Wobec przetwarzania danych wrażliwych z art. 27 ust. 1 u.o.d.o., zgodnie z art. 43 ust. 2 w związku z art. 43 ust. 1 pkt 3 u.o.d.o., organ zachowuje pełne uprawnienia, w tym wskazane w art. 12 pkt 2 u.o.d.o. Wobec danych dotyczących wyłącznie członków kościoła, przetwarzanych w warunkach określonych w art. 27 ust. 2 pkt 4 u.o.d.o organowi nie przysługują uprawnienia wymienione w art. 43 ust. 2 u.o.d.o. Także regulacja art. 1 ust. 1 w związku z art. 27 ust. 2 pkt 4 u.o.d.o. pozwala na takie odczytanie art. 43 ust. .2 w związku z art. 43 ust. 1 pkt 3 u.o.d.o., według którego w odniesieniu do tej części zbiorów prowadzonych przez Kościół katolicki, która nie dotyczy osób należących do tego Kościoła, Generalnemu Inspektorowi Ochrony Danych Osobowych przysługują uprawnienia określone w art. 12 pkt 2 u.o.d.o.

Powyższe stanowisko dotyczące art. 43 ust. 2 u.o.d.o. nie pozostaje w sprzeczności z wyrażoną w art. 25 ust. 3 Konstytucji RP zasadą autonomii kościołów i związków wyznaniowych kształtującą stosunki między państwem a kościołami. Autonomia warunkowana jest rozdzielnością, odmiennością celów realizowanych przez państwo i kościoły. Podmioty te, jako mające inny charakter, powinny móc działać niezależnie od siebie. Organy władzy publicznej realizują zadania publiczne niezależnie od jakichkolwiek instytucji wyznaniowych. W przypadku kościołów chodzi o wykonywanie funkcji religijnych, samorządność w sprawach związanych z kultem i określenie wewnętrznej organizacji. Autonomia nie może być jednak rozumiana jako pozbawienie państwa jego immanentnej cechy, jaką jest suwerenność (por. B. Banaszak, op. cit. s. 187 oraz powołany tamże P. Borecki "Geneza modelu stosunków Państwo – Kościół w Konstytucji RP", Warszawa 2008, s.387).

Ponadto wskazać należy na przepisy regulujące stosunki państwa i kościoła zawarte w ustawie z dnia 17 maja 1989 r. o gwarancjach wolności sumienia i wyznania. W Dziale II tej ustawy, określającym stosunek państwa do kościołów i związków wyznaniowych, stwierdza się m.in., że kościoły i inne związki wyznaniowe w Polsce działają w konstytucyjnych ramach ustrojowych Rzeczypospolitej Polskiej; ich sytuację prawną i majątkową regulują przepisy rangi ustawowej (art. 8). Stosunek państwa do wszystkich kościołów i innych związków wyznaniowych opiera się na poszanowaniu wolności sumienia i wyznania. Gwarancjami wolności sumienia i wyznania w stosunkach państwa z kościołami i innymi związkami wyznaniowymi są: oddzielenie kościołów i innych związków wyznaniowych od państwa; swoboda wypełniania przez kościoły i inne związki wyznaniowe funkcji religijnych; równouprawnienie wszystkich kościołów i innych związków wyznaniowych, bez względu na formę uregulowania ich sytuacji prawnej (art. 9). Rzeczypospolita Polska jest państwem świeckim, neutralnym w sprawach religii i przekonań (art. 10 ust. 1). Kościoły i inne związki wyznaniowe są niezależne od państwa przy wykonywaniu swoich funkcji religijnych (art. 11 ust. 1). Uprawnienia obywateli korzystających z wolności sumienia i wyznania są określone w Dziale I, w szczególności w art. 2 pkt 1-12 tej ustawy. Stosownie do treści art. 2 pkt 1, korzystając z wolności sumienia i wyznania obywatele mogą tworzyć wspólnoty religijne, zwane dalej "kościołami i innymi związkami wyznaniowymi", zakładane w celu wyznawania i szerzenia wiary religijnej, posiadające własny ustrój, doktrynę i obrzędy kultowe. Zgodnie z art. 2 pkt 2a cyt. ustawy, obywatele mogą należeć lub nie należeć do kościołów i innych związków wyznaniowych.

W rozpoznawanej sprawie przedmiotem sporu jest przetwarzanie danych osobowych na potrzeby Kościoła Katolickiego. Stosunki między Rzeczypospolitą Polską a Kościołem Katolickim określają umowa międzynarodowa i ustawy. Ratyfikowana ustawą z dnia 8 stycznia 1998 r. o ratyfikacji Konkordatu między Stolicą Apostolską a Rzecząpospolitą Polską (Dz. U. Nr 12, poz. 42 ), umowa międzynarodowa – Konkordat między Stolicą Apostolską a Rzecząpospolitą Polską, podpisana w dniu 28 lipca 1993 r. (Dz. U. z 1998 r. Nr 51, poz. 318), w przepisie art. 1 Rzeczypospolita Polska i Stolica Apostolska potwierdzają, że Państwo i Kościół każde w swojej dziedzinie są niezależne i autonomiczne oraz zobowiązują się do pełnego poszanowania tej zasady we wzajemnych stosunkach i we współdziałaniu dla rozwoju człowieka i dobra wspólnego. W art. 5, przestrzegając prawa do wolności religijnej, Państwo zapewnia Kościołowi Katolickiemu, bez względu na obrządek, swobodne i publiczne pełnienie jego misji, łącznie z wykonywaniem jurysdykcji oraz zarządzaniem i administrowaniem jego sprawami na podstawie prawa kanonicznego.

Z kolei w ustawie z dnia 17 maja 1989 r. o stosunku Państwa do Kościoła Katolickiego w Rzeczypospolitej Polskiej (Dz. U. Nr 29, poz. 154 ze zm.) art. 3 stanowi, że ustawa określa zasady stosunku Państwa do Kościoła, w tym jego sytuację prawną i majątkową. W sprawach odnoszących się do Kościoła, nieuregulowanych niniejszą ustawą, stosuje się powszechnie obowiązujące przepisy prawa, o ile nie są sprzeczne z wynikającymi z niej zasadami. Zgodnie z art. 2 tej ustawy, Kościół rządzi się w swych sprawach własnym prawem, swobodnie wykonuje władzę duchowną i jurysdykcyjną oraz zarządza swoimi sprawami.

Przechodząc od rozważań ogólnych na grunt rozpoznawanej sprawy wskazać należy, iż w odniesieniu do danych skarżącego, zawartych w Księdze Chrztów, są one przetwarzane w rozumieniu art. 7 pkt 2 u.o.d.o. (przechowywanie). Księga ta stanowi zbiór ewidencyjny, o którym mowa w art. 2 ust. 2 pkt 1 u.o.d.o. Sąd pierwszej instancji uznał, że w sprawie jest niesporne, iż dane skarżącego są umieszczone w zbiorze określonym w art. 43 ust. 1 pkt 3 u.o.d.o., a więc zbiorze osób należących do kościoła, o uregulowanej sytuacji prawnej, przetwarzanych na potrzeby tego kościoła. W tej mierze w pełni zaaprobował stanowisko Generalnego Inspektora Ochrony Danych Osobowych oparte na wyjaśnieniu Proboszcza Parafii [...]w [...], w którym stwierdził, że skarżący nie należy do prowadzonej przez niego Parafii i nie została wszczęta procedura wystąpienia z Kościoła Katolickiego. Skutkowało to przyjęciem, że skarżący nadal jest osobą należącą do tego kościoła, w związku z tym organ w tej sprawie nie jest uprawniony do wydania merytorycznej decyzji administracyjnej. Wojewódzki Sąd Administracyjny w Warszawie nie dostrzegł, że w tej mierze organ nie określił, jakie znaczenie ma oświadczenie złożone przez skarżącego o wystąpieniu z Kościoła Katolickiego. Jest przy tym oczywiste, że nie jest rzeczą organu administracji ocenianie zachowanie przez skarżącego lub niezachowanie zasad prawa kościelnego, obowiązujących w razie zgłoszenia zamiaru wystąpienia z kościoła. Jest natomiast obowiązkiem organu przeprowadzenie oceny złożonego w aktach sprawy dowodu w postaci oświadczenia o wystąpieniu przez skarżącego z Kościoła Katolickiego.

Generalny Inspektor Ochrony Danych Osobowych stosownie do art. 6 Kpa działa na podstawie przepisów prawa. Chodzi tu o prawo powszechnie obowiązujące tj. Konstytucję RP i inne ustawy. Niezbędne było zatem wyjaśnienie, czy M.W. na gruncie prawa powszechnego skutecznie wystąpił z Kościoła Katolickiego. W świetle art. 53 ust. 1 i 2 Konstytucji RP, każdy obywatel ma prawo wyboru religii i rezygnacji z jej wyznawania. Korzystając z wolności sumienia i wyznania obywatele mogą w szczególności (...) należeć lub nie należeć do kościołów i innych związków wyznaniowych (art. 2 pkt 2a ustawy z dnia 17 maja 1989r. o gwarancjach wolności sumienia i wyznania).

Powyższe rozważania upoważniają do stwierdzenia, że w sprawie błędnie zastosowano art. 43 ust. 2 w związku z art. 43 ust.1 pkt, 3 u.o.d.o. Wynikające z niego ograniczenie kompetencji GIODO ma miejsce tylko do zbiorów obejmujących dane osobowe osób należących do Kościoła Katolickiego. W niniejszej sprawie skarżący złożył oświadczenie o wystąpieniu z kościoła. Obowiązkiem organu administracji publicznej, który został powołany do ochrony danych osobowych i który stosownie do art. 6 Kpa działa na podstawie obowiązującego prawa, było na jego gruncie dokonanie oceny znaczenia tego oświadczenia dla określenia granic swoich kompetencji. W razie uznania, że skarżący w świetle prawa powszechnego skutecznie wystąpił z kościoła art. 43 ust. 2 ustawy nie może być stosowany. Sąd I instancji zaaprobował w tej mierze wadliwe stanowisko GIODO, koncentrując swoją uwagę wyłącznie na rozważaniach poświęconych autonomii Kościoła Katolickiego i nie dostrzegając, że każdy obywatel RP ma zagwarantowaną wolność sumienia i wyznania, ta zaś przekłada się na to, że może zdecydować o wystąpieniu z kościoła. Złożenie w tej mierze stosownego oświadczenia może wywrzeć określone skutki prawne dla określenia statusu danej osoby jako należącej lub nienależacej do kościoła. W żadnym wypadku okoliczność ta nie może być zignorowana przez organ oraz sąd administracyjny.

Z tych względów Naczelny Sąd Administracyjny uznając, że skarga kasacyjna zasługuje na uwzględnienie, na podstawie art. 188 P.p.s.a. orzekł jak w sentencji wyroku. O kosztach postępowania kasacyjnego orzeczono na podstawie art. 203 pkt 1 w związku z art. 205 § 2 i art. 209 P.p.s.a oraz § 14 ust. 2 pkt 2 lit. "a" rozporządzenia Ministra Sprawiedliwości z dnia 28 września 2002 r. w sprawie opłat za czynności radców prawnych oraz ponoszenia przez Skarb Państwa kosztów pomocy prawnej udzielonej przez radcę prawnego ustanowionego z urzędu (Dz. U . Nr 163, poz. 1349 ze zm.).