Czy skargę na przetwarzanie danych przez proboszcza powinien rozpatrzeć Prezes Urzędu Ochrony Danych Osobowych? Czy jednak świecki organ może przekierować sprawę do urzędu powołanego przez Episkopat? A może status Kościelnego Inspektora Ochrony Danych jest niezgodny z RODO, bo piastun jest wyświęconym księdzem, a więc nie spełnia warunku odrębności, niezależności, a w dodatku został powołany przez duchownych? I, wcale nie na marginesie: czy organ publiczny może oceniać skutki wystąpienia przez wiernego z organizacji religijnej?
wyrok Naczelnego Sądu Administracyjnego z 28 maja 2025 r. (III OSK 985/22)
Tryb działania, sposób powołania lub odwołania Kościelnego Inspektora Ochrony Danych nie musi mieć podstawy wynikającej z prawa powszechnie obowiązującego i może wynikać z prawa wewnętrznego Kościoła Katolickiego.
opis stanu faktycznego:
- sprawa zaczęła się od złożonego przez parafiankę, do proboszcza, wniosku o wyjaśnienie zakresu i sposobu przetwarzania przez parafię jej danych osobowych, przesłania i usunięcia danych;
- w odpowiedzi proboszcz odpisał, że usunął wszystkie dane — oprócz tych, których skasowanie wymaga zgody biskupa (tj. dotyczących „kanonicznego statusu” osoby) — zatem kobieta wniosła skargę do Prezesa Urzędu Ochrony Danych Osobowych;
- urząd przypomniał, że Kościół rzymsko-katolicki skorzystał z możliwości powołania autonomicznego Kościelnego Inspektora Ochrony Danych;
- a ponieważ każdy organ nadzorczy jest niezależny w wykonywaniu swych kompetencji, to świecki urząd nie ma prawa wchodzić w buty urzędu kościelnego, w tym także ocenić skargi;
- zatem w wydanym postanowieniu PUODO odmówił wszczęcia postępowania;
- w skardze na odmowę kobieta podkreśliła, że przyjęte przez Kościół zasady ochrony danych osobowych nie spełniają warunków RODO;
- zarazem całkowicie wadliwy jest status Kościelnego Inspektora Ochrony Danych, który nie jest organem publicznym, odrębnym i niezależnym, a w dodatku został powołany w procedurze sprzecznej z art. 53 ust. 1 RODO — co oznacza, że sprawą powinien zająć się PUODO;
art. 91 RODO
1. Jeżeli w państwie członkowskim w momencie wejścia niniejszego rozporządzenia w życie kościoły i związki lub wspólnoty wyznaniowe stosują szczegółowe zasady ochrony osób fizycznych w związku z przetwarzaniem, zasady takie mogą być nadal stosowane, pod warunkiem że zostaną dostosowane do niniejszego rozporządzenia.
2. Kościoły i związki wyznaniowe, które stosują szczegółowe zasady zgodnie z ust. 1 niniejszego artykułu, podlegają nadzorowi niezależnego organu nadzorczego, który może być organem odrębnym, z zastrzeżeniem że spełnia warunki określone w rozdziale VI niniejszego rozporządzenia.
art. 52 ust. 1-2 RODO
1. Każdy organ nadzorczy podczas wypełniania swoich zadań i wykonywania swoich uprawnień zgodnie z niniejszym rozporządzeniem działa w sposób w pełni niezależny.
2. Członek lub członkowie każdego organu nadzorczego podczas wypełniania swoich zadań i wykonywania swoich uprawnień zgodnie z niniejszym rozporządzeniem pozostają wolni od bezpośrednich i pośrednich wpływów zewnętrznych, nie zwracają się do nikogo o instrukcje ani ich od nikogo nie przyjmują.
art. 53 ust. 1 RODO
Państwa członkowskie zapewniają, by każdy członek ich organów nadzorczych był powoływany w drodze przejrzystej procedury przez:
– niezależny organ uprawniony do powoływania członków organu nadzorczego na podstawie prawa państwa członkowskiego,
– ich parlament,
– ich rząd,
– ich głowę państwa, lub
– niezależny organ uprawniony do powoływania członków organu nadzorczego na podstawie prawa państwa członkowskiego.
wyrok WSA:
- w wydanym wyroku WSA przypomniał, że Kościół jest instytucją o prawnie uregulowanym statusie: ustawa zasadnicza przewiduje bezstronność i autonomię państwa i organizacji religijnych, ustawa o stosunku Państwa do Kościoła Katolickiego mówi, że ten w swoich sprawach rządzi się swoim prawem i swobodnie wykonuje władzę duchową i jurysdykcyjną, etc.,etc.;
- skoro więc RODO pozwala kościołom i związkom wyznaniowym stosowanie własnych zasad ochrony danych i powołanie własnych organów nadzorczych — a polski episkopat zdecydował się na taki krok i powołał KIOD — to wszelkie skargi na przetwarzanie danych osobowych przez proboszcza należy kierować do tamtego organu;
- co oznacza, że odmowa zajęcia się sprawą przez PUODO była prawidłowa (wyrok WSA w Warszawie z 8 grudnia 2021 r., II SA/Wa 3437/21, w wydaniu którego udział brał Tomasz Szmydt);
skarga kasacyjna:
- w skardze kasacyjnej parafianka podtrzymała dotychczasowe stanowisko: kościelny dokument o przetwarzaniu danych osobowych nie stosował 24 maja 2016 r., KIOD nie został powołany w procedurze zgodnej z RODO, nie ma charakteru organu publicznego, a także nie jest niezależny od Kościoła — zaś odmowa zajęcia się sprawą przez PUODO narusza konstytucyjne prawo do wolności religijnej;
orzeczenie NSA:
- odnosząc się do tych argumentów Naczelny Sąd Administracyjny przypomniał, iż w orzecznictwie przyjęto, że art. 91 ust. 1 RODO nie oznacza obowiązku stosowania „RODO-podobnej” regulacji w momencie wejścia w życia RODO: szczegółowe zasady ochrony danych osobowych to także odwieczne reguły prowadzenia ksiąg parafialnych (por. „Czy Kościół katolicki „stosował zasady” przetwarzania danych osobowych przed RODO?”);
- nie ma przy tym znaczenia, iż prawidła te mogły być nieskodyfikowane, albowiem w zakresie przetwarzania danych przez organizacje religijne dopuszczalne było stosowanie „powszechnie przyjętego prawa zwyczajowego” (acz zdaniem NSA odpowiednie regulacje zostały skodyfikowane — w Kodeksie Prawa Kanonicznego);
- bezzasadny jest także zarzut, że wydany przez KEP dekret ogólny w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych w Kościele katolickim nie powiela rozwiązań RODO: otóż reguły przetwarzania danych przez kościoły miały być „dostosowane” do rozporządzenia unijnego, co pozwala na pewnego rodzaju odrębności wynikające ze specyfiki przetwarzania, ale też konstytucyjnych gwarancji autonomii Kościoła Katolickiego;
- skarżąca nie ma także racji podważając status Kościelnego Inspektora Ochrony Danych: skoro kościoły mogą powołać swój organ nadzorczy, pod warunkiem, że spełnia on podstawowe standardy RODO, to nie można domagać się, by uregulowania dotyczące organu świeckiego i kościelnego były identyczne; nie można także domagać się, by KIOD był obsadzany przez świeckie władze państwowe i podlegał w swych kompetencjach prawu publicznemu;
- natomiast o tym czy KIOD nie jest niezależny nie można przesądzać wyłącznie na podstawie tego, iż jest on osobą duchowną, związaną regułą posłuszeństwa: raz, że KPK wyraźnie mówi, że każdy kościelny urząd rządzi się swoimi prawami, dwa, że dekret KEP dorzuca, że wykonując swe kompetencje KIOD „nie podlega poleceniom innych podmiotów” — zaś kwestii ocen moralnych oraz konsekwencji przyjęcia święceń NSA oceniać nie będzie;
- taka wykładnia nie podważa konstytucyjnej i konwencyjnej gwarancji wolności sumienia i wyznania: z jednej strony każdy ma prawo swobodnego decydowania o własnych przekonaniach i wyznaniu, a przynależność do kościoła ma charakter dobrowolny, więc każdy ma prawo z niego wystąpić — jednak autonomia związków wyznaniowych obejmuje także prawo ustalania doktryny (kanonów religijnych), a także „swobody podejmowania aktów dotyczących praw i statusu wiernych”;
- w konsekwencji państwo nie tylko nie może narzucać swym obywatelom wiary, przekonań i światopoglądu, a także nie ma prawa karać za określone wyznanie (lub odstępstwo od wiary) — ale jego neutralność i bezstronność obejmuje także ocenę skutków czynności, z którymi religia wiąże określone skutki (sakramenty, etc.)…
- …w tym także zakres kompetencji organu uprawnionego do rozpoznania skarg na przetwarzanie danych osobowych przez parafię — co oznacza, że odmowa zajęcia się sprawą przez PUODO była prawidłowa.
Zamiast komentarza: prędzej udam się we włosienicy do Kanossy, niż zmienię pogląd w tej materii: ten wyrok jest prawidłowy — z czarami do czarownika, z odczarowaniem do odczarownika, ale nie każcie urzędnikom badać Pisma Świętego.