Wyrok Naczelnego Sądu Administracyjnego z 25 maja 2022 r., sygn. akt III OSK 2273/21?
Okazuje się, że w zakresie skargi związanej z przetwarzaniem naszych danych osobowych przez Kościół Katolicki nie złożymy skargi do Urzędu Ochrony Danych Osobowych (UODO). Jak wskazał bowiem Naczelny Sąd Administracyjny w wyroku z 25 maja 2022 r., sygn. akt III OSK 2273/21, kompetencje do rozpatrywania skarg z tego zakresu posiada Kościelny Inspektor Danych Osobowych, nie UODO.
Od 25 maja 2018 r. kościoły lub związki wyznaniowe są zobowiązane do przestrzegania Ogólnego Rozporządzenia o Ochronie Danych Osobowych (RODO). Chyba, że zastosowanie ma wyłącznie
z art. 91 ust. 1 RODO.
Mówi ono o tym, że te Kościoły lub związki wyznaniowe, które w momencie wejścia w życie RODO, stosowały już wewnętrzne zasady ochrony danych osobowych mają dalszą możliwość stosowania autonomicznych, szczegółowych regulacji w tym zakresie. Kluczowe w tym aspekcie jest to,
że regulacje powinny być dostosowane do przepisów Rozporządzenia.
Kościół Katolicki poinformował UODO o posiadaniu takich wewnętrznych zapisów. Ich zbiór stanowi Dekret ogólny w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych w Kościele katolickim, wydany na podstawie kan. 455 Kodeksu Prawa Kanonicznego przez Konferencję Episkopatu Polski 13 marca 2018 r., podczas 378. Zebrania Plenarnego w Warszawie.
Wyłączenie z art. 91 RODO w założeniu ma pozwalać na poszanowanie autonomii kościoła i związków wyznaniowych. Zgodnie bowiem z motywem 165 RODO, Rozporządzenie nie narusza statusu przyznanego Kościołom oraz związkom lub wspólnotom wyznaniowym na mocy prawa konstytucyjnego obowiązującego w państwach członkowskich.
Sprawdź jak wdrożyć RODO w twojej organizacji
Czego dotyczyła sprawa?
Sprawa dotyczyła żądania skierowanego do kurii oraz parafii. Osoba składająca skargę oczekiwała przedstawienia wszelkich przetwarzanych przez te instytucje informacji poprzez udostępnienie ich kopii, z jednoczesnym wskazaniem stosowanych środków w celu zabezpieczenia przetwarzanych danych.
Podmiot danych nie otrzymał merytorycznej odpowiedzi na żądanie, skierował więc skargę
do Prezesa UODO. Urząd odmówił wszczęcia postępowania, wskazując przytoczony powyżej art. 91 RODO i uzasadniając, że nie ma kompetencji do ingerowania w wewnętrzne sprawy Kościoła. Dodatkowo, wskazał, że Kościół Katolicki wyznaczył Kościelnego Inspektora Ochrony Danych Osobowych, dlatego skargi w zakresie spraw kościelnych związane z przetwarzaniem danych osobowych powinny być rozpatrywane wewnątrz organizacji.
Wojewódzki Sąd Administracyjny w Warszawie w wyroku z 9 września 2019 r. (sygn. akt II SA/Wa 865/19) podzielił zdanie UODO. Wyrok ten został zaskarżony.
NSA oddalił skargę kasacyjną. W uzasadnieniu wskazał, że pomimo tego, iż Dekret ogólny w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych w Kościele katolickim został zatwierdzony dopiero w maju 2018 roku, to w tym zakresie pewne reguły obowiązywały już wcześniej, chociażby w kwestii prowadzenia ksiąg. Nie istniała przy tym zasada powszechnego, nieograniczonego dostępu do tych informacji, czyli np. możliwość wglądu do ksiąg. Nie ma znaczenia czy reguły te były skodyfikowane wcześniej, czy obowiązywały jako powszechnie przyjęte prawo zwyczajowe.
Ponadto, NSA poruszył kwestie związaną z możliwością powołania przez kościoły i związki wyznaniowe w ramach nadzoru niezależnego organu nadzorczego. Organ może być odrębny, musi jednak spełniać wymogi określone w rozdziale VI Rozporządzenia o Ochronie Danych Osobowych. NSA podzielił pogląd występujących w literaturze, mówiący, że taki odrębny organ nadzorczy musi zapewnić możliwie zbliżony standard ochrony do organu państwowego i cechować się niezależnością, natomiast regulacje RODO nie pozwalają oczekiwać, że ukształtowania nadzoru państwowego
i kościelnego będą takie same. Zatem nie można stwierdzić, że odrębnym i niezależnym organem nadzorczym może być wyłącznie organ publiczny. Organ nadzorczy może być usytuowany
w strukturze kościoła przy jednoczesnym zachowaniu niezależności określonych w artykule 52 RODO. Chodzi głównie o kwestie prawa do swobodnego doboru personelu, odpowiedniego wyposażenia organizacyjnego, a także obowiązku składania sprawozdań. Zdaniem NSA wspomniany wyżej Dekret zawiera stosowne zapisy w tym zakresie.
Omawiany wyrok ma bardzo duże znaczenie w kontekście kompetencji UODO dotyczących skarg związanych z przetwarzaniem danych osobowych przez kościół. Określił, że takimi sprawami może zajmować się wyłącznie Kościelny Inspektor Ochrony Danych bez ingerencji Prezesa Urzędu Ochrony Danych Osobowych, który to nie ma kompetencji w tym zakresie. Pojawia się zatem pytanie
czy podmioty danych są w stanie sprawować kontrolę nad swoimi danymi oraz realizować żądania
w zakresie przetwarzania danych.