Marek A. (dane zmienione) złożył skargę na parafię rzymskokatolicką w sprawie przetwarzania jego danych osobowych. Prezes Urzędu Ochrony Danych Osobowych odmówił wszczęcia postępowania, ponieważ uznał, że nie jest kompetentny do rozpatrzenia i rozstrzygnięcia skargi dotyczącej przetwarzania danych osobowych w zakresie objętym kompetencjami Kościelnego Inspektora Ochrony Danych. Marek A. nie zgodził się z wydanym w tej sprawie postanowieniem, więc postanowił je zaskarżyć.

Wojewódzki Sąd Administracyjny w Warszawie oddalił skargę, ponieważ uznał, że Prezes UODO nie posiada uprawnień do rozpatrywania spraw dotyczących przetwarzania danych osobowych w bazach danych prowadzonych w ramach struktur Kościoła Katolickiego. Nie zakończyło to sporu, ponieważ Marek A. postanowił wnieść skargę kasacyjną.

Czytaj w LEX: Czelny Michał - W sprawie skuteczności wystąpienia z kościoła katolickiego: Uwagi dotyczące decyzji z dnia 28.11.2018 r. wydanej przez Prezesa Urzędu Ochrony Danych Osobowych >>>

Czytaj w LEX: Prezes UODO nie rozpoznaje skarg dotyczących przetwarzania danych osobowych w kościelnych rejestrach >>>

 

Kościół stosował szczegółowe zasady

Sprawą zajął się Naczelny Sad Administracyjny, który wskazał, że zgodnie z art. 91 ust. 1 rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (dalej jako: RODO), jeżeli w państwie członkowskim w momencie wejścia niniejszego rozporządzenia w życie kościoły i związki lub wspólnoty wyznaniowe stosują szczegółowe zasady ochrony osób fizycznych w związku z przetwarzaniem, zasady takie mogą być nadal stosowane, pod warunkiem że zostaną dostosowane do niniejszego rozporządzenia. Przepis ten nie wprowadza rygoru co do charakteru źródeł prawa, więc mogą to być skodyfikowane reguły lub powszechnie przyjęte prawo zwyczajowe. Sąd wskazał, że wbrew ocenie skarżącego, przed dniem wejścia w życie RODO w Kościele Katolickim obowiązywały pewne zasady w zakresie ochrony danych osobowych. Ich podstawą były normy zawarte w prawie kanonicznym.

Czytaj także: WSA: O naruszeniu danych osobowych należy poinformować bez zbędnej zwłoki >>>

Czytaj w LEX: Stosunek kościelnej ochrony danych osobowych do RODO - uwagi na marginesie postanowienia krajowego sądu pracy w Norymberdze z dnia 29 maja 2020 roku, 8 TA 36/20 >>>

Dostosowanie nie oznacza pełnej zgodności

Szczegółowe zasady ochrony osób fizycznych w związku z przetwarzaniem danych powinny zostać dostosowane do wymagań RODO. Nie chodzi jednak o zapewnienie pełnej zgodności. Z treści art. 91 RODO wynika, że unijny prawodawca uwzględnia specyfikę przetwarzania danych osobowych, pozostających w związku z praktykami religijnymi i nauczaniem dogmatycznym kościołów i innych wspólnot religijnych. Zasadne jest więc uszanowanie ich odrębności i autonomii. Tym samym dopuszczalne jest stosowanie odmiennych reguł ochrony danych osobowych, które zapewniają realizację celów RODO. Wykładnia ta uwzględnia konstytucyjną zasadę autonomii Kościoła Katolickiego.

Czytaj w LEX: Ochrona danych osobowych w kościołach i związkach wyznaniowych - PORADNIK >>>

 

Bestseller
Meritum. Ochrona danych osobowych
-20%
Bestseller
Meritum. Ochrona danych osobowych

Dominik Lubasz

Sprawdź  

Cena promocyjna: 159.2 zł

|

Cena regularna: 199 zł

|

Najniższa cena w ostatnich 30 dniach: 19.9 zł


Autonomia pozwala na powołanie organu nadzorczego

Zgodnie z art. 91 ust. 2 RODO, kościoły i związki wyznaniowe, które stosują szczegółowe zasady, podlegają nadzorowi niezależnego organu nadzorczego, który może być organem odrębnym, z zastrzeżeniem, że spełnia warunki określone w rozdziale VI niniejszego rozporządzenia. Wbrew ocenie skarżącego, takim organem nie jest tylko organ publiczny. Pozostawiona Kościołowi Katolickiemu autonomia w sprawach organizacyjnych, w tym przetwarzania danych osobowych jego członka, daje bowiem uprawnienie do powołania w ramach własnej struktury organu ochrony danych osobowych, w tym przypadku Kościelnego Inspektora Ochrony Danych. Przyjęte w tym zakresie regulacje prawa wewnętrznego powinny zawierać gwarancje niezależności odpowiadające założeniom przyjętym w art. 52 RODO. Mając powyższe na uwadze, NSA oddalił skargę kasacyjną.

Wyrok NSA z 14 lipca 2022 r., sygn. akt III OSK 2776/21

 

-------------------------------------------------------------------------------------------------------------------

Linki w tekście artykułu mogą odsyłać bezpośrednio do odpowiednich dokumentów w programie LEX. Aby móc przeglądać te dokumenty, konieczne jest zalogowanie się do programu. Dostęp do treści dokumentów w programie LEX jest zależny od posiadanych licencji.