Czy przetwarzanie danych osobowych przez Kościół katolicki powinno podlegać nadzorowi świeckiego PUODO, czy jednak może się tym zajmować Kościelny Inspektor Ochrony Danych Osobowych? A może zależy to od daty wejścia w życie RODO — co nastąpiło dwa lata przed pamiętnym majem 2018 r. — zatem może władze kościelne całkowicie się spóźniły z przyjęciem swojej regulacji?
wyrok Naczelnego Sądu Administracyjnego z 25 maja 2022 r. (III OSK 2273/21)
Pozostawiona Kościołowi Katolickiemu autonomia w sprawach organizacyjnych, w tym przetwarzania danych osobowych jego członka daje mu również uprawnienie do powołania w ramach własnej struktury organu ochrony danych osobowych, w tym przypadku Kościelnego Inspektora Ochrony Danych, aczkolwiek przyjęte w tym zakresie regulacje prawa wewnętrznego powinny zawierać gwarancje niezależności odpowiadające założeniom przyjętym w art. 52 RODO. Organ nadzorczy może zatem być umiejscowiony w strukturze kościoła.
Sprawa zaczęła się od złożonego w kurii i parafii wniosku o udzielenie informacji co do przetwarzania danych osobowych oraz ich usunięcia. Odpowiedź miała charakter wymijający, zatem zainteresowany wniósł skargę do PUODO, jednak urząd stwierdził, że nie jest władny do oceny przetwarzania danych osobowych przez instytucje kościelne i odmówił wszczęcia postępowania (por. „Apostazja podlega prawu kościelnemu — przeto nie można skarżyć do PUODO przetwarzania danych osobowych przez proboszcza”).
W złożonej skardze do sądu mężczyzna zwrócił uwagę, że Kościelny IOD mógłby nadzorować przetwarzanie danych osobowych, pod warunkiem, że właściwe kościelne regulacje byłyby stosowane w momencie wejścia w życie RODO. Tymczasem akt ten wszedł w życie w maju 2016 r. (natomiast 25 maja 2018 r. jest datą stosowania RODO), to Dekret Konferencji Episkopatu Polski z 13 marca 2018 r. w/s ochrony osób fizycznych w związku z przetwarzaniem danych osobowych w Kościele katolickim warunku tego nie spełnia — co oznacza, że jednak sprawą powinien zajmować się świecki PUODO.
art. 91 rozporządzenia 679/2016 o ochronie danych osobowych
1. Jeżeli w państwie członkowskim w momencie wejścia niniejszego rozporządzenia w życie kościoły i związki lub wspólnoty wyznaniowe stosują szczegółowe zasady ochrony osób fizycznych w związku z przetwarzaniem, zasady takie mogą być nadal stosowane, pod warunkiem że zostaną dostosowane do niniejszego rozporządzenia.
2. Kościoły i związki wyznaniowe, które stosują szczegółowe zasady zgodnie z ust. 1 niniejszego artykułu, podlegają nadzorowi niezależnego organu nadzorczego, który może być organem odrębnym, z zastrzeżeniem że spełnia warunki określone w rozdziale VI niniejszego rozporządzenia.
art. 99 RODO
1. Niniejsze rozporządzenie wchodzi w życie dwudziestego dnia po publikacji w Dzienniku Urzędowym Unii Europejskiej.
2. Niniejsze rozporządzenie ma zastosowanie od dnia 25 maja 2018 r.
Wojewódzki Sąd Administracyjny nie podzielił tych argumentów: Kościelny IOD jako organ nadzorczy spełnia warunki niezależności, zaś Dekret KEP został uchwalony, zatwierdzony przez Stolicę Apostolską, a następnie promulgowany, a wszystko to przed okresem obowiązywania RODO w Polsce.
art. 52 ust. 1 RODO
Każdy organ nadzorczy podczas wypełniania swoich zadań i wykonywania swoich uprawnień zgodnie z niniejszym rozporządzeniem działa w sposób w pełni niezależny.
Oznacza to, że „kościelne RODO” obowiązuje, co wyklucza ingerencję PUODO w zakres kompetencji organu kościelnego (wyrok WSA w Warszawie z 9 września 2019 r., II SA/Wa 865/19).
W skardze kasacyjnej mężczyzna zarzucił, iż Kościelny IOD to żaden „niezależny organ publiczny” (jak w art. 51 ust. 1 RODO), lecz po prostu osoba fizyczna (która „nie dysponuje zapewnianymi przez państwo członkowskie zasobami kadrowymi, technicznymi i finansowymi, pomieszczeniami i infrastrukturą”, art. 52 ust. 3-6 RODO), której nie ustanowiły władze publiczne (art. 54 RODO), przeto taka osoba nie może rozpatrywać skarg na przetwarzanie danych osobowych. Tak czy inaczej w momencie wejścia w życie RODO żadne kościelne zasady ochrony danych nie istniały, KIOD nie był powołany — więc przetwarzanie danych osobowych przez Kościół katolicki na pewno nie są zgodne z RODO.
Naczelny Sąd Administracyjny nie podzielił tych argumentów: art. 91 RODO nie wymaga, by wcześniejsze zasady przetwarzania danych osobowych były skodyfikowane, przeto mogą być to zasady zwyczajowe lub wynikające z prawa kanonicznego. Nie ma wątpliwości, iż Kościół katolicki przetwarzał dane osobowe już w momencie wejścia w życie RODO (prowadził księgi parafialne, w których m.in. odnotowywano chrzty, śluby, pogrzeby), toteż kluczowe jest to, czy zasady przetwarzania zostały „dostosowane” do aktu prawnego — a przecież pojęcie „dostosowania” się do jakiejś regulacji nie oznacza konieczności pełnej zgodności (wówczas prawodawca nakazałby „stosowanie” RODO, a nie „dostosowanie” się). Dostosowaniem się Kościoła katolickiego do wynikających z RODO zasad przetwarzania danych osobowych było wprowadzenie Dekretu Konferencji Episkopatu Polski, którego treść co do zasady jest zgodna z rozporządzeniem.
Odnosząc się natomiast do zasad funkcjonowania Kościelnego IOD, sąd stwierdził, iż art. 52 RODO nie wymaga, by organ kościelny był identycznie ukształtowany jak świecki organ państwowy, zatem nie jest prawdą, by za odrębny i niezależny organ dało się uznać wyłącznie organ publiczny. Jedynym warunkiem jest istnienie organu niezależnego w rozumieniu art. 52 RODO, aczkolwiek może być on umiejscowiony w strukturach Kościoła — i te warunki Kościelny IOD spełnia.
(Wcale nie na marginesie warto zwrócić uwagę, że skarżący podnosił, że w sprawie orzekali sędziowie, którzy są wyznania rzymsko-katolickiego, a więc powinni być wyłączeni od orzekania, jednak NSA odparł, że zgodnie z art. 53 ust. 7 Konstytucji RP sąd nie może pytać nikogo (także sędziego) o religię; natomiast wyznawanie przez sędziego określonej wiary nie jest przesłanką jego wyłączenia od orzekania z urzędu, a skoro skarżący nie wnosił o to w toku postępowania, to nie może teraz polemizować z orzeczeniem bazując na nieuwzględnieniu wniosku, którego nie złożył.)