Centralna Baza Orzeczeń Sądów Administracyjnych

Wojewódzki Sąd Administracyjny w Warszawie w składzie następującym: Przewodniczący Sędzia WSA Joanna Kruszewska-Grońska, Sędzia WSA Tomasz Szmydt (spr.), Sędzia WSA Danuta Kania, po rozpoznaniu w trybie uproszczonym w dniu 8 grudnia 2021 r. sprawy ze skargi J. G. na postanowienie Prezesa Urzędu Ochrony Danych Osobowych z dnia [...] lipca 2021 r. nr [...] w przedmiocie odmowy wszczęcia postępowania administracyjnego oddala skargę

J. I. wniosła skargę na postanowienie Prezesa Urzędu Danych Osobowych z dnia [...] lipca 2021r.,w przedmiocie odmowy wszczęcia postepowania administracyjnego.

Do Urzędu Ochrony Danych Osobowych wpłynęła w dniu [...] lipca 2021 r. skarga J. I., dotycząca przetwarzania danych osobowych skarżącej bez podstawy prawnej i niespełnienia wobec niej obowiązku informacyjnego przez Parafię Rzymskokatolicką pw. [...] w [...] z siedzibą w [...] (dalej "Parafia").

W skardze ww. wskazała, że w dniu [...] listopada 2020 r. zwróciła się do proboszcza Parafii z wnioskiem o zrealizowanie wobec niej obowiązku informacyjnego polegającego na odpowiedzi na pytania dotyczące zakresu i sposobu przetwarzania jej danych osobowych przez Parafię. Ponadto, skarżąca wniosła o przesłanie pełnej kopii przetwarzanych przez Parafię jej danych osobowych oraz usunięcie ich ze wszystkich rejestrów prowadzonych przez Parafię. Ponadto, zdaniem skarżącej, proboszcz nie zrealizował wobec niej obowiązku informacyjnego dotyczącego udzielenia informacji w zakresie przechowywania i zabezpieczenia przetwarzanych jej danych osobowych.

Jak wynika z treści skargi, proboszcz Parafii w piśmie z dnia [...] stycznia 2021r., skierowanym do skarżącej wskazał, że z prowadzonych przez Parafię rejestrów zostały usunięte jej dane osobowe z pominięciem tych, do których przetwarzania potrzebna jest zgoda biskupa.

Skarżąca wniosła o nakazanie Parafii Rzymskokatolickiej pw. [...] w [...] usunięcia wszystkich jej danych osobowych przetwarzanych w rejestrach przez Parafię oraz o nakazanie Parafii spełnienia wobec skarżącej obowiązku informacyjnego dotyczącego sposobu przetwarzania jej danych osobowych.

Prezes Urzędu Ochrony Danych Osobowych (dalej "PUODO" lub "Prezes UODO") wskazał, iż zgodnie z art. 61 § 1 k.p.a., postępowanie administracyjne wszczyna się na żądanie strony lub z urzędu. W myśl art. 61a § 1 k.p.a., gdy żądanie, o którym mowa w art. 61, zostało wniesione przez osobę niebędącą stroną lub z innych uzasadnionych przyczyn postępowanie nie może być wszczęte, organ administracji publicznej wydaje postanowienie o odmowie wszczęcia postępowania. Organ administracji publicznej rozpatrując wniosek o wszczęcie postępowania administracyjnego ma obowiązek zbadać, czy nie zachodzi żadna z przesłanek wykluczających wszczęcie takiego postępowania, o których mowa w art. 61 a k.p.a.

Dnia 25 maja 2018 r. weszła w życie ustawa z dnia 10 maja 2018 r. o ochronie danych osobowych (Dz. U. z 2019 r. poz. 1781; dalej: u.o.d.o.’2018). Ponadto, od dnia 25 maja 2018 r. bezpośrednie zastosowanie w polskim porządku prawnym mają przepisy Rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (Dz.U.UE.L.2016.119, str. 1 ze zm.) (art. 99 RODO).

Zgodnie z art. 51 ust. 1 RODO, każde państwo członkowskie zapewnia, by za monitorowanie stosowania RODO odpowiadał co najmniej jeden niezależny organ publiczny w celu ochrony podstawowych praw i wolności osób fizycznych w związku z przetwarzaniem oraz ułatwiania swobodnego przepływu danych osobowych w Unii (zwany dalej "organem nadzorczym"). W związku z powyższym - na podstawie art. 34 ust. 1 u.o.d.o.- organem właściwym w sprawie ochrony danych osobowych jest w Polsce obecnie Prezes Urzędu Ochrony Danych Osobowych (zwany dalej: Prezesem UODO).

Przepisy RODO przewidują również, że jeżeli w państwie członkowskim w momencie wejścia RODO w życie kościoły i związki lub wspólnoty wyznaniowe stosują szczegółowe zasady ochrony osób fizycznych w związku z przetwarzaniem, zasady takie mogą być nadal stosowane, pod warunkiem, że zostaną dostosowane do niniejszego rozporządzenia (art. 91 ust. 1). Kościoły i związki wyznaniowe, które spełniają tę przesłankę, podlegają nadzorowi niezależnego organu nadzorczego, który może być organem odrębnym, z zastrzeżeniem że spełnia warunki określone w rozdziale VI niniejszego rozporządzenia (art. 91 ust. 2).

Kościół Katolicki w Polsce skorzystał ze wskazanej wyżej możliwości. W dniu 13 marca 2018 r. Konferencja Episkopatu Polski wydała "Dekret ogólny w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych w Kościele Katolickim" (dalej: Dekret). W Dekrecie tym prawodawca kościelny wziął pod uwagę zarówno zasady ochrony osób fizycznych w związku z przetwarzaniem ich danych osobowych stosowane dotychczas w Kościele Katolickim w Polsce, jak też "konieczność pogodzenia ochrony danych osobowych z korzystaniem z podstawowego prawa do wolności religijnej, zagwarantowanego również w prawie pozytywnym, także w jego wymiarze instytucjonalnym". Regulacje zawarte w Dekrecie stanowią uszczegółowienie przepisów kanonicznego prawa powszechnego oraz uaktualnienie przepisów kanonicznego prawa partykularnego.

W Dekrecie przewidziano też powołanie Kościelnego Inspektora Ochrony Danych (dalej: KIOD) oraz określono jego zadania i uprawnienia (Rozdz. V Dekretu). Dnia 22 marca 2018 r. ww. Dekret został zatwierdzony przez Stolicę Apostolską (uzyskał recognitio Kongregacji ds. Biskupów), zaś dnia 30 kwietnia 2018 r. nastąpiła jego prawna promulgacja (ogłoszenie) poprzez zamieszczenie na oficjalnej stronie internetowej Konferencji Episkopatu Polski. W tym samym dniu Dekret wszedł w życie (art. 44 Dekretu).

Zgodnie z art. 36 ust. 1 Dekretu, KIOD jest wybierany przez Zebranie Plenarne KEP na czteroletnią kadencję. Wyboru dokonano podczas trwającego w dnia 7-9 czerwca 2018 r. 379. Zebrania Plenarnego KEP - Kościelnym Inspektorem Ochrony Danych został ks. [...] P. K., który 2 maja 2018 r. został powołany na pełniącego obowiązki KIOD. Do zadań Kościelnego Inspektora Ochrony Danych należy m.in. monitorowanie i zapewnianie przestrzegania przepisów o ochronie danych osobowych w ramach i zgodnie z działaniem Kościoła katolickiego i jego struktur (art. 37 ust. 1 pkt 1 Dekretu), udzielanie osobie, której dane dotyczą informacji dotyczących uprawnień przysługujących jej w związku z przetwarzaniem jej danych osobowych (pkt 3), jak też - co szczególnie istotne wobec oczekiwania skarżącej wyrażonego w podaniu skierowanym do państwowego organu nadzorczego - rozpatrywanie skarg dotyczących przestrzegania przepisów ustanowionych w Kościele w zakresie ochrony danych osobowych (art. 37 ust. 1 pkt 5 Dekretu).

Ponieważ - zgodnie z art. 52 ust. 1 RODO - każdy organ nadzorczy podczas wypełniania swoich zadań i wykonywania swoich uprawnień zgodnie z niniejszym rozporządzeniem działa w sposób w pełni niezależny.

Prezes UODO uznał, iż nie jest uprawniony do rozpatrzenia i rozstrzygnięcia skargi. Dotyczy ona bowiem przetwarzania danych osobowych skarżącej w rejestrach prowadzonych przez parafię Kościoła Katolickiego, a zatem w zakresie objętym kompetencjami Kościelnego Inspektora Ochrony Danych.

J. I. wniosła skargę na postanowienie Prezesa Urzędu Danych Osobowych z dnia [...] lipca 2021r.,w przedmiocie odmowy wszczęcia postepowania administracyjnego.

Skarżąca zarzuciła naruszenie prawa materialnego, które miało wpływ na wynik sprawy, tj. przepisów rozporządzenia Parlamentu Europejskiego i Rady 2016/679 z dnia 27 kwietnią 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (dalej "RODO"):

1. Art. 91 ust. 1 w zw. z art. 17 RODO poprzez bezpodstawne przyjęcie, że przyjęte przez Kościół Katolicki zasady ochrony danych mogą być nadal stosowane, podczas gdy zasady te nie spełniają wymagań określonych w niniejszym przepisie, tj. nie są zasadami szczegółowymi oraz nie zostały dostosowane do przepisów RODO,

2. Art. 91 ust. 2 RODO poprzez bezpodstawne przyjęcie, że Kościół Katolicki stosuje zasady ochrony danych osób fizycznych w związku z przetwarzaniem w sposób zgodny z art. 91 ust. 1 RODO,

3. Art. 91 ust. 2 w zw. z art. 77 ust. 1 RODO poprzez bezpodstawne przyjęcie, że organem właściwym do rozpoznania wniesionej przeze mnie skargi na naruszenie przepisów o ochronie danych osobowych jest Kościelny Inspektor Ochrony Danych jako organ nadzorczy w stosunku do Kościoła Katolickiego, podczas gdy podmiot ten nie spełnia wymagań określonych w rozdziale VI RODO, warunkujących możliwość ustanowienia go odrębnym organem nadzorczym, w wyniku czego doszło do bezpodstawnego nierozpoznania przez Prezesa Urzędu Ochrony Danych Osobowych wniesionej przeze mnie skargi.

Wobec powyższych zarzutów skarżąca wnosiła o:

1. Na podstawie art. 145 § 1 pkt 1 lit. a uchylenie zaskarżonego postanowienia w całości,

2. Na podstawie art. 145a § 1 p.p.s.a. zobowiązanie Prezesa Urzędu Ochrony Danych Osobowych do wydania postanowienia, wskazując jako rozstrzygnięcie wszczęcie postępowania w sprawie wniesionej przeze mnie skargi na naruszenie przepisów o ochronie danych osobowych i rozpoznanie sprawy co do jej istoty.

Skarżąca w zakresie zarzutu naruszenia art. 91 ust. 1 RODO podkreślała, że warunkiem stosowania przez kościoły i związki lub wspólnoty wyznaniowe wewnętrznych zasad ochrony osób fizycznych w związku z przetwarzaniem danych po wejściu w życie RODO jest ich szczegółowość oraz konieczność dostosowania do przepisów RODO. Prezes Urzędu, co do kwestii szczegółowości stosowanych przez Kościół Katolicki zasad, ograniczył się wyłącznie do lakonicznego stwierdzenia, że "regulacje zawarte w Dekrecie stanowią uszczegółowienie przepisów kanonicznego prawa powszechnego oraz uaktualnienie przepisów kanonicznego prawa partykularnego". W tym zakresie Prezes Urzędu nie odniósł się w żaden sposób do wskazanego w uzasadnieniu skargi zarzutu niemożności dalszego stosowania przez Kościół Katolicki swoich wewnętrznych regulacji w zakresie ochrony danych z tego względu, że nie mają one charakteru szczegółowego a wyłącznie fragmentaryczny. Skutkiem tego jest konieczność stosowania przez Kościół Katolicki bezpośrednio przepisów RODO.

Skarżąca wskazuje, iż niezależnie od kwestii charakteru stosowanych przez Kościół Katolicki zasad ochrony danych osobowych, podkreślenia wymaga fakt, iż nie spełniają one również drugiej przesłanki wymienionej w art. 91 ust. 1 RODO, warunkującej możliwość ich dalszego stosowania, w postaci konieczności dostosowania tychże zasad do przepisów RODO. Prezes Urzędu w uzasadnieniu zaskarżonego postanowienia całkowicie pominął podniesiony w uzasadnieniu skargi zarzut niezgodności wewnętrznych regulacji Kościoła Katolickiego z przepisami RODO. W odniesieniu do realiów niniejszej sprawy, zważywszy na charakter skargi wniesionej do Prezesa Urzędu, szczególną uwagę zwrócić należy na podniesioną już w jej treści rażącą sprzeczność kościelnych regulacji z art. 17 RODO, stanowiący tzw. "prawo do bycia zapomnianym". Niezgodność tę potwierdza wprost treść załączonego do skargi pisma proboszcza z dnia [...] stycznia 2021 r., w którym stwierdził on, że nie było możliwe spełnienie w całości żądania usunięcia danych osobowych (tj. usunięcia danych "dotyczących kanonicznego statusu osoby"). Proboszcz niemożność tę uzasadnił brakiem możliwości przetwarzania tych danych bez zgody biskupa.

Skarżąca wskazuje, iż w treści skargi wniesionej do Prezesa Urzędu zaznaczyła, że wewnętrzne regulacje kościelne, w oparciu o które proboszcz odmówił usunięcia wszystkich danych osobowych, nie dają się pogodzić z treścią art. 17 RODO. Trudno bowiem za zgodną z normą wynikającą z niniejszego przepisu uznać nieusunięcie danych, podczas gdy doszło do rzeczywistego cofnięcia zgody, na której opierało się przetwarzanie (art. 17 ust. 1 lit. b RODO) a jednocześnie nie istnieje żadna inna podstawa do dalszego przetwarzania, w szczególności w oparciu o przesłanki wynikające z art. 17 ust. 3 RODO.

Konsekwencją wskazanej niezgodności wewnętrznych regulacji Kościoła Katolickiego z przepisami RODO jest brak możliwości ich dalszego stosowania co najmniej w zakresie obejmującym te niezgodności. Tym samym w miejsce tychże regulacji winny znaleźć zastosowanie przepisy RODO.

Jednocześnie skarżąca podkreśla, że organ w żaden sposób nie zbadał kwestii zgodności wewnętrznych regulacji kościelnych z przepisami RODO. Ponadto wskazuje, że badanie tejże zgodności nie stanowi jeszcze rozpoznania skargi co do istoty, a zatem Prezes Urzędu zobowiązany był do sprawdzenia tych okoliczności już na etapie weryfikacji skargi pod kątem formalnym.

Wskazany powyżej brak zgodności kościelnych regulacji z przepisami RODO ma bezpośrednie przełożenie również na drugi zarzut podniesiony w stosunku do zaskarżonego postanowienia, tj. naruszenia art. 91 ust. 2 RODO. Wskazania bowiem wymaga fakt, że warunkiem podlegania przez kościoły i związki wyznaniowe nadzorowi niezależnego organu nadzorczego jest stosowanie zasad szczegółowych w sposób zgodny z art. 91 ust. 1 RODO. Natomiast zasady stosowane przez Kościół Katolicki nie zostały dostosowane do przepisów RODO, a zatem nie sposób mówić o stosowaniu ich zgodnie z treścią niniejszego przepisu. Już ta okoliczność wyklucza możliwość podlegania przez Kościół Katolicki nadzorowi niezależnego organu nadzorczego, a co za tym idzie właściwym organem nadzorczym w stosunku do niego jest Prezes Urzędu. Wskazania bowiem wymaga, że "zgodnie z art. 51 ust. 1 RODO, każde państwo członkowskie zapewnia, by za monitorowanie stosowania RODO odpowiadał co najmniej jeden niezależny organ publiczny w celu ochrony podstawowych praw i wolności osób fizycznych w związku z przetwarzaniem oraz ułatwiania swobodnego przepływu danych osobowych w Unii. W związku z powyższym, na podstawie art. 34 ust. 1 u.o.d.o. organem właściwym w sprawie ochrony danych osobowych jest w Rzeczypospolitej Polskiej Prezes Urzędu Ochrony Danych Osobowych" (wyrok WSA w Warszawie z dnia 5 marca 2021 r., sygn. akt: II SAAVa 1325/20, LEX nr 3176741).

Skarżąca podkreśla, iż art. 91 ust. 2 RODO określa także drugą przesłankę możliwości podlegania nadzorowi niezależnego organu nadzorczego. Przesłanką tą jest spełnienie przez niniejszy organ nadzorczy wymagań określonych w rozdziale VI RODO. Kościelny Inspektor, na którego wskazuje Prezes Urzędu w uzasadnieniu zaskarżonego postanowienia, wymagań tych nie spełnia, co również negatywnie wpływa na możliwość uznania go za podmiot właściwy i uprawniony do rozpoznania mojej skargi na naruszenie przepisów o ochronie danych osobowych. Stosownie do art. 51 ust. 1 RODO, który definiuje organ nadzorczy, organem tym może być wyłącznie niezależny organ publiczny, z kolei zgodnie z art. 53 ust. 1 RODO wszyscy członkowie organów nadzorczych powoływani być mogą wyłącznie w drodze przejrzystej procedury przez parlament państwa członkowskiego Unii Europejskiej, jego rząd, głowę państwa lub niezależny organ uprawniony do powoływania członków organu nadzorczego na podstawie prawa państwa członkowskiego. Już prima facie można stwierdzić, że Kościelny Inspektor nie spełnia wymagań określonych w niniejszych przepisach. Skoro powołany on został, jak wskazał Prezes Urzędu, na podstawie "Dekretu ogólnego w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych w Kościele Katolickim" przez Konferencję Episkopatu Polski to nie sposób uznać powołanego w ten sposób podmiotu za niezależny organ publiczny. Powołanie miało bowiem miejsce w oparciu o wewnętrzne regulacje Kościoła Katolickiego, a podmiot ten nie ma żadnego umocowania w polskim porządku prawnym w kategoriach prawodawczych. Ponadto nie ulega wątpliwości, że powołanie Kościelnego Inspektora przez Konferencję Episkopatu Polski nie odpowiada również wymaganiom określonym w art. 53 ust. 1 RODO. Podmiot ten nie został bowiem powołany w drodze przejrzystej procedury przez polski parlament. Radę Ministrów albo Prezydenta Rzeczypospolitej Polskiej ani również przez żaden niezależny organ uprawniony do powoływania członków organu nadzorczego na podstawie polskiego ustawodawstwa, jako prawa państwa członkowskiego.

W odniesieniu do tego ostatniego, skarżąca zwraca uwagę, że w polskim ustawodawstwie brak jest przepisów, które nadawałyby Konferencji Episkopatu Polski uprawnienie do powoływania członków organu nadzorczego. Podmiot ten powołany został w oparciu o wewnętrzne regulacje Kościoła Katolickiego, które nie stanowią źródła prawa w rozumieniu art. 87 Konstytucji Rzeczypospolitej Polskiej, a zatem niedopuszczalne jest przyjęcie, że Kościelny Inspektor powołany został w prawidłowy sposób.

Zdaniem skarżącej, nie ulega wątpliwości, że Kościelny Inspektor jest podmiotem powołanym z naruszeniem art. 91 ust. 1 RODO wobec niespełnienia przez Kościół Katolicki wymogu dostosowania zasad ochrony danych osobowych do przepisów RODO oraz uszczegółowienia tych zasad, jak również powołanym przez Konferencję Episkopatu Polski jako podmiot nieuprawniony w świetle polskiego ustawodawstwa do powoływania członków organów nadzorczych. Tym samym, nie może być on uznany za podmiot umocowany do rozpoznawania skarg z zakresu ochrony danych osobowych. Nie sposób zatem zgodzić się z twierdzeniem Prezesa Urzędu, że swoją skargę na naruszenie przepisów o ochronie danych osobowych powinnam skierować właśnie do Kościelnego Inspektora. Zważywszy na brak właściwego umocowania niniejszego podmiotu zasadne jest przyjęcie, że organem właściwym do rozpoznania skargi jest Prezes Urzędu, jako organ powołany w sposób prawidłowy i spełniający wymagania stawiane organom nadzorczym przez przepisy RODO. Odmowa wszczęcia postępowania w niniejszej sprawie odbyła się zatem z naruszeniem art. 77 ust. 1 RODO, uprawniającym do wniesienia do organu nadzorczego skargi w przypadku przetwarzania danych w sposób niezgodny z przepisami RODO.

W ocenie skarżącej, stwierdzenie, że Kościelny Inspektor jest podmiotem właściwym do rozpoznawania skarg dotyczących przetwarzania danych w rejestrach prowadzonych przez parafię Kościoła Katolickiego, stanowi de facto uznanie w tym zakresie nadrzędności wewnętrznego organu kościelnego nad Prezesem Urzędu jako organem władzy publicznej. Przyjęcie tej argumentacji oznaczałoby również, że skargi rozpoznawałby podmiot niepodlegający żadnej kontroli ze strony organów władzy publicznej, a co za tym idzie - obywatel chcący dochodzić swoich praw związanych z przetwarzaniem danych osobowych przez Kościół Katolicki w rzeczywistości pozbawiony byłby prawa do ochrony własnych interesów w tym zakresie.

Prezes Urzędu Ochrony danych Osobowych wnosił o oddalenie skargi w całości.

Wojewódzki Sąd Administracyjny w Warszawie zważył, co następuje:

Zgodnie z brzmieniem art. 1 § 1 i 2 ustawy z dnia 25 lipca 2002 r. – Prawo o ustroju sądów administracyjnych (t. j. Dz. U. z 2014 r., poz. 1647 ze zm.), sąd administracyjny sprawuje wymiar sprawiedliwości poprzez kontrolę pod względem zgodności z prawem zaskarżonej decyzji administracyjnej i to z przepisami obowiązującymi w dacie jej wydania. Innymi słowy, sąd administracyjny nie orzeka, co do istoty sprawy w zakresie danego przypadku, lecz jedynie kontroluje legalność rozstrzygnięcia zapadłego w postępowaniu z punktu widzenia jego zgodności z prawem materialnym i obowiązującymi przepisami prawa procesowego.

Oceniając skargę w świetle powyższych kryteriów Sąd uznał, że nie zasługiwała ona na uwzględnienie.

Na wstępie wyjaśnić należy, że w Rozporządzeniu Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych osobowych) zostały zawarte przepisy o ochronie osób fizycznych w związku z przetwarzaniem danych osobowych oraz przepisy o swobodnym przepływie danych osobowych.

Celem rozporządzenia było doprowadzenie do pełnej harmonizacji prawa w ramach UE i swobodnego przepływu danych osobowych. W założeniu ma to pozwolić mieszkańcom Unii Europejskiej na lepszą kontrolę ich danych osobowych.

Rozporządzenie zostało przyjęte 27 kwietnia 2016 r. W momencie wejścia w życie (od dnia 25 maja 2018 r.), po dwuletnim okresie przejściowym, zaczęło obowiązywać w krajach członkowskich Unii Europejskiej bezpośrednio, bez potrzeby wydawania aktów prawnych wdrażających je do porządku krajowego. Stosownie bowiem do przepisu art. 99 ust. 1 RODO, wchodzi ono w życie dwudziestego dnia po publikacji w Dzienniku Urzędowym Unii Europejskiej, która miała miejsce w dniu 4 maja 2016 r. (Dz. U. UE.L2016.119.1). Zastosowanie w państwach członkowskich wspomnianego rozporządzenie następuje natomiast od dnia 25 maja 2018 r. (art. 99 ust. 2 RODO).

Zgodnie z art. 51 ust. 1 RODO, każde państwo członkowskie zapewnia, by za monitorowanie stosowania RODO odpowiadał co najmniej jeden niezależny organ publiczny w celu ochrony podstawowych praw i wolności osób fizycznych w związku z przetwarzaniem oraz ułatwiania swobodnego przepływu danych osobowych w Unii. W związku z powyższym, na podstawie art. 34 ust. 1 u.o.d.o organem właściwym w sprawie ochrony danych osobowych jest w Rzeczypospolitej Polskiej Prezes Urzędu Ochrony Danych Osobowych.

Przepisy RODO przewidują również, że jeżeli w państwie członkowskim w momencie wejścia RODO w życie kościoły i związki lub wspólnoty wyznaniowe stosują szczegółowe zasady ochrony osób fizycznych w związku z przetwarzaniem, zasady takie mogą być nadal stosowane, pod warunkiem, że zostaną dostosowane do niniejszego rozporządzenia (art. 91 ust. 1). Kościoły i związki wyznaniowe, które spełniają tę przesłankę, podlegają nadzorowi niezależnego organu nadzorczego, który może być organem odrębnym, z zastrzeżeniem że spełnia warunki określone w rozdziale VI niniejszego rozporządzenia (art. 91 ust. 2). Kościół Katolicki w Polsce skorzystał ze wskazanej wyżej możliwości. W dniu 13 marca 2018 r. Konferencja Episkopatu Polski wydała "Dekret ogólny w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych w Kościele Katolickim" (dalej: Dekret). W Dekrecie tym prawodawca kościelny wziął pod uwagę zarówno zasady ochrony osób fizycznych w związku z przetwarzaniem ich danych osobowych stosowane dotychczas w Kościele Katolickim w Polsce, jak też "konieczność pogodzenia ochrony danych osobowych z korzystaniem z podstawowego prawa do wolności religijnej, zagwarantowanego również w prawie pozytywnym, także w jego wymiarze instytucjonalnym". Regulacje zawarte w Dekrecie stanowią uszczegółowienie przepisów kanonicznego prawa powszechnego oraz uaktualnienie przepisów kanonicznego prawa partykularnego.

Przywołane regulacje mogą budzić, wątpliwości interpretacyjne jedynie w sytuacji, gdy postępowanie przed Generalnym Inspektorem Danych Osobowych zostało wszczęte przed dniem 25 maja 2018 r., tj. przed dniem wejścia w życie cyt. ustawy z dnia 10 maja 2018 r. o ochronie danych osobowych, a proces przetwarzania danych, którego dotyczy taki postępowanie, nadal trwa. Na podstawie art. 160 ust. 1-3 ustawy z dnia 10 maja 2018 r. o ochronie danych osobowych, postępowanie prowadzone przez Generalnego Inspektora Ochrony Danych Osobowych, wszczęte i niezakończone przed dniem wejścia w życie niniejszej ustawy, prowadzone są przez Prezesa Urzędu. Postępowania, o których mowa w ust. 1, prowadzi się na podstawie ustawy uchylonej w art. 175, zgodnie z zasadami określonymi w ustawie z dnia 14 czerwca Kodeks postępowania administracyjnego (Dz. U. z 2018 r. poz. 2096 oraz z 2019 r. poz. 60, 730 i 1133). Czynności dokonane w postępowaniach, o których mowa w ust. 1, pozostają skuteczne. W przedmiotowej sprawie nie występuje powyższy stan faktyczny.

Należy podkreślić, że Kościół Rzymskokatolicki jest instytucją o uregulowanej sytuacji prawnej, unormowanej m.in. w Konstytucji Rzeczypospolitej Polskiej z dnia 2 kwietnia 1997 r. (Dz.U. z 1997 r. Nr 78, poz. 483 z późn. zm.), w umowie międzynarodowej, jaką jest Konkordat między Stolicą Apostolską i Rzecząpospolitą Polską podpisany w Warszawie dnia 28 lipca 1993 r. (Dz.U. z 1998 r. Nr 51, poz. 318) oraz w ustawach. W szczególności wskazać należy na przepisy Konstytucji, która w art. 25 stanowi, iż kościoły i inne związki wyznaniowe są równouprawnione (art. 25 ust. 1). Władze publiczne w Rzeczypospolitej Polskiej zachowują bezstronność w sprawach przekonań religijnych, światopoglądowych i filozoficznych, zapewniając swobodę ich wyrażania w życiu publicznym (art. 25 ust 2). Stosunki między państwem a kościołami i innymi związkami wyznaniowymi są kształtowane na zasadach poszanowania ich autonomii oraz wzajemnej niezależności każdego w swoim zakresie, jak również współdziałania dla dobra człowieka i dobra wspólnego (art. 25 ust. 3). Stosunki między Rzeczpospolitą Polską a Kościołem Katolickim określają umowa międzynarodowa zawarta ze Stolicą Apostolską i ustawy (art. 25 ust. 4). Stosunki między Rzeczpospolitą Polską a innymi kościołami oraz związkami wyznaniowymi określają ustawy uchwalone na podstawie umów zawartych przez Radę Ministrów z ich właściwymi przedstawicielami (art. 25 ust. 5). Zgodnie z art. 2 ustawy z dnia 17 maja 1989 r. o stosunku Państwa do Kościoła Katolickiego w Rzeczypospolitej Polskiej (Dz. U. z 2019 r., poz. 1347), Kościół rządzi się w swych sprawach własnym prawem, swobodnie wykonuje władzę duchowną i jurysdykcyjną oraz zarządza swoimi sprawami.

Zgodnie z art. 91 RODO, jeżeli w państwie członkowskim w momencie wejścia w życie RODO kościoły i związki lub wspólnoty wyznaniowe stosują szczegółowe zasady ochrony osób fizycznych w związku z przetwarzaniem, zasady takie mogą być nadal stosowane, pod warunkiem że zostaną dostosowane do wymagań RODO. Kościoły i związki wyznaniowe, które stosują te szczegółowe zasady, podlegają nadzorowi niezależnego organu nadzorczego, który może być organem odrębnym od Prezesa Urzędu, z zastrzeżeniem by spełniał on warunki określone w rozdziale VI RODO. Jak już zostało wskazane wyżej, Kościół Katolicki, dekretem ogólnym w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych w Kościele Katolickim wydanym przez Konferencję Episkopatu Polski, w dniu 13 marca 2018 r., powołał Kościelnego Inspektora Ochrony Danych. W dniu 22 marca 2018 r. ww. Dekret został zatwierdzony przez Stolicę Apostolską (uzyskał recognitio Kongregacji ds. Biskupów), zaś 30 kwietnia 2018 r. nastąpiła jego prawna promulgacja poprzez zamieszczenie na oficjalnej stronie internetowej Konferencji Episkopatu Polski. W tym samym dniu Dekret wszedł w życie (art. 44 ww. Dekretu).

Do zadań Kościelnego Inspektora Ochrony Danych należy m.in. monitorowanie i zapewnianie przestrzegania przepisów o ochronie danych osobowych w ramach i zgodnie z działaniem Kościoła katolickiego i jego struktur (art. 37 ust. 1 pkt 1 Dekretu), udzielanie osobie, której dane dotyczą informacji dotyczących uprawnień przysługujących jej w związku z przetwarzaniem jej danych osobowych (pkt 3), jak też - co szczególnie istotne wobec oczekiwania skarżącego wyrażonego w podaniu skierowanym do państwowego organu nadzorczego - rozpatrywanie skarg dotyczących przestrzegania przepisów ustanowionych w Kościele w zakresie ochrony danych osobowych (art. 37 ust. 1 pkt 5 Dekretu).

Proces stosowania ww. zasad objęty jest nadzorem niezależnego organu nadzorczego (Kościelny Inspektor Ochrony Danych, dalej "KIOD"), który może być organem odrębnym, z zastrzeżeniem, że spełnia warunki określone w rozdziale VI RODO. Niezależność KIOD określona została w art. 35 rozdział V Dekretu ogólnego w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych w Kościele katolickim (akt konferencji Episkopatu Polski nr 30/2018). Artykuł 41 Dekretu zawiera procedurę odwoławczą, która wskazuje na możliwość wniesienia skargi do KIOD, a następnie do właściwej dykasterii Stolicy Apostolskiej, zgodnie z przepisami Kodeksu Prawa Kanonicznego.

Ponieważ - zgodnie z art. 52 ust. 1 RODO - każdy organ nadzorczy podczas wypełniania swoich zadań i wykonywania swoich uprawnień zgodnie z niniejszym rozporządzeniem działa w sposób w pełni niezależny, tak jak czyni to w oparciu o powołane wyżej regulacje prawne Kościelny Inspektor Ochrony Danych, Prezes UODO nie jest kompetentny do rozpatrzenia i rozstrzygnięcia skargi dotyczącej przetwarzania danych osobowych skarżącej w zakresie objętym kompetencjami Kościelnego Inspektora Ochrony Danych.

Z powyższych względów, Wojewódzki Sąd Administracyjny w Warszawie, na podstawie art. 151 p.p.s.a. orzekł, jak w sentencji wyroku.