Zapadł drugi już wyrok uznający, że UODO nie może nakazać usunięcia danych apostatów z ksiąg parafialnych. Zdaniem NSA leży to w wyłącznej gestii kościelnego inspektora ochrony danych.

Najnowsze orzeczenie jest w pełni zbieżne z tym, które DGP opisał jako pierwszy w czerwcu 2022 r. Niektóre fragmenty uzasadnienia są wręcz skopiowane. Naczelny Sąd Administracyjny znów doszedł do wniosku, że spełnione zostały wszystkie warunki pozwalające na wyłączenie Kościoła katolickiego spod kontroli prezesa Urzędu Ochrony Danych Osobowych.

Wniosek apostatów do UODO nieefektywny

Mówiąc wprost - apostaci nie mają po co składać skarg do tego organu, jeśli parafia odmawia usunięcia ich danych ze swych ksiąg. Rozpoznawaniem takich skarg może zająć się wyłącznie kościelny inspektor ochrony danych. Ten zaś uznaje, że wykreślanie informacji na temat uzyskanych w przeszłości sakramentów godziłoby w podstawy teologiczne i porządek Kościoła. RODO w Kościele katolickim
Osoba, która złożyła skargę, początkowo zażądała od dwóch parafii udzielenia informacji na temat tego, jakie jej dane przetwarzają, oraz przesłania ich kopii. Po ich otrzymaniu dodatkowo wniosła o usunięcie jej danych ze wszystkich posiadanych rejestrów. Gdy to nie odniosło skutku, wniosła skargę do prezesa UODO. Ten odmówił wszczęcia postępowania, uznając, że nie ma kompetencji do ingerowania w wewnętrzne sprawy Kościoła. Powołał się na art. 91 RODO, zgodnie z którym jeśli w momencie wejścia w życie unijnego rozporządzenia Kościół stosował szczegółowe zasady ochrony osób, to może je nadal stosować, pod warunkiem ich dostosowania do unijnego rozporządzenia (patrz: grafika).
Zarówno Wojewódzki Sąd Administracyjny w Warszawie, jak i NSA w swym najnowszym orzeczeniu uznały, że spełniono wszystkie warunki pozwalające na autonomię Kościoła katolickiego w zakresie przetwarzania danych.

RODO w Kościele katolickim

Kluczowe były tu dwie kwestie. Pierwsza - czy w momencie, w którym weszło w życie RODO, Kościół stosował już szczegółowe zasady ochrony danych. Skarżący zwracał uwagę, że graniczną datą jest tu 2016 r., bo wtedy to unijne rozporządzenie weszło w życie. Tymczasem „Dekret ogólny w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych w Kościele katolickim” przyjęto dopiero w 2018 r., a więc w roku, w którym RODO zaczęło być stosowane. Zdaniem NSA nie ma to jednak znaczenia, gdyż już w 2016 r. obowiązywały kościelne reguły dotyczące przetwarzania danych osobowych.
„Bez znaczenia jest przy tym, czy było to efektem stosowania reguł skodyfikowanych, czy też powszechnie przyjętego prawa zwyczajowego, bowiem żadne rygory co do charakteru źródeł prawa nie zostały zakreślone w art. 91 ust. 1 RODO. Tym niemniej zauważyć trzeba, że podstawą tych zasad były normy zawarte w prawie kanonicznym, w tym przepisy dotyczące ochrony prywatności i intymności, zawarte w Kodeksie Prawa Kanonicznego” - uzasadnił NSA. Jednocześnie dodał, że reguły te należy uznać za dostosowane do RODO, gdyż termin „dostosowanie” nie oznacza pełnej zgodności.
„Jak można wnosić z treści art. 91 RODO, prawodawca unijny zamierzał uwzględnić specyfikę przetwarzania danych osobowych, pozostających w związku z praktykami religijnymi i nauczaniem dogmatycznym kościołów i innych wspólnot religijnych. Uznał za zasadne więc uszanowanie ich odrębności i autonomii i dopuścił stosowanie odmiennych reguł ochrony danych osobowych” - czytamy w uzasadnieniu orzeczenia. Dodatkowo NSA powołał się na zasadę autonomii Kościoła katolickiego zagwarantowaną konstytucją i konkordatem.
NSA nie zgodził się również z argumentem, że KIOD powinien mieć umocowanie w przepisach powszechnie obowiązującego prawa, a nie regulacji wewnątrzkościelnych. Podobnie jak i z tym, że powinna być to osoba świecka, gdyż duchowny jest podporządkowany regule posłuszeństwa.

Apostazja a RODO

- NSA w najnowszym wyroku skupił się na dwóch kwestiach: spełnieniu przez kościelne przepisy o ochronie danych osobowych warunków określonych w art. 91 ust. 1 RODO oraz pozycji prawnej KIOD. W tej pierwszej kwestii można już mówić o pewnej linii orzeczniczej - w ślad za wcześniejszym wyrokiem NSA potwierdził, że Kościół katolicki może stosować w Polsce własne przepisy o ochronie danych osobowych i że te przepisy nie muszą być kopią RODO. Co do kwestii kościelnego inspektora ochrony danych natomiast przeanalizował odpowiednie przepis prawa kanonicznego i uznał, że inspektor ma zapewnione prawne gwarancje niezależności przy wykonywaniu swoich funkcji - komentuje rozstrzygnięcie dr Paweł Litwiński, adwokat z kancelarii Barta Litwiński.
Jeśli wspomniana linii orzecznicza się ugruntuje, to apostaci będą mogli skarżyć się jedynie do KIOD. Z góry jednak wiadomo, że w zakresie usunięcia danych na temat przyjętych sakramentów, a zwłaszcza chrztu, taka skarga nie będzie uwzględniona. Wynika to wprost ze wspomnianego dekretu ogólnego.
- W tym jedynym przypadku żądanie usunięcia danych, którego ze względów głównie teologicznych nie możemy zrealizować, jest przekształcane w żądanie radykalnego ograniczenia przetwarzania, czyli w zasadzie tylko do przechowywania danych. Kościół nie może godzić się na usuwanie danych osób, które z niego występują, choćby dlatego, że zdarzają się nawrócenia i musi wiedzieć, jakie sakramenty przyjął wierny - mówił w wywiadzie dla DGP po pierwszym z wyroków NSA ks. prof. dr hab. Piotr Kroczek, pełniący funkcję KIOD. ©℗
Co mówi RODO / Dziennik Gazeta Prawna - wydanie cyfrowe

orzecznictwo

Wyrok Naczelnego Sądu Administracyjnego z 14 lipca 2022 r., sygn. akt III OSK 2776/21 www.serwisy.gazetaprawna.pl/orzeczenia