Centralna Baza Orzeczeń Sądów Administracyjnych

Naczelny Sąd Administracyjny w składzie: Przewodniczący: Sędzia NSA Zbigniew Ślusarczyk Sędziowie Sędzia NSA Tamara Dziełakowska (spr.) Sędzia NSA Olga Żurawska - Matusiak po rozpoznaniu w dniu 14 lipca 2022 r. na posiedzeniu niejawnym w Izbie Ogólnoadministracyjnej skargi kasacyjnej L. L. od wyroku Wojewódzkiego Sądu Administracyjnego w Warszawie z dnia 30 stycznia 2020 r. sygn. akt II SA/Wa 1773/19 w sprawie ze skargi L. L. na postanowienie Prezesa Urzędu Ochrony Danych Osobowych z dnia 26 czerwca 2019 r. nr ZWOS/POST-50/2019 w przedmiocie odmowy wszczęcia postępowania oddala skargę kasacyjną.

Zaskarżonym wyrokiem z 30 stycznia 2020 r. Wojewódzki Sąd Administracyjny w Warszawie (sygn. akt II SA/Wa 1773/19) oddalił skargę L. L. na postanowienie Prezesa Urzędu Ochrony Danych Osobowych z 26 czerwca 2019 r. w przedmiocie odmowy wszczęcia postępowania.

W uzasadnieniu powyższego wyroku Sąd pierwszej instancji wskazał, że L. L. złożył do Urzędu Ochrony Danych Osobowych skargę na Rzymskokatolicką Parafię [...] w R. oraz Parafię Rzymskokatolicką [...] w R. w sprawie przetwarzania jego danych osobowych. Pismem z 17 sierpnia 2018 r. skarżący zwrócił się do ww. Parafii o udzielenie informacji co do przetwarzania jego danych osobowych, sposobie przechowywania i zabezpieczenia, a także o przesłanie kopii danych. Od wskazanych podmiotów uzyskał żądane informacje i w związku z tym zażądał usunięcia wszystkich jego danych z wszelkich posiadanych rejestrów.

Postanowieniem z 26 czerwca 2019 r. Prezes Urzędu Ochrony Danych Osobowych na podstawie art. 61 a § 1 K.p.a. w zw. z art. 7 ust. 1 ustawy z 10 maja 2018 r. o ochronie danych osobowych (Dz. U. z 2018 r., poz. 1000 ze zm.) i w zw. z art. 91 Rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) (Dz. Urz. UE L 119 z 04.05.2016, str. 1, z późn. zm. - zwanym dalej RODO) odmówił wszczęcia postępowania w sprawie.

W uzasadnieniu powyższego postanowienia organ stwierdził, że w dniu 25 maja 2018 r. weszła w życie ustawa z 10 maja 2018 r. o ochronie danych osobowych (Dz. U. z 2018 r., poz. 1000 ze zm.). Od dnia 25 maja 2018 r., bezpośrednie zastosowanie w polskim porządku prawnym mają przepisy rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (Dz. Urz. UE L 119 z 04.05.2016 z późn. zm.) (art. 99 RODO). Wskazując na art. 91 ust. 1 i 2 RODO oraz wydany 13 marca 2018 r. przez Konferencję Episkopatu Polski "Dekret ogólny w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych w Kościele katolickim", organ zaznaczył, że w Dekrecie tym przewidziano powołanie Kościelnego Inspektora Ochrony Danych oraz określono jego zadania i uprawnienia. Dekret został zatwierdzony 22 marca 2018 r. przez Stolicę Apostolską (uzyskał recognitio Kongregacji ds. Biskupów), zaś 30 kwietnia 2018 r. nastąpiła jego prawna promulgacja (ogłoszenie) poprzez zamieszczenie na oficjalnej stronie internetowej Konferencji Episkopatu Polski. W tym samym dniu Dekret wszedł w życie. Wskazując następnie na osobę Kościelnego Inspektora Ochrony Danych oraz powierzone mu zadania określone w art. 37 ust. 1 pkt 1, 3 i 5 ww. Dekretu oraz na art. 52 ust. 1 RODO, organ uznał, że nie jest kompetentny do rozpatrzenia i rozstrzygnięcia skargi dotyczącej przetwarzania danych osobowych w zakresie objętym kompetencjami Kościelnego Inspektora Ochrony Danych.

Skargę na powyższe postanowienie wniósł L. L., zarzucając mu rażącą obrazę przepisów prawa materialnego, tj. art. 91 ust. 1 w zw. z art. 99 ust. 1 i ust 2 RODO. Zdaniem skarżącego Kościół Katolicki spóźnił się z wprowadzeniem wewnętrznych przepisów o prawie dwa lata.

W odpowiedzi na skargę organ wniósł o jej oddalenie.

Oddalając powyższą skargę na podstawie art. 151 ustawy z 30 sierpnia 2002 r. Prawo o postępowaniu przed sądami administracyjnymi (tekst jedn. Dz. U. z 2019 r., poz. 2325 ze zm. – zwanej dalej P.p.s.a.), Wojewódzki Sąd Administracyjny w Warszawie uznał, że wydając zaskarżone postanowienie organ prawidłowo zastosował przepisy art. 61a § 1 K.p.a. w związku z art. 7 ust. 1 ustawy z 10 maja 2018 r. o ochronie danych osobowych, przyjmując, że w świetle regulacji prawnych wyrażonych w art. 91 RODO, nie posiada uprawnień do rozpatrywania sprawy dotyczącej przetwarzania danych osobowych w bazach danych prowadzonych w ramach struktur Kościoła Katolickiego.

Jak wyjaśnił Sąd pierwszej instancji, 25 maja 2018 r. weszła w życie ustawa z 10 maja 2018 r. o ochronie danych osobowych oraz bezpośrednie zastosowanie w polskim porządku prawnym mają przepisy rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (RODO). Stosownie do art. 99 ust. 1 RODO, weszło ono w życie dwudziestego dnia po publikacji w Dzienniku Urzędowym Unii Europejskiej, która miała miejsce 4 maja 2016 r. (Dz.U.UE.L.2016.119.1). Natomiast zastosowanie w państwach członkowskich wspomniane rozporządzenie ma od dnia 25 maja 2018 r. (art. 99 ust. 2 RODO).

Odwołując się następnie do art. 51 ust. 1 RODO, art. 34 ust. 1 ustawy z 10 maja 2018 r. o ochronie danych osobowych oraz art. 91 ust. 1 i 2 RODO, Sąd pierwszej instancji wyjaśnił, że Konferencja Episkopatu Polski 13 marca 2018 r. wydała "Dekret ogólny w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych w Kościele katolickim" (Dekret), w którym prawodawca kościelny wziął po uwagę zarówno zasady ochrony osób fizycznych w związku z przetwarzaniem ich danych osobowych stosowane dotychczas w Kościele Katolickim w Polsce, jak też "konieczność pogodzenia ochrony danych osobowych z korzystaniem z podstawowego prawa do wolności religijnej, zagwarantowanego również w prawie pozytywnym, także w jego wymiarze instytucjonalnym". Regulacje zawarte w Dekrecie stanowią uszczegółowienie przepisów kanonicznego prawa powszechnego oraz uaktualnienie przepisów kanonicznego prawa partykularnego. W Dekrecie przewidziano też powołanie Kościelnego Inspektora Ochrony Danych oraz określono jego zadania i uprawnienia (Rozdz. V Dekretu). 22 marca 2018 r. Dekret został zatwierdzony przez Stolicę Apostolską (uzyskał recognitio Kongregacji ds. Biskupów), zaś 30 kwietnia 2018 r. nastąpiła jego prawna promulgacja poprzez zamieszczenie na oficjalnej stronie internetowej Konferencji Episkopatu Polski. W tym samym dniu Dekret wszedł w życie (art. 44 Dekretu). Zadania Kościelnego Inspektora Ochrony Danych określono m. in. w art. 37 ust. 1, 3 i 5 Dekretu.

Nadto Sąd pierwszej instancji podkreślił, że Kościół Rzymskokatolicki jest instytucją o uregulowanej sytuacji prawnej, unormowanej m.in. w Konstytucji RP, w umowie międzynarodowej, jaką jest Konkordat między Stolicą Apostolską a Rzecząpospolitą Polską podpisany w Warszawie dnia 28 lipca 1993 r. (Dz. U. z 1998 r. Nr 51, poz. 318) i w ustawach, w tym ustawie z 17 maja 1989 r. o stosunku Państwa do Kościoła Katolickiego w Rzeczypospolitej Polskiej (Dz. U. z 2013 r. poz. 1169 ze zm.), w art. 2.

Ponieważ – zgodnie z art. 52 ust. 1 RODO – każdy organ nadzorczy podczas wypełniania swoich zadań i wykonywania swoich uprawnień zgodnie z niniejszym rozporządzeniem działa w sposób w pełni niezależny, tak jak czyni to w oparciu o powołane wyżej regulacje prawne Kościelny Inspektor Ochrony Danych, organ nie jest kompetentny do rozpatrzenia i rozstrzygnięcia skargi dotyczącej przetwarzania danych osobowych skarżącego w zakresie objętym kompetencjami ww. Inspektora.

Jako niezasadne ocenił Sąd pierwszej instancji stanowisko skarżącego, że Kościół Katolicki spóźnił się z wprowadzeniem wewnętrznych przepisów o prawie dwa lata. Dekret regulujący kwestie przetwarzania danych osobowych w Kościele katolickim wszedł w życie 30 kwietnia 2018 r., a zatem jeszcze przed okresem obowiązywania w naszym kraju regulacji wprowadzonych przez RODO, które umożliwiają kościołom i związkom lub wspólnotom wyznaniowym stosowanie szczegółowych zasad ochrony osób fizycznych w związku z przetwarzaniem danych osobowych. Proces stosowania ww. zasad objęty jest nadzorem niezależnego organu nadzorczego, który może być organem odrębnym, z zastrzeżeniem, że spełnia warunki określone w rozdziale VI RODO. W Polsce funkcję takiego organu nadzoru pełni Kościelny Inspektor Ochrony Danych.

Skargę kasacyjną od powyższego wyroku złożył L. L., zaskarżając go w całości i zarzucając mu:

- naruszenie prawa materialnego, tj.:

1. rażącą obrazę przepisów prawa materialnego: art. 51 ust 1. - 4 w związku z art. 77 w związku z art. 78 i w związku z art. 91 ust. 1 - 2 w związku z art. 99 ust. 1—2 Rozporządzenia Parlamentu Europejskiego i Rady (UE) z 27 kwietnia 2016 roku w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) (RODO) poprzez ich błędną wykładnię i niezastosowanie;

2. art. 51 ust. 1 w zw. z art. 51 ust. 2 oraz art. 52 ust. 1, 4, 5 i 6 RODO poprzez błędną jego wykładnię polegającą na uznaniu, że za niezależny publiczny organ nadzorczy w rozumieniu art. 51 ust. 1 RODO może być uznana osoba fizyczna (w tym przypadku p.o. KIODO), która nie jest organem publicznym, nie dysponuje zapewnianymi przez państwo członkowskie zasobami kadrowymi, technicznymi i finansowymi, pomieszczeniami i infrastrukturą niezbędnymi do skutecznego wypełniania swoich zadań i wykonywania swoich uprawnień, nie podlega państwowej kontroli finansowej oraz nie dysponuje odrębnym, publicznym budżetem rocznym, który może być częścią ogólnego budżetu państwowego lub krajowego, podczas gdy RODO jednoznacznie stanowi w art. 51 ust. 1, że niezależnym organem nadzorczym może być wyłącznie "niezależny organ publiczny ", który zgodnie z art. 52 ust. 1, 4, 5 i 6 RODO dysponuje zapewnianymi przez państwo członkowskie wskazanymi środkami, personelem i budżetem;

3. art. 54 ust. 1 lit. a RODO poprzez błędną jego wykładnię polegającą na przyjęciu, że niezależny publiczny organ nadzorczy może nie tylko nie być organem "publicznym", ale może także nie być ustanowiony w drodze przepisów powszechnie obowiązującego prawa przez państwo członkowskie, lecz w drodze samodzielnych i skutecznych prawnie działań jednego z podmiotów podlegających RODO (w tym uznana za skuteczną przez Sąd I instancji jakże znamienna i wprowadzająca powiew świeżości do skostniałego systemu prawnego "prawna promulgacja na stronie internetowej"), a w konsekwencji nieuprawnione uznanie osoby p.o. KIODO za niezależny organ nadzorczy w rozumieniu art. 51 ust. 1 RODO, podczas gdy RODO jednoznacznie stanowi w art. 54 ust. 1 lit. a o wymogu ustanawiania organu nadzorczego wyłącznie w drodze przepisów prawa przez państwa członkowskie, a co za tym idzie p.o. KIODO nie może być niezależnym organem nadzorczym w rozumieniu RODO;

4. art. 54 ust. 1 lit. b-f RODO poprzez błędną ich wykładnię polegającą na przyjęciu, że kwalifikacje i warunki wyboru członków organów nadzorczych, zasad i procedur ich powoływania, okresów kadencji, ponownego wyboru i zasad regulujących ich obowiązki mogą nie być ustanowione w drodze przepisów powszechnie obowiązującego prawa przez państwo członkowskie, lecz w drodze samodzielnych działań jednego z podmiotów podlegających RODO, podczas gdy RODO jednoznacznie stanowi w art. 54 ust. 1 lit. b - f o określaniu tychże kwestii w drodze przepisów prawa przez państwa członkowskie;

5. art. 77 ust. 1 RODO poprzez jego niezastosowanie i odmowę udzielenia skarżącemu ochrony prawnej w sytuacji uprzedniego (błędnego) przyjęcia zarówno przez Prezesa UODO, jak i WSA w Warszawie istnienia innego organu nadzorczego w rozumieniu art. 51 ust. 1 RODO w zakresie przetwarzania danych osobowych przez Kościół Katolicki, podczas gdy w Polsce inny organ nadzorczy niż Prezes UODO nie istnieje (nie został ustanowiony przez państwo w drodze powszechnie obowiązujących przepisów prawa), a co za tym idzie art. 77 ust. 1 RODO winien znaleźć zastosowanie, co skutkowało nieuprawnioną odmową wszczęcia postępowania przez Prezesa UODO oraz niewidzącym tego uchybienia zaskarżonym wyrokiem WSA w Warszawie;

6. art. 91 ust. 1 w zw. z art. 99 ust. 1 i 2 RODO poprzez błędną jego wykładnię polegającą na przyjęciu, że momentem wejścia RODO w życie jest data określona w art. 99 ust. 2 RODO, tj. 25 maja 2018 r., podczas gdy przepis art. 91 ust. 1 RODO jednoznacznie odwołuje się do definicji legalnej pojęcia "wejścia w życie", którą zgodnie z art. 99 ust. 1 RODO jest dzień 24 maja 216 r., co doprowadziło w konsekwencji do nieuprawnionego przyjęcia przez WSA w Warszawie spełnienia przez Kościół Katolicki przesłanki czasowej, wymaganej do możliwości stosowania szczegółowych zasad ochrony osób fizycznych w związku z przetwarzaniem ich danych osobowych;

7. art. 91 ust. 1 w zw. z art. 99 ust. 1 i 2 RODO poprzez błędną jego wykładnię polegającą na przyjęciu, że od określonej w art. 99 ust. 2 chwili zastosowania RODO możliwe jest stosowanie zasad ochrony danych osobowych, które nie są zgodne z RODO, podczas gdy przepis art. 91 ust. 1 RODO jednoznacznie stanowi, że zasady szczegółowe, o których mowa w tym przepisie, mogą być nadal stosowane po tej dacie, pod warunkiem że zostaną dostosowane do RODO - gdzie w przypadku Kościoła Katolickiego ich w chwili wejścia w życie RODO w ogóle nie było, a co za tym idzie nie istniały szczegółowe zasady mogące podlegać dostosowaniu;

8. art. 91 ust. 2 RODO poprzez błędną jego wykładnię polegającą na przyjęciu, że "organem odrębnym", o którym mowa w tym przepisie, a którego nadzorowi podlegają kościoły i związki wyznaniowe, może być p.o. KIODO, tj. podmiot inny niż niezależny publiczny organ nadzorczy, w rozumieniu art. 51 ust. 1 RODO, który spełnia warunki określone w rozdziale VI RODO, podczas gdy za niezależny nadzorczy organ odrębny może być uznany wyłącznie organ publiczny, który spełnia wszystkie warunki określone w rozdziale VI RODO, tj. odrębny od głównego organu powołanego w myśl art. 51 ust. 1 RODO, wskazującego, że "państwo członkowskie zapewnia, by za monitorowanie stosowania niniejszego rozporządzenia odpowiadał co najmniej jeden niezależny organ publiczny";

9. art. 18 ust. 2 w zw. z art. 18 ust. 1 i art. 2 ust 1 Międzynarodowego Paktu Praw Obywatelskich i Politycznych z 1966 r. ustanawiającego wolność do posiadania, zmiany, jak i przyjmowania wyznania lub przekonań według własnego wyboru, poprzez odmowę ochrony tego prawa w sytuacji, gdy Prezes UODO bezpodstawnie odmówił wszczęcia postępowania dotyczącego realizacji tego prawa przez skarżącego;

10. art. 9 ust. 1 Konwencji o Ochronie Praw Człowieka i Podstawowych Wolności z 1950 r. ustanawiającego wolność do posiadania, zmiany, jak i przyjmowania wyznania lub przekonań według własnego wyboru, poprzez odmowę ochrony tego prawa w sytuacji, gdy Prezes UODO bezpodstawnie odmówił wszczęcia postępowania dotyczącego realizacji tego prawa przez skarżącego;

11. art. 10 ust. 1 Karty Praw Podstawowych Unii Europejskiej (2016/C 202/02) ustanawiającego wolność do posiadania, zmiany, jak i przyjmowania wyznania lub przekonań według własnego wyboru, poprzez odmowę ochrony tego prawa w sytuacji, gdy Prezes UODO bezpodstawnie odmówił wszczęcia postępowania dotyczącego realizacji tego prawa przez skarżącego;

- naruszenie przepisów postępowania mające istotny wpływ na wynik sprawy, tj.:

1. art. 1 § 1 i 2 ustawy z 25 lipca 2002 r. Prawo o ustroju sądów administracyjnych (Dz.U. z 2019 r., poz. 2167), zwanej dalej "P.u.s.a.", w zw. z art. 3 § 1 i § 2 pkt 1 w zw. z art. 145 § 1 pkt 2 P.p.s.a. poprzez nieuwzględnienie skargi i brak stwierdzenia nieważności postanowienia Prezesa UODO w całości w sytuacji, gdy zachodziły przyczyny określone w art. 156 § 1 pkt 2 K.p.a., pomimo braku tego zarzutu w skardze do WSA,

2. art. 1 § 1 i 2 P.u.s.a. w zw. z art. 3 § 1 i § 2 pkt 1 w zw. z art. 145 § 1 pkt 1 lit. a P.p.s.a. poprzez nieuwzględnienie skargi i brak uchylenia postanowienia Prezesa UODO w całości w sytuacji, gdy miało miejsce naruszenie prawa materialnego przez Prezesa UODO, które miało wpływ na wynik sprawy - wskazane wyżej uchybienia prawu materialnemu,

3. art. 1 § 1 i 2 P.u.s.a. w zw. z art. 3 § 1 i § 2 pkt 1 w zw. z art. 141 § 4 P.p.s.a. poprzez wadliwe uzasadnienie skarżonego wyroku, nieodpowiadające wymogom określonym w art. 141 § 4 P.p.s.a., polegające na całkowitym braku rozpoznania i dokonania oceny prawnej zaskarżonego postanowienia Prezesa UODO, w kontekście wskazanych wyżej sprzeczności z przepisami prawa materialnego, a w szczególności podniesionego w skardze zarzutu naruszenia przez organ art. 91 RODO i legalnych definicji zawartych w RODO oraz dania temu wyrazu w uzasadnieniu skarżonego wyroku, podczas gdy sąd winien ocenić wszechstronnie kwestię prawidłowości rozstrzygnięcia administracyjnego, w tym z punktu widzenia zastosowania przepisów prawa materialnego, jak też odpowiednio to uzasadnić - czego nie uczynił;

4. art. 134 § 1 P.p.s.a. polegające na braku dokonania przez WSA w Warszawie rozstrzygnięcia w granicach sprawy, z wyjściem poza postawione w skardze zarzuty i wnioski oraz powołaną podstawę prawną, w sytuacji gdy sąd nie był nimi związany, a winien to uczynić wobec rażącego naruszenia przepisów prawa przez organ oraz niezauważenia wszystkich naruszeń przez skarżącego w skardze do Sądu I instancji;

5. art. 18 i 19 P.p.s.a. poprzez orzekanie w sprawie przez sędziów będących członkami Kościoła Rzymskokatolickiego - a więc pozostających w osobistych stosunkach z podmiotem, którego wynik niniejszej sprawy dotyczy.

Wskazując na powyższe zarzuty, skarżący wniósł o uchylenie w całości zaskarżonego wyroku i przekazanie sprawy do ponownego rozpoznania Wojewódzkiemu Sądowi Administracyjnemu w Warszawie, o rozpoznanie skargi kasacyjnej na rozprawie i zasądzenie na jego rzecz kosztów postępowania według norm prawem przepisanych.

Odpowiedź na skargę kasacyjną wniósł Prezes Urzędu Ochrony Danych Osobowych, wnosząc o jej oddalenie.

Zarządzeniem Przewodniczącej Wydziału III Izby Ogólnoadministracyjnej NSA z 13 maja 2022 r. na podstawie art. 15 zzs4 ust. 1 i 3 ustawy z 2 marca 2020 r. o szczególnych rozwiązaniach związanych z zapobieganiem, przeciwdziałaniem i zwalczaniem COVID-19, innych chorób zakaźnych oraz wywołanych nimi sytuacji kryzysowych (Dz. U. z 2020 r., poz. 1842) sprawa została skierowana na posiedzenie niejawne z uwagi na to, że przeprowadzenie rozprawy na odległość z jednoczesnym bezpośrednim przekazem obrazu i dźwięku nie jest możliwe (brak zgody wszystkich stron na przeprowadzenie rozprawy w trybie zdalnym), o czym poinformowano strony.

Naczelny Sąd Administracyjny zważył, co następuje:

Skarga kasacyjna nie zawiera usprawiedliwionych podstaw.

Oceniając wniesioną skargę kasacyjną w granicach określonych treścią art. 183 § 1 ustawy z 30 sierpnia 2002 r. Prawo o postępowaniu przed sądami administracyjnymi (tekst jedn. Dz. U. z 2022 r., poz. 329 ze zm.) i nie dostrzegając przy tym przypadków nieważności postępowania wymienionych w § 2 tego artykułu, jako niezasadny należało uznać zarzut naruszenia art. 18 i art. 19 P.p.s.a. Przede wszystkim zauważyć trzeba, że art. 18 P.p.s.a., który wymienia przesłanki wyłączenia sędziego z mocy samej ustawy nie wymienia wśród nich członkostwa sędziego w związku wyznaniowym lub innej organizacji religijnej. Z kolei art. 19 P.p.s.a. dający możliwość wyłączenia sędziego od orzekania w sprawie z uwagi na istnienie okoliczności mogących wywołać uzasadnione wątpliwości co do jego bezstronności nie był stosowany w postępowaniu przed Sądem pierwszej instancji, bowiem żaden z sędziów rozpoznających sprawę nie zgłosił takiego żądania ani takiego wniosku nie złożył skarżący. Również twierdzenia, że sędziowie będące członkami składu orzekającego są członkami Kościoła Rzymskokatolickiego są dowolne i nie znajdują swojego potwierdzenia w aktach sprawy. Kwestia ta nie mogła zresztą być przedmiotem badania Sądu kasacyjnego wobec wyraźnego brzmienia art. 53 ust. 7 Konstytucji RP, zgodnie z którym: "[n]ikt nie może być obowiązany przez organy władzy publicznej do ujawnienia swojego światopoglądu, przekonań religijnych lub wyznania". Za niedopuszczalne należy zatem uznać badanie kwestii przynależności sędziego do określonego kościoła lub związku wyznaniowego w kontekście przesłanek jego wyłączenia określonych w art. 19 P.p.s.a. Wolność sumienia i wyznawania określonych religii jest konstytucyjnym prawem każdego obywatela w tym także sędziego, ma wymiar absolutny i nie może być w jakikolwiek sposób ograniczona. Podkreślić trzeba, że sędzia będąc niezawisłym, podlega tylko Konstytucji oraz ustawom (art. 178 ust. 1 Konstytucji RP). Oznacza to, że sędzia rozpoznając daną sprawę, nie podlega żadnym naciskom i żadnym zależnościom z zewnątrz (por. postanowienie Naczelnego Sądu Administracyjnego z 15 listopada 2018 r. sygn. akt I OSK 366/18). Jak zwracano również uwagę w orzecznictwie, uzasadnioną wątpliwość mogłaby wywołać sytuacja, w której sędzia dawałby wyraz emocjonalnego zaangażowania, np. poprzez wypowiedzi czy zachowanie wskazujące na jego kierunkowe nastawienie do rozpoznania sprawy (por. postanowienia Naczelnego Sądu Administracyjnego z 31 lipca 2018 r. sygn. akt I OZ 705/18 i 23 listopada 2018 r. sygn. akt I OSK 1294/17). Na istnienie jednak takich, konkretnych okoliczności nie wskazywano w rozpoznawanej skardze kasacyjnej.

Przechodząc do oceny pozostałych zarzutów naruszenia przepisów postępowania, zauważyć należy, że część z nich została powiązana z przesłanką "rażącego naruszenia prawa", o której mowa w art. 156 § 1 pkt 2 K.p.a. (zarzut 1, 4). Autor skargi kasacyjnej nie wskazał jednak, który to przepis miałby zostać naruszony w ten kwalifikowany sposób tym bardziej, że kontrolowane postępowanie toczyło się w trybie jurysdykcyjnym (zwykłym), a nie nadzwyczajnym. Powiązanie natomiast przepisu art. 156 § 1 pkt 2 K.p.a. z art. 1 § 1 i 2 P.u.s.a. lub z art. 3 § 1, § 2 pkt 1, art. 145 § 1 pkt 2 P.p.s.a. lub art. 134 § 1 P.p.s.a. nie wskazuje w czym skarżący upatruje rażące naruszenie prawa. Powyższe przepisy, oprócz art. 134 § 1, nie mogą co do zasady stanowić samodzielnej podstawy kasacyjnej, poza sytuacją, gdy sąd przyjmie inne niż legalność kryterium kontroli zaskarżonego aktu lub innego działania administracji publicznej, uwzględniając inne dyrektywy lub stosując pozaustawowe środki (art. 1 § 1 i 2 P.u.s.a.) lub gdy sąd rozpozna sprawę inną niż sądowoadministracyjna, oceni działalność podmiotu spoza administracji publicznej lub zastosuje środki prawne nieznane przepisom ustawy (art. 3 § 1, § 2 pkt 1 P.p.s.a.). Przepis art. 145 § 1 pkt 2 P.p.s.a. jest z kolei przepisem wynikowym, odwołującym się do przesłanek nieważności z art. 156 K.p.a. lub zawartych w innych przepisach, zaś w odniesieniu do przepisu art. 134 § 1 P.p.s.a. skarżący ograniczył się jedynie do ogólnikowego wskazania, że Sąd pierwszej instancji pominął przypadek wystąpienia rażącego naruszenia prawa oraz nie rozważył "wszystkich naruszeń [wskazanych] przez Skarżącego w skardze do sądu I instancji".

Nie zasługiwał na uwzględnienie także zarzut naruszenia art. 1 § 1 i 2 P.u.s.a, w zw. z art. 3 § 1 i § 2 pkt 1 w zw. z art. 141 § 4 P.p.s.a. (zarzut 3). Uzasadnienie skarżonego wyroku zawiera bowiem wszystkie wymienione w art. 141 § 4 P.p.s.a. elementy, w tym odnosi się do zarzutu naruszenia art. 91 RODO. Prawidłowość jego zastosowania zostanie natomiast oceniona w ramach zarzutów naruszenia prawa materialnego, podobnie jak zarzutu naruszenia art. 1 § 1 i 2 P.u.s.a. w zw. z art. 3 § 1 i § 2 pkt 1 w zw. z art. 145 § 1 pkt 1 lit. a P.p.s.a. (zarzut 2), którego skuteczność jest uzależniona od prawidłowości sformułowania zarzutów prawa materialnego. Samodzielnie nie mógł on bowiem stanowić podstawy do uchylenia kontrolowanego w sprawie wyroku.

Przechodząc do oceny zarzutów naruszenia prawa materialnego, zauważyć należy, że na ich tle skarżący odniósł się do dwóch zagadnień, ujawnionych na tle okoliczności faktycznych niniejszej sprawy. Pierwsze, dotyczyło momentu wejścia w życie przepisów RODO i związaną z tym możliwością stosowania przez Kościół Katolicki szczegółowych zasad ochrony osób fizycznych w związku z przetwarzaniem danych osobowych, drugie zagadnienie dotyczyło zaś możliwości utworzenia i statusu Kościelnego Inspektora Ochrony Danych.

Analizując pierwsze zagadnienie, wskazać należy, że zgodnie z art. 91 ust. 1 RODO "[j]eżeli w państwie członkowskim w momencie wejścia niniejszego rozporządzenia w życie kościoły i związki lub wspólnoty wyznaniowe stosują szczegółowe zasady ochrony osób fizycznych w związku z przetwarzaniem, zasady takie mogą być nadal stosowane, pod warunkiem że zostaną dostosowane do niniejszego rozporządzenia". Wbrew jednak ocenie strony skarżącej, przed dniem wejścia w życie RODO w Kościele Katolickim obowiązywały w zakresie ochrony danych osobowych pewne reguły, jak chociażby w kwestii prowadzenia ksiąg parafialnych, gdzie z wykorzystaniem danych osobowych odnotowywano fakty udzielenia sakramentu chrztu, zawarcia małżeństwa czy śmierci członków danej wspólnoty religijnej. Nie istniała przy tym zasada powszechnego, nieograniczonego dostępu do tych informacji – możliwości wglądu do ksiąg czy uzyskiwania odpisów, bądź żądania dokonywania dowolnych w nich zmian. Bez znaczenia jest przy tym, czy było to efektem stosowania reguł skodyfikowanych, czy też powszechnie przyjętego prawa zwyczajowego, bowiem żadne rygory co do charakteru źródeł prawa, nie zostały zakreślone w art. 91 ust. 1 RODO. Tym niemniej zauważyć trzeba, że podstawą tych zasad były normy zawarte w prawie kanonicznym, w tym przepisy dotyczące ochrony prywatności i intymności, zawarte w Kodeksie Prawa Kanonicznego (zwłaszcza w kanonie 220). Nadto, wiele przepisów zawartych w Kodeksie prawa kanonicznego określa zasady gromadzenia i wykorzystywania danych oraz uprawnienia osób, których dane dotyczą, a więc – przetwarzania i ochrony danych, uwzględniając specyfikę kościelną. Dotyczy to również prowadzenia archiwów, przygotowania do sakramentów itp. (P. Fajgielski. Komentarz do art. 91 RODO [w:] Komentarz do rozporządzenia nr 2016/679 w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych osobowych), [w:] Ogólne rozporządzenie o ochronie danych osobowych. Ustawa o ochronie danych osobowych. Komentarz, wyd. II, LEX/el).

Tym samym warunek istnienia szczegółowych, odrębnych zasad w Kościele Katolickim – przed wejściem w życie RODO – został spełniony. Istotnym jest więc, czy zasady te zostały dostosowane do wymagań RODO. Aby odpowiedzieć na to pytanie koniecznym jest ustalenie, jak rozumieć użyte przez prawodawcę europejskiego w art. 91 ust. 1 pojęcie "dostosowanie". Czy chodzi tu o zapewnienie pełnej zgodności z postanowieniami nowego aktu prawnego (rangi rozporządzenia), bądź też czy możliwe jest – w ich ramach – ustanowienie odmiennych reguł, przy zapewnieniu ochrony danych w ogólnych obszarach zakreślonych RODO. Przy uwzględnieniu niezbędnego dla dokonywania wykładni założenia, że europejski prawodawca jest racjonalny należy opowiedzieć się za drugą z możliwości. O ile celem prawodawcy byłoby zapewnienie pełnej zgodności, ustanowienie w RODO danej regulacji szczególnej nie znajdowałby logicznego uzasadnienia. Kościoły i związki wyznaniowe podlegają bowiem – co do zasady – prawu powszechnie obowiązującemu. Wejście więc w życie regulacji na szczeblu unijnym, której postanowienia stosuje się bezpośrednio (rozporządzenie) miałoby taki skutek, że dane podmioty – jako nim bezpośrednio związane – musiałyby się do nich bezwzględnie dostosować. Jak można wnosić z treści art. 91 RODO, prawodawca unijny zamierzał jednak uwzględnić specyfikę przetwarzania danych osobowych, pozostających w związku z praktykami religijnymi i nauczaniem dogmatycznym kościołów i innych wspólnot religijnych. Uznał za zasadne więc uszanowanie ich odrębności i autonomii i dopuścił stosowanie odmiennych reguł ochrony danych osobowych, zapewniających realizację celów RODO (por. wyrok WSA w Warszawie z 16 października 2019 r. sygn. akt II SA/Wa 907/19).

Podzielając powyższy pogląd, zauważyć również trzeba, że taka wykładnia art. 91 ust. 1 RODO uwzględnia także konstytucyjną zasadę autonomii Kościoła Katolickiego zagwarantowaną Konstytucją RP, Konkordatem między Stolicą Apostolską i Rzecząpospolitą Polską oraz ustawą z 17 maja 1989 r. o stosunku Państwa do Kościoła Katolickiego w Rzeczypospolitej Polskiej (tekst jedn. Dz. U. z 2019 r., poz. 1347).

Z tego też względu bezzasadna jest argumentacja skargi kasacyjnej nawiązująca do art. 99 RODO, który w ust. 1 wskazuje moment wejścia w życie tegoż rozporządzenia, zaś w ust. 2 moment, od którego będzie miało ono zastosowanie, tj. od dnia 25 maja 2018 r. Jak wyżej wskazano, w momencie wejścia w życie RODO w Kościele Katolickim istniała regulacja dotyczącą przetwarzania danych osobowych, przede wszystkim w Kodeksie Prawa Kanonicznego, którą Kościół Katolicki w terminie określonym w art. 91 ust. 1 RODO dostosował do przepisów wynikających z RODO - Dekret ogólny w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych w Kościele katolickim, wydany przez Konferencję Episkopatu Polski, w dniu 13 marca 2018 r., podczas 378. Zebrania Plenarnego w Warszawie, na podstawie kan. 455 Kodeksu Prawa Kanonicznego, w związku z art. 18 Statutu KEP, po uzyskaniu specjalnego zezwolenia Stolicy Apostolskiej z dnia 3 czerwca 2017 r. Na marginesie wskazać jedynie należy, że poza zakresem oceny Sądu pozostaje podnoszona w skardze kasacyjnej ocena i sposób jego promulgacji, która pozostaje sprawą wewnętrzną Kościoła Katolickiego, wynikającą z przyznanego mu prawa do samoorganizacji i samorządności.

Z przyczyn powyżej wskazanych niezasadne okazały się być zarzuty naruszenia art. 51 ust. 1 – 4 w związku z art. 77, art. 78, art. 91 ust. 1 – 2 i art. 99 ust. 1 – 2 RODO (zarzut 1), art. 91 ust. 1 w związku z art. 99 ust. 1 i 2 RODO (zarzut 6 i 7).

Przechodząc do oceny drugiego zagadnienia ujawnionego w niniejszej skardze kasacyjnej, zauważyć należy, że art. 91 ust. 2 RODO przewidział możliwość powołania przez Kościoły i związki wyznaniowe w ramach nadzoru niezależnego organu nadzorczego, który może być organem odrębnym, z zastrzeżeniem że spełnia warunki określone w rozdziale VI rozporządzenia. Jak zwraca się uwagę w literaturze, taki organ odrębny musi zapewniać możliwie zbliżony standard ochrony do organu państwowego i cechować się niezależnością, zachowaniem tajemnicy (art. 52 ust. 4 RODO), wykonywać zadania i realizować uprawnienia określone w RODO. Realizacji tych celów służą wymogi co do kwalifikacji członka organu, jego niezależności, odpowiedniego wyposażenia personalnego i organizacyjnego. Regulacja RODO nie pozwala natomiast oczekiwać, że ukształtowanie organu nadzorczego państwowego i kościelnego będą takie same. Różnice są możliwe także pomiędzy poszczególnymi organami odrębnymi (B. Łukańko. Kościelne modele ochrony danych osobowych. Wolters Kluwer Polska sp. z o. o., Warszawa 2019 r., str. 222 – 224).

Nie jest zatem tak, jak się stwierdza w skardze kasacyjnej, że w świetle art. 91 ust. 2 RODO odrębnym, niezależnym organem nadzorczym może być uznany wyłącznie organ publiczny, który spełnia warunki określone w rozdziale VI RODO. Pozostawiona Kościołowi Katolickiemu autonomia w sprawach organizacyjnych, w tym przetwarzania danych osobowych jego członka daje mu również uprawnienie do powołania w ramach własnej struktury organu ochrony danych osobowych, w tym przypadku Kościelnego Inspektora Ochrony Danych, aczkolwiek przyjęte w tym zakresie regulacje prawa wewnętrznego powinny zawierać gwarancje niezależności odpowiadające założeniom przyjętym w art. 52 RODO. Organ nadzorczy może zatem być umiejscowiony w strukturze kościoła, aczkolwiek musi mieć obowiązek składania sprawozdania oraz zapewnione odpowiednie wyposażenie organizacyjne i prawo do swobodnego doboru personalnego. W tym zakresie przepisy Kościoła Katolickiego zawarte w ww. Dekrecie zawierają stosowne regulacje zawarte w art. 33, art. 39.

Z tych też przyczyn niezasadne okazały się być zarzuty naruszenia art. 91 ust. 2 RODO (zarzut 8), art. 77 ust. 1 RODO (zarzut 5), art. 51 ust. 1 w związku z art. 51 ust. 2 oraz art. 52 ust. 1, 4, 5 i RODO (zarzut 2) oraz art. 54 ust. 1 lit. a i b – f RODO (zarzut 3 i 4). Odnośnie do tego ostatniego, podkreślić trzeba raz jeszcze, że tryb działania, sposób powołania lub odwołania Kościelnego Inspektora Ochrony Danych nie musi mieć podstawy wynikającej z prawa powszechnie obowiązującego i może wynikać z prawa wewnętrznego Kościoła Katolickiego pod warunkiem zachowania wymogów rozdziału VI, a więc również art. 54 RODO. W nawiązaniu do argumentacji skargi kasacyjnej odnośnie kwestionowania niezależności osoby będącej piastunem organu Kościelnego Inspektora Ochrony Danych z uwagi na bycie księdzem i związane z tym normy Prawa Kanonicznego, w tym regułę posłuszeństwa, zauważyć należy, że kanon 145 § 2 stanowi, że "[o]bowiązki i prawa właściwe każdemu urzędowi kościelnemu są określane albo samym prawem, którym urząd ustanowiono, albo dekretem kompetentnej władzy, którym jest on równocześnie ustanowiony i nadany". Z kolei, w myśl art. 35 ust. 1 zd. 2 ww. Dekretu: "Kościelny inspektor ochrony danych w zakresie wykonywania swoich zadań nadzorczych nie podlega poleceniom innych podmiotów". Zgodnie z art. 35 ust. 2 Dekretu: "Funkcja Kościelnego Inspektora Ochrony Danych jest urzędem w rozumieniu kan. 145 Kodeksu Prawa Kanonicznego". Z powyższego wynika zatem, że "prawem" w rozumieniu Kodeksu, przypisanym do danego urzędu, jest brak podporządkowania inspektora ochrony danych, przy wykonywaniu związanych z tym czynności, poleceniom podmiotów zewnętrznych. Tym samym Kościelny Inspektor Ochrony Danych ma zapewnione prawne regulacje gwarantujące mu niezależność, przy sprawowaniu swojej funkcji. Ocena kwalifikacji moralnych czy sposób sprawowania tego stanowiska przez konkretną osobę wykracza poza granice kontroli kasacyjnej niniejszej sprawy już chociażby z tego względu, że przedmiotem oceny sądowej było postanowienie o odmowie wszczęcia postępowania przez Prezesa Urzędu Danych Osobowych. Skarżący nie zdołał zaś podważyć prawidłowej oceny Sądu pierwszej instancji, że Prezes Urzędu Ochrony Danych Osobowych nie jest kompetentny do rozpatrzenia i rozstrzygnięcia skargi dotyczącej przetwarzania danych osobowych skarżącego w zakresie objętym kompetencjami Kościelnego Inspektora Ochrony Danych.

Sąd rozpoznający niniejszą skargę kasacyjną nie dopatrzył się również naruszenia w okolicznościach niniejszej sprawy prawa do wolności myśli, sumienia i wyznania (art. 18 Międzynarodowego Paktu Praw Obywatelskich i Politycznych z 1966 r. - zarzut 9; art. 9 ust. 1 Konwencji o ochronie praw człowieka i podstawowych wolności z 1950 r. - zarzut 10; art. 10 ust. 1 Karty praw podstawowych Unii Europejskiej – zarzut 11). Swoboda posiadania i kształtowania wybranego przez siebie wyznania czy przekonania ma charakter autonomiczny i zależy od woli jednostki. Przynależność do kościoła ma charakter dowolny, a zatem musi również istnieć możliwość wystąpienia z tej wspólnoty. Zauważyć należy, że w przypadku Konwencji o ochronie praw człowieka i podstawowych wolności jednocześnie ta sama regulacja art. 9 Konwencji zapewnia grupie wyznaniowej autonomię, polegającą na samodzielnym organizowaniu swojego funkcjonowania i form integracji wiernych. Autonomia ta obejmuje w szczególności prawo do: ustalania doktryny (kanonów religijnych), swobody grupy wyznaniowej decydowania o swoim składzie, swobody podejmowania aktów dotyczących praw i statusu wiernych (Konwencja o Ochronie Praw Człowieka i Podstawowych Wolności, Tom I, Komentarz do art. 1-18 pod redakcją prof. Leszka Garlickiego str. 556-583). W odniesieniu do relacji Kościół – Państwo autonomia ta oznacza zakaz ingerencji władz publicznych w swobodę posiadania i kształtowania wyznania i obejmuje zakaz państwowego określania, jakie mają być przekonania i wierzenia obywateli oraz nakładania publicznych sankcji za przynależność do określonej religii czy światopoglądu, zakaz narzucania jedynie słusznego poglądu (por. wyrok Naczelnego Sądu Administracyjnego z 6 marca 2019 r. sygn. akt I OSK 1294/17). Jak z kolei zwracał uwagę Europejski Trybunał Praw Człowieka w Strasburgu w wyroku z 12 czerwca 2014 r. 56030/07 w sprawie Martinez vs. Hiszpania (www.echr.coe.int), zasada autonomii wyznaniowej uniemożliwia Państwu zobowiązanie wspólnoty wyznaniowej do dopuszczenia lub wykluczenia osoby lub powierzenia danej osobie konkretnego obowiązku religijnego. W wyroku tym Trybunał przypomniał również że regularnie w swoim orzecznictwie podkreślał rolę Państwa jako neutralnego i bezstronnego organizatora praktykowania różnych religii, wyznań i przekonań, oraz wskazywał, iż rola ta ma charakter przewodni dla porządku publicznego, harmonii religijnej i tolerancji w demokratycznym społeczeństwie, zwłaszcza pomiędzy grupami będącymi do siebie w opozycji.

Mając powyższe na uwadze, Naczelny Sąd Administracyjny na podstawie art. 184 P.p.s.a. orzekł o oddaleniu skargi kasacyjnej.

Sprawę rozpoznano na posiedzeniu niejawnym w składzie trzech sędziów na podstawie art. 15zzs4 ust. 1 - 3 ustawy z dnia 2 marca 2020 r. o szczególnych rozwiązaniach związanych z zapobieganiem, przeciwdziałaniem i zwalczaniem COVID-19, innych chorób zakaźnych oraz wywołanych nimi sytuacji kryzysowych (Dz. U. poz. 374 ze zm.), w brzmieniu nadanym przez art. 4 pkt 3 ustawy z dnia 28 maja 2021 r. o zmianie ustawy - Kodeks postępowania cywilnego oraz niektórych innych ustaw (Dz. U. z 2021 r., poz. 1090). Zgodnie z ww. regulacją "[w] okresie obowiązywania stanu zagrożenia epidemicznego albo stanu epidemii ogłoszonego z powodu COVID-19 oraz w ciągu roku od odwołania ostatniego z nich Naczelny Sąd Administracyjny nie jest związany żądaniem strony o przeprowadzenie rozprawy (...)", w okresie tym "wojewódzkie sądy administracyjne oraz Naczelny Sąd Administracyjny przeprowadzają rozprawę przy użyciu urządzeń technicznych umożliwiających przeprowadzenie jej na odległość z jednoczesnym przekazem obrazu i dźwięku, z tym że osoby w niej uczestniczące nie muszą przebywać w budynku sądu". Stosownie do ustępu 3 ww. artykułu "[p]rzewodniczący może zarządzić przeprowadzenie posiedzenia niejawnego, jeżeli uzna rozpoznanie sprawy za konieczne, a nie można przeprowadzić jej na odległość z jednoczesnym bezpośrednim przekazem obrazu i dźwięku". W ocenie Naczelnego Sądu Administracyjnego rozpoznanie sprawy było konieczne z uwagi na długość toczącego się postępowania sądowego. Nadto ze względów technicznych nie jest możliwe we wszystkich sprawach, w których nie zrzeczono się rozprawy, przeprowadzenie jej na odległość z jednoczesnym bezpośrednim przekazem obrazu i dźwięku. W tej szczególnej sytuacji rozpoznanie skargi kasacyjnej na posiedzeniu niejawnym było w ocenie NSA rozsądnym kompromisem pomiędzy prawem stron do jawnego rozpoznania sprawy, a prawem do rozpoznania sprawy bez nieuzasadnionej zwłoki (art. 45 Konstytucji RP) oraz zasadą proporcjonalności, z której wynika możliwość ograniczenia konstytucyjnych praw z uwagi na konieczność ochrony zdrowia. Strony uprzedzono o takim trybie rozpoznania sprawy i umożliwiono im zajęcie ostatecznego stanowiska w sprawie pisemnie.