Centralna Baza Orzeczeń Sądów Administracyjnych

Naczelny Sąd Administracyjny w składzie: Przewodniczący: sędzia NSA Przemysław Szustakiewicz Sędziowie: sędzia NSA Olga Żurawska-Matusiak sędzia del. WSA Maciej Kobak (spr.) Protokolant asystent sędziego Anna Krupa po rozpoznaniu w dniu 28 maja 2025 r. na rozprawie w Izbie Ogólnoadministracyjnej skargi kasacyjnej J. G. od wyroku Wojewódzkiego Sądu Administracyjnego w Warszawie z dnia 8 grudnia 2021 r. sygn. akt II SA/Wa 3437/21 w sprawie ze skargi J. G. na postanowienie Prezesa Urzędu Ochrony Danych Osobowych z dnia 20 lipca 2021 r. nr DS.523.4191.2021.WP.MK.132122 w przedmiocie odmowy wszczęcia postępowania administracyjnego oddala skargę kasacyjną.

Wyrokiem z dnia 8 grudnia 2021 r. sygn. akt II SA/Wa 3437/21 Wojewódzki Sąd Administracyjny w Warszawie oddalił skargę J. G.(dalej: "skarżąca") na postanowienie Prezesa Urzędu Ochrony Danych Osobowych (dalej: "organ") z dnia 20 lipca 2021 r. nr DS.523.4191.2021.WP.MK.132122 w przedmiocie odmowy wszczęcia postępowania administracyjnego.

Powyższy wyrok został wydany w następujących okolicznościach faktycznych i prawnych sprawy.

W dniu 9 listopada 2020 r. skarżąca zwróciła się do proboszcza Parafii (...) w I. z siedzibą w (...) (dalej: "Parafia") z wnioskiem o zrealizowanie wobec niej obowiązku informacyjnego polegającego na odpowiedzi na pytania dotyczące zakresu i sposobu przetwarzania jej danych osobowych przez Parafię. Ponadto, skarżąca wniosła o przesłanie pełnej kopii przetwarzanych przez Parafię jej danych osobowych oraz usunięcie ich ze wszystkich rejestrów prowadzonych przez Parafię.

W piśmie z 26 stycznia 2021 r., proboszcz Parafii wskazał, że z prowadzonych rejestrów zostały usunięte dane osobowe skarżącej, z pominięciem tych, do których przetwarzania potrzebna jest zgoda biskupa.

Na skutek powyższego dnia 8 lipca 2021 r. skarżąca wniosła skargę do organu.

Wydając powołane na wstępie postanowienie organ uznał, iż nie jest uprawniony do rozpatrzenia i rozstrzygnięcia skargi, gdyż dotyczy ona przetwarzania danych osobowych skarżącej w rejestrach prowadzonych przez parafię Kościoła Katolickiego, a zatem w zakresie objętym kompetencjami Kościelnego Inspektora Ochrony Danych.

W związku z odmową wszczęcia postępowania administracyjnego, skarżąca złożyła skargę do Wojewódzkiego Sądu Administracyjnego w Warszawie.

W odpowiedzi na skargę organ wniósł o jej oddalenie w całości.

Opisanym na wstępie wyrokiem WSA w Warszawie oddalił skargę. Sąd podniósł że Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (Dz.U.UE.L.2016.119, str. 1 ze zm., dalej: "RODO") zostało przyjęte 27 kwietnia 2016 r. W momencie wejścia w życie (od dnia 25 maja 2018 r.), po dwuletnim okresie przejściowym, zaczęło obowiązywać w krajach członkowskich Unii Europejskiej bezpośrednio, bez potrzeby wydawania aktów prawnych wdrażających je do porządku krajowego. Stosownie bowiem do przepisu art. 99 ust. 1 RODO, wchodzi ono w życie dwudziestego dnia po publikacji w Dzienniku Urzędowym Unii Europejskiej, która miała miejsce w dniu 4 maja 2016 r. (Dz. U. UE.L2016.119.1). Zastosowanie w państwach członkowskich wspomnianego rozporządzenie następuje natomiast od dnia 25 maja 2018 r. (art. 99 ust. 2 RODO).

Sąd pierwszej instancji powołując się na art. 91 RODO wskazał, że Kościoły i związki wyznaniowe, które stosują szczegółowe zasady ochrony osób fizycznych w związku z przetwarzaniem danych osobowych, podlegają nadzorowi niezależnego organu nadzorczego, który może być organem odrębnym od Prezesa Urzędu, z zastrzeżeniem by spełniał on warunki określone w rozdziale VI RODO. Kościół Katolicki, Dekretem ogólnym z 13 marca 2018 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych w Kościele Katolickim (akt konferencji Episkopatu Polski nr 30/2018, dalej: "Dekret") wydanym przez Konferencję Episkopatu Polski, powołał Kościelnego Inspektora Ochrony Danych (dalej: "KIOD"). W dniu 22 marca 2018 r. ww. Dekret został zatwierdzony przez Stolicę Apostolską (uzyskał recognitio Kongregacji ds. Biskupów), zaś 30 kwietnia 2018 r. nastąpiła jego prawna promulgacja poprzez zamieszczenie na oficjalnej stronie internetowej Konferencji Episkopatu Polski. W tym samym dniu Dekret wszedł w życie (art. 44 ww. Dekretu).

Niezależność KIOD określona została w art. 35 rozdział V Dekretu. Artykuł 41 Dekretu zawiera procedurę odwoławczą, która wskazuje na możliwość wniesienia skargi do KIOD, a następnie do właściwej dykasterii Stolicy Apostolskiej, zgodnie z przepisami Kodeksu Prawa Kanonicznego.

W uzasadnieniu wyroku podkreślono, że ponieważ zgodnie z art. 52 ust. 1 RODO - każdy organ nadzorczy podczas wypełniania swoich zadań i wykonywania swoich uprawnień zgodnie z niniejszym rozporządzeniem działa w sposób w pełni niezależny, tak jak czyni to w oparciu o powołane wyżej regulacje prawne Kościelny Inspektor Ochrony Danych, organ nie jest kompetentny do rozpatrzenia i rozstrzygnięcia skargi dotyczącej przetwarzania danych osobowych skarżącej w zakresie objętym kompetencjami Kościelnego Inspektora Ochrony Danych.

Skargę kasacyjną od powyższego wyroku wniosła skarżąca, kwestionując go w całości i zarzucając naruszenie:

1) prawa materialnego, tj.:

a) art. 91 ust. 1 w zw. z art. 99 ust. 1 i 2 RODO poprzez błędną wykładnię polegającą na przyjęciu, że datą wejścia w życie RODO jest dzień 25 maja 2018 r., podczas gdy z niniejszych przepisów jednoznacznie wynika, iż jest to dzień 24 maja 2016 r, a w konsekwencji na przyjęciu, że Kościół Katolicki spełnił określony w art. 91 ust. 1 RODO warunek stosowania szczegółowych zasad ochrony osób fizycznych w związku z przetwarzaniem w momencie wejścia w życie RODO, tj. w dniu 24 maja 2016 r., podczas gdy zasady ochrony osób fizycznych w związku z przetwarzaniem stosowane są przez Kościół Katolicki od dnia 30 kwietnia 2018 r. oraz mają charakter fragmentaryczny, a ponadto poprzez przyjęcie, że zasady te zostały dostosowane do przepisów RODO podczas gdy pozostają one niezgodne z przepisami RODO;

b) art. 91 ust. 2 RODO poprzez błędną wykładnię polegającą na przyjęciu, że organem odrębnym, o którym mowa w niniejszym przepisie i którego nadzorowi podlega Kościół Katolicki, może być Kościelny Inspektor Ochrony Danych, podczas gdy kościoły lub związki wyznaniowe podlegać mogą nadzorowi organu odrębnego jedynie w sytuacji, gdy jest to niezależny organ nadzorczy, który spełnia warunki określone w rozdziale VI RODO, zaś w przypadku Kościoła Katolickiego przesłanki te nie zostały spełnione;

c) art. 51 ust. 1 w zw. z art. 52 ust 1 RODO poprzez błędną wykładnię polegającą na przyjęciu, że niezależnym organem publicznym w rozumieniu art. 51 ust. 1 RODO jest Kościelny Inspektor Ochrony Danych, podczas gdy podmiot ten nie jest organem publicznym oraz nie działa podczas wypełniania swoich zadań i wykonywania swoich uprawnień w sposób w pełni niezależny;

d) art. 53 ust. 1 RODO poprzez błędną wykładnię polegającą na przyjęciu, że członkowie organów nadzorczych mogą nie być powoływani w drodze przejrzystej procedury parlament, rząd, głowę państwa członkowskiego lub niezależny organ uprawniony do powoływania członków organu nadzorczego na podstawie prawa państwa członkowskiego, lecz w drodze niestanowiących prawa powszechnie obowiązującego wewnętrznych regulacji podmiotu podlegającego przepisom RODO, podczas gdy dyspozycja niniejszego przepisu przewiduje powołanie każdego członka organu nadzorczego wyłącznie w drodze przejrzystej procedury przez parlament, rząd, głowę państwa członkowskiego lub niezależny organ uprawniony do powoływania członków organu nadzorczego na podstawie prawa państwa członkowskiego;

e) art. 54 ust. 1 lit a RODO poprzez błędną wykładnię polegającą na przyjęciu, że organ nadzorczy może nie być ustanowiony na podstawie przepisów prawnych państwa członkowskiego, lecz na podstawie niestanowiących prawa powszechnie obowiązującego wewnętrznych regulacji podmiotu podlegającego przepisom RODO, podczas gdy dyspozycja niniejszego przepisu przewiduje ustanowienie każdego z organów nadzorczych wyłącznie na podstawie przepisów prawa państwa członkowskiego;

f) art. 54 ust. 1 lit. b-f RODO poprzez błędną wykładnię polegają na przyjęciu, że kwalifikacje i warunki wyboru wymagane do powołania na stanowisko członka organu nadzorczego, zasady i procedury powołania członków organów nadzorczych, okres kadencji członków organów nadzorczych, możliwość ponownego powołania członków organów nadzorczych oraz zasady regulujące obowiązki członków organów nadzorczych mogą nie być ustanowione na podstawie przepisów prawnych państwa członkowskiego, lecz na podstawie niestanowiących prawa powszechnie obowiązującego wewnętrznych regulacji podmiotu podlegającego przepisom RODO, podczas gdy dyspozycja niniejszego przepisu przewiduje określenie wszystkich niniejszych kwestii wyłącznie na podstawie przepisów państwa członkowskiego;

g) art. 79 ust. 1 RODO poprzez niezastosowanie polegające na nieudzielaniu skarżącej ochrony prawnej w sytuacji naruszenia jej praw, przysługujących na mocy RODO, w wyniku przetwarzania jej danych osobowych z naruszeniem przepisów RODO oraz nieuzasadnioną odmową wszczęcia postępowania w tej sprawie przez Prezesa Urzędu Ochrony Danych Osobowych;

h) art. 53 ust. 1 i 2 Konstytucji Rzeczypospolitej Polskiej, art. 18 ust. 1 i 2 w zw. z art. 2 ust. 1 Międzynarodowego Paktu Praw Obywatelskich i Politycznych (Dz. U. z 1977 r. nr 38, poz. 167, dalej "MPPOiP"), art. 9 ust. 1 Konwencji o Ochronie Praw Człowieka i Podstawowych Wolności (Dz. U. 1993, nr 61, poz. 284, dalej "EKPC"),

i) art. 10 ust. 1 Karty Praw Podstawowych Unii Europejskiej (Dz. Urz. UE 2016 C 202, dalej "KPP") poprzez niezastosowanie polegające na nieudzielaniu skarżącej ochrony prawa do wolności religijnej w sytuacji jego naruszenia na skutek nieuzasadnionej odmowy wszczęcia przez Prezesa Urzędu Ochrony Danych Osobowych postępowania dotyczącego realizacji tego prawa przez skarżącą;

2) przepisów postępowania, tj.:

a. art. 145 § 1 pkt 1 lit. a ustawy z dnia 30 sierpnia 2002 r. Prawo o postępowaniu przed sądami administracyjnymi (Dz. U. z 2019, poz. 2325, dalej: "P.p.s.a.") polegające na nieuchyleniu zaskarżonego postanowienia Prezesa Urzędu Ochrony Danych Osobowych w sytuacji, gdy wydane zostało ono z naruszeniem prawa materialnego mającego wpływ na wynik sprawy;

b. art. 141 § 4 P.p.s.a. polegające na sporządzeniu uzasadnienia wyroku w sposób nieodpowiadający wymogom wskazanym w niniejszym przepisie poprzez niepełne i nienależyte wyjaśnienie podstaw prawnych rozstrzygnięcia, zwłaszcza w kontekście podniesionych przez skarżącą zarzutów naruszenia przez organ prawa materialnego, mającego wpływ na wynik sprawy;

c. art. 134 § 1 P.p.s.a. polegające na niedokonaniu rozstrzygnięcia w granicach sprawy, przy braku związania podniesionymi przez skarżącą zarzutami i wnioskami oraz powołaną podstawą prawną, podczas gdy w skardze nie zostały podniesione wszystkie naruszenia prawa materialnego, których dopuścił się organ a skarżąca nie była zastępowana przez profesjonalnego pełnomocnika.

Na podstawie powyższych zarzutów wniesiono o uchylenie zaskarżonego wyroku w całości i przekazanie sprawy do ponownego rozpoznania Wojewódzkiemu Sądowi Administracyjnemu w Warszawie, rozpoznanie sprawy na rozprawie oraz zasądzenie od organu na rzecz skarżącej zwrotu kosztów postępowania kasacyjnego.

W odpowiedzi na skargę kasacyjną wniesiono o jej oddalenie.

Naczelny Sąd Administracyjny zważył, co następuje:

Zgodnie z treścią art. 183 § 1 P.p.s.a., Naczelny Sąd Administracyjny rozpoznaje sprawę w granicach skargi kasacyjnej, biorąc pod rozwagę z urzędu jedynie nieważność postępowania. W rozpoznawanej sprawie nie zachodzi żadna

z okoliczności skutkujących nieważnością postępowania, o jakich mowa w P.p.s.a. i nie zachodzi żadna z przesłanek, o których mowa w art. 189 P.p.s.a., które Naczelny Sąd Administracyjny rozważa z urzędu dokonując kontroli zaskarżonego skargą kasacyjną wyroku. W tych okolicznościach badaniu podlegały wyłącznie zarzuty podniesione w skardze kasacyjnej na uzasadnienie przytoczonych podstaw kasacyjnych.

Skarga kasacyjna jest niezasadna i jako taka podlega oddaleniu. Podniesiono w niej zarzuty oparte na obu podstawach dopuszczonych postanowieniami art. 174 pkt 1 i pkt 2 P.p.s.a., a więc zarówno zarzuty naruszenia prawa materialnego w formule błędnej wykładni i niewłaściwego zastosowania, jak i zarzuty naruszenia przepisów postępowania.

Metodologicznie właściwe jest w pierwszej kolejności odnieść się do zarzutów naruszenia prawa materialnego, albowiem to ono wyznacza zakres okoliczności istotnych w sprawie oraz określa podstawy ich prawnej kwalifikacji.

I. Naczelny Sąd Administracyjny nie znalazł podstaw do uwzględnienia zarzutu błędnej wykładni art. 91 ust. 1 w zw. z art. 99 ust. 1 i ust. 2 RODO. W ramach tego zarzutu skarżąca podnosi, że na dzień wejścia w życie RODO, a więc na dzień 24 maja 2016 roku Kościół Katolicki nie spełniał określonego w art. 91 ust. 1 RODO warunku stosowania szczegółowych zasad ochrony osób fizycznych w związku

z przetwarzaniem. Skarżąca kasacyjnie eksponuje, że zasady ochrony osób fizycznych w związku z przetwarzaniem stosowane są przez Kościół Katolicki od dnia 30 kwietnia 2018 r., mają charakter fragmentaryczny, a ponadto nie zostały dostosowane do przepisów RODO.

Stanowisko skarżącej jest nietrafne. Przed przedstawieniem szczegółowej jego oceny trzeba zwrócić uwagę, że zagadnienie prawne referowane w weryfikowanym zarzucie kasacyjnym było już przedmiotem wypowiedzi Naczelnego Sądu Administracyjnego w sprawie zakończonej wyrokiem z 14 lipca 2022 r., III OSK 2776/21. Przestawione w tym wyroku oceny prawne skład orzekający w niniejszej sprawie podziela w pełnym zakresie.

Zgodnie z art. 91 ust. 1 RODO "[j]eżeli w państwie członkowskim w momencie wejścia niniejszego rozporządzenia w życie kościoły i związki lub wspólnoty wyznaniowe stosują szczegółowe zasady ochrony osób fizycznych w związku

z przetwarzaniem, zasady takie mogą być nadal stosowane, pod warunkiem że zostaną dostosowane do niniejszego rozporządzenia". Wbrew twierdzeniom strony skarżącej, przed dniem wejścia w życie RODO w Kościele Katolickim obowiązywały w zakresie ochrony danych osobowych pewne reguły, jak chociażby w kwestii prowadzenia ksiąg parafialnych, gdzie z wykorzystaniem danych osobowych odnotowywano fakty udzielenia sakramentu chrztu, zawarcia małżeństwa czy śmierci członków danej wspólnoty religijnej. Nie istniała przy tym zasada powszechnego, nieograniczonego dostępu do tych informacji - możliwości wglądu do ksiąg czy uzyskiwania odpisów, bądź żądania dokonywania dowolnych w nich zmian. Bez znaczenia jest przy tym, czy było to efektem stosowania reguł skodyfikowanych, czy też powszechnie przyjętego prawa zwyczajowego, bowiem żadne rygory co do charakteru źródeł prawa, nie zostały zakreślone w art. 91 ust. 1 RODO. Tym niemniej zauważyć trzeba, że podstawą tych zasad były normy zawarte w prawie kanonicznym, w tym przepisy dotyczące ochrony prywatności i intymności, zawarte w Kodeksie Prawa Kanonicznego (zwłaszcza w kanonie 220). Nadto, wiele przepisów zawartych w Kodeksie prawa kanonicznego określa zasady gromadzenia i wykorzystywania danych oraz uprawnienia osób, których dane dotyczą, a więc - przetwarzania i ochrony danych, uwzględniając specyfikę kościelną. Dotyczy to również prowadzenia archiwów, przygotowania do sakramentów itp. (P. Fajgielski. Komentarz do art. 91 RODO (w:) Komentarz do rozporządzenia nr 2016/679 w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych osobowych), (w:) Ogólne rozporządzenie o ochronie danych osobowych. Ustawa o ochronie danych osobowych. Komentarz, wyd. II, LEX/el; Łukańko B., Kościelne modele ochrony danych osobowych, Warszawa 2019, s. 118-126.).

Tym samym warunek istnienia szczegółowych, odrębnych zasad w Kościele Katolickim - przed wejściem w życie RODO - został spełniony. Istotnym jest więc, czy zasady te zostały dostosowane do wymagań RODO. Aby odpowiedzieć na to pytanie koniecznym jest ustalenie, jak rozumieć użyte przez prawodawcę europejskiego

w art. 91 ust. 1 pojęcie "dostosowanie". Czy chodzi tu o zapewnienie pełnej zgodności z postanowieniami nowego aktu prawnego (rangi rozporządzenia), bądź też czy możliwe jest - w ich ramach - ustanowienie odmiennych reguł, przy zapewnieniu ochrony danych w ogólnych obszarach zakreślonych RODO. Przy uwzględnieniu niezbędnego dla dokonywania wykładni założenia, że europejski prawodawca jest racjonalny należy opowiedzieć się za drugą z możliwości. O ile celem prawodawcy byłoby zapewnienie pełnej zgodności, ustanowienie w RODO danej regulacji szczególnej nie znajdowałby logicznego uzasadnienia. Kościoły i związki wyznaniowe podlegają bowiem - co do zasady - prawu powszechnie obowiązującemu. Wejście więc w życie regulacji na szczeblu unijnym, której postanowienia stosuje się bezpośrednio (rozporządzenie) miałoby taki skutek, że dane podmioty - jako nim bezpośrednio związane - musiałyby się do nich bezwzględnie dostosować. Jak można wnosić z treści art. 91 RODO, prawodawca unijny zamierzał jednak uwzględnić specyfikę przetwarzania danych osobowych, pozostających w związku z praktykami religijnymi i nauczaniem dogmatycznym kościołów i innych wspólnot religijnych. Uznał za zasadne więc uszanowanie ich odrębności i autonomii i dopuścił stosowanie odmiennych reguł ochrony danych osobowych, zapewniających realizację celów RODO (por. wyrok WSA w Warszawie z 16 października 2019 r. sygn. akt II SA/Wa 907/19).

Podzielając powyższy pogląd, zauważyć również trzeba, że taka wykładnia

art. 91 ust. 1 RODO uwzględnia także konstytucyjną zasadę autonomii Kościoła Katolickiego zagwarantowaną Konstytucją RP, Konkordatem między Stolicą Apostolską i Rzecząpospolitą Polską oraz ustawą z 17 maja 1989 r. o stosunku Państwa do Kościoła Katolickiego w Rzeczypospolitej Polskiej (tekst jedn.: Dz. U. z 2019 r. poz. 1347).

Z tego też względu bezzasadna jest argumentacja skargi kasacyjnej nawiązująca do art. 99 RODO, który w ust. 1 wskazuje moment wejścia w życie tegoż rozporządzenia, zaś w ust. 2 moment, od którego będzie miało ono zastosowanie, tj. od dnia 25 maja 2018 r. Jak wyżej wskazano, w momencie wejścia w życie RODO w Kościele Katolickim istniała regulacja dotycząca przetwarzania danych osobowych, przede wszystkim w Kodeksie Prawa Kanonicznego, którą Kościół Katolicki w terminie określonym w art. 91 ust. 1 RODO dostosował do przepisów wynikających z RODO - Dekret ogólny w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych w Kościele katolickim, wydany przez Konferencję Episkopatu Polski, w dniu 13 marca 2018 r., podczas 378. Zebrania Plenarnego w Warszawie, na podstawie kan. 455 Kodeksu Prawa Kanonicznego, w związku z art. 18 Statutu KEP, po uzyskaniu specjalnego zezwolenia Stolicy Apostolskiej z dnia 3 czerwca 2017 r. Na marginesie wskazać jedynie należy, że poza zakresem oceny Sądu pozostaje podnoszona w skardze kasacyjnej ocena i sposób jego promulgacji, która pozostaje sprawą wewnętrzną Kościoła Katolickiego, wynikającą z przyznanego mu prawa do samoorganizacji i samorządności.

Z przyczyn powyżej wskazanych niezasadne okazały się być zarzuty naruszenia art. 91 ust. 1 w związku z art. 99 ust. 1 i 2 RODO.

II. Przechodząc do oceny drugiego zagadnienia ujawnionego w niniejszej skardze kasacyjnej, zauważyć należy, że art. 91 ust. 2 RODO przewidział możliwość powołania przez Kościoły i związki wyznaniowe w ramach nadzoru niezależnego organu nadzorczego, który może być organem odrębnym, z zastrzeżeniem że spełnia warunki określone w rozdziale VI rozporządzenia. Jak zwraca się uwagę w literaturze, taki organ odrębny musi zapewniać możliwie zbliżony standard ochrony do organu państwowego i cechować się niezależnością, zachowaniem tajemnicy (art. 52 ust. 4 RODO), wykonywać zadania i realizować uprawnienia określone w RODO. Realizacji tych celów służą wymogi co do kwalifikacji członka organu, jego niezależności, odpowiedniego wyposażenia personalnego i organizacyjnego. Regulacja RODO nie pozwala natomiast oczekiwać, że ukształtowanie organu nadzorczego państwowego i kościelnego będą takie same. Różnice są możliwe także pomiędzy poszczególnymi organami odrębnymi (B. Łukańko. Kościelne modele ochrony danych osobowych. Wolters Kluwer Polska sp. z o.o., Warszawa 2019 r., str. 222 - 224). Nie jest zatem tak, jak się stwierdza w skardze kasacyjnej, że w świetle art. 91 ust. 2 RODO odrębnym, niezależnym organem nadzorczym może być uznany wyłącznie organ publiczny, który spełnia warunki określone w rozdziale VI RODO. Pozostawiona Kościołowi Katolickiemu autonomia w sprawach organizacyjnych, w tym przetwarzania danych osobowych jego członka daje mu również uprawnienie do powołania w ramach własnej struktury organu ochrony danych osobowych, w tym przypadku Kościelnego Inspektora Ochrony Danych, aczkolwiek przyjęte w tym zakresie regulacje prawa wewnętrznego powinny zawierać gwarancje niezależności odpowiadające założeniom przyjętym w art. 52 RODO. Organ nadzorczy może zatem być umiejscowiony w strukturze kościoła, aczkolwiek musi mieć obowiązek składania sprawozdania oraz zapewnione odpowiednie wyposażenie organizacyjne i prawo do swobodnego doboru personalnego. W tym zakresie przepisy Kościoła Katolickiego zawarte w ww. Dekrecie zawierają stosowne regulacje zawarte w art. 33, art. 39.

Z tych też przyczyn niezasadne okazały się być zarzuty naruszenia art. 91 ust. 2 RODO, art. 51 ust. 1 w związku z art. 52 ust. 1 oraz art. 54 ust. 1 lit. a i b - f RODO. Odnośnie do tego ostatniego, podkreślić trzeba raz jeszcze, że tryb działania, sposób powołania lub odwołania Kościelnego Inspektora Ochrony Danych nie musi mieć podstawy wynikającej z prawa powszechnie obowiązującego i może wynikać z prawa wewnętrznego Kościoła Katolickiego pod warunkiem zachowania wymogów rozdziału VI, a więc również art. 54 RODO. W nawiązaniu do argumentacji skargi kasacyjnej odnośnie do kwestionowania niezależności osoby będącej piastunem organu Kościelnego Inspektora Ochrony Danych z uwagi na bycie księdzem i związane z tym normy Prawa Kanonicznego, w tym regułę posłuszeństwa, zauważyć należy, że kanon 145 § 2 stanowi, że "[o]bowiązki i prawa właściwe każdemu urzędowi kościelnemu są określane albo samym prawem, którym urząd ustanowiono, albo dekretem kompetentnej władzy, którym jest on równocześnie ustanowiony i nadany". Z kolei, w myśl art. 35 ust. 1 zd. 2 ww. Dekretu: "Kościelny inspektor ochrony danych

w zakresie wykonywania swoich zadań nadzorczych nie podlega poleceniom innych podmiotów". Zgodnie z art. 35 ust. 2 Dekretu: "Funkcja Kościelnego Inspektora Ochrony Danych jest urzędem w rozumieniu kan. 145 Kodeksu Prawa Kanonicznego". Z powyższego wynika zatem, że "prawem" w rozumieniu Kodeksu, przypisanym do danego urzędu, jest brak podporządkowania inspektora ochrony danych, przy wykonywaniu związanych z tym czynności, poleceniom podmiotów zewnętrznych. Tym samym Kościelny Inspektor Ochrony Danych ma zapewnione prawne regulacje gwarantujące mu niezależność, przy sprawowaniu swojej funkcji. Ocena kwalifikacji moralnych czy sposób sprawowania tego stanowiska przez konkretną osobę wykracza poza granice kontroli kasacyjnej niniejszej sprawy już chociażby z tego względu, że przedmiotem oceny sądowej było postanowienie o odmowie wszczęcia postępowania przez Prezesa Urzędu Danych Osobowych. Skarżąca nie zdołała zaś podważyć prawidłowej oceny Sądu pierwszej instancji, że Prezes Urzędu Ochrony Danych Osobowych nie jest kompetentny do rozpatrzenia i rozstrzygnięcia skargi dotyczącej przetwarzania danych osobowych skarżącego w zakresie objętym kompetencjami Kościelnego Inspektora Ochrony Danych.

III. Sąd rozpoznający niniejszą skargę kasacyjną nie dopatrzył się również naruszenia w okolicznościach niniejszej sprawy prawa do wolności myśli, sumienia i wyznania (art. 53 ust. 1 i 2 Konstytucji Rzeczypospolitej Polskiej, art. 18 Międzynarodowego Paktu Praw Obywatelskich i Politycznych z 1966 r. - zarzut 9; art. 9 ust. 1 Konwencji o ochronie praw człowieka i podstawowych wolności z 1950 r. - zarzut 10; art. 10 ust. 1 Karty praw podstawowych Unii Europejskiej - zarzut 11). Swoboda posiadania i kształtowania wybranego przez siebie wyznania czy przekonania ma charakter autonomiczny i zależy od woli jednostki. Przynależność do kościoła ma charakter dowolny, a zatem musi również istnieć możliwość wystąpienia z tej wspólnoty. Zauważyć należy, że w przypadku Konwencji o ochronie praw człowieka i podstawowych wolności jednocześnie ta sama regulacja art. 9 Konwencji zapewnia grupie wyznaniowej autonomię, polegającą na samodzielnym organizowaniu swojego funkcjonowania i form integracji wiernych. Autonomia ta obejmuje w szczególności prawo do: ustalania doktryny (kanonów religijnych), swobody grupy wyznaniowej decydowania o swoim składzie, swobody podejmowania aktów dotyczących praw i statusu wiernych (Konwencja o Ochronie Praw Człowieka i Podstawowych Wolności, Tom I, Komentarz do art. 1-18 pod redakcją prof. Leszka Garlickiego str. 556-583). W odniesieniu do relacji Kościół - Państwo autonomia ta oznacza zakaz ingerencji władz publicznych w swobodę posiadania i kształtowania wyznania i obejmuje zakaz państwowego określania, jakie mają być przekonania i wierzenia obywateli oraz nakładania publicznych sankcji za przynależność do określonej religii czy światopoglądu, zakaz narzucania jedynie słusznego poglądu (por. wyrok Naczelnego Sądu Administracyjnego z 6 marca 2019 r. sygn. akt I OSK 1294/17). Jak z kolei zwracał uwagę Europejski Trybunał Praw Człowieka w Strasburgu w wyroku z 12 czerwca 2014 r. 56030/07 w sprawie Martinez vs. Hiszpania (www.echr.coe.int), zasada autonomii wyznaniowej uniemożliwia Państwu zobowiązanie wspólnoty wyznaniowej do dopuszczenia lub wykluczenia osoby lub powierzenia danej osobie konkretnego obowiązku religijnego. W wyroku tym Trybunał przypomniał również że regularnie w swoim orzecznictwie podkreślał rolę Państwa jako neutralnego i bezstronnego organizatora praktykowania różnych religii, wyznań i przekonań, oraz wskazywał, iż rola ta ma charakter przewodni dla porządku publicznego, harmonii religijnej i tolerancji w demokratycznym społeczeństwie, zwłaszcza pomiędzy grupami będącymi do siebie w opozycji.

W tym stanie rzeczy Sąd pierwszej instancji miał podstawy, aby zaaprobować oceny prawne organu, iż w realiach niniejszej sprawy Prezes UODO nie jest organem nadzoru właściwym do rozpoznania i rozpatrzenia skargi z 8 lipca 2021 roku. Nie można więc przyjąć, że WSA nie zrealizował wynikającej z art. 79 ust. 1 RODO gwarancji zapewnienia właściwej ochrony prawnej.

IV. Żaden z zarzutów naruszenia przepisów prawa procesowego nie opierał się na uzasadnionych podstawach.

Nieskuteczność zarzutu naruszenia art. 145 § 1 pkt 1 lit. a P.p.s.a. wynika

z przyczyn systemowych. Jest to przepis określający formułę procesową rozstrzygnięcia sądu administracyjnego w razie stwierdzenia, iż zaskarżona decyzja lub postanowienie narusza prawo materialne, co miało wpływ na wynik sprawy. Skuteczność procesowa zarzutu opartego na art. 145 § 1 pkt 1 lit a P.p.s.a. – w realiach niniejszej sprawy - wymagała więc związkowego powiązania go z konkretnymi przepisami prawa materialnego, których naruszenie wadliwie nie zostało stwierdzone przez WSA. Skarżąca kasacyjnie takich przepisów związkowych nie podała, co a limine przesądza o braku podstaw do uwzględnienia weryfikowanego zarzutu.

Nie można się również zgodzić, że uzasadnienie wyroku WSA nie realizuje rygorów określonych w art. 141 § 4 P.p.s.a. Zawiera ono wszystkie wymagane treścią przedmiotowego przepisu elementy, tj. zwięzłe przedstawienie stanu sprawy, zarzutów skargi i stanowisk pozostałych stron, jak też podstawę prawną rozstrzygnięcia oraz jej wyjaśnienie. Treść uzasadnienia zaskarżonego wyroku pozwala zidentyfikować wszystkie elementy wnioskowania prawniczego konieczne do przeprowadzenia procesu weryfikacyjnego stosowania prawa, właściwego dla jurysdykcji sądów administracyjnych. Sąd pierwszej instancji ustalił przedmiot zaskarżenia oraz wszelkie faktyczne oraz normatywne uwarunkowania jego legalnościowej kontroli. Wywód sądu jest spójny i racjonalizujący wydane rozstrzygnięcie. WSA powiązał poszczególne elementy podstawy faktycznej z adekwatnymi dyrektywami prawnymi wywiedzionymi z powołanych przepisów prawa. Nie można wobec powyższego przyjąć, że uzasadnienie wyroku WSA narusza art. 141 § 4 P.p.s.a. Należy przy tym zaznaczyć, że w ramach zarzutu naruszenia art. 141 § 4 P.p.s.a. można zarzucać niekompletność uzasadnienia, tj. braki w jego prawem wymaganej strukturze. Nie można natomiast kwestionować poszczególnych ocen prawnych wyrażonych przez sąd, albowiem wówczas nie wytyka się strukturalnej wadliwości uzasadnienia, do której odnosi się

art. 141 § 4 P.p.s.a., lecz wchodzi się w merytoryczną polemikę ze stanowiskiem sądu, co w ramach zarzutu naruszenia art. 141 § 4 P.p.s.a. jest wykluczone.

Z uzasadnienia wyroku Sądu pierwszej instancji nie wynika, aby ograniczył legalnościową kontrolę zaskarżonego postanowienia wyłącznie do zarzutów podniesionych w skardze. Weryfikacja zgodności z prawem przedmiotowego postanowienia miała charakter pełny, a więc uwzględniała wszelkie adekwatne i oparte na prawie wzorce kontroli. Zarzucając naruszenie art. 134 § 1 P.p.s.a. skarżąca kasacyjnie wytyka, że WSA w sposób niepełny, albowiem ograniczony wyłącznie do zarzutów skargi, rozważył aspekt niedostosowania przez Kościół Katolicki w Polsce zasad ochrony osób fizycznych w związku z przetwarzaniem do przepisów RODO. Naczelny Sąd Administracyjny nie podziela zastrzeżeń skarżącej kasacyjnie. Jak wyżej podano, kwestia ta jest unormowana postanowieniami art. 91 ust. 1 RODO, a prawidłowość zastosowania i wykładni tego przepisu przez WSA nie została skutecznie podważona w skardze kasacyjnej.

Z wyłożonych względów Naczelny Sąd Administracyjny działając na podstawie

art. 184 P.p.s.a. oddalił skargę kasacyjną.