Kwestia przetwarzania danych osobowych przez związki wyznaniowe nie była jeszcze przedmiotem rozważań w ramach niniejszego bloga. Sprawa, o której chcę wspomnieć wydaje się nad wyraz ciekawa, dlatego postanowiłem poświęcić jej niniejszy wpis.
Stosunkowo niedawno, bo 25 maja 2022 r. Naczelny Sąd Administracyjny (NSA) wydał wyrok (sygn. akt III OSK 2273/21) oddalający skargę kasacyjną od wyroku Wojewódzkiego Sądu Administracyjnego w Warszawie z dnia 9 września 2019 r. sygn. akt II SA/Wa 865/19 w sprawie ze skargi na postanowienie Prezesa Urzędu Ochrony Danych Osobowych w przedmiocie odmowy wszczęcia postępowania. Sprawa okazała się istotna, szczególnie dla osób, które upatrywały w Prezesie Urzędu Ochrony Danych Osobowych organu władnego wpływać na działania Kościoła katolickiego w zakresie zaprzestania przetwarzania ich danych osobowych po dokonaniu aktu apostazji. Niemniej jednak nadzieje te okazały się płonne, o czym poniżej. W toku postępowania odnoszącego się do rozpatrzenia skargi kasacyjnej NSA wyraźnie wskazał na uregulowaną prawnie w Rzeczpospolitej Polskiej szeroką autonomię Kościoła katolickiego przywołując się przy tym na aspekt Konstytucji RP, Konkordatu między Stolicą Apostolską a Rzecząpospolitą Polską oraz ustawy z 17 maja 1989 r. o stosunku Państwa do Kościoła Katolickiego w Rzeczypospolitej Polskiej. W RODO to art. 91 reguluje zasady ochrony danych obowiązujące kościoły i związki wyznaniowe. Stwierdza on w ust. 1, że jeżeli w państwie członkowskim w momencie wejścia w życie RODO kościoły i związki lub wspólnoty wyznaniowe stosują szczegółowe zasady ochrony osób fizycznych w związku z przetwarzaniem, zasady takie mogą być nadal stosowane, pod warunkiem że zostaną dostosowane do RODO. Sąd wyraźnie zaznaczył w swoim uzasadnieniu, że tak faktycznie było. Kościół katolicki stosował przed wejściem w życie RODO zasady odnoszące się do przetwarzania danych osób fizycznych: „Wbrew jednak ocenie strony skarżącej, przed dniem wejścia w życie RODO w Kościele Katolickim obowiązywały w zakresie ochrony danych osobowych pewne reguły, jak chociażby w kwestii prowadzenia ksiąg parafialnych, gdzie z wykorzystaniem danych osobowych odnotowywano fakty udzielenia sakramentu chrztu, zawarcia małżeństwa czy śmierci członków danej wspólnoty religijnej. Nie istniała przy tym zasada powszechnego, nieograniczonego dostępu do tych informacji – możliwości wglądu do ksiąg czy uzyskiwania odpisów, bądź żądania dokonywania dowolnych w nich zmian. Bez znaczenia jest przy tym, czy było to efektem stosowania reguł skodyfikowanych, czy też powszechnie przyjętego prawa zwyczajowego, bowiem żadne rygory co do charakteru źródeł prawa, nie zostały zakreślone w art. 91 ust. 1 RODO. (…) Tym samym warunek istnienia szczegółowych, odrębnych zasad w Kościele Katolickim – przed wejściem w życie RODO – został spełniony.” Skarżący poruszył także sprawę możliwości utworzenia i statusu Kościelnego Inspektora Ochrony Danych, która została przewidziana przez ustawodawcę unijnego w art. 91 ust. 2 RODO: „Kościoły i związki wyznaniowe, które stosują szczegółowe zasady zgodnie z ust. 1 niniejszego artykułu, podlegają nadzorowi niezależnego organu nadzorczego, który może być organem odrębnym, z zastrzeżeniem że spełnia warunki określone w rozdziale VI niniejszego rozporządzenia.”
Jak zauważył sąd: „(…) taki organ odrębny musi zapewniać możliwie zbliżony standard ochrony do organu państwowego i cechować się niezależnością, zachowaniem tajemnicy (art. 52 ust. 4 RODO), wykonywać zadania i realizować uprawnienia określone w RODO. Realizacji tych celów służą wymogi co do kwalifikacji członka organu, jego niezależności, odpowiedniego wyposażenia personalnego i organizacyjnego. Regulacja RODO nie pozwala natomiast oczekiwać, że ukształtowanie organu nadzorczego państwowego i kościelnego będą takie same.” Zdaniem sądu nie jest tak, że tylko organ publiczny może być uznany jako jedyny niezależny organ nadzorczy, spełniający wymagania które są określone w rozdziale VI RODO. Takie wymagania spełnia zdaniem sądu powołany do tego organ kościelny, powołany w ramach należnej Kościołowi katolickiemu autonomii w sprawach organizacyjnych, czyli także przetwarzania danych osobowych, a zatem także powołania Kościelnego Inspektora Ochrony Danych, który oczywiści powinien dawać gwarancję niezależności, co zdaniem sądu zostało spełnione przez Kościół katolicki: „W tym zakresie przepisy Kościoła Katolickiego zawarte w ww. Dekrecie (Dekret ogólny w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych w Kościele katolickim, wydany przez Konferencję Episkopatu Polski, w dniu 13 marca 2018 r., podczas 378. Zebrania Plenarnego w Warszawie) zawierają stosowne regulacje zawarte w art. 33, art. 39.” Jednoczenie sąd podkreślił, że w Dekrecie Konferencji Episkopatu Polski znajduje się także potwierdzenie , że Kościelny Inspektor Ochrony Danych wykonując swoje zadania nadzorcze nie podlega poleceniom innych podmiotów (art. 35 Dekretu), co dodatkowo potwierdza gwarancję niezależności: „Tym samym Kościelny Inspektor Ochrony Danych ma zapewnione prawne regulacje gwarantujące mu niezależność, przy sprawowaniu swojej funkcji”. Sąd w konkluzji uzasadnienia do wyroku stwierdził, że „Skarżący nie zdołał zaś podważyć prawidłowej oceny Sądu pierwszej instancji, że Prezes Urzędu Ochrony Danych Osobowych nie jest kompetentny do rozpatrzenia i rozstrzygnięcia skargi dotyczącej przetwarzania danych osobowych skarżącego w zakresie objętym kompetencjami Kościelnego Inspektora Ochrony Danych”.
Podsumowując powyższy krótki wpis należy podkreślić, że w świetle zaprezentowanego wyroku NSA Kościół katolicki stosuje własne przepisy o ochronie danych osobowych. Osoby, które chcą uzyskać informacje, bądź skorzystać z praw im przysługujących w tym obszarze powinny w relacjach z Kościołem katolickim opierać się na jego wewnętrznych zasadach.
Autor: Radosław Aniszczyk