Centralna Baza Orzeczeń Sądów Administracyjnych

Wojewódzki Sąd Administracyjny w Warszawie w składzie następującym: Przewodniczący Sędzia WSA Ewa Kwiecińska (spr.), Sędzia WSA Sławomir Antoniuk, Sędzia WSA Tomasz Szmydt, po rozpoznaniu w trybie uproszczonym w dniu 30 stycznia 2020 r. sprawy ze skargi L. L. na postanowienie Prezesa Urzędu Ochrony Danych Osobowych z dnia [...] czerwca 2019 r. nr [...] w przedmiocie odmowy wszczęcia postępowania – oddala skargę –

Prezes Urzędu Ochrony Danych Osobowych postanowieniem z dnia [...] czerwca 2019 r. nr [...] dot. [...], wydanym na podstawie art. 61 a § 1 ustawy z dnia 14 czerwca 1960 r. Kodeks postępowania administracyjnego (Dz. U. z 2018 r., poz. 2096 ze zm.) w zw. z art. 7 ust. 1 ustawy z dnia 10 maja 2018 r. o ochronie danych osobowych (Dz. U. z 2018 r., poz. 1000 ze zm.) i w zw. z art. 91 Rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) (Dz. Urz. UE L 119 z 04.05.2016, str. 1, z późn. zm. ) odmówił wszczęcia postępowania w sprawie skargi L. L. dotyczącej przetwarzania jego danych osobowych przez Rzymskokatolicką Parafię [...] w R. oraz Parafię Rzymskokatolicką [...] św. [...] w R.

Do Urzędu Ochrony Danych Osobowych wpłynęła skarga L. L. na Rzymskokatolicką Parafię [...] w R. oraz Parafię Rzymskokatolicką [...] św. [...] w R. w sprawie przetwarzania jego danych osobowych.

Pismem z dnia [...] sierpnia 2018 r. skarżący zwrócił się do obu powyższych podmiotów o udzielenie informacji co do przetwarzania jej danych osobowych, sposobie przechowywania i zabezpieczenia, a także o przesłanie kopii danych. Od wskazanych podmiotów uzyskał informacje co do tego, jakie dane są przetwarzane oraz w jaki sposób są przechowywane i zabezpieczone. W związku z powyższym zażądał usunięcia wszystkich danych z wszelkich posiadanych rejestrów.

Prezes Urzędu Ochrony Danych Osobowych w uzasadnieniu postanowienia z dnia [...] czerwca 2019 r. stwierdził, że w dniu 25 maja 2018 r. weszła w życie ustawa z dnia 10 maja 2018 r. o ochronie danych osobowych (Dz. U. z 2018 r., poz. 1000 ze zm.). Od dnia 25 maja 2018 r., bezpośrednie zastosowanie w polskim porządku prawnym mają przepisy rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (Dz. Urz. UE L 119 z 04.05.2016 z późn. zm.) (art. 99 RODO).

Przepisy RODO przewidują, że jeżeli w państwie członkowskim w momencie wejścia RODO w życie kościoły i związki lub wspólnoty wyznaniowe stosują szczegółowe zasady ochrony osób fizycznych w związku z przetwarzaniem, zasady takie mogą być nadal stosowane, pod warunkiem, że zostaną dostosowane do niniejszego rozporządzenia (art. 91 ust. 1). Kościoły i związki wyznaniowe, które spełniają tę przesłankę, podlegają nadzorowi niezależnego organu nadzorczego, który może być organem odrębnym, z zastrzeżeniem że spełnia warunki określone w rozdziale VI niniejszego rozporządzenia (art. 91 ust. 2).

Kościół katolicki w Polsce skorzystał ze wskazanej wyżej możliwości. W dniu 13 marca 2018 r. Konferencja Episkopatu Polski wydała "Dekret ogólny w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych w Kościele katolickim".

W Dekrecie tym prawodawca kościelny wziął po uwagę zarówno zasady ochrony osób fizycznych w związku z przetwarzaniem ich danych osobowych stosowane dotychczas w Kościele katolickim w Polsce, jak też "konieczność pogodzenia ochrony danych osobowych z korzystaniem z podstawowego prawa do wolności religijnej, zagwarantowanego również w prawie pozytywnym, także w jego wymiarze instytucjonalnym". Regulacje zawarte w Dekrecie stanowią uszczegółowienie przepisów kanonicznego prawa powszechnego oraz uaktualnienie przepisów kanonicznego prawa partykularnego.

W Dekrecie przewidziano też powołanie Kościelnego Inspektora Ochrony Danych oraz określono jego zadania i uprawnienia. W dniu 22 marca 2018 r. ww. Dekret został zatwierdzony przez Stolicę Apostolską (uzyskał recognitio Kongregacji ds. Biskupów), zaś 30 kwietnia 2018 r. nastąpiła jego prawna promulgacja (ogłoszenie) poprzez zamieszczenie na oficjalnej stronie internetowej Konferencji Episkopatu Polski. W tym samym dniu Dekret wszedł w życie.

Zgodnie z art. 36 ust. 1 Dekretu, KIOD jest wybierany przez Zebranie Plenarne KEP na czteroletnią kadencję. Wyboru dokonano podczas trwającego w dnia 7-9 czerwca 2018 r. 379 Zebrania Plenarnego KEP.

Kościelnym Inspektorem Ochrony Danych został ks. dr hab. P. K., który już [...] maja 2018 r. został powołany na pełniącego obowiązki KIOD.

Organ nadmienił, że do zadań Kościelnego Inspektora Ochrony Danych należy m.in. monitorowanie i zapewnianie przestrzegania przepisów o ochronie danych osobowych w ramach i zgodnie z działaniem Kościoła katolickiego i jego struktur (art. 37 ust. 1 pkt 1 Dekretu), udzielanie osobie, której dane dotyczą, informacji dotyczących uprawnień przysługujących jej w związku z przetwarzaniem jej danych osobowych (pkt 3), jak też – co szczególnie istotne wobec oczekiwania Skarżącego wyrażonego w podaniu skierowanym do państwowego organu nadzorczego – rozpatrywanie skarg dotyczących przestrzegania przepisów ustanowionych w Kościele w zakresie ochrony danych osobowych (art. 37 ust. 1 pkt 5 Dekretu).

Zgodnie z art. 52 ust. 1 RODO – każdy organ nadzorczy podczas wypełniania swoich zadań i wykonywania swoich uprawnień zgodnie z niniejszym rozporządzeniem działa w sposób w pełni niezależny.

Prezes UODO podkreślił, że nie jest kompetentny do rozpatrzenia i rozstrzygnięcia skargi dotyczącej przetwarzania danych osobowych w zakresie objętym kompetencjami Kościelnego Inspektora Ochrony Danych.

L. L. wniósł do Wojewódzkiego Sądu Administracyjnego w Warszawie skargę na postanowienie Prezesa Urzędu Ochrony Danych Osobowych z dnia [...] czerwca 2019 r. nr [...] dot. [...].

Skarżonemu postanowieniu skarżący zarzucił rażącą obrazę przepisów prawa materialnego, tj. art. 91 ust 1 w zw. z art. 99 ust 1 i ust 2 rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE.

Skarżący podniósł, iż organ dokonał błędnej wykładni art. 91 ust. 1 RODO w zw. z art. 99 ust. 2 RODO, pominął istotną okoliczność wejścia w życie tych przepisów.

Skarżący wniósł o uchylenie skarżonego postanowienia w całości oraz zasądzenie kosztów postępowania. 

Zdaniem skarżącego organ bezzasadnie odmówił wszczęcia postępowania w niniejszej sprawie. Wejście w życie RODO nastąpiło 24 maja 2016 r. RODO zostało opublikowane w Dzienniku Urzędowym Unii Europejskiej z dnia 4 maja 2016 r. Zgodnie z art. 99 ust 1 RODO "Niniejsze rozporządzenie wchodzą w życie dwudziestego dnia po publikacji w Dzienniku Urzędowym Unii Europejskiej."

Tym samym RODO zawiera własną legalną definicję wejścia w życie i w sposób dokładny i precyzyjny wskazuje jego datę. Zdaniem skarżącego Kościół katolicki nie skorzystał z możliwości, jaką dawał art. 91 ust. 1 RODO i spóźnił się z wprowadzeniem wewnętrznych przepisów o prawie dwa lata. Wobec powyższego wewnętrzne regulacje kościelne nie mają jakiegokolwiek znaczenia ani w tej sprawie, ani w innych sprawach.

Prezes UODO powinien powiązać art. 91 ust. 1 RODO z art. 99 ust. 1 RODO. W dacie wejścia RODO w życie (24 maja 2016 r.) Kościół katolicki nie stosował określonych w tym przepisie szczegółowych zasad ochrony danych osób fizycznych, co wyłącza wobec niego stosowanie wyjątku określonego w art. 91 ust. 1 RODO i poddaje zasady przetwarzania danych w tejże instytucji ogólnym zasadom określonym w RODO. Zaskarżone postanowienie nie zawiera jednak żadnych merytorycznych rozważań. Prezes UODO nie zastosował się do powszechnie obowiązujących przepisów prawa, co doprowadziło do błędnej wykładni art. 91 ust. 1 RODO, a w konsekwencji do wydania skarżonego postanowienia.

W odpowiedzi na skargę organ wniósł o jej oddalenie oraz podtrzymał twierdzenie zawarte w uzasadnieniu zaskarżonej decyzji.

Wojewódzki Sąd Administracyjny w Warszawie zważył, co następuje.

Zgodnie z art. 1 § 1 i 2 ustawy z dnia 25 lipca 2002 r. – Prawo o ustroju sądów administracyjnych (t.j. Dz. U. z 2019 r., poz. 2167), sądy administracyjne sprawują wymiar sprawiedliwości przez kontrolę działalności administracji publicznej, przy czym kontrola ta sprawowana jest pod względem zgodności z prawem, jeżeli ustawy nie stanowią inaczej.

W świetle powołanych przepisów cyt. ustawy Wojewódzki Sąd Administracyjny w Warszawie, w zakresie swojej właściwości, ocenia zaskarżoną decyzję administracyjną, postanowienie, czy też inny akt lub czynność z zakresu administracji publicznej dotyczącą uprawnień lub obowiązków wynikających z przepisów prawa, z punktu widzenia ich zgodności z prawem materialnym i przepisami postępowania administracyjnego, według stanu faktycznego i prawnego obowiązującego w dacie wydania tego aktu lub podjęcia spornej czynności. Chodzi więc o kontrolę aktów lub czynności z zakresu administracji publicznej dokonywaną pod względem ich zgodności z prawem materialnym i przepisami procesowymi, nie zaś według kryteriów słuszności.

Ponadto, co wymaga podkreślenia, Sąd rozstrzyga w granicach danej sprawy, nie będąc jednak związany zarzutami i wnioskami skargi oraz powołaną podstawą prawną (vide art. 134 § 1 ustawy z dnia 30 sierpnia 2002 r. – Prawo o postępowaniu przed sądami administracyjnymi – Dz. U. z 2019 r., poz. 2325 – dalej P.p.s.a.).

Należy jednocześnie wyraźnie zaznaczyć, że od dnia wejścia w życie Traktatu Akcesyjnego z dnia 16 kwietnia 2003 r. (Dz. U. z 2004 r. Nr 90, poz. 864), na mocy którego Polska stała się państwem członkowskim Unii Europejskiej, kontrola sądu administracyjnego obejmuje również zgodność rozstrzygnięć krajowych organów administracji publicznej z prawem europejskim (prawem Unii Europejskiej), rozumianym, jako całokształt dorobku prawnego Unii Europejskiej (acquis communautaire), w tym zasad ogólnych prawa europejskiego, interpretowanych oraz stosowanych w sposób jednolity na całym obszarze Unii Europejskiej.

W ocenie Sądu analizowana pod tym kątem skarga L. L. nie zasługuje na uwzględnienie, albowiem wydając zaskarżone postanowienie

z [...] czerwca 2019 r., Prezes Urzędu Ochrony Danych Osobowych prawidłowo zastosował przepisy art. 61a § 1 k.p.a. w związku z art. 7 ust. 1 ustawy z dnia 10 maja 2018 r. o ochronie danych osobowych, przyjmując, że w świetle regulacji prawnych wyrażonych w art. 91 RODO, nie posiada uprawnień do rozpatrywania sprawy dotyczącej przetwarzania danych osobowych w bazach danych prowadzonych w ramach struktur Kościoła katolickiego.

Wyjaśnienia wymaga, że w dniu 25 maja 2018 r. weszła w życie ustawa z dnia 10 maja 2018 r. o ochronie danych osobowych (dalej u.o.d.o. 2018), ponadto, od dnia 25 maja 2018 r. bezpośrednie zastosowanie w polskim porządku prawnym mają przepisy rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (dalej RODO). Stosownie bowiem do przepisu art. 99 ust. 1 RODO, wchodzi ono w życie dwudziestego dnia po publikacji w Dzienniku Urzędowym Unii Europejskiej, która miała miejsce w dniu 4 maja 2016 r. (Dz.U.UE.L.2016.119.1), natomiast zastosowanie w państwach członkowskich wspomniane rozporządzenie ma od dnia 25 maja 2018 r. (art. 99 ust. 2 RODO).

Zgodnie z art. 51 ust. 1 RODO, każde państwo członkowskie zapewnia, by za monitorowanie stosowania RODO odpowiadał co najmniej jeden niezależny organ publiczny w celu ochrony podstawowych praw i wolności osób fizycznych w związku z przetwarzaniem oraz ułatwiania swobodnego przepływu danych osobowych w Unii. W związku z powyższym, na podstawie art. 34 ust. 1 u.o.d.o. 2018 organem właściwym w sprawie ochrony danych osobowych jest w Polsce obecnie Prezes Urzędu Ochrony Danych Osobowych.

Przepisy RODO przewidują ponadto, że jeżeli w państwie członkowskim w momencie wejścia RODO w życie kościoły i związki lub wspólnoty wyznaniowe stosują szczegółowe zasady ochrony osób fizycznych w związku z przetwarzaniem, zasady takie mogą być nadal stosowane, pod warunkiem, że zostaną dostosowane do ww. rozporządzenia (art. 91 ust. 1). Kościoły i związki wyznaniowe, które spełniają tę przesłankę, podlegają nadzorowi niezależnego organu nadzorczego, który może być organem odrębnym, z zastrzeżeniem, że spełnia warunki określone w rozdziale VI niniejszego rozporządzenia (art. 91 ust. 2).

Należy również wskazać, że jak wynika z treści art. 51 ust. 4 RODO (rozdział VI Niezależne organy nadzorcze), do dnia 25 maja 2018 r. każde państwo członkowskie zawiadamia Komisję o przepisach przyjętych na mocy niniejszego rozdziału, a następnie niezwłocznie o każdej kolejnej zmianie mającej na nie wpływ.

Konferencja Episkopatu Polski w dniu 13 marca 2018 r. wydała "Dekret ogólny w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych w Kościele katolickim" (Dekret), w którym prawodawca kościelny wziął po uwagę zarówno zasady ochrony osób fizycznych w związku z przetwarzaniem ich danych osobowych stosowane dotychczas w Kościele katolickim w Polsce, jak też "konieczność pogodzenia ochrony danych osobowych z korzystaniem z podstawowego prawa do wolności religijnej, zagwarantowanego również w prawie pozytywnym, także w jego wymiarze instytucjonalnym". Regulacje zawarte w Dekrecie stanowią uszczegółowienie przepisów kanonicznego prawa powszechnego oraz uaktualnienie przepisów kanonicznego prawa partykularnego. W Dekrecie przewidziano też powołanie Kościelnego Inspektora Ochrony Danych oraz określono jego zadania i uprawnienia (Rozdz. V Dekretu).

W dniu 22 marca 2018 r. ww. Dekret został zatwierdzony przez Stolicę Apostolską (uzyskał recognitio Kongregacji ds. Biskupów), zaś 30 kwietnia 2018 r. nastąpiła jego prawna promulgacja poprzez zamieszczenie na oficjalnej stronie internetowej Konferencji Episkopatu Polski. W tym samym dniu Dekret wszedł w życie (art. 44 ww. Dekretu).

Do zadań Kościelnego Inspektora Ochrony Danych należy m.in. monitorowanie i zapewnianie przestrzegania przepisów o ochronie danych osobowych w ramach i zgodnie z działaniem Kościoła katolickiego i jego struktur (art. 37 ust. 1 pkt 1 Dekretu), udzielanie osobie, której dane dotyczą informacji dotyczących uprawnień przysługujących jej w związku z przetwarzaniem jej danych osobowych (pkt 3), jak też – co szczególnie istotne wobec oczekiwania skarżącego wyrażonego w podaniu skierowanym do państwowego organu nadzorczego – rozpatrywanie skarg dotyczących przestrzegania przepisów ustanowionych w Kościele w zakresie ochrony danych osobowych (art. 37 ust. 1 pkt 5 Dekretu).

Kościół rzymskokatolicki jest instytucją o uregulowanej sytuacji prawnej, unormowanej m.in. w Konstytucji Rzeczypospolitej Polskiej z dnia 2 kwietnia 1997 r., w umowie międzynarodowej, jaką jest Konkordat między Stolicą Apostolską a Rzecząpospolitą Polską podpisany w Warszawie dnia 28 lipca 1993 r. (Dz.U. z 1998 r. Nr 51, poz. 318) i w ustawach. W myśl art. 2 ustawy z dnia 17 maja 1989 r. o stosunku Państwa do Kościoła katolickiego w Rzeczypospolitej Polskiej (Dz.U. z 2013 r. poz. 1169 ze zm.) Kościół rządzi się w swych sprawach własnym prawem, swobodnie wykonuje władzę duchowną i jurysdykcyjną oraz zarządza swoimi sprawami.

Ponieważ – zgodnie z art. 52 ust. 1 RODO – każdy organ nadzorczy podczas wypełniania swoich zadań i wykonywania swoich uprawnień zgodnie z niniejszym rozporządzeniem działa w sposób w pełni niezależny, tak jak czyni to w oparciu o powołane wyżej regulacje prawne Kościelny Inspektor Ochrony Danych, Prezes UODO nie jest kompetentny do rozpatrzenia i rozstrzygnięcia skargi dotyczącej przetwarzania danych osobowych skarżącego w zakresie objętym kompetencjami wspomnianego Inspektora.

Wobec powyższego stanowisko skarżącego zaprezentowane w skardze, że Kościół katolicki nie skorzystał z możliwości, jaką dawał art. 91 RODO i spóźnił się z wprowadzeniem wewnętrznych przepisów o prawie dwa lata, nie znajduje jakiegokolwiek uzasadnienia w realiach rozpatrywanej sprawy. Należy bowiem mieć na uwadze, że Dekret regulujący kwestie przetwarzania danych osobowych w Kościele katolickim wszedł w życie w dniu 30 kwietnia 2018 r., a zatem jeszcze przed okresem obowiązywania w naszym kraju regulacji wprowadzonych przez RODO, które umożliwiają kościołom i związkom lub wspólnotom wyznaniowym stosowanie szczegółowych zasad ochrony osób fizycznych w związku z przetwarzaniem danych osobowych. Proces stosowania ww. zasad objęty jest nadzorem niezależnego organu nadzorczego, który może być organem odrębnym, z zastrzeżeniem, że spełnia warunki określone w rozdziale VI RODO. W Polsce funkcję takiego organu nadzoru pełni Kościelny Inspektor Ochrony Danych. W tym stanie rzeczy zasadnie odmówiono skarżącemu wszczęcia postępowania, ponieważ Prezes UODO nie był właściwym rzeczowo do rozstrzygania w przedmiocie złożonej przez skarżącego do organu skargi dotyczącej uzyskanej odpowiedzi na jego wnioski o udzielenie informacji co do przetwarzania jego danych osobowych przez Rzymskokatolicką Parafię [...] w R. oraz Parafię Rzymskokatolicką [...] św. [...] w R.

Mając powyższe na względzie, Sąd na podstawie art. 151 P.p.s.a. orzekł, jak w sentencji wyroku.