Sprawa rozpoznawana przez sąd II instancji w lipcu tego roku jest znamienna. Została zainicjowana przez wpisaną do akt kościelnych osobę L.L. , która spotkała się z odmową wszczęcia postępowania przez Generalnego Inspektora Danych Osobowych. Skarżący żądał zaprzestania przetwarzania danych przez parafię.
NSA oddalił skargę kasacyjną motywując to odrębnością przepisów w zakresie danych osobowych katolików w Polsce. Takie wyroki zapadają już od kilku lat.
Czytaj: Czy państwo przestaje być neutralne światopoglądowo?>>
Uzasadnienie sądu
Sąd pierwszej instancji wyjaśnił, że Konferencja Episkopatu Polski 13 marca 2018 r. wydała "Dekret ogólny w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych w Kościele katolickim". Uznał, że prawodawca kościelny wziął po uwagę zarówno zasady ochrony osób fizycznych w związku z przetwarzaniem ich danych osobowych stosowane dotychczas w Kościele Katolickim w Polsce, jak też "konieczność pogodzenia ochrony danych osobowych z korzystaniem z podstawowego prawa do wolności religijnej, zagwarantowanego również w prawie pozytywnym, także w jego wymiarze instytucjonalnym".
Regulacje zawarte w Dekrecie stanowią uszczegółowienie przepisów kanonicznego prawa powszechnego oraz uaktualnienie przepisów kanonicznego prawa partykularnego.
Czytaj w LEX: Ochrona danych osobowych w kościołach i związkach wyznaniowych - PORADNIK >>>
Zarzuty skargi
Dopiero 22 marca 2018 r. Dekret został zatwierdzony przez Stolicę Apostolską (uzyskał recognitio Kongregacji ds. Biskupów), zaś 30 kwietnia 2018 r. nastąpiła jego prawna promulgacja poprzez zamieszczenie na oficjalnej stronie internetowej Konferencji Episkopatu Polski. W tym samym dniu Dekret wszedł w życie. A RODO zaczęło obowiązywać 25 maja 2018 r.
Skarżący zarzucił w skardze, że dekret został wprowadzony za późno, gdyż system ochrony danych osobowych w Kościele Katolickim wówczas jeszcze nie działał. A taki był obowiązek, aby podlegać wyłączeniu z prawa powszechnego.
Skarżący twierdził, że utworzony w trybie szybkim "pełniący obowiązki Kościelny Inspektor Ochrony Danych Osobowych" nie może być niezależnym organem nadzorczym w rozumieniu RODO. Co więcej - obowiązki organu nadzorującego przetwarzanie danych ( w tym danych w kościele) muszą być ustanowione w drodze przepisów powszechnie obowiązującego prawa przez państwo członkowskie.
Skarżący powołał się też na wolność wyznania zawartą w dwóch międzynarodowych konwencjach. Konwencji o Ochronie Praw Człowieka i Podstawowych Wolności z 1950 r. ustanawiającego wolność do posiadania, zmiany, jak i przyjmowania wyznania lub przekonań według własnego wyboru oraz Kartę Praw Podstawowych Unii Europejskiej (2016/C 202/02).
Tryb działania, sposób powołania lub odwołania Kościelnego Inspektora Ochrony Danych nie musi mieć podstawy wynikającej z prawa powszechnie obowiązującego i może wynikać z prawa wewnętrznego Kościoła Katolickiego pod warunkiem zachowania wymogów rozdziału VI, a więc również art. 54 RODO - stwierdził sąd administracyjny I instancji.
Brak podporządkowania prawu polskiemu
W nawiązaniu do argumentacji skargi kasacyjnej odnośnie kwestionowania niezależności osoby będącej piastunem organu Kościelnego Inspektora Ochrony Danych z uwagi na bycie księdzem i związane z tym normy Prawa Kanonicznego, w tym regułę posłuszeństwa, zauważyć należy, że kanon 145 § 2 stanowi, że obowiązki i prawa właściwe każdemu urzędowi kościelnemu są określane albo samym prawem, którym urząd ustanowiono, albo dekretem kompetentnej władzy, którym jest on równocześnie ustanowiony i nadany". Z kolei, w myśl art. 35 ust. 1 zd. 2 ww. Dekretu: "Kościelny inspektor ochrony danych w zakresie wykonywania swoich zadań nadzorczych nie podlega poleceniom innych podmiotów". Zgodnie z art. 35 ust. 2 Dekretu: "Funkcja Kościelnego Inspektora Ochrony Danych jest urzędem w rozumieniu kanonicznego 145 Kodeksu Prawa Kanonicznego".
Z tego wynika zatem, że "prawem" w rozumieniu Kodeksu, przypisanym do danego urzędu, jest brak podporządkowania inspektora ochrony danych, przy wykonywaniu związanych z tym czynności, poleceniom podmiotów zewnętrznych. Tym samym Kościelny Inspektor Ochrony Danych ma zapewnione prawne regulacje gwarantujące mu niezależność, przy sprawowaniu swojej funkcji.
- Ocena kwalifikacji moralnych czy sposób sprawowania tego stanowiska przez konkretną osobę wykracza poza granice kontroli kasacyjnej niniejszej sprawy już chociażby z tego względu, że przedmiotem oceny sądowej było postanowienie o odmowie wszczęcia postępowania przez Prezesa Urzędu Danych Osobowych - stwierdza sędzia sprawozdawca. - Skarżący nie zdołał zaś podważyć prawidłowej oceny sądu pierwszej instancji, że Prezes Urzędu Ochrony Danych Osobowych nie jest kompetentny do rozpatrzenia i rozstrzygnięcia skargi dotyczącej przetwarzania danych osobowych skarżącego w zakresie objętym kompetencjami Kościelnego Inspektora Ochrony Danych - uzasadniała sędzia sprawozdawca Tamara Dziełakowska.
Niezależność od państwa
W orzeczeniu NSA z maja br.odwołał się w pierwszej kolejności do gwarancji autonomii Kościoła Katolickiego i jego niezależności od państwa wynikających z art. 25 ust. 3 i 4 Konstytucji RP oraz art. 1 i art. 5 Konkordatu między Stolicą Apostolską i Rzecząpospolitą Polską podpisanego 28 lipca 1993 r. o stosunku państwa do Kościoła Katolickiego w Rzeczypospolitej Polskiej.
Z przepisów tych wynika, że Kościół katolicki (podobnie jak i inne kościoły i związki wyznaniowe) ma prawo do samoorganizacji i samorządności. Może więc m. in. stanowić normy obowiązujące w ramach własnych struktur organizacyjnych, a w ich stanowieniu i stosowaniu jest wolny od ingerencji władz państwowych.
Oznacza to, że określenie przesłanek przynależności osoby (wiernego) do Kościoła, faktycznych i prawnych skutków tego faktu oraz utraty przynależności ("wystąpienia" w różnych postaciach normowanych przez prawo kanoniczne), pozostaje wewnętrzną sprawą Kościoła, wolną od reglamentacji prawnej ze strony państwa. Stanowisko to potwierdzają pośrednio także przepisy ustawy z 17 maja 1989 r. o gwarancjach wolności sumienia i wyznania.
Praktyka: siedem skarg
Aktywność kościelnego Inspektora Ochrony Danych Osobowych jest dużo mniejsza niż cywilnego inspektora. Trudno na stronie internetowej kościelnego IODO znaleźć raporty o skargach i sposobie ich załatwienia, linki odsyłają do Konferencji Episkopatu. Wielu ekspertów od RODO wskazuje przy tym na brak transparentności działań kościoła oraz trudny język dekretu.
W czerwcu 2022 r. roku Kościelny Inspektor Ochrony Danych Osobowych w rocznym sprawozdaniu obejmującym pierwszy rok działalności maj 2018 - czerwiec 2019 informował o siedmiu skargach obywateli.
W okresie objętym sprawozdaniem KIOD za lata 2018 - 2019 tylko w jednej sprawie nakazano przywrócenie stanu zgodnego z prawem. W dwóch przypadkach umorzono postępowanie z powodu niewskazania w skardze podmiotu skarżonego. W pozostałych czterech przypadkach stwierdzono, że przetwarzanie odbywa się zgodnie z prawem. Dwie sprawy rozpoczęte w wyniku skargi są w toku.
Inspektor podsumowując pierwszy rok działalności stwierdza, że po roku działalności KIOD w Kościele katolickim w system ochrony danych osobowych funkcjonuje zgodnie z prawem, spójnie i efektywnie, tym samym przyczyniając się do ochrony godności człowieka.
- Ochrona danych osobowych obywateli w kontekście przetwarzania ich przez kościół narusza rozdział państwa od kościoła. I tak rozporządzenie unijne RODO odsyła do regulacji kościelnych w tym zakresie. Naczelny Sąd Administracyjny "umył ręce" jeśli idzie o możliwość wystąpienia obywateli z kościoła. Pozostawił ich na łasce i niełasce regulacji kościelnych. I to wszystko w majestacie rozporządzenia unijnego - uważa dr hab. Paweł Borecki, ekspert prawa wyznaniowego Wydział Prawa i Administracji Uniwersytetu Warszawskiego. -
Pominięto gwarancje konstytucyjne
Według prof. Grzegorza Sibigi z Instytutu Nauk Prawnych PAN zbyt pobieżnie sądy administracyjne, a wcześniej Prezes UODO, zbadały dostosowanie przepisów kościelnych do RODO, a to wymóg zawarty w art. 91 ust. 1 RODO. Co prawda te dostosowanie nie oznacza potrzeby pełnej zbieżności dekretu z RODO, ale mimo wszystko konieczność zachowania podstawowych standardów ochrony danych osobowych zawartych w RODO. Standardy obejmują zarówno główne uprawnienia materialne przysługujące osobom, których dane dotyczą jak i efektywne środki ochrony tych praw dla nich przewidziane.
W kontekście materialnym należy zauważyć, że prawo do żądania usunięcia swoich danych zostało zagwarantowane osobom fizycznym nie tylko w RODO, ale również w art. 51 ust. 4 Konstytucji. Uprawnienia zawarte w RODO mieszczą się w gwarancjach konstytucyjnych ochrony danych osobowych, jak swego czasu słusznie zauważył Rzecznik Praw Obywatelskich.
- Prawo do żądania usunięcia danych z pewnością zatem zaliczymy do wspomnianych standardów ochrony danych. Tymczasem w dekrecie całkowicie wykluczono te uprawnienie w stosunku do głównych zasobów danych osobowych posiadanych przez kościelnych administratorów, które dotyczą udzielonych sakramentów bądź w inny sposób odnoszą się do kanonicznego statusu osoby. To stawia osoby fizyczne w gorszej sytuacji niż wobec „świeckich administratorów”, w przypadku których na gruncie RODO i krajowych przepisów uzupełniających trudno wskazać analogiczne, tak całościowe, wyłączenie, który przybiera wręcz formułę zasady przetwarzania danych osobowych, a nie wyjątku od niej - uważa prof. Sibiga.
Drugą płaszczyzną standardu jest istnienie efektywnych środków ochrony prawnej. - Nie neguję samego statusu Kościelnego Inspektora Ochrony Danych opartego na dekrecie kościelnym i w sporym stopniu wzorowanym na organie nadzorczym (w Polsce – Prezesie UODO). Jednak mam wątpliwości co do efektywności środków przysługujących osobom fizycznym w celu realizacji swoich praw - mówi prof. Sibiga. - W RODO negatywne rozpatrzenie skargi przez organ nadzorczy podlega kontroli niezawisłego sądu, a jednocześnie podmiot danych ma równoległy tryb sądowego dochodzenia realizacji swoich uprawnień. Według dekretu procedura odwoławcza obejmuje wyłącznie możliwość zwrócenia się do Watykanu (dykasterii Stolicy Apostolskiej). Nie przyznano osobom żadnych innych środków.
-------------------------------------------------------------------------------------------------------------------
Linki w tekście artykułu mogą odsyłać bezpośrednio do odpowiednich dokumentów w programie LEX. Aby móc przeglądać te dokumenty, konieczne jest zalogowanie się do programu. Dostęp do treści dokumentów w programie LEX jest zależny od posiadanych licencji.
