Centralna Baza Orzeczeń Sądów Administracyjnych

Naczelny Sąd Administracyjny w składzie : Przewodniczący: Sędzia NSA Małgorzata Jaśkowska Sędziowie: Sędzia NSA Małgorzata Pocztarek Sędzia WSA del. Marian Wolanin (spr.) Protokolant starszy inspektor sądowy Barbara Dąbrowska-Skóra po rozpoznaniu w dniu 18 października 2013 r. na rozprawie w Izbie Ogólnoadministracyjnej skargi kasacyjnej T. F. od wyroku Wojewódzkiego Sądu Administracyjnego w Warszawie z dnia 7 marca 2013 r. sygn. akt II SA/Wa 2265/12 w sprawie ze skargi T. F. na decyzję Generalnego Inspektora Ochrony Danych Osobowych z dnia [...] października 2012 r. nr [...] w przedmiocie ochrony danych osobowych 1. uchyla zaskarżony wyrok i przekazuje sprawę Wojewódzkiemu Sądowi Administracyjnemu w Warszawie do ponownego rozpoznania, 2. zasądza od Generalnego Inspektora Ochrony Danych Osobowych na rzecz T. F. kwotę 580 (pięćset osiemdziesiąt) złotych tytułem zwrotu kosztów postępowania kasacyjnego.

Zaskarżonym wyrokiem z dnia 7 marca 2013 r., sygn. akt II SA/Wa 2265/12, Wojewódzki Sąd Administracyjny w Warszawie oddalił skargę T. F. na decyzję Generalnego Inspektora Ochrony Danych Osobowych z dnia [...] października 2012 r. nr [...] w przedmiocie ochrony danych osobowych.

W uzasadnieniu zaskarżonego wyroku wskazano, że decyzją z dnia [...] października 2012 r. nr [...] Generalny Inspektor Ochrony Danych Osobowych utrzymał w mocy własną decyzję z dnia 28 września 2012 r. umarzającą postępowanie w sprawie przetwarzania danych osobowych T. F. przez Proboszcza Parafii p.w. Ś. z siedzibą w Z. Przestawiając stan faktyczny sprawy organ administracji podniósł, że w dniu 28 czerwca 2012 r. T. F. wniósł skargę na przetwarzanie jego danych osobowych przez Proboszcza Parafii p.w. Ś. z siedzibą w Z. przy ul. L., zarzucając, że mimo złożenia przez niego oświadczenia o wystąpieniu z Kościoła Katolickiego. nie została o tym fakcie zamieszczona stosowna adnotacja w księdze chrztu, w związku z czym wniósł do Generalnego Inspektora o wydanie decyzji administracyjnej zobowiązującej Proboszcza Parafii Rzymskokatolickiej do sprostowania jego nieaktualnych danych osobowych na podstawie art. 32 ust. 1 pkt 6 ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (Dz.U. z 2002 r. Nr 101, poz. 926, ze zm.). Generalny Inspektor Ochrony Danych Osobowych uznał, iż postępowanie z wniosku T. F. jest bezprzedmiotowe i decyzją z dnia z dnia 28 września 2012 r. umorzył postępowanie w sprawie. We wniosku o ponowne rozpatrzenie sprawy zakończonej powyższą decyzją z dnia 28 września 2012 r. skarżący nie podzielił stanowiska organu oraz wskazał, iż nie należy do Kościoła katolickiego. Ponownie rozpoznając sprawę z wniosku T. F., Generalny Inspektor Ochrony Danych Osobowych stwierdził, iż zaskarżona decyzja jest prawidłowa i rozstrzygnięciem z dnia [...] października 2012 r. utrzymał tę decyzję w mocy podkreślając, że bez znaczenia dla wydania orzeczenia w przedmiotowej sprawie pozostaje okoliczność, iż T. F. uznaje się za osobę nienależącą do Kościoła katolickiego. Faktem mającym natomiast fundamentalne znaczenie dla dokonania oceny sformułowanego przez skarżącego pod adresem Proboszcza Parafii zarzutu, jest pozostawanie jego danych osobowych w zbiorze osób należących do Kościoła katolickiego, tj. zbioru administrowanego przez Kościół. Generalny Inspektor nie ma zaś kognicji do ingerowania w zbiory danych prowadzonych przez Kościół katolicki, niezależnie czy będzie to zbiór danych osobowych należących do Kościoła, czy też zbiór osób, które dokonały skutecznie aktu apostazji. Generalny Inspektor Ochrony Danych Osobowych powołał się na art. 43 ust. 2 ustawy o ochronie danych osobowych oraz wskazał, iż nie przysługują mu uprawnienia określone w art. 12 pkt 2, art. 14 pkt 1 i 3 - 5 oraz art. 15 – 18 tej ustawy w odniesieniu do zbiorów wymienionych w tym przepisie. Przepis art. 43 ust 1 pkt 3 powołanej ustawy stanowi zaś, iż z obowiązku rejestracji zbioru danych zwolnieni są administratorzy danych dotyczących osób należących do kościoła lub innego związku wyznaniowego, o uregulowanej sytuacji prawnej, przetwarzanych na potrzeby tego kościoła lub związku wyznaniowego. Kościół Rzymskokatolicki niewątpliwie należy do instytucji o uregulowanej sytuacji prawnej, bowiem jest instytucją, której funkcjonowanie zostało unormowane w Konstytucji RP, w umowie międzynarodowej jaką jest Konkordat oraz w ustawach, nad którymi umowa międzynarodowa ma pierwszeństwo. W związku z art. 43 ust. 2 ustawy o ochronie danych osobowych, GIODO nie może prowadzić postępowania wyjaśniającego, ukierunkowanego na wydanie merytorycznej decyzji administracyjnej ani przeprowadzać czynności kontrolnych, z wyłączeniem prawa żądania złożenia pisemnych lub ustnych wyjaśnień oraz wzywania i przesłuchiwania osób w zakresie niezbędnym do ustalenia stanu faktycznego. Z art. 105 § 1 kpa wynika natomiast, że postępowanie administracyjne nie może toczyć się w sytuacji, gdy w jego toku przestał istnieć jego przedmiot, bądź też przedmiot ten nie istniał już przed wszczęciem postępowania. Skoro postępowanie w niniejszej sprawie stało się bezprzedmiotowe, organ ochrony danych osobowych, z powodu stwierdzenia braku swojej kognicji do wydania merytorycznej decyzji administracyjnej w sprawie, był obowiązany je umorzyć.

W skardze do Sądu I instancji na decyzję Generalnego Inspektora Ochrony Danych Osobowych z dnia [...] października 2012 r. T. F. zarzucił, że umarzając postępowanie w sprawie organ uznał go za wiernego Kościoła katolickiego. Narusza to nie tylko słuszny interes strony, ale także wartość konstytucyjną, którą jest zasada wolności religijnej. Ponadto art. 105 § 1 kpa zezwala organom administracji na wydanie decyzji o umorzeniu prowadzonego postępowania w sytuacji, jeżeli stało się ono bezprzedmiotowe. Powołany przepis ma zastosowanie tylko w tych przypadkach, gdy w świetle prawa materialnego i ustalonego stanu faktycznego brak jest sprawy administracyjnej mogącej być przedmiotem postępowania. W niniejszej zaś sprawie żądanie skarżącego opiera się na przepisie prawa materialnego, albowiem należy wyjść z generalnej zasady wyrażonej w art. 1 ust. 1 ustawy o ochronie danych osobowych, że każdy ma prawo do ochrony dotyczących go danych osobowych. Zatem strona ma prawo oczekiwać od organu ochrony danych osobowych podjęcia ustawowych działań, a takie instrumenty prawne w niniejszej sprawie Generalny Inspektor posiada. W badanym przypadku nie występuje przypadek braku sprawy administracyjnej. Wyłączenia nadzorcze organu ochrony danych osobowych w stosunku do zbiorów dotyczących osób należących do kościoła lub innego związku wyznaniowego o uregulowanej sytuacji prawnej, przetwarzanych na potrzeby tego kościoła lub związku wyznaniowego, o których mowa w art. 43 ust. 2 ustawy o ochronie danych osobowych, nie dają organowi podstawy do umorzenia postępowania, lecz mogą stanowić podstawę do odmowy uwzględnienia wniosku. Bezzasadność żądania strony musi być bowiem wykazana w decyzji załatwiającej sprawę, co do jej istoty, a nie prowadzić do umorzenia postępowania. W przeciwnym razie organ naraża się na słuszny zarzut niezgodnego z prawem uchylania się od merytorycznego rozstrzygnięcia sprawy.

W odpowiedzi na skargę Generalny Inspektor Ochrony Danych Osobowych wniósł o jej oddalenie oraz podtrzymał argumentację przedstawioną w uzasadnieniu zaskarżonej decyzji.

Oddalając skargę T. F. Wojewódzki Sąd Administracyjny w Warszawie stwierdził, że ustawa z dnia 29 sierpnia 1997 r. o ochronie danych osobowych jest regulacją stwarzającą prawne podstawy stosowania ochrony państwowej w sytuacjach nielegalnego przetwarzania danych osobowych obywateli, przez zarówno podmioty prawa publicznego, jak i podmioty prawa prywatnego, posługujące się ich danymi osobowymi. W celu realizacji tej ochrony, organ ochrony danych osobowych został wyposażony w kompetencje władcze, umożliwiające mu sankcjonowanie stwierdzanych nieprawidłowości w procesie przetwarzania danych osobowych. Generalny Inspektor Ochrony Danych Osobowych może więc - w drodze decyzji administracyjnej - nakładać stosowne nakazy, bądź zakazy, których zasadniczą rolą jest przywrócenie stanu zgodnego z prawem. Jednak wydanie decyzji merytorycznej możliwe jest jedynie wówczas, gdy ingerencja organu jest w ogóle dopuszczalna, bowiem nie każdy stan faktyczny pozwala na stosowanie wspomnianej ochrony prawnej. Organ ochrony danych osobowych jest zobowiązany do merytorycznego rozstrzygania tylko w tych sytuacjach, w jakich przepisy ustawy o ochronie danych osobowych pozwalają mu na wydanie odpowiedniego zakazu, bądź nakazu. Generalny Inspektor Ochrony Danych Osobowych, oceniając stan sprawy i dokonując subsumpcji, stwierdza w pierwszej kolejności, czy kwestionowane przetwarzanie danych osobowych pozwala mu na władczą ingerencję, w dalszej kolejności zaś, czy znajduje oparcie choćby w jednej z legalnych podstaw przetwarzania danych osobowych, i w zależności od występujących w sprawie ustaleń - organ albo wydaje nakaz lub zakaz, albo odmawia uwzględnienia wniosku, ewentualnie umarza postępowanie.

W rozpoznawanej sprawie z uwagi na treść art. 43 ust. 1 pkt 3 i art. 43 ust. 2 ustawy o ochronie danych osobowych Generalny Inspektor Ochrony Danych Osobowych nie miał podstaw do wydania decyzji merytorycznej. Dane osobowe skarżącego znajdujące się w księdze ochrzczonych w Parafii Rzymskokatolickiej pw. A. w Z. umieszczone są w zbiorze, o którym mowa w art. 43 ust. 1 pkt 3 ustawy o ochronie danych osobowych, tj. zbiorze dotyczącym osób należących do kościoła lub innego związku wyznaniowego. Zgodnie z brzmieniem tego przepisu, z obowiązku rejestracji zbioru danych zwolnieni są administratorzy danych dotyczących osób należących do kościoła lub innego związku wyznaniowego, o uregulowanej sytuacji prawnej, przetwarzanych na potrzeby tego kościoła lub związku wyznaniowego. Kościół katolicki należy do instytucji o uregulowanej sytuacji prawnej, bowiem jego funkcjonowanie zostało unormowane zarówno w Konstytucji Rzeczypospolitej Polskiej, umowie międzynarodowej - Konkordacie podpisanym w dniu 28 lipca 1993 r. między Stolicą Apostolską i Rzecząpospolitą Polską (Dz.U. z 1998 r. Nr 51, poz. 318) oraz ustawie z dnia 17 maja 1989 r. o stosunku Państwa do Kościoła Katolickiego w Rzeczypospolitej Polskiej (Dz.U. Nr 29, poz. 154, ze zm.). Z kolei w myśl art. 43 ust. 2 tej ustawy, w odniesieniu do zbiorów, o których mowa w ust. 1 pkt 1 i 3, oraz zbiorów, o których mowa w ust. 1 pkt 1a, przetwarzanych przez Agencję Bezpieczeństwa Wewnętrznego, Agencję Wywiadu, Służbę Kontrwywiadu Wojskowego, Służbę Wywiadu Wojskowego oraz Centralne Biuro Antykorupcyjne, Generalnemu Inspektorowi nie przysługują uprawnienia określone w art. 12 pkt 2, art. 14 pkt 1 i 3-5 oraz art. 15-18. Ze wskazanych przepisów wynika, że nie jest dopuszczalna merytoryczna ingerencja Generalnego Inspektora Ochrony Danych Osobowych w sprawy przetwarzania danych osobowych osób należących do kościoła lub innego związku wyznaniowego, o uregulowanej sytuacji prawnej, przetwarzanych na potrzeby tego kościoła lub związku. Traktat z Lizbony z dnia 13 grudnia 2007 r., który wszedł w życie w dniu 1 grudnia 2009 r., zmieniający Traktat o Unii Europejskiej i Traktat ustanawiający Wspólnotę Europejską (Dz.Urz. UE C2007.306.1) wprowadził artykułem 2 punkt 29 zmianę do Traktatu ustanawiającego Wspólnotę Europejską (obecnie Traktatu o funkcjonowaniu Unii Europejskiej) polegającą na dodaniu artykułu 16b, który zastąpił artykuł 286, w brzmieniu: 1. Każda osoba ma prawo do ochrony danych osobowych jej dotyczących, 2. Parlament Europejski i Rada, stanowiąc zgodnie ze zwykłą procedurą ustawodawczą, określają zasady dotyczące ochrony osób fizycznych w zakresie przetwarzania danych osobowych przez instytucje, organy i jednostki organizacyjne Unii oraz przez Państwa Członkowskie w wykonywaniu działań wchodzących w zakres zastosowania prawa Unii, a także zasady dotyczące swobodnego przepływu takich danych. Przestrzeganie tych zasad podlega kontroli niezależnych organów. Zasady przyjęte na podstawie niniejszego artykułu pozostają bez uszczerbku dla zasad szczególnych przewidzianych w artykule 25 lit. a Traktatu o Unii Europejskiej". Traktat lizboński jednocześnie artykułem 2 punkt 30 dodał do Traktatu o funkcjonowaniu Unii Europejskiej artykuł 16c ust. 1 w brzmieniu "Unia szanuje status przyznany na mocy prawa krajowego kościołom i stowarzyszeniom lub wspólnotom religijnym w Państwach Członkowskich i nie narusza tego statusu". Mając na uwadze artykuł 16c Traktatu o funkcjonowaniu Unii Europejskiej oraz fakt, że Konstytucja Rzeczypospolitej Polskiej (art. 25 ust. 3), a także Konkordat (art. 1) gwarantują rozdział między Państwem a Kościołem katolickim na zasadzie autonomii oraz wzajemnej niezależności każdego w swoim zakresie, należy przyjąć, że przetwarzanie przez Kościół katolicki danych osobowych jego wiernych w relacji wewnętrznej nie podlega kognicji państwowej, a przez to także i wspólnotowej, co oznacza, że w sprawie niniejszej, organ ochrony danych osobowych nie ma prawnej możliwości ingerowania w proces przetwarzania danych osobowych skarżącego przez ww. Proboszcza Parafii Rzymskokatolickiej.

Skargę kasacyjną od powyższego wyroku wniósł do Naczelnego Sądu Administracyjnego T. F., zaskarżając go w całości i zarzucając Sądowi I instancji naruszenie przepisów prawa procesowego, które miało istotny wpływ na wynik sprawy tj.:

- art. 1 § 1 i 2 ustawy z dnia 25 lipca 2002 r. - Prawo o ustroju sądów administracyjnych (Dz.U. Nr 153, poz. 1269, ze zm.) – dalej pusa, w zw. z art. 145 § 1 pkt. 1 lit. c ustawy z dnia 30 sierpnia 2002 r. - Prawo o postępowaniu przed sądami administracyjnymi (Dz.U. z 2012 r. poz. 270, ze zm.) – dalej ppsa w zw. z art. 7, art. 77 § 1 i art. 107 § 3 oraz w zw. z art. 105 § 1 kpa polegające na oddaleniu skargi oraz nieuchyleniu decyzji Generalnego Inspektora Ochrony Danych Osobowych w obu instancjach, pomimo iż decyzje te zostały wydane bez zebrania i rozpatrzenia pełnego materiału dowodowego, co skutkowało niewskazaniem w uzasadnieniach obu decyzji na jakich dowodach oparł się organ ustalając stan faktyczny sprawy,

- art. 151 w zw. z art. 141 § 4 ppsa wobec nieprzedstawienia w uzasadnieniu zaskarżonego wyroku takich ustaleń i dowodów, jakie mogłyby przemawiać za oddaleniem skargi oraz wobec całkowicie dowolnego ustalenia, że skarżący poprzez złożone w dniu 1 czerwca 2012 r. oświadczenie woli na gruncie prawa cywilnego nie wystąpił skutecznie z Kościoła katolickiego,

- art. 1 § 1 i 2 pusa w zw. z art. 3 § 2 pkt. 1 ppsa i w zw. z art. 145 § 1 pkt 1 lit. b i c ppsa przez nieuwzględnienie skargi mimo naruszenia w toku postępowania przed organem administracji przepisów art. 6, art. 8 i art. 9 kpa oraz art. 141 § 4 ppsa w zw. z art. 153 ppsa poprzez niepełne przedstawienie w uzasadnieniu zaskarżonego wyroku stanu faktycznego i prawnego, przedstawienie oceny prawnej niespójnej oraz brak precyzyjnych wskazań co do dalszego postępowania.

Ponadto zaskarżonemu wyrokowi zarzucono naruszenie przepisów prawa materialnego tj.:

- art. 43 ust. 2 w zw. z art. 43. ust. 1 pkt. 3 ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych poprzez błędną jego wykładnię polegającą na przyjęciu, że spod kognicji Generalnego Inspektora Ochrony Danych Osobowych wyjęte są zbiory danych osób, jedynie w oparciu o fakt prowadzenia takich zbiorów przez kościoły i związki wyznaniowe o uregulowanym stanie prawnym, bez względu na objęte takimi zbiorami dane osobowe, a w konsekwencji niewłaściwe jego zastosowanie,

- art. 60 kc w zw. z art. 2 pkt 2a i 5 ustawy z dnia 17 maja 1989 r. o gwarancjach wolności sumienia i wyznania (Dz.U. z 2005 Nr 231, poz. 1965, ze zm.) poprzez nieuznanie za skuteczne wystąpienia z Kościoła Katolickiego na gruncie powszechnie obowiązującego prawa w Polsce i wskazania na wewnętrzne regulacje Kościoła Katolickiego jako podstawę do wystąpienia, co prowadzi do naruszenia art. 53 ust. 1 i 2 Konstytucji RP, które przyznają obywatelowi wolność wyznawania i przyjmowania religii według własnego wyboru.

W uzasadnieniu skargi kasacyjnej podano m.in., że kompetencje organu są ograniczone w odniesieniu do zbiorów danych osobowych dotyczących osób należących do kościoła lub innego związku wyznaniowego, o uregulowanej sytuacji prawnej, przetwarzanych na potrzeby tego kościoła lub związku wyznaniowego, tym samym niedopuszczalne jest przyjmowanie, że wyłączone spod kognicji Generalnego Inspektora są wszelkie zbiory poprzez sam fakt administrowania nimi przez kościół lub związek wyznaniowy o uregulowanej sytuacji prawnej. Podstawowym kryterium ograniczającym kompetencje Generalnego Inspektora w odniesieniu do zbiorów danych osób należących do kościoła lub innego związku wyznaniowego jest ich zakres, tj. objęcie danym zbiorem wyłącznie danych osobowych osób należących do kościoła lub innego związku wyznaniowego o uregulowanej sytuacji prawnej. Tym samym w momencie, gdy w zbiorze takim znajdują się dane osobowe osób nienależących do kościoła lub związku wyznaniowego, który administruje takim zbiorem traci on przymiot zbioru danych osób należących, a tym samym nie jest objęty wyłączeniem, o którym mowa w art. 43 ust. 2 ustawy o ochronie danych osobowych. W przedmiocie zarzutu niewyjaśnienia wszystkich okoliczności istotnych dla sprawy podniesiono, iż Generalny Inspektor Ochrony Danych Osobowych w swoich decyzjach nie wskazał podstaw do ich wydania, ponadto całe postępowanie ograniczył jedynie do skierowania zapytania do proboszcza w kwestii faktu wystąpienia przez skarżącego z Kościoła Katolickiego. Powyższe działanie było niezrozumiałe, ponieważ wystąpienie nastąpiło poprzez sam fakt złożenia prawidłowego oświadczenia woli przez skarżącego, na co odpowiednie dowody zostały przedstawione Generalnemu Inspektorowi. Ponadto wskazano, iż Generalny Inspektor Ochrony Danych Osobowych naruszył podstawowe zasady prawa administracyjnego wyrażone w art. 6, art. 8 i art. 9 kpa, do czego nie odniósł się również Wojewódzki Sąd Administracyjny w Warszawie. Generalny Inspektor Ochrony Danych Osobowych odżegnał się od zasady działania na podstawie przepisów prawa i w oparciu o te przepisy uznając, niezasadnie i niezgodnie z obowiązującymi przepisami prawa swój brak kompetencji, a stanowisko to zostało podzielone przez Wojewódzki Sąd Administracyjny w Warszawie.

Naczelny Sąd Administracyjny zważył, co następuje:

Skarga kasacyjna zasługuje na uwzględnienie.

W ocenie Naczelnego Sądu Administracyjnego jako zasadny uznać należy zarzut naruszenia art. 145 § 1 pkt 1 lit. c ppsa w zw. z art. 7 i art. 77 § 1 kpa. W rozpoznawanej sprawie nie ustalono bowiem okoliczności istotnych z punktu widzenia przepisów prawa materialnego, tj. przesłanek określonych w art. 32 ust. 1 pkt 6 oraz art. 43 ust. 2 w związku z art. 43 ust. 1 pkt 3 ustawy o ochronie danych osobowych, a mianowicie kwestii przynależności T. F. do Kościoła katolickiego, domagającego się od Generalnego Inspektora Ochrony Danych Osobowych zapewnienia ochrony jego danych osobowych, przetwarzanych na potrzeby tego Kościoła. W przypadku bowiem stwierdzenia, że wystąpił on z Kościoła Katolickiego, a więc jest osobą do niego nienależącą, nie miałoby zastosowania wyłączenie uprawnień władczych organu, o których mowa w art. 43 ust. 2 powołanej ustawy. W świetle art. 43 ust. 2 ustawy o ochronie danych osobowych, Generalnemu Inspektorowi nie przysługują uprawnienia określone w art. 12 pkt 2, w odniesieniu do zbiorów, o których mowa w ust. 1 pkt 3, czyli danych dotyczących osób należących do kościoła. Tak zdefiniowany zbiór nie zawiera zatem danych dotyczących osób nienależących do kościoła. Dane osób nienależących do kościoła tworzą zbiór odrębny, nawet jeśli dane są przetwarzane na potrzeby kościoła i jeśli są zgromadzone na materialnych nośnikach danych zawierających zarówno dane osób należących, jak i osób nienależących do kościoła. Okolicznością przesądzającą o zakwalifikowaniu danych do jednego ze zbiorów jest rzeczywista przynależność lub brak przynależności osoby, o której dane chodzi, do kościoła. Ustalenie przynależności do kościoła nie może być oderwane od chwili rozstrzygania sprawy w przedmiocie ochrony danych osobowych. Każdy organ administracji publicznej, a więc także Generalny Inspektor Ochrony Danych Osobowych, załatwiający sprawę w formie przewidzianej w art. 104 § 1 kpa w zw. z art. 22 ustawy o ochronie danych osobowych, ma obowiązek wydania decyzji w oparciu o stan faktyczny i prawny z daty orzekania. W tym zakresie przepisy art. 32 ust. 1 pkt 6 oraz art. 43 ust. 2 w związku z art. 43 ust.1 pkt 3 ustawy o ochronie danych osobowych nie wprowadzają odmiennej regulacji. W konsekwencji oznacza to, że Generalnemu Inspektorowi Ochrony Danych Osobowych nie przysługują uprawnienia określone w art. 12 pkt 2 powołanej ustawy jedynie w odniesieniu do osób należących do kościoła. Natomiast uprawnienia te przysługują mu w odniesieniu do tej części zbiorów prowadzonych przez kościół, która dotyczy osób nienależących do kościoła. Trafność tego stanowiska potwierdza także regulacja dotycząca przetwarzania danych tzw. wrażliwych. Przepis art. 27 ust. 1 ustawy o ochronie danych osobowych zawiera zasadę zakazu przetwarzania danych wrażliwych m.in. danych ujawniających przekonania religijne. Wprawdzie nie jest to zakaz absolutny, to jednak wynikający z art. 27 ust. 2 pkt 4 powołanej ustawy zakres wyjątku od tej zasady jest ograniczony do przetwarzania danych dotyczących wyłącznie członków kościoła. Ponadto zwolnienie od zakazu jest obwarowane niezbędnością przetwarzania danych do wykonania statutowych zadań kościoła oraz zapewnieniem pełnych gwarancji ochrony ich przetwarzania. Analiza powyższych przepisów prowadzi do wniosku, że przetwarzanie danych ujawniających przekonania religijne osób niebędących członkami kościoła, nawet w przypadku, gdy służy do wykonania statutowych zadań kościoła, jest zabronione.

Zakres uprawnień Generalnego Inspektora Ochrony Danych Osobowych, w zależności od osób, których te dane dotyczą, został określony w art. 43 ust. 2 ustawy ochronie danych osobowych. Wobec przetwarzania danych wrażliwych z art. 27 ust. 1 powołanej ustawy, zgodnie z art. 43 ust. 2 w zw. z art. 43 ust. 1 pkt 3 tej ustawy, organ zachowuje pełne uprawnienia, w tym wskazane w art. 12 pkt 2 ustawy. Wobec danych dotyczących wyłącznie członków kościoła, przetwarzanych w warunkach określonych w art. 27 ust. 2 pkt 4 ustawy o ochronie danych osobowych, organowi nie przysługują uprawnienia wymienione w art. 43 ust. 2 tej ustawy. Także regulacja art. 1 ust. 1 w zw. z art. 27 ust. 2 pkt 4 powołanej ustawy pozwala na takie odczytanie art. 43 ust. 2 w zw. z art. 43 ust. 1 pkt 3, według którego w odniesieniu do tej części zbiorów prowadzonych przez Kościół katolicki, która nie dotyczy osób należących do tego Kościoła, Generalnemu Inspektorowi Ochrony Danych Osobowych przysługują uprawnienia określone w art. 12 pkt 2 powołanej ustawy.

Powyższe stanowisko dotyczące art. 43 ust. 2 ustawy o ochronie danych osobowych nie pozostaje w sprzeczności z wyrażoną w art. 25 ust. 3 Konstytucji RP zasadą autonomii kościołów i związków wyznaniowych kształtującą stosunki między państwem a kościołami. Autonomia warunkowana jest rozdzielnością, odmiennością celów realizowanych przez państwo i kościoły. Podmioty te, jako mające inny charakter, powinny móc działać niezależnie od siebie. Organy władzy publicznej realizują zadania publiczne niezależnie od jakichkolwiek instytucji wyznaniowych. W przypadku kościołów chodzi o wykonywanie funkcji religijnych, samorządność w sprawach związanych z kultem i określenie wewnętrznej organizacji. Autonomia nie może być jednak rozumiana jako pozbawienie państwa jego immanentnej cechy, jaką jest suwerenność (por. B. Banaszak, op. cit. s. 187 oraz powołany tamże P. Borecki "Geneza modelu stosunków Państwo - Kościół w Konstytucji RP", Warszawa 2008, s.387).

Ponadto należy wskazać na przepisy regulujące stosunki państwa i kościoła zawarte w ustawie z dnia 17 maja 1989 r. o gwarancjach wolności sumienia i wyznania. W Dziale II tej ustawy, określającym stosunek państwa do kościołów i związków wyznaniowych, stwierdza się m.in., że kościoły i inne związki wyznaniowe w Polsce działają w konstytucyjnych ramach ustrojowych Rzeczypospolitej Polskiej; ich sytuację prawną i majątkową regulują przepisy rangi ustawowej (art. 8). Stosunek Państwa do wszystkich kościołów i innych związków wyznaniowych opiera się na poszanowaniu wolności sumienia i wyznania. Gwarancjami wolności sumienia i wyznania w stosunkach Państwa z kościołami i innymi związkami wyznaniowymi są: oddzielenie kościołów i innych związków wyznaniowych od Państwa; swoboda wypełniania przez kościoły i inne związki wyznaniowe funkcji religijnych; równouprawnienie wszystkich kościołów i innych związków wyznaniowych, bez względu na formę uregulowania ich sytuacji prawnej (art. 9). Rzeczypospolita Polska jest państwem świeckim, neutralnym w sprawach religii i przekonań (art. 10 ust. 1). Kościoły i inne związki wyznaniowe są niezależne od Państwa przy wykonywaniu swoich funkcji religijnych (art. 11 ust. 1). Uprawnienia obywateli korzystających z wolności sumienia i wyznania są określone w Dziale I, w szczególności w art. 2 pkt 1-12 tej ustawy. Stosownie do treści art. 2 pkt 1, korzystając z wolności sumienia i wyznania obywatele mogą tworzyć wspólnoty religijne, zwane dalej "kościołami i innymi związkami wyznaniowymi", zakładane w celu wyznawania i szerzenia wiary religijnej, posiadające własny ustrój, doktrynę i obrzędy kultowe. Zgodnie z art. 2 pkt 2a cyt. ustawy, obywatele mogą należeć lub nie należeć do kościołów i innych związków wyznaniowych.

W rozpoznawanej sprawie przedmiotem sporu jest przetwarzanie danych osobowych na potrzeby Kościoła katolickiego. Stosunki między Rzeczypospolitą Polską a Kościołem katolickim określają umowa międzynarodowa i ustawy. Ratyfikowana ustawą z dnia 8 stycznia 1998 r. o ratyfikacji Konkordatu między Stolicą Apostolską a Rzecząpospolitą Polską (Dz.U. Nr 12, poz. 42 ), umowa międzynarodowa - Konkordat między Stolicą Apostolską a Rzecząpospolitą Polską, podpisana w dniu 28 lipca 1993 r. (Dz.U. z 1998 r. Nr 51, poz. 318), w przepisie art. 1 Rzeczypospolita Polska i Stolica Apostolska potwierdzają, że Państwo i Kościół każde w swojej dziedzinie są niezależne i autonomiczne oraz zobowiązują się do pełnego poszanowania tej zasady we wzajemnych stosunkach i we współdziałaniu dla rozwoju człowieka i dobra wspólnego. W art. 5, przestrzegając prawa do wolności religijnej, Państwo zapewnia Kościołowi katolickiemu, bez względu na obrządek, swobodne i publiczne pełnienie jego misji, łącznie z wykonywaniem jurysdykcji oraz zarządzaniem i administrowaniem jego sprawami na podstawie prawa kanonicznego. Z kolei w ustawie z dnia 17 maja 1989 r. o stosunku Państwa do Kościoła katolickiego w Rzeczypospolitej Polskiej (Dz.U. Nr 29, poz. 154, ze zm.) art. 3 stanowi, że ustawa określa zasady stosunku Państwa do Kościoła, w tym jego sytuację prawną i majątkową. W sprawach odnoszących się do Kościoła, nieuregulowanych niniejszą ustawą, stosuje się powszechnie obowiązujące przepisy prawa, o ile nie są sprzeczne z wynikającymi z niej zasadami. Zgodnie z art. 2 tej ustawy, Kościół rządzi się w swych sprawach własnym prawem, swobodnie wykonuje władzę duchowną i jurysdykcyjną oraz zarządza swoimi sprawami.

Przechodząc od rozważań ogólnych na grunt rozpoznawanej sprawy wskazać należy, iż w odniesieniu do danych skarżącego, zawartych w Księdze Chrztów, są one przetwarzane w rozumieniu art. 7 pkt 2 ustawy ochronie danych osobowych (przechowywanie). Księga ta stanowi zbiór ewidencyjny, o którym mowa w art. 2 ust. 2 pkt 1 powołanej ustawy. Sąd I instancji uznał, że w sprawie jest niesporne, iż dane skarżącego są umieszczone w zbiorze określonym w art. 43 ust. 1 pkt 3 powołanej ustawy, a więc zbiorze osób należących do kościoła, o uregulowanej sytuacji prawnej, przetwarzanych na potrzeby tego kościoła. Skutkowało to przyjęciem, że skarżący nadal jest osobą należącą do tego Kościoła, w związku z tym organ w tej sprawie nie jest uprawniony do wydania merytorycznej decyzji administracyjnej. Wojewódzki Sąd Administracyjny w Warszawie nie dostrzegł, że w tej mierze organ nie określił, jakie były podstawy prawne wystąpienia skarżącego z Kościoła katolickiego.

W sprawie, na podstawie przepisów prawa powszechnego, powinno być zatem ocenione, jakie skutki prawne wywarło oświadczenie skarżącego o wystąpieniu z Kościoła katolickiego w kontekście przepisów ustawy o ochronie danych osobowych. W świetle art. 53 ust. 1 i 2 Konstytucji RP, każdy bowiem obywatel ma prawo wyboru religii i rezygnacji z jej wyznawania. Korzystając z wolności sumienia i wyznania obywatele mogą w szczególności (...) należeć lub nie należeć do kościołów i innych związków wyznaniowych (art. 2 pkt 2a ustawy z dnia 17 maja 1989 r. o gwarancjach wolności sumienia i wyznania).

W rozpoznawanej sprawie nie dokonano zatem najistotniejszego ustalenia z punktu widzenia art. 43 ust. 2 w zw. z art. 43 ust.1 pkt 3 ustawy o ochronie danych osobowych, tj. czy w chwili rozstrzygania przez Generalnego Inspektora Ochrony Danych Osobowych T. F. należał do Kościoła katolickiego w rozumieniu wskazanych przepisów ustawy o ochronie danych osobowych. O ile bowiem organ administracji nie jest uprawniony do oceny statusu skarżącego w rozumieniu wewnętrznych unormowań Kościoła katolickiego, o tyle organ ten jest zobowiązany do oceny skutków prawnych oświadczenia woli skarżącego w świetle wskazanych wyżej unormowań prawa powszechnie obowiązującego. Zakres stosowania norm prawa powszechnego wobec skarżącego nie jest bowiem reglamentowany wewnętrznymi normami kościołów i związków wyznaniowych. Uchylenie się przez Sąd I instancji od dokonania oceny, czy organ orzekający sprostał wskazanym wymogom powoduje konieczność uchylenia zaskarżonego wyroku z powodu naruszenia wskazanych powyżej przepisów prawa procesowego.

Z tych względów Naczelny Sąd Administracyjny uznając, że skarga kasacyjna zasługuje na uwzględnienie, na podstawie art. 185 § 1 ppsa orzekł jak w sentencji wyroku. O kosztach postępowania kasacyjnego orzeczono na podstawie art. 203 pkt 1 w związku z art. 205 § 2 i art. 209 ppsa oraz § 14 ust. 2 pkt 2 lit. a rozporządzenia Ministra Sprawiedliwości z dnia 28 września 2002 r. w sprawie opłat za czynności radców prawnych oraz ponoszenia przez Skarb Państwa kosztów pomocy prawnej.