Centralna Baza Orzeczeń Sądów Administracyjnych

Naczelny Sąd Administracyjny w składzie: Przewodniczący: Sędzia NSA Wojciech Jakimowicz Sędziowie Sędzia NSA Zbigniew Ślusarczyk (spr.) Sędzia del. WSA Beata Jezielska po rozpoznaniu w dniu 18 listopada 2022 r. na posiedzeniu niejawnym w Izbie Ogólnoadministracyjnej skargi kasacyjnej R. M. od wyroku Wojewódzkiego Sądu Administracyjnego w Warszawie z dnia 6 września 2019 r. sygn. akt II SA/Wa 307/19 w sprawie ze skargi R. M. na decyzję Prezesa Urzędu Ochrony Danych Osobowych z dnia 3 grudnia 2018 r. nr ZSPU.440.50.2018.MM.II w przedmiocie odmowy uaktualnienia danych osobowych oddala skargę kasacyjną.

Wojewódzki Sąd Administracyjny w Warszawie wyrokiem z 6 września 2019 r. sygn. akt II SA/Wa 307/19, na podstawie art. 151 ustawy z 30 sierpnia 2002 r. – Prawo o postępowaniu przed sądami administracyjnymi (Dz. U. z 2018 r., poz. 1302 ze zm.) zwanej dalej "p.p.s.a." oddalił skargę R. M. na decyzję Prezesa Urzędu Ochrony Danych Osobowych z 3 grudnia 2018 r. nr ZSPU.440.50.2018.MM.II w przedmiocie odmowy uaktualnienia danych osobowych.

W uzasadnieniu wyroku Sąd pierwszej instancji wskazał, że prawidłowo organ utrzymał w mocy decyzję umarzającą postępowanie w związku z odmową uaktualnienia danych osobowych skarżącego dokonaną przez Proboszcza parafii. Sąd odwołał się do treści art. 91 rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (Dz. Urz. UE L 119 z 4.05.2016, str. 1 oraz Dz. Urz. UE L 127 z 23.05.2018 str. 2) zwanego dalej "RODO". W ocenie Sądu pierwszej instancji z powyższego przepisu wynika brak kompetencji Prezesa Urzędu Ochrony Danych Osobowych, zwanego dalej także "Prezesem UODO", do wydawania decyzji w przedmiocie skarg na nieprzestrzeganie ustanowionych w Kościele Katolickim przepisów dotyczących ochrony danych osobowych.

Sąd Wojewódzki wskazał, że skarżący wysłał do właściwej parafii oświadczenie woli z wnioskiem o naniesienie adnotacji o wystąpieniu z Kościoła Katolickiego oraz żądaniem przesłania jako potwierdzenia odpisu aktu chrztu. W odpowiedzi na to pismo Proboszcz parafii poinformował skarżącego o właściwym trybie postępowania w sprawie wystąpienia z Kościoła Katolickiego. W konsekwencji w ocenie Sądu pierwszej instancji skarżący jest członkiem Kościoła Katolickiego, jako że nie dokonał formalnego aktu apostazji. Z tego względu skarga podlegała oddaleniu.

Skargę kasacyjną złożył R. M., zaskarżając powyższy wyrok w całości. Zarzucił naruszenie następujących przepisów:

1. art. 91 ust. 1 Rozporządzenia Parlamentu Europejskiego i rady (UE) 2016/679 z 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE, przez przyjęcie braku kompetencji Prezesa UODO do wydawania decyzji związanych z rozpatrywaniem skarg dotyczących przestrzegania przepisów ustanowionych w Kościele Katolickim w zakresie danych osobowych, mimo że nie zostały spełnione warunki wynikające z tego przepisu pozwalające na autonomię kościoła na terenie RP,

2. art. 141 § 4 p.p.s.a. przez niedostateczne uzasadnienie zaskarżonego wyroku i niedokonanie analizy prawnej i weryfikacji odnośnie do spełnienia przez Kościół Rzymskokatolicki w Polsce przesłanek autonomii w zakresie ochrony danych osobowych.

W oparciu o tak sformułowane zarzuty R. M. wniósł o uchylenie zaskarżonego wyroku w całości i przekazanie sprawy WSA w Warszawie do ponownego rozpoznania. Ponadto wniósł o zasądzenie kosztów postępowania w obu instancjach, w tym kosztów zastępstwa procesowego w postępowaniu przed sądami obu instancji.

Skarżący kasacyjnie wniósł także, w przypadku gdyby NSA nie podzielił stanowiska zaprezentowanego w skardze kasacyjnej, o wystąpienie do Trybunału Sprawiedliwości Unii Europejskiej z wnioskiem o wydanie następującego rozstrzygnięcia wstępnego: "czy art. 91 ust. 1 RODO powinien być interpretowany, biorąc pod uwagę art. 8 Karty Praw Podstawowych UE oraz motyw 165 rzeczonego rozporządzenia, jako oznaczający, że zasady ochrony osób fizycznych w związku z przetwarzaniem obowiązujące w ramach kościołów, związków lub wspólnot wyznaniowych mogą być nadal stosowane przez dany kościół, związek lub wspólnotę religijną, pod warunkiem ich dostosowania do rzeczonego rozporządzenia, jednakże tylko w przypadku, jeżeli były one rzeczywiście stosowane przez dany kościół, związek lub wspólnotę religijną w dniu określonym w art 99 ust. 1 rzeczonego rozporządzenia, a nadto stanowiły kompletny korpus zasad zapewniających jednostkom ochronę wymaganą przez art. 8 Karty Praw Podstawowych UE, czego ocena należy w pierwszym rzędzie do krajowego organu nadzorczego, a ostatecznie do sądu odsyłającego?".

W uzasadnieniu skargi kasacyjnej wskazał, że Sąd nie wyjaśnił, dlaczego przyjął, że Prezes UODO jest pozbawiony w przedmiotowej sprawie kompetencji organu nadzorczego. Sąd wyjaśnił tylko, że obowiązuje art. 91 RODO, a organ wyjaśnił ponadto, że obowiązuje dekret ogólny w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych w Kościele Katolickim, wydany 13 marca 2018 r. przez Konferencję Episkopatu Polski. Okoliczności te są w ocenie skarżącego kasacyjnie niesporne. Tym niemniej ani organ administracji, ani Sąd pierwszej instancji nie przedstawiły stanowiska w odniesieniu do tego, czy ww. dekret zawiera "szczegółowe zasady ochrony osób fizycznych w związku z przetwarzaniem", o czym mowa w art. 91 ust. 1 RODO. Pełnomocnik skarżącego kasacyjnie podkreślił, że dla zastosowania art. 91 ust. 1 RODO konieczne jest spełnienie trzech warunków. Po pierwsze, kościół musi posiadać "szczegółowe zasady ochrony danych osób fizycznych w związku z przetwarzaniem". Po drugie, zasady te muszą nie tylko obowiązywać, ale i być stosowane. Po trzecie, art. 91 ust. 1 RODO wskazuje, iż zasady te mogą być stosowane "nadal". Skoro dekret został wydany już po wejściu w życie RODO, to nie spełnia on ww. warunku temporalnego.

W ocenie skarżącego kasacyjnie fakt, iż w motywie 165 preambuły RODO wskazano, iż "niniejsze rozporządzenie nie narusza statusu przyznanego kościołom oraz związkom lub wspólnotom wyznaniowym na mocy prawa konstytucyjnego obowiązującego w państwach członkowskich i nie narusza tego statusu - jak uznano w art. 17 TFUE" nie oznacza wyłączenia zastosowania RODO wobec kościołów, związków czy wspólnot wyznaniowych, a jedynie w sposób, który wprost wynika z tego motywu. Motywu 165 nie należy odczytywać jako wskazówki interpretacyjnej pozwalającej na wykładnię art. 91 ust. 1 RODO. Podkreślono, że ani organ nadzorczy, ani też WSA w Warszawie nie poczyniły ustaleń co do tego, czy zasady obowiązujące w Kościele Rzymskokatolickim w odniesieniu do ochrony osób fizycznych w związku z przetwarzaniem były a) kompletne w stopniu wymaganym przez art. 91 ust. 1 RODO, interpretowany z uwzględnieniem art. 8 KPP UE, b) stosowane w tymże Kościele, oraz c) uprzednie w stosunku do daty wejścia w życie (art. 99 ust. 1 RODO), a nie rozpoczęcia stosowania (art. 99 ust. 2 RODO) rozporządzenia ogólnego.

W odpowiedzi na skargę kasacyjną Prezes Urzędu Ochrony Danych Osobowych wniósł o oddalenie skargi kasacyjnej. Wskazał, że podtrzymuje stanowisko zajęte w zaskarżonej decyzji.

Zarządzeniem z 22 września 2021 r. zwrócono się do stron postępowania o udzielenie informacji, w terminie 7 dni od dnia doręczenia zarządzenia, czy wyrażają zgodę na rozpoznanie sprawy na posiedzeniu niejawnym. W odpowiedzi na powyższe wezwanie tylko Prezes Urzędu Ochrony Danych Osobowych wyraził zgodę na rozpoznanie sprawy na posiedzeniu niejawnym.

Zarządzeniem Przewodniczącej Wydziału III Izby Ogólnoadministracyjnej NSA z 29 sierpnia 2022 r. w związku z brakiem zgody wszystkich stron na rozpoznanie sprawy na posiedzeniu niejawnym, na podstawie art. 15 zzs4 ust. 1 i 3 ustawy z 2 marca 2020 r. o szczególnych rozwiązaniach związanych z zapobieganiem, przeciwdziałaniem i zwalczaniem COVID-19, innych chorób zakaźnych oraz wywołanych nimi sytuacji kryzysowych (Dz. U. z 2021 r., poz. 2095 ze zm.) sprawa została skierowana na posiedzenie niejawne z uwagi na to, że przeprowadzenie rozprawy na odległość z jednoczesnym bezpośrednim przekazem obrazu i dźwięku nie było możliwe.

Sprawę rozpoznano na posiedzeniu niejawnym w składzie trzech sędziów na podstawie art. 15zzs4 ust. 1 - 3 ustawy z dnia 2 marca 2020 r. o szczególnych rozwiązaniach związanych z zapobieganiem, przeciwdziałaniem i zwalczaniem COVID-19, innych chorób zakaźnych oraz wywołanych nimi sytuacji kryzysowych (Dz. U. poz. 374 ze zm.), w brzmieniu nadanym przez art. 4 pkt 3 ustawy z dnia 28 maja 2021 r. o zmianie ustawy - Kodeks postępowania cywilnego oraz niektórych innych ustaw (Dz. U. z 2021 r., poz. 1090). Zgodnie z ww. regulacją "[w] okresie obowiązywania stanu zagrożenia epidemicznego albo stanu epidemii ogłoszonego z powodu COVID-19 oraz w ciągu roku od odwołania ostatniego z nich Naczelny Sąd Administracyjny nie jest związany żądaniem strony o przeprowadzenie rozprawy (...)", w okresie tym "wojewódzkie sądy administracyjne oraz Naczelny Sąd Administracyjny przeprowadzają rozprawę przy użyciu urządzeń technicznych umożliwiających przeprowadzenie jej na odległość z jednoczesnym przekazem obrazu i dźwięku, z tym że osoby w niej uczestniczące nie muszą przebywać w budynku sądu". Stosownie do ustępu 3 ww. artykułu "[p]rzewodniczący może zarządzić przeprowadzenie posiedzenia niejawnego, jeżeli uzna rozpoznanie sprawy za konieczne, a nie można przeprowadzić jej na odległość z jednoczesnym bezpośrednim przekazem obrazu i dźwięku". W ocenie Naczelnego Sądu Administracyjnego rozpoznanie sprawy było konieczne z uwagi na długość toczącego się postępowania sądowego. W tej szczególnej sytuacji rozpoznanie skargi kasacyjnej na posiedzeniu niejawnym było w ocenie NSA rozsądnym kompromisem pomiędzy prawem stron do jawnego rozpoznania sprawy, a prawem do rozpoznania sprawy bez nieuzasadnionej zwłoki (art. 45 Konstytucji RP) oraz zasadą proporcjonalności, z której wynika możliwość ograniczenia konstytucyjnych praw z uwagi na konieczność ochrony zdrowia. Strony uprzedzono o takim trybie rozpoznania sprawy i umożliwiono im zajęcie ostatecznego stanowiska w sprawie pisemnie.

Naczelny Sąd Administracyjny zważył, co następuje:

Stosownie do art. 183 § 1 ustawy z dnia 30 sierpnia 2002 r. - Prawo o postępowaniu przed sądami administracyjnymi (t.j. Dz. U. z 2022 r. poz. 329), zwanej dalej p.p.s.a., Naczelny Sąd Administracyjny rozpoznaje sprawę w granicach skargi kasacyjnej, biorąc pod rozwagę z urzędu jedynie nieważność postępowania. W rozpoznawanej sprawie nie zachodzi żadna z okoliczności skutkujących nieważnością postępowania, o jakich mowa w art. 183 § 2 p.p.s.a. i nie zachodzi żadna z przesłanek, o których mowa w art. 189 p.p.s.a., które Naczelny Sąd Administracyjny rozważa z urzędu dokonując kontroli zaskarżonego skargą kasacyjną wyroku. W tych okolicznościach w sprawie badaniu podlegały wyłącznie zarzuty podniesione w skardze kasacyjnej na uzasadnienie przytoczonych podstaw kasacyjnych.

Podniesiony w skardze kasacyjnej zarzut naruszenia art. 141 § 4 p.p.s.a. nie mógł odnieść skutku w realiach niniejszej sprawy. Naruszenia art. 141 § 4 p.p.s.a. skarżący kasacyjnie upatruje w "niedostatecznym uzasadnieniu zaskarżonego wyroku i niedokonaniu analizy prawnej i weryfikacji odnośnie spełnienia przez Kościół Rzymskokatolicki w Polsce przesłanek autonomii w zakresie ochrony danych osobowych".

W związku z tak sformułowanym zarzutem należy podkreślić, że zarzut naruszenia art. 141 § 4 p.p.s.a. może być skutecznie postawiony przede wszystkim w dwóch przypadkach: gdy uzasadnienie wyroku nie zawiera wszystkich elementów, wymienionych w tym przepisie i gdy w ramach przedstawienia stanu sprawy, wojewódzki sąd administracyjny nie wskaże, jaki i dlaczego stan faktyczny przyjął za podstawę orzekania (por. uchwałę NSA z 15 lutego 2010 r., sygn. akt: II FPS 8/09, LEX nr 552012, wyrok NSA z 20 sierpnia 2009 r., sygn. akt: II FSK 568/08, LEX nr 513044). Naruszenie to musi być przy tym na tyle istotne, aby mogło mieć wpływ na wynik sprawy (art. 174 pkt 2 p.p.s.a.). Za jego pomocą nie można skutecznie zwalczać prawidłowości przyjętego przez sąd stanu faktycznego, czy też stanowiska sądu co do wykładni bądź zastosowania prawa materialnego. Przepis art. 141 § 4 p.p.s.a. jest przepisem proceduralnym, regulującym wymogi uzasadnienia. W ramach rozpatrywania zarzutu naruszenia tego przepisu Naczelny Sąd Administracyjny zobowiązany jest jedynie do kontroli zgodności uzasadnienia zaskarżonego wyroku z wymogami wynikającymi z powyższej normy prawnej. Uzasadnienie zaskarżonego wyroku zawiera przedstawienie stanu sprawy, zarzutów podniesionych w skardze, stanowiska strony przeciwnej, podstawę prawną rozstrzygnięcia oraz jej wyjaśnienie. Kwestia niewyczerpującego zdaniem skarżącego, odniesienia się do wskazanych przez skarżącego problemów, nie mogła odnieść skutku w ramach zarzutu naruszenia art. 141 § 4 p.p.s.a., skoro uzasadnienie zaskarżonego wyroku zawiera wszystkie ustawowo wymagane elementy i poddaje się kontroli instancyjnej, tj. pozwala w wystarczającym stopniu na ustalenie sposobu rozumowania przez Sąd I instancji i jego ocenę.

Wbrew twierdzeniom skarżącego kasacyjnie Sąd I instancji dokonał analizy prawnej i odniósł się do kwestii spełnienia przez Kościół Rzymskokatolicki w Polsce przesłanek autonomii w zakresie ochrony danych osobowych podzielając w tym zakresie stanowisko Prezesa Urzędu Ochrony Danych Osobowych (strona 5-6 uzasadnienia zaskarżonego wyroku). Co prawda Sąd I instancji odniósł się do tego problemu niezbyt obszernie, jednak należy tu zauważyć, że zaakceptował stanowisko organu, który obszernie odniósł się do tego problemu w zaskarżonej decyzji. Ponadto podniesione w omawianym zarzucie kwestie, w szczególności dotyczące wykładni i zastosowania art. 91 ust. 1 rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych; Dz. Urz. UE L 119 z 4 maja 2016, str. 1, ze zm. – dalej jako RODO) nie były kontestowane przez skarżącego na etapie postępowania administracyjnego i przed Sądem I instancji. Dodać też trzeba, że zarzutem naruszenia art. 141 § 4 p.p.s.a. nie można skutecznie zakwestionować poprawności zaskarżonego rozstrzygnięcia, co zdaje się chciałby osiągnąć autor skargi kasacyjnej.

Przechodząc do oceny zasadniczego zarzutu skargi kasacyjnej, tj. naruszenia art. 91 ust. 1 RODO, którego skarżący upatruje w wadliwym przyjęciu "braku kompetencji Prezesa UODO do wydania decyzji związanych z rozpatrywaniem skarg dotyczących przestrzegania przepisów ustanowionych w Kościele Katolickim w zakresie danych osobowych, mimo że nie zostały spełnione warunki wynikające z tego przepisu pozwalające na autonomię kościoła na terenie RP". Wskazać trzeba, że na jego tle skarżący kasacyjnie odniósł się przede wszystkim do następujących zagadnień ujawnionych na tle okoliczności faktycznych niniejszej sprawy, momentu wejścia w życie przepisów RODO i związanej z tym możliwości stosowania przez Kościół Rzymskokatolicki szczegółowych zasad ochrony osób fizycznych w związku z przetwarzaniem danych osobowych.

Analizując powyższe zagadnienia, wskazać należy, że zgodnie z art. 91 ust. 1 RODO "[j]eżeli w państwie członkowskim w momencie wejścia niniejszego rozporządzenia w życie kościoły i związki lub wspólnoty wyznaniowe stosują szczegółowe zasady ochrony osób fizycznych w związku z przetwarzaniem, zasady takie mogą być nadal stosowane, pod warunkiem że zostaną dostosowane do niniejszego rozporządzenia". Wbrew ocenie skarżącego, przed dniem wejścia w życie RODO w Kościele Katolickim obowiązywały w zakresie ochrony danych osobowych pewne reguły, jak chociażby w kwestii prowadzenia ksiąg parafialnych, gdzie z wykorzystaniem danych osobowych odnotowywano fakty udzielenia sakramentu chrztu, zawarcia małżeństwa czy śmierci członków danej wspólnoty religijnej. Nie istniała przy tym zasada powszechnego, nieograniczonego dostępu do tych informacji – możliwości wglądu do ksiąg czy uzyskiwania odpisów, bądź żądania dokonywania dowolnych w nich zmian. Bez znaczenia jest przy tym, czy było to efektem stosowania reguł skodyfikowanych, czy też powszechnie przyjętego prawa zwyczajowego, bowiem żadne rygory co do charakteru źródeł prawa, nie zostały zakreślone w art. 91 ust. 1 RODO. Tym niemniej zauważyć trzeba, że podstawą tych zasad były normy zawarte w prawie kanonicznym, w tym przepisy dotyczące ochrony prywatności i intymności, zawarte w Kodeksie Prawa Kanonicznego (zwłaszcza w kanonie 220). Nadto, wiele przepisów zawartych w Kodeksie prawa kanonicznego określa zasady gromadzenia i wykorzystywania danych oraz uprawnienia osób, których dane dotyczą, a więc – przetwarzania i ochrony danych, uwzględniając specyfikę kościelną. Dotyczy to również prowadzenia archiwów, przygotowania do sakramentów itp.

Tym samym warunek istnienia szczegółowych, odrębnych zasad w Kościele Rzymskokatolickim – przed wejściem w życie RODO – został spełniony. Istotnym jest więc, czy zasady te zostały dostosowane do wymagań RODO. Aby odpowiedzieć na to pytanie koniecznym jest ustalenie, jak rozumieć użyte przez prawodawcę europejskiego w art. 91 ust. 1 pojęcie "dostosowanie". Czy chodzi tu o zapewnienie pełnej zgodności z postanowieniami nowego aktu prawnego (rangi rozporządzenia), bądź też czy możliwe jest – w ich ramach – ustanowienie odmiennych reguł, przy zapewnieniu ochrony danych w ogólnych obszarach zakreślonych RODO. Przy uwzględnieniu niezbędnego dla dokonywania wykładni założenia, że europejski prawodawca jest racjonalny należy opowiedzieć się za drugą z możliwości. O ile celem prawodawcy byłoby zapewnienie pełnej zgodności, ustanowienie w RODO danej regulacji szczególnej nie znajdowałby logicznego uzasadnienia. Kościoły i związki wyznaniowe podlegają bowiem – co do zasady – prawu powszechnie obowiązującemu. Wejście więc w życie regulacji na szczeblu unijnym, której postanowienia stosuje się bezpośrednio (rozporządzenie) miałoby taki skutek, że dane podmioty – jako nim bezpośrednio związane – musiałyby się do nich bezwzględnie dostosować. Jak można wnosić z treści art. 91 RODO, prawodawca unijny zamierzał jednak uwzględnić specyfikę przetwarzania danych osobowych, pozostających w związku z praktykami religijnymi i nauczaniem dogmatycznym kościołów i innych wspólnot religijnych. Uznał za zasadne uszanowanie ich odrębności i autonomii i dopuścił stosowanie odmiennych reguł ochrony danych osobowych, zapewniających realizację celów RODO. Potwierdza to motyw 165 RODO, w którym postanowiono, że "[n]iniejsze rozporządzenie nie narusza statusu przyznanego kościołom oraz związkom lub wspólnotom wyznaniowym na mocy prawa konstytucyjnego obowiązującego w państwach członkowskich i nie narusza tego statusu - jak uznano w art. 17 TFUE.

Podzielając powyższy pogląd, zauważyć również trzeba, że taka wykładnia art. 91 ust. 1 RODO uwzględnia także konstytucyjną zasadę autonomii Kościoła Katolickiego zagwarantowaną Konstytucją RP, w umowie międzynarodowej, jaką jest Konkordat między Stolicą Apostolską a Rzecząpospolitą Polską podpisany w Warszawie 28 lipca 1993 r. (Dz. U. z 1998 r. Nr 51, poz. 318) oraz ustawą z 17 maja 1989 r. o stosunku Państwa do Kościoła Katolickiego w Rzeczypospolitej Polskiej (t. j. Dz. U. z 2019 r., poz. 1347).

Z tego też względu bezzasadna jest argumentacja skargi kasacyjnej nawiązująca do art. 99 RODO, który w ust. 1 wskazuje moment wejścia w życie tegoż rozporządzenia tj. 24 maja 2016 r., zaś w ust. 2 moment, od którego będzie miało ono zastosowanie, tj. 25 maja 2018 r. Jak wyżej wskazano, w momencie wejścia w życie RODO, tj. 24 maja 2016 r. w Kościele Rzymskokatolickim istniała regulacja dotyczącą przetwarzania danych osobowych, przede wszystkim w Kodeksie Prawa Kanonicznego, którą Kościół Katolicki w terminie określonym w art. 91 ust. 1 RODO do 25 maja 2018 r. dostosował do przepisów wynikających z RODO - Dekretem ogólnym w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych w Kościele katolickim, wydanym przez Konferencję Episkopatu Polski 13 marca 2018 r., podczas 378. Zebrania Plenarnego w Warszawie, na podstawie kanonu 455 Kodeksu Prawa Kanonicznego, w związku z art. 18 Statutu Konferencji Episkopatu Polski, po uzyskaniu specjalnego zezwolenia Stolicy Apostolskiej z 3 czerwca 2017 r. (Akta Konferencji Episkopatu Polski Nr 30/2018 r. Przedstawiony wyżej pogląd jest jednolicie przyjmowany w orzecznictwie sądów administracyjnych i nie był dotychczas kwestionowany (tak. np. NSA w wyrokach z 14 lipca 2022 r. sygn. akt III OSK 2776/21 i z 25 maja 2022 r. sygn. akt III OSK 2273/21 i WSA w Warszawie w wyroku z 16 października 2019 r. sygn. akt II SA/Wa 907/19). Z podanych wyżej względów, przy wykładni art. 91 ust. 1 RODO zbędne jest sięganie do innych niż polska, tekstów urzędowych RODO sporządzonych w innych językach urzędowych UE.

Wobec tego stwierdzić należy, że Prezes UODO dokonał prawidłowej, zaaprobowanej przez Sąd I instancji wykładni art. 91 ust. 1 RODO, z której wynika brak właściwości do wydania merytorycznej decyzji w niniejszej sprawie. Stanowisko to znajduje również potwierdzenie w części literatury przedmiotu, w której wskazuje się, że w art. 91 ust. 1 RODO "prawodawca dopuszcza możliwość dalszego stosowania szczegółowych zasad, pod warunkiem, że zostaną one dostosowane do rozporządzenia. Użyte w omawianym przepisie sformułowanie "szczegółowe zasady" nie oznacza, że kościół czy związek lub wspólnota wyznaniowa muszą posiadać jednolitą całościową regulację wewnętrzną (jeden akt normatywny prawa wewnętrznego danego kościoła lub związku), który reguluje problematykę ochrony danych osobowych w tym kościele czy związku, ale że posiadają własne regulacje, z których wynikają szczegółowe zasady ochrony osób w związku z przetwarzaniem danych i stosują te zasady. Warunkiem umożliwiającym dalsze stosowanie zasad jest ich dostosowanie do przepisów komentowanego rozporządzenia. Jeżeli kościoły, związki lub wspólnoty wyznaniowe w dniu wejścia w życie rozporządzenia nie stosują szczegółowych zasad ochrony osób fizycznych w związku z przetwarzaniem danych osobowych albo nie dostosują tych zasad do wymogów określonych w rozporządzeniu, wówczas powinny one stosować przepisy rozporządzenia. Spośród kościołów i związków wyznaniowych w Polsce, szczegółowe zasady ochrony danych osobowych stosowane są w Kościele Katolickim, podstawą tych zasad są normy zawarte w prawie kanonicznym, w tym przepisy dotyczące ochrony prywatności i intymności zawarte w Kodeksie Prawa Kanonicznego (zwłaszcza w kanonie 220). (...) Oprócz norm zawartych w Kodeksie w prawie wewnętrznym Kościoła Katolickiego obowiązują także regulacje prawne odnoszące się do wybranych zagadnień, z którymi wiąże się przetwarzanie i ochrona danych. Przykładem takich regulacji są wydane przez Konferencję Episkopatu Polski przepisy dotyczące prowadzenia ksiąg parafialnych, czy przepisy dotyczące wystąpień z Kościoła. Ponadto zasady ochrony danych osobowych zostały wyrażone również w Instrukcji opracowanej przez Generalnego Inspektora Ochrony Danych Osobowych oraz Sekretariat Konferencji Episkopatu Polski z 23 września 2009 r. Choć instrukcja ta nie ma charakteru stricte normatywnego, to stanowi również przejaw określenia sposobu realizacji wymogów odnoszących się do ochrony danych osobowych. We wskazanych wyżej normach prawnych oraz w Instrukcji zawarte zostały szczegółowe zasady odnoszące się do ochrony danych osobowych, co uprawnia Kościół Katolicki do skorzystania z możliwości przewidzianej w art. 91 Rozporządzenia. W celu dostosowania szczegółowych zasad ochrony danych osobowych w Kościele Katolickim do przepisów art. 91 rozporządzenia, wydany został w dniu 13 marca 2018 r. Dekret ogólny w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych w Kościele Katolickim. (...) zarówno treść jak i struktura dekretu wskazują na to, że prawodawca kościelny dostosował szczegółowe zasady ochrony danych osobowych stosowane w Kościele do wymogów określonych w rozporządzeniu, co pociąga za sobą zachowanie autonomii w tym zakresie i wyłączenie stosowania przepisów rozporządzenia w odniesieniu do przetwarzania danych osobowych w Kościele Katolickim" (Fajgielski Paweł w "Komentarz do rozporządzenia nr 2016/679 w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych osobowych), [w:] Ogólne rozporządzenie o ochronie danych osobowych. Ustawa o ochronie danych osobowych. Komentarz" WKP 2018). W Kościele Katolickim prawodawca skorzystał z możliwości utworzenia odrębnego organu nadzorczego. Przepisy przywołanego wyżej dekretu ogólnego przewidują powołanie Kościelnego Inspektora Ochrony danych Osobowych, który ma być niezależnym organem nadzorczym monitorującym i zapewniającym przestrzeganie przepisów o ochronie danych osobowych w ramach działalności Kościoła Katolickiego w Polsce. W literaturze przedmiotu podkreśla się, że powołanie niezależnego organu nadzorczego przez kościół, związek wyznaniowy lub wspólnotę powoduje wyłączenie w stosunku do tego kościoła, związku wyznaniowego lub wspólnoty jurysdykcji krajowego organu nadzorczego (por. P. Litwiński, P. Barta i M. Kawecki, Rozporządzenie UE w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE. red. P. Litwiński, s. 887). Naczelny Sąd Administracyjny podziela przytoczone poglądy przedstawicieli doktryny i dlatego nie zgadza się z odmiennymi poglądami części doktryny przywołanymi w skardze kasacyjnej.

W konsekwencji nie sposób zgodzić się ze skarżącym, że Sąd I instancji naruszył art. 91 ust 1 RODO.

Odnosząc się do wniosku skarżącego kasacyjnie o skierowanie pytania prejudycjalnego do TSUE w zakresie wykładni art. 91 ust. 1 RODO, Naczelny Sąd Administracyjny uznał je za bezzasadne. Zdaniem Naczelnego Sądu Administracyjnego w sprawie spełniona została przesłanka odmowy zastosowania art. 267 TFUE. Obowiązek zadania pytania prejudycjalnego przez sąd ostatniej instancji wynikający z art. 267 TFUE nie ma bowiem zastosowania w sytuacji, gdy kwestia będąca przedmiotem wątpliwości została już wyjaśniona we wcześniejszym orzecznictwie Trybunału Sprawiedliwości lub prawidłowa wykładnia przepisu prawa europejskiego jest tak oczywista, że nie budzi żadnych racjonalnych wątpliwości (por. wyroki TSUE: z 15 lipca 1964 r. w sprawie 6/64 Costa v. E.N.E.L.; z 16 stycznia 1974 r. w sprawie 166/73 Rheinmühlen; z 6 października 1982 r. w sprawie 283/81 CILFIT; z 4 lipca 2006 r. sprawie C-212/04 Adeneler i in. v. Ellinikos Organismos Galaktos). Ze wskazanych już wyżej względów brak jest podstaw do wystąpienia ze sformułowanym w skardze kasacyjnej pytaniem prejudycjalnym do Trybunału Sprawiedliwości Unii Europejskiej, ponieważ wykładnia i stosowanie art. 91 ust. 1 RODO nie budzi wątpliwości Naczelnego Sądu Administracyjnego.

Mając na uwadze powyższe wywody, Naczelny Sąd Administracyjny uznał, że skarga kasacyjna nie ma usprawiedliwionych podstaw, dlatego na mocy art. 184 p.p.s.a. ją oddalił.