Centralna Baza Orzeczeń Sądów Administracyjnych

Naczelny Sąd Administracyjny w składzie: Przewodniczący: sędzia NSA Irena Kamińska (spr.) Sędziowie sędzia NSA Monika Nowicka sędzia del. NSA Roman Ciąglewicz Protokolant asystent sędziego Andrzej Bieńkowski po rozpoznaniu w dniu 27 marca 2013 r. na rozprawie w Izbie Ogólnoadministracyjnej skargi kasacyjnej Z. K. od wyroku Wojewódzkiego Sądu Administracyjnego w Warszawie z dnia 21 lutego 2012 r. sygn. akt II SA/Wa 2350/11 w sprawie ze skargi Z. K. na decyzję Generalnego Inspektora Ochrony Danych Osobowych z dnia (...) sierpnia 2011 r. nr (...) w przedmiocie przetwarzania danych osobowych 1. uchyla zaskarżony wyrok i przekazuje sprawę Wojewódzkiemu Sądowi Administracyjnemu w Warszawie do ponownego rozpoznania; 2. zasądza od Generalnego Inspektora Ochrony Danych Osobowych na rzecz Z. K. kwotę 400 (czterysta) złotych tytułem zwrotu kosztów postępowania kasacyjnego.

Wyrokiem z dnia 21 lutego 2012 r., sygn. akt II SA/Wa 2350/11 Wojewódzki Sąd Administracyjny w Warszawie oddalił skargę Z. K. na decyzję Generalnego Inspektora Ochrony Danych Osobowych z dnia (...) sierpnia 2011 r. nr (...) w przedmiocie przetwarzania danych osobowych.

W uzasadnieniu wyroku Sąd pierwszej instancji wskazał, iż Generalny Inspektor Ochrony Danych Osobowych decyzją nr (...) z dnia (...) sierpnia 2011 r. wydaną na podstawie art. 138 § 1 pkt 1 k.p.a., art. 22 w zw. z art. 43 ust. 2 ustawy z dnia (...) sierpnia 1997 r. o ochronie danych osobowych (Dz.U. 2002 r. Nr 101, poz. 926 ze zm.), utrzymał w mocy swoją wcześniejszą decyzję z dnia (...) lipca 2011 r. nr (...) o umorzeniu postępowania w sprawie ze skargi Z. K. na przetwarzanie jego danych osobowych przez Proboszcza Parafii Rzymskokatolickiej pw. NMP Królowej Polski w O..

Do wydania powyższych decyzji doszło w następującym stanie faktycznym i prawnym:

Do Biura Generalnego Inspektora Ochrony Danych Osobowych w dniu 15 lutego 2011 r. wpłynęła skarga Z. K. na przetwarzanie jego danych osobowych przez Proboszcza Parafii Rzymskokatolickiej pw. NMP Królowej Polski, z siedzibą w O..

Skarżący zarzucił Proboszczowi Parafii, iż mimo złożenia przez niego oświadczenia o wystąpieniu z Kościoła Katolickiego jego dane osobowe nadal przetwarzane są przez Proboszcza Parafii, wobec czego wniósł o zbadanie legalności tego procesu.

W toku przeprowadzonego postępowania wyjaśniającego Generalny Inspektor Ochrony Danych Osobowych ustalił, że skarżący pismem z dnia 29 kwietnia 2010 r. skierowanym do Proboszcza Parafii w związku z wykreśleniem go z "grona członków Kościoła Rzymskokatolickiego" zwrócił się o usunięcie jego danych osobowych ze zbiorów danych parafii. W odpowiedzi na to pismo Proboszcz Parafii w korespondencji z dnia 15 maja 2010 r. wskazał, iż dane osobowe Z. K. zostały usunięte z kartotek Parafii NMP Królowej Polski w O.. Pismo to zostało skierowane do adresata, a także – co wynika z uczynionej na nim adnotacji – pozostawione ad acta, co zostało przez skarżącego zakwestionowane pod kątem legalności.

W toku prowadzonego postępowania do Biura Generalnego Inspektora Ochrony Danych Osobowych wpłynęły wyjaśnienia Proboszcza Parafii, w których podniósł on, iż "(...) taka osoba (tu: skarżący) nie figuruje w żadnych kartotekach tutejszej parafii. Pan K. wystąpił oficjalnie z naszego Kościoła i do niego nie należy. Złożył to na piśmie w liście do mojego poprzednika z dnia 29.04.2010 r. Ta sprawa jest więc zakończona. Informuję, że nie są przetwarzane dane tego Pana, bo nie należy on do naszego Kościoła". Proboszcz Parafii wskazał nadto, iż wszelka korespondencja prowadzona przez Parafię przechowywana jest w archiwum parafialnym, a Parafia działa w oparciu o przepisy Kodeksu Prawa Kanonicznego.

Decyzją z dnia (...) lipca 2011 r. nr (...), wydaną na podstawie art. 105 § 1 k.p.a. oraz art. 22 i art. 43 ust. 2 ustawy z dnia (...) sierpnia 1997 r. o ochronie danych osobowych, Generalny Inspektor Ochrony Danych Osobowych umorzył postępowanie w sprawie.

W uzasadnieniu decyzji organ wskazał, iż zgodnie z art. 43 ust. 2 ustawy z dnia (...) sierpnia 1997 r. o ochronie danych osobowych, w odniesieniu do zbiorów, o których mowa w ust. 1 pkt 1 i 3, oraz zbiorów, o których mowa w ust. 1 pkt 1a, przetwarzanych przez Agencję Bezpieczeństwa Wewnętrznego, Agencję Wywiadu, Służbę Kontrwywiadu Wojskowego, Służbę Wywiadu Wojskowego oraz Centralne Biuro Antykorupcyjne, Generalnemu Inspektorowi nie przysługują uprawnienia określone w art. 12 pkt 2, art. 14 pkt 1 i 3–5 oraz art. 15–18. Artykuł 43 ust. 1 pkt 3 stanowi zaś, iż z obowiązku rejestracji zbioru danych zwolnieni są administratorzy danych dotyczących osób należących do kościoła lub innego związku wyznaniowego, o uregulowanej sytuacji prawnej, przetwarzanych na potrzeby tego kościoła lub związku wyznaniowego.

Organ podkreślił, iż Kościół Rzymsko-Katolicki niewątpliwie należy do instytucji o uregulowanej sytuacji prawnej bowiem jest instytucją, której funkcjonowanie zostało unormowane w Konstytucji RP, w umowie międzynarodowej jaką jest Konkordat oraz w ustawach, nad którymi umowa międzynarodowa ma pierwszeństwo.

Analiza obowiązujących przepisów prawa wskazuje, że Kościół Katolicki oraz inne związki wyznaniowe o uregulowanej sytuacji prawnej w zakresie swojej działalności są niezależne i przy wykonywaniu władzy duchowej posługują się swoim wewnętrznym prawem.

W związku z treścią przepisu art. 43 ust. 2 ustawy o ochronie danych osobowych, w niniejszej sprawie Generalny Inspektor Ochrony Danych Osobowych nie może zatem prowadzić postępowania wyjaśniającego ukierunkowanego na wydanie merytorycznej decyzji administracyjnej ani przeprowadzać czynności kontrolnych, z wyłączeniem prawa żądania złożenia pisemnych lub ustnych wyjaśnień oraz wzywania i przesłuchiwania osób w zakresie niezbędnym do ustalenia stanu faktycznego.

Analiza przepisu art. 105 § 1 k.p.a. wskazuje zaś, że postępowanie administracyjne nie może toczyć się w sytuacji, gdy w jego toku przestał istnieć jego przedmiot, bądź też przedmiot ten nie istniał już przed wszczęciem postępowania. W niniejszej sprawie, na podstawie dokonanych ustaleń Generalny Inspektor Ochrony Danych Osobowych stwierdził natomiast, w oparciu o przepis art. 43 ust. 2 ustawy, brak swojej kognicji do wydania merytorycznej decyzji administracyjnej w sprawie.

W złożonym wniosku o ponowne rozpatrzenie sprawy Z. K. zarzucił organowi naruszenie przepisów prawa materialnego, w tym art. 3 ust. 2 Dyrektywy 95/46/WE Parlamentu Europejskiego i Rady z dnia 24 października 1995 r. w sprawie ochrony osób fizycznych w zakresie przetwarzania danych osobowych i swobodnego przepływu tych danych. Podniósł kwestię nadrzędności powyższej Dyrektywy nad prawem krajowym. Powołał się też na wyrok Europejskiego Trybunału Sprawiedliwości z dnia 6 listopada 2003 r. sygn. akt C-101/01 W konkluzji wniósł o wydanie w jego sprawie decyzji administracyjnej na podstawie art. 12 ust. 2 ustawy o ochronie danych osobowych.

Generalny Inspektor Ochrony Danych Osobowych w wyniku ponownego rozpatrzenia sprawy, decyzją z dnia (...) sierpnia 2011 r. wydaną na podstawie art. 138 § 1 pkt 1 k.p.a., art. 22 w zw. z art. 43 ust. 2 ustawy z dnia (...) sierpnia 1997 r. o ochronie danych osobowych, utrzymał w mocy swoją wcześniejszą decyzję z dnia (...) lipca 2011 r. o umorzeniu postępowania.

W uzasadnieniu decyzji organ podtrzymał wcześniejszą argumentację ponownie wskazując, iż na podstawie dokonanych ustaleń, w oparciu o przepis art. 43 ust. 2 ustawy, stwierdził brak swojej kognicji do wydania merytorycznej decyzji administracyjnej w sprawie.

W skardze na powyższą decyzję skierowanej do Wojewódzkiego Sądu Administracyjnego w Warszawie Z. K. zarzucił organowi naruszenie przepisów prawa materialnego, tj. art. 3 ust. 2 Dyrektywy 95/46/WE Parlamentu Europejskiego i Rady z dnia 24 października 1995 r. w sprawie ochrony osób fizycznych w zakresie przetwarzania danych osobowych i swobodnego przepływu tych danych. Na tej podstawie wniósł o uchylenie zaskarżonej decyzji w całości.

Wniósł także, aby Sąd na podstawie przepisu art. 267 Traktatu o funkcjonowaniu Unii Europejskiej zwrócił się do Trybunału Sprawiedliwości Unii Europejskiej z pytaniem prejudycjalnym o wykładnię prawa wspólnotowego, a to czy przepis art. 3 ust. 2 Dyrektywy 95/46/WE Parlamentu Europejskiego i Rady z dnia 24 października 1995 r. w sprawie ochrony osób fizycznych w zakresie przetwarzania danych osobowych i swobodnego przepływu tych danych obejmuje przetwarzanie danych dotyczących osób należących do kościoła lub innego związku wyznaniowego, o uregulowanej sytuacji prawnej, na potrzeby tego kościoła lub związku wyznaniowego.

W uzasadnieniu skargi podkreślił, że w dniu 13 czerwca 2006 r. wystąpił formalnie z Kościoła Katolickiego przed Proboszczem Parafii Rzymskokatolickiej pw. NMP Królowej Polski w O., co zostało także odnotowane w Księdze Chrztów Parafii Rzymskokatolickiej pw. św. Michała Archanioła w Świebodzinie.

Zarzucił, że decyzja Generalnego Inspektora Ochrony Danych Osobowych o umorzeniu postępowania jest niezgodna z art. 3 ust. 2 Dyrektywy 95/46/WE Parlamentu Europejskiego i Rady z dnia 24 października 1995 r. w sprawie ochrony osób fizycznych w zakresie przetwarzania danych osobowych i swobodnego przepływu tych danych. Wskazał też, że zgodnie z wyrokiem Trybunału Sprawiedliwości Unii Europejskiej w sprawie C-101/01 z dnia 6 listopada 2003 r., przetwarzanie danych przez kościoły nie wykracza poza zakres prawa Wspólnoty (obecnie – Unii Europejskiej).

Podkreślił, że w związku z przystąpieniem Polski do Unii Europejskiej od 1 maja 2004 r. na terytorium Polski obowiązuje prawo wspólnotowe z całym jego dotychczasowym dorobkiem. Prawo to stanowi część krajowego porządku prawnego i w przypadku kolizji normy wspólnotowej i krajowej regulujących ten sam przedmiot, zgodnie z zasadami: bezpośredniego skutku, pierwszeństwa i efektywności – regulacje prawne prawa wspólnotowego mają pierwszeństwo przed normami krajowymi, co wynika z art. 91 ust. 3 Konstytucji RP.

W ocenie skarżącego stanowisko Generalnego Inspektora Ochrony Danych Osobowych o braku kognicji wobec kościołów – które dysponują programami komputerowymi do obsługi parafii, z możliwością tworzenia sieci i "eksportu" danych – jest całkowicie niezgodne z europejskim i światowym kierunkiem rozwoju ochrony danych. Dlatego też organ powinien był wydać decyzję administracyjną na podstawie art. 12 pkt 2 ustawy o ochronie danych osobowych w sprawie przetwarzania jego danych przez Proboszcza Parafii Rzymskokatolickiej pw. NMP Królowej Polski w O..

Generalny Inspektor Ochrony Danych Osobowych w odpowiedzi na skargę wniósł o jej oddalenie podtrzymując w całości argumentację przedstawioną w uzasadnieniu zaskarżonej decyzji.

Skarżący na rozprawie przed Wojewódzkim Sądem Administracyjnym w dniu 8 lutego 2012 r. złoży do akt kopię pisma Proboszcza Parafii Rzymskokatolickiej pw. św. Michała Archanioła w Świebodzinie, w którym potwierdzony został fakt jego wystąpienia z Kościoła Rzymsko-Katolickiego.

Wydając zaskarżony wyrok Sąd pierwszej instancji wskazał, iż skarżący domagał się od organu przeprowadzenia kontroli legalności przetwarzanie jego danych osobowych przez Proboszcza Parafii Rzymskokatolickiej pw. NMP Królowej Polski w O. powołując się na fakt, że w przeszłości należał do Kościoła Katolickiego, jednak z niego skutecznie wystąpił dopełniając niezbędnych w tym zakresie formalności. Skarżący domagał się zatem przeprowadzenia kontroli prawidłowości przetwarzania jego danych osobowych w zbiorze, o którym mowa w art. 43 ust. 1 pkt 3 ustawy o ochronie danych osobowych, w stosunku do którego Generalnemu Inspektorowi nie przysługują uprawnienia określone w art. 12 pkt 2, art. 14 pkt 1 i 3–5 oraz art. 15–18.

W ocenie Sądu pierwszej instancji, należy uznać za prawidłowe działania podjęte przez organ, który ograniczył swoją aktywność do czynności na jakie pozwalała mu ustawa – czyli czynności wyjaśniających wskazanych w art. 14 pkt 2 przedmiotowej ustawy. Organ prawidłowo zatem wezwał Proboszcza Parafii Rzymskokatolickiej pw. NMP Królowej Polski w O. do złożenia pisemnych wyjaśnień odnośnie skargi Z. K., w zakresie przetwarzania jego danych osobowych. Organ nie miał natomiast uprawnień do przeprowadzenia czynności kontrolnych w pomieszczeniach Parafii oraz dokonania wglądu do dokumentacji parafialnej. Nie mógł też wydać rozstrzygnięcia merytorycznego w formie decyzji administracyjnej w kwestii przetwarzania przez Parafię danych osobowych skarżącego. Wbrew zarzutom skarżącego bez wpływu na wskazane wyżej wyłączenie kompetencji Generalnego Inspektora Ochrony Danych Osobowych pozostaje okoliczność, że skarżący w sposób skuteczny wystąpił z Kościoła Katolickiego. W powołanym przepisie ustawodawca posłużył się bowiem sformułowaniem "w odniesieniu do zbiorów". Sposób rozumienia zwrotu "zbiór danych" wyjaśnił natomiast w art. 7 pkt 1 ustawy stwierdzając, że rozumie się przez to każdy posiadający strukturę zestaw danych o charakterze osobowym, dostępnych według określonych kryteriów, niezależnie od tego, czy zestaw ten jest rozproszony lub podzielony funkcjonalnie. Zbiór danych obejmuje zatem swoim zakresem wiele danych o charakterze osobowym, należących do wielu osób. W odniesieniu do zbiorów danych dotyczących osób należących do Kościoła Katolickiego i przetwarzanych na potrzeby tego kościoła kompetencje Generalnego Inspektora Ochrony Danych Osobowych są natomiast z mocy ustawy ograniczone. Stąd też, badanie w niniejszym postępowaniu kwestii wystąpienia skarżącego z Kościoła Katolickiego nie ma znaczenia w sprawie. Ustawa w omawianym przepisie nie odnosi się bowiem do danych jednostkowych, ale do zbioru danych. Dane osobowe skarżącego zamieszczone zostały natomiast w zbiorze danych dotyczących osób należących do Kościoła Katolickiego w związku z jego przynależnością do tego Kościoła, co jest w sprawie okolicznością niesporną.

Odnosząc się do zarzutów dotyczących naruszenia przez organ przepisów prawa wspólnotowego Sąd pierwszej instancji podkreślił, że obowiązująca ustawa z dnia (...) sierpnia 1997 r. o ochronie danych osobowych implementowała do naszego ustawodawstwa zapisy Dyrektywy 95/46/WE Parlamentu Europejskiego i Rady z dnia 24 października 1995 r. w sprawie ochrony osób fizycznych w zakresie przetwarzania danych osobowych i swobodnego przepływu tych danych. Ustawa z dnia (...) sierpnia 1997 r. jest zatem aktem prawnym, który reguluje na terenie naszego kraju w sposób kompleksowy i zgodny z celami określonymi w Dyrektywie, kwestie dotyczące zasad postępowania przy przetwarzaniu danych osobowych oraz prawa osób fizycznych, których dane osobowe są lub mogą być przetwarzane w zbiorach danych. Dyrektywa 95/46/WE Parlamentu Europejskiego i Rady, jak wynika z jej zapisów wstępnych, dopuszcza natomiast (pkt 22), że Państwa Członkowskie dokładniej sprecyzują w ogłaszanych prawach lub przy wprowadzaniu w życie środków podjętych na podstawie niniejszej dyrektywy ogólne warunki, w których przetwarzanie danych jest zgodne z prawem; w szczególności art. 5 w połączeniu z art. 7 i 8, umożliwia Państwom Członkowskim, niezależnie od zasad ogólnych, zapewnienie szczególnych warunków przetwarzania danych dla poszczególnych sektorów oraz dla różnych kategorii danych objętych art. 8. Ponadto zakłada, że przetwarzanie danych osobowych przez władze publiczne dla osiągnięcia określonych w prawie konstytucyjnym lub międzynarodowym prawie publicznym, celów oficjalnie uznawanych związków religijnych jest dokonywane z ważnych względów wynikających z interesu publicznego (pkt 35). Stosunki między Rzecząpospolitą Polską a Kościołem Katolickim reguluje umowa międzynarodowa – Konkordat, podpisana w dniu 28 lipca 1993 r. między Stolicą Apostolską i Rzecząpospolitą Polską (opub. Dz.U. z 1998 r. Nr 51, poz. 318), która w art. 1 stanowi, że Państwo i Kościół Katolicki są – każde w swej dziedzinie – niezależne i autonomiczne oraz zobowiązują się do pełnego poszanowania tej zasady we wzajemnych stosunkach i we współdziałaniu dla rozwoju człowieka i dobra wspólnego. Zgodnie zaś z art. 5 tej umowy Państwo zapewnia Kościołowi Katolickiemu, bez względu na obrządek swobodne i publiczne pełnienie jego misji, łącznie z wykonywaniem jurysdykcji oraz zarządzaniem i administrowaniem jego sprawami na podstawie prawa kanonicznego. Powołany przez skarżącego wyrok Europejskiego Trybunału Sprawiedliwości z dnia 6 listopada 2003 r. sygn. akt C – 101/01, nie ma natomiast odniesienia do niniejszej sprawy, gdyż wydany został w innym stanie faktycznym, w związku z przetwarzaniem przez osobę fizyczną danych osobowych w celach niezarobkowych i religijnych i nie odnosi się w żadnym zakresie do kwestii przetwarzania danych osobowych przez kościoły i związki wyznaniowe. Odnośnie sposobu zakończenia przez organ postępowania administracyjnego zainicjowanego skargą Z. K., to w ocenie Sądu pierwszej instancji stan faktyczny sprawy uzasadniał wydanie decyzji o umorzeniu postępowania. Przepis art. 105 § 1 k.p.a. w oparciu o który wydane zostało to rozstrzygnięcie, jako przesłankę obligatoryjną umorzenia postępowania wskazuje bezprzedmiotowość tego postępowania. Przywołany przepis zezwala zatem organom administracji na wydanie decyzji o umorzeniu postępowania w sytuacji, gdy w świetle przepisów prawa materialnego i ustalonego stanu faktycznego, brak jest sprawy administracyjnej mogącej być przedmiotem postępowania. Sprawa administracyjna jest bowiem konsekwencją istnienia stosunku administracyjno-prawnego, czyli takiej sytuacji prawnej, w której strona ma prawo żądać od organu administracyjnego skonkretyzowania jej indywidualnych uprawnień wynikających z prawa materialnego. W orzecznictwie i judykaturze przyjmuje się zgodnie, że bezprzedmiotowość postępowania administracyjnego, o której stanowi art. 105 § 1 k.p.a. oznacza, że brak jest któregoś z elementów materialnego stosunku prawnego, a wobec tego nie można wydać decyzji załatwiającej sprawę przez rozstrzygnięcie, co do jej istoty. Taka sytuacja zaistniała w sprawie niniejszej. Organ po przeprowadzeniu postępowania wyjaśniającego stwierdził bowiem, iż nie ma kognicji do wydania decyzji merytorycznej dotyczącej przetwarzania danych osobowych skarżącego przez Parafię Rzymskokatolicką pw. NMP Królowej Polski w O..

Skargę kasacyjną od powyższego wyroku wniósł Z. K. zarzucając mu naruszenie prawa materialnego w postaci art. 43 ust. 2 w zw. z art. 43 ust. 1 pkt 3 ustawy o ochronie danych osobowych w zw. z art. 3 ust. 2 tiret pierwsze dyrektywy 95/46/WE Parlamentu Europejskiego i Rady z dnia 24 października 1995 r. w sprawie ochrony osób fizycznych w zakresie przetwarzania danych osobowych i swobodnego przepływu tych danych oraz w zw. z art. 8 Karty Praw Podstawowych UE w zw. z art. 6 ust. 1 Traktatu o Unii Europejskiej, polegające na przyjęciu, że art. 43 ust. 2 w zw. z art. 43 ust. 1 pkt 3 ustawy z dnia (...) sierpnia 1997 r. o ochronie danych osobowych, interpretowany zgodnie z celem i treścią art. 3 ust. 2 tiret pierwsze dyrektywy 95/46/WE, z uwzględnieniem art. 8 KPPUE mającej status prawny równy Traktatom założycielskim na mocy art. 6 ust. 1 TUE należy interpretować jako wyłączające kognicję Generalnego Inspektora Ochrony Danych Osobowych opisaną w art. 12 pkt 2, art. 14 pkt 1 i 3–5 oraz art. 15–18 u.o.d.p. w odniesieniu do zbioru danych prowadzonego przez parafię Kościoła katolickiego w zakresie, w jakim zbiór ten obejmuje również dane osoby, która nie jest członkiem tegoż Kościoła, podczas gdy prawidłowo interpretowane przepisy te winny prowadzić do wniosku, że w omawianym zakresie GIODO przysługuje kompetencja wskazana w art. 12 pkt 2, art. 14 pkt 1 i 3–5 oraz art. 15–18 u.o.d.o.

Powołując się na powyższe wniesiono o uchylenie zaskarżonego wyroku w całości i rozpoznanie skargi polegające na uwzględnieniu żądania sformułowanego w skardze wniesionej przez kasatora do WSA w Warszawie – w całości. Wniesiono również o zasądzenie na rzecz skarżonego od Generalnego Inspektora Ochrony Danych Osobowych zwrotu kosztów postępowania w obydwu instancjach oraz zwrotu kosztów zastępstwa procesowego w postępowaniu przed Naczelnym Sądem Administracyjnym.

Naczelny Sąd Administracyjny zważył, co następuje:

Skarga kasacyjna, której granicami stosownie do art. 183 § 1 ustawy z dnia 30 sierpnia 2002 r. Prawo o postępowaniu przed sądami administracyjnymi (Dz.U. z 2012 r., poz. 270 ze zm.) Naczelny Sąd Administracyjny jest związany, posiada usprawiedliwione podstawy.

Na wstępie trzeba przypomnieć, że zaskarżoną decyzją Generalny Inspektor Ochrony Danych Osobowych umorzył postępowanie na podstawie art. 105 § 1 k.p.a. Zdaniem organu w związku z treścią przepisu art. 43 ust 2 ustawy o ochronie danych osobowych w niniejszej sprawie Generalny Inspektor Ochrony Danych Osobowych nie mógł prowadzić postępowania wyjaśniającego, ukierunkowanego na wydanie decyzji administracyjnej, ani przeprowadzać czynności kontrolnych, z wyłączeniem prawa żądania złożenia pisemnych lub ustnych wyjaśnień oraz wzywania i przesłuchiwania osób w zakresie niezbędnym do ustalenia stanu faktycznego.

Jak wynika z powyższego zasadniczy problem sprowadzał się do rozstrzygnięcia kwestii procesowej, a mianowicie czy Generalny Inspektor Ochrony Danych Osobowych na gruncie stanu faktycznego ustalonego w sprawie mógł umorzyć postępowanie powołując się na art. 43 ust. 2 ustawy z dnia (...) sierpnia 1997 r. o ochronie danych osobowych (Dz. U z 2002 r. Nr 101, poz. 926 ze zm.).

Zgodnie z art. 105 § 1 k.p.a. postępowanie administracyjne podlega umorzeniu tylko wtedy, gdy z jakiejkolwiek przyczyny stało się bezprzedmiotowe. Natomiast z bezprzedmiotowością postępowania administracyjnego w rozumieniu art. 105 § 1 k.p.a. mamy do czynienia wówczas, gdy odpadł jeden z konstytutywnych elementów sprawy administracyjnej, o której mowa w art. 1 pkt 1 k.p.a., a więc sprawa będąca przedmiotem postępowania administracyjnego utraciła charakter sprawy administracyjnej lub nie miała takiego charakteru jeszcze przed wszczęciem postępowania (por. A. Wróbel (w:) M. Jaśkowska, A. Wróbel, Kodeks postępowania administracyjnego. Komentarz, Warszawa 2010, kom. do art. 105, uw. 4). Jak trafnie stwierdził Sąd Najwyższy w wyroku z dnia 20 stycznia 2011 r., sygn. akt III SK 20/10, ze względu na ustrojową zasadę prawa strony do merytorycznego rozpatrzenia jej żądania w postępowaniu administracyjnym i prawa do rozstrzygnięcia sprawy decyzją, art. 105 § 1 k.p.a. nie może być interpretowany rozszerzające Przepis ten ma bowiem zastosowanie tylko w tych sytuacjach, w których w świetle prawa materialnego i ustalonego stanu faktycznego brak jest sprawy administracyjnej mogącej być przedmiotem postępowania. Oznacza to, że postępowanie administracyjne, inaczej niż postępowanie cywilne, staje się bezprzedmiotowe w rozumieniu art. 105 § 1 k.p.a. tylko wtedy, gdy brak jest sprawy administracyjnej, która może być załatwiona decyzją, nie zaś wtedy, gdy wydanie decyzji staje się z zbędne (LEX nr 794506). Bezprzedmiotowość postępowania administracyjnego, o której stanowi art. 105 § 1 k.p.a. oznacza, że brak jest któregoś z elementów materialnego stosunku prawnego, a wobec tego nie można wydać decyzji załatwiającej sprawę przez rozstrzygnięcie jej co do istoty. Oznacza to, iż wszystkie elementy badanego stanu prawnego i faktycznego są tego rodzaju, że niepotrzebne jest postępowanie mające na celu wyjaśnienie wszystkich tych okoliczności w sprawie. Należy przy tym brać pod uwagę okoliczności podnoszone zarówno przez stronę, jak i przez organ z urzędu. Chodzi tu o kryterium bezprzedmiotowości odnoszące się do postępowania, ale w taki sposób, iż wynik tego postępowania nie powinien mieć charakteru merytorycznego rozstrzygnięcia w sprawie, lecz jedynie być formalnym jego zakończeniem (wyrok NSA z dnia 19 października 2010 r. sygn. akt II OSK 1622/09, dostępny na stronie internetowej orzeczenia.nsa.gov.pl czy wyrok NSA z dnia 14 października 2010 r., sygn. akt II OSK 1581/09, LEX nr 746662).

W myśl art. 43 ust. 2 ustawy o ochronie danych osobowych w odniesieniu do zbiorów, o których mowa w ust. 1 pkt 1 i 3, oraz zbiorów, o których mowa w ust. 1 pkt 1a, przetwarzanych przez Agencję Bezpieczeństwa Wewnętrznego, Agencję Wywiadu, Służbę Kontrwywiadu Wojskowego, Służbę Wywiadu Wojskowego oraz Centralne Biuro Antykorupcyjne, Generalnemu Inspektorowi nie przysługują uprawnienia określone w art. 12 pkt 2, art. 14 pkt 1 i 3–5 oraz art. 15–18. Z art. 43 ust. 1 pkt 3 ustawy wynika, że z obowiązku rejestracji zbiorów danych zwolnieni są administratorzy danych dotyczących osób należących do kościoła lub innego związku wyznaniowego, o uregulowanej sytuacji prawnej, przetwarzanych na potrzeby tego kościoła lub związku wyznaniowego.

Innymi słowy w odniesieniu do danych dotyczących osób należących do kościoła lub innego związku wyznaniowego, o uregulowanej sytuacji prawnej, przetwarzanych na potrzeby tego kościoła lub związku wyznaniowego Generalny Inspektor Ochrony Danych Osobowych nie posiada prawa do wydawania decyzji administracyjnych i rozpatrywania skarg w sprawach wykonania przepisów o ochronie danych osobowych, wstępu, w godzinach od 600 do 2200, za okazaniem imiennego upoważnienia i legitymacji służbowej, do pomieszczenia, w którym zlokalizowany jest zbiór danych, oraz pomieszczenia, w którym przetwarzane są dane poza zbiorem danych, i przeprowadzenia niezbędnych badań lub innych czynności kontrolnych, wglądu do wszelkich dokumentów i wszelkich danych mających bezpośredni związek z przedmiotem kontroli oraz sporządzania ich kopii, przeprowadzania oględzin urządzeń, nośników oraz systemów informatycznych służących do przetwarzania danych, zlecania sporządzania ekspertyz i opinii.

W tym miejscu należy podkreślić, że opisane wyżej wyłączenie uprawnień GIODO dotyczy tylko danych osób należących do kościoła lub innego związku wyznaniowego, przetwarzanych na potrzeby tego kościoła. Oznacza to, że w przypadku gdy są to dane inne niż określone w art. 43 ust. 1 pkt 3 ustawa o ochronie danych osobowych znajduje do nich pełne zastosowanie.

Umorzenie postępowania z uwagi na jego bezprzedmiotowość byłoby prawidłowe gdyby strona była członkiem kościoła, a jej dane byłyby przetwarzane na potrzeby tego kościoła. W rozpoznawanej sprawie sytuacja jest jednak odmienna.

Z. K. wystąpił z kościoła katolickiego i jest to fakt bezsporny, skoro z pisma proboszcza Parafii Rzymsko-Katolickiej NMP Królowej Polski w O. z dnia 15 maja 2010 r. wynika, że ww. nie figuruje w kartotekach parafialnych. W takim przypadku dane osobowe skarżącego nie są danymi osoby należącej do kościoła i wyłączenie uprawnień GIODO, o jakim mowa w art. 43 ust. 2 ustawy o ochronie danych osobowych nie ma miejsca. To z kolei oznacza, że nie było podstaw do umorzenia postępowania jako bezprzedmiotowego, z powołaniem się na art. 43 ust. 2 ustawy.

Przepis art. 43 ust. 2 w zw. z art. 43 ust. 1 pkt 3 ustawy o ochronie danych osobowych zapewnia realizację wynikających z art. 25 ust. 3, art. 47 i art. 53 ust. 1 Konstytucji RP zasad stanowiących, że stosunki między państwem a kościołami i innymi związkami wyznaniowymi są kształtowane na zasadach poszanowania ich autonomii oraz wzajemnej niezależności każdego w swoim zakresie, jak również współdziałania dla dobra człowieka i dobra wspólnego, że każdemu zapewnia się wolność sumienia i religii oraz że każdy ma prawo do ochrony prawnej życia prywatnego, rodzinnego, czci i dobrego imienia oraz do decydowania o swoim życiu osobistym. W ramach autonomii kościoła państwo nie może władczo wkraczać w proces przetwarzania na potrzeby kościoła danych osobowych osób należących do kościoła.

Państwo ma natomiast prawo i obowiązek chronić dane osób nienależących do kościoła, jeżeli są one przetwarzane niezgodnie z przepisami ustawy o ochronie danych osobowych.

W myśl art. 27 ust. 1 ustawy zabrania się przetwarzania danych ujawniających pochodzenie rasowe lub etniczne, poglądy polityczne, przekonania religijne lub filozoficzne, przynależność wyznaniową, partyjną lub związkową, jak również danych o stanie zdrowia, kodzie genetycznym, nałogach lub życiu seksualnym oraz danych dotyczących skazań, orzeczeń o ukaraniu i mandatów karnych, a także innych orzeczeń wydanych w postępowaniu sądowym lub administracyjnym. Wyrażony w cytowanym przepisie bezwzględny zakaz przetwarzania danych wrażliwych doznaje ograniczeń w zakresie określonym w ust. 2 pkt 4 art. 27 ustawy, zgodnie z którym przetwarzanie danych jest jednak dopuszczalne gdy jest to niezbędne do wykonania statutowych zadań kościołów i innych związków wyznaniowych, stowarzyszeń, fundacji lub innych niezarobkowych organizacji lub instytucji o celach politycznych, naukowych, religijnych, filozoficznych lub związkowych, pod warunkiem, że przetwarzanie danych dotyczy wyłącznie członków tych organizacji lub instytucji albo osób utrzymujących z nimi stałe kontakty w związku z ich działalnością i zapewnione są pełne gwarancje ochrony przetwarzanych danych.

Powyższe uregulowanie stwarza dodatkowe gwarancje ochrony przez państwo danych osobowych osób niebędących członkami kościoła.

Z tych wszystkich względów, zarzuty skargi kasacyjnej uznać należy za usprawiedliwione. Jeżeli zatem przyjąć, że dane osobowe skarżącego są chronione zgodnie z przepisami ustawy o ochronie danych osobowych uzasadnione jest uznanie, że w sprawie mamy do czynienia z bezprzedmiotowością postępowania.

Mając wszystko to na uwadze Naczelny Sąd Administracyjny na podstawie art. 185 § 1 p.p.s.a. orzekł jak w sentencji. Podstawą orzeczenia o kosztach był przepis art. 203 p.p.s.a.