Warszawa, dnia 6 lutego 2013 r. Opinia prawna w sprawie poselskiego projektu ustawy o zmianie ustawy o ochronie danych osobowych (druk sejmowy nr 668)

Transkrypt

1

2

3

4

5

6

7 Warszawa, dnia 6 lutego 2013 r. Opinia prawna w sprawie poselskiego projektu ustawy o zmianie ustawy o ochronie danych osobowych (druk sejmowy nr 668) Tezy opinii 1. Poselski projekt ustawy o zmianie ustawy o ochronie danych osobowych z dnia r. jest w tym znaczeniu sprzeczny z Konstytucją RP, iż jego wejście w życie spowoduje niezgodność znowelizowanej ustawy o ochronie danych osobowych z art. 25 ust. 3 Konstytucji. Nie będzie ona bowiem uwzględniać wówczas w pełni zasady poszanowania autonomii kościołów i związków wyznaniowych oraz niezależności od państwa w ich zakresie. Stan prawny, jaki powstałby w wyniku wejścia w życie proponowanego przepisu, oznaczałby w istocie sytuację tzw. zakresowej niezgodności z Konstytucją niektórych przepisów dotyczących zakresu kompetencji Generalnego Inspektora Ochrony Danych Osobowych (GIODO), polegającą w szczególności na jego uprawnieniu do nakazywania uzupełnienia, uaktualnienia, sprostowania danych osobowych w zbiorach prowadzonych przez jednostki organizacyjne kościołów i związków wyznaniowych. 2. Przetwarzanie danych osobowych dotyczących osób należących do danego kościoła lub związku wyznaniowego (w szerokim znaczeniu przyjętym w art. 7 pkt 2 ustawy o ochronie danych osobowych) stanowi immanentną część własnego zakresu działania kościołów i związków wyznaniowych, a więc dziedziny spraw wewnętrznych, w którym są one autonomiczne i niezależne od państwa. Gromadzenie i przetwarzanie danych osobowych jest bowiem nieodłącznie związane z podstawowymi funkcjami kościołów i związków wyznaniowych, głównie zaś pełnieniem z posług religijnych (m. in. określaniem sposobu i warunków dopuszczalności ich pełnienia w określonych sytuacjach), sprawowaniem

8 2 tzw. władzy duchownej (tj. wewnętrznym rządzeniem się w swoich sprawach własnym prawem) oraz ustanawianiem duchownych. Wewnętrzny charakter gromadzenia i przetwarzania danych osobowych osób wierzących przez kościoły i związki wyznaniowe wynika ponadto ze szczególnej relacji między osobą należącą do danego kościoła a tym kościołem, która właściwie wyłączona jest spod regulacji prawnej i jurysdykcji państwa, ponieważ należy do zakresu działania uznanych przez państwo kompetencji władzy duchownej. 3. W konsekwencji stwierdzić należy, iż nadzór państwa i władcze kompetencje organów państwa w zakresie przestrzegania przez kościoły i związki wyznaniowe ochrony danych osobowych nie mogą wkraczać w dziedziny, w których te są autonomiczne, a w szczególności nie może polegać na nakazach usuwania, aktualizowania lub sprostowania tych danych osobowych, które związane przede wszystkim z posługą religijną, dopuszczalnością lub niedopuszczalnością oraz określaniem skutków religijnych danych obrzędów oraz ustanawianiem (i usuwaniem od funkcji) duchownych, więc odnoszą się do relacji między kościołem a osobą do niego należącą. 4. Proponowany projekt, poddając w pełni kościoły i związki wyznaniowe władczym kompetencjom Generalnego Inspektora Ochrony Danych Osobowych (co odróżnia go od stanu dotychczasowego), narusza wskazane powyżej założenia relacji między państwem a kościołami i związkami wyznaniowymi. Stanowi on obejście tych założeń i wprowadza (dopuszcza) swego rodzaju pośredni nadzór GIODO nad realizacją przez kościoły i związki wyznaniowe również ich religijnych funkcji i zadań. Poza tym oznacza on stworzenie możliwości stosowania (i interpretowania) przez GIODO norm wewnętrznych obowiązujących w danej wspólnocie religijnej, co również narusza pozycję tzw. władzy duchownej. 5. Uchwalenie analizowanego projektu nie stanowiłoby naruszenia art. 25 ust. 5 Konstytucji RP. Nie jest to bowiem zmiana tzw. ustaw partykularnych, tj. regulujących stosunki między państwem a poszczególnymi wspólnotami wyznaniowymi. Natomiast jego uchwalenie przy sprzeciwie niektórych kościołów i związków wyznaniowych bez żadnych dążeń do uzyskania ich akceptacji stanowiłoby naruszenie zasady współdziałania (art. 25 ust. 3 in fine Konstytucji), co TK traktuje jako nakaz poszukiwania w tej sferze rozwiązań o charakterze konsensualnym. 2

9 3 II. Zagadnienia wstępne 1. Przedmiotem niniejszej opinii prawnej jest ocena poselskiego projektu ustawy o zmianie ustawy o ochronie danych osobowych złożonego w dniu 13 czerwca 2012 r. (druk sejmowy nr 668). Projekt ten nadaje nowe brzmienie art. 43 ust. 2 (błędnie oznaczonemu w samym projekcie jako punkt) ustawy z 29 sierpnia 1997 r. o ochronie danych osobowych (tekst jedn. Dz. U. z 2002 r. Nr 101, poz. 926 ze zm.). Proponowany nowy przepis ma mieć następującą treść: W odniesieniu do zbiorów, o których mowa w ust. 1 pkt 1, oraz zbiorów, o których mowa w ust. 1 pkt 1a, przetwarzanych przez Agencję Bezpieczeństwa Wewnętrznego, Agencję Wywiadu, Służbę Kontrwywiadu Wojskowego, Służbę Wywiadu Wojskowego oraz Centralne Biuro Antykorupcyjne, Generalnemu Inspektorowi nie przysługują uprawnienia określone w art. 12 pkt 2, art. 14 pkt 1 i 3-5 oraz art Istotna zmiana stanu prawnego, którą przewiduje analizowany projekt, ujawnia się po porównaniu treści projektu z obecnym brzmieniem art. 43 ust. 2 ustawy o ochronie danych osobowych. Przewiduje on, że: W odniesieniu do zbiorów, o których mowa w ust. 1 pkt 1 i 3, oraz zbiorów, o których mowa w ust. 1 pkt 1a, przetwarzanych przez Agencję Bezpieczeństwa Wewnętrznego, Agencję Wywiadu, Służbę Kontrwywiadu Wojskowego, Służbę Wywiadu Wojskowego oraz Centralne Biuro Antykorupcyjne, Generalnemu Inspektorowi nie przysługują uprawnienia określone w art. 12 pkt 2, art. 14 pkt 1 i 3-5 oraz art (podkr. autora opinii). 2. Istotne przepisy związkowe dotyczące uprawnień GIODO przewidują, że ma on generalnie możliwość: a) wydawania decyzji administracyjnych i rozpatrywania skarg w sprawach wykonania przepisów o ochronie danych osobowych (art. 12 pkt 2; zob niżej); b) wstępu, w godzinach od 6.00 do (...) do pomieszczenia, w którym zlokalizowany jest zbiór danych, oraz pomieszczenia, w którym przetwarzane są dane poza zbiorem danych, i przeprowadzenia niezbędnych badań lub innych czynności kontrolnych w celu oceny zgodności przetwarzania danych z ustawą,

10 4 c) wglądu do wszelkich dokumentów i wszelkich danych mających bezpośredni związek z przedmiotem kontroli oraz sporządzania ich kopii, d) przeprowadzania oględzin urządzeń, nośników oraz systemów informatycznych służących do przetwarzania danych, e) zlecania sporządzanie ekspertyz i opinii., e) żądania złożenia pisemnych lub ustnych wyjaśnień oraz wzywania i przesłuchiwania osób w zakresie niezbędnym do ustalenia stanu faktycznego, Jeśli chodzi o wspomniane wcześniej decyzje administracyjne to zgodnie z art. 18 ustawy o ochronie danych osobowych w przypadku naruszenia przepisów o ochronie danych osobowych Generalny Inspektor z urzędu lub na wniosek osoby zainteresowanej nakazuje w ten sposób przywrócenie stanu zgodnego z prawem, a w szczególności: 1) usunięcie uchybień, 2) uzupełnienie, uaktualnienie, sprostowanie, udostępnienie lub nieudostępnienie danych osobowych, 3) zastosowanie dodatkowych środków zabezpieczających zgromadzone dane osobowe, 4) wstrzymanie przekazywania danych osobowych do państwa trzeciego, 5) zabezpieczenie danych lub przekazanie ich innym podmiotom, 6) usunięcie danych osobowych. Mówiąc krótko obecnie obowiązujące przepisy przewidują, iż choć kościoły i związki wyznaniowe (a dokładniej poszczególnie ich organy i jednostki organizacyjne) podlegają ustawie o ochronie danych osobowych, to jednak w odniesieniu do nich bardzo ograniczone są władcze kompetencje Generalnego Inspektora Ochrony Danych Osobowych. Może on właściwie tylko żądać złożenia pisemnych lub ustnych wyjaśnień oraz wzywać i przesłuchiwać osoby w zakresie niezbędnym do ustalenia stanu faktycznego. Może też inicjować i podejmować przedsięwzięcia niewładcze w zakresie doskonalenia ochrony danych osobowych. Proponowana nowelizacja polega zaś na tym, iż kościelni administratorzy danych będą podlegali wszystkim władczym uprawnieniom GIODO i będą 4

11 5 zobowiązani wykonywać jego decyzje administracyjne dotyczące będących w ich posiadaniu zbiorów danych osobowych. 3. W opinii niniejszej skoncentrowano się na problemie zgodności tego projektu z Konstytucją RP. Zastrzeżenia w tym zakresie zgłosił Kościół Ewangelicko- Augsburski w RP, podnosząc iż uchwalenie proponowanej nowelizacji stanowiłoby naruszenie art. 25 ust. 3 Konstytucji RP. Wobec sporządzenia już wcześniej odpowiedniej opinii z dnia 26 czerwca 2012 r. (BAS-WAPiEM-1560/12) pominięto analizę zgodności projektu z prawem Unii Europejskiej. Z uwagi na termin sporządzenia opinii nie była możliwa pełna analiza literatury prawa konstytucyjnego i prawa wyznaniowego. III. Ustalenia szczegółowe i uzasadnienie tez opinii. 1. Zgodnie z art. 25 ust. 3 stosunki między państwem a kościołami i innymi związkami wyznaniowymi kształtowane są na zasadach poszanowania ich autonomii oraz wzajemnej niezależności każdego w swoim zakresie, jak również współdziałania dla dobra człowieka i dobra wspólnego. Ogólnie wskazuje się, iż autonomia wspólnot religijnych polega na prawie do samodzielnego zawiadywania swoimi sprawami bez możliwości ingerencji w tę sferę innych podmiotów (zob. np. K. Complak, Normy pierwszego rozdziału Konstytucji RP, Wrocław 2007, s. 194). Od strony negatywnej oznacza to zakaz ingerencji organów państwa w sprawy wewnętrzne kościołów i związków wyznaniowych, a w zw. z art. 25 ust. 2 Konstytucji ustanawiającemu zasadę bezstronności państwa w sprawach przekonań religijnych i światopoglądowych i filozoficznych brak kompetencji państwa prawnego do regulowania spraw natury religijnej i sposobu wykonywania przez wspólnoty wyznaniowe swoich szeroko pojętych zadań religijnych. Konstytucja nie wskazuje dokładnie, jaki jest zakres właściwości kościołów i związków wyznaniowych, w którym są one autonomiczne i niezależne od państwa. Częściowo określa to art. 53 ust. 2 i 4 Konstytucji, wspominając o wyznawaniu i przyjmowaniu religii oraz uzewnętrznianiu religii również z innymi przez uprawianie kultu, modlitwę, udział w obrzędach i nauczanie. Z istoty rzeczy podstawową rolą kościołów jest określanie założeń danej religii ( prawd wiary ), które

12 6 określona osoba może przyjąć, a także sposobu (sposobów) jej uzewnętrzniania, zwłaszcza poprzez określenie modlitw, formy odprawiania obrzędów religijnych oraz nauczanie swojej religii, zwłaszcza w formach szkolnych. Rozwijając to, bardziej dokładnie sprawę tę reguluje art. 19 ust. 2 ustawy z dnia 17 maja 1989 r. o gwarancjach wolności sumienia i wyznania (tekst jedn. Dz. U. z 2005 r. nr 231 poz ze zm.) który stanowi, iż wypełniając funkcje religijne kościoły i inne związki wyznaniowe mogą w szczególności: 1) określać doktrynę religijną, dogmaty i zasady wiary oraz liturgię; 2) organizować i publicznie sprawować kult; 3) udzielać posług religijnych, w tym osobom, o których mowa w art. 4, oraz organizować obrzędy i zgromadzenia religijne; 4) rządzić się w swoich sprawach własnym prawem, swobodnie wykonywać władzę duchowną oraz zarządzać swoimi sprawami; 5) ustanawiać, kształcić i zatrudniać duchownych; 6) realizować inwestycje sakralne i inne inwestycje kościelne; 7) nabywać, posiadać i zbywać majątek ruchomy i nieruchomy oraz zarządzać nim; 8) zbierać składki i otrzymywać darowizny, spadki i inne świadczenia od osób fizycznych i prawnych; 9) wytwarzać i nabywać przedmioty i artykuły potrzebne do celów kultu i praktyk religijnych oraz korzystać z nich; 10) nauczać religii i głosić ją, w tym za pomocą prasy, książek i innych druków oraz filmów i środków audiowizualnych; 11) korzystać ze środków masowego przekazywania; 12) prowadzić działalność oświatowo-wychowawczą; 13) tworzyć i prowadzić zakony oraz diakonaty; 14) tworzyć organizacje mające na celu działalność na rzecz formacji religijnej, kultu publicznego oraz przeciwdziałania patologiom społecznym i ich skutkom; 15) prowadzić działalność charytatywno-opiekuńczą; 6

13 7 16) (uchylony); 17) powoływać krajowe organizacje międzykościelne; 18) należeć do międzynarodowych organizacji wyznaniowych i międzywyznaniowych oraz utrzymywać kontakty zagraniczne w sprawach związanych z realizacją swoich funkcji (wszystkie podkreślenia pochodzą od autora opinii). Należy podkreślić, iż nie jest to katalog wyczerpujący, ale obejmujący tylko najważniejsze funkcje wspólnot wyznaniowych. Omawiany tu przepis ustawy o gwarancjach wolności sumienia i religii jako norma przedkonstytucyjna przyjęta w 1989 r. w okresie powrotu Polski do grona państw szanujących międzynarodowe standardy w zakresie wolności sumienia i wyznania ma istotne znaczenie dla wykładni konstytucyjnego pojęcia swojego zakresu kościołów i związków wyznaniowych oraz zakresu przypisanego państwu (władzom publicznym). Wykonywanie powyższych funkcji religijnym powiązane jest oczywiście z gromadzeniem i przetwarzaniem danych osobowych, w szczególności dotyczących osób, którym udzielono lub ma się udzielić posług religijnych oraz osób sprawujących w imieniu danego kościoła władzę duchowną oraz w ogóle duchownych danego kościoła i osób nauczających religii. Jednak również w innych wskazanych w ustawie funkcjach może dochodzić do praktycznej konieczności zbierania i przetwarzania danych osobowych. Przetwarzanie danych osobowych dotyczących osób należących do danego kościoła lub związku wyznaniowego (w szerokim znaczeniu przyjętym w art. 7 pkt 2 ustawy o ochronie danych osobowych) stanowi więc immanentną część własnego zakresu działania kościołów i związków wyznaniowych. Na zasadzie instrumentalnego powiązania zostaje więc objęta gwarancją wynikającą z art. 25 ust. 3 Konstytucji RP. Należy tu przypomnieć, iż zgodnie z powołanym wcześniej art. 7 pkt 2 ustawy o ochronie danych osobowych przez przetwarzanie danych rozumie się jakiekolwiek operacje wykonywane na danych osobowych, takie jak zbieranie, utrwalanie, przechowywanie, opracowywanie, zmienianie, udostępnianie i usuwanie, a zwłaszcza te, które wykonuje się w systemach informatycznych. Wewnętrzny charakter gromadzenia i przetwarzania danych osobowych osób wierzących przez kościoły i związki wyznaniowe wynika ponadto ze szczególnej relacji między osobą należącą do danego kościoła a tym kościołem, która właściwie

14 8 wyłączona jest spod regulacji prawnej i jurysdykcji państwa, ponieważ należy do zakresu działania uznanych przez państwo kompetencji władzy duchownej. Sfera autonomii kościołów i związków wyznaniowych obejmuje również określanie pewnych norm regulujących prawa i obowiązki osób należących do danego kościoła lub związku wyznaniowego, w tym norm dotyczących podawania władzom kościelnym pewnych danych osobowych oraz dalszego postępowania wewnątrz danej wspólnoty religijnej z tym danymi. Co bardzo istotne dane osobowe gromadzone i przetwarzane przez kościoły i związki wyznaniowe dotyczą przekonań religijnych lub też okoliczności związanych bezpośrednio z życiem religijnym danej osoby uregulowanych przez normy ustanowione przez dane wyznanie. Władcza ingerencja państwa w gromadzenie danych osobowych o charakterze religijnym przez kościoły i związki wyznaniowe stanowi więc w praktyce pośrednią ingerencję w ich autonomię (zob. dalej pkt 5) oraz wolność sumienia i religii (art. 53 Konstytucji RP). 2. W praktyce może dochodzić do pewnej kolizji autonomii kościołów i związków wyznaniowych z realizacją konstytucyjnie poręczonego prawa do ochrony danych osobowych (art. 51 Konstytucji RP). W literaturze odkreśla się, iż na podstawie z art. 51 Konstytucji nie można wnioskować, iż podmioty niepubliczne nie podlegają ograniczeniom wprowadzonym przez ten przepis (zob. m.in. K. Wygoda, Ochrona danych osobowych i prawo do informacji o charakterze osobowym (w:) B. Banaszak, A. Preisner (red.), Prawa i wolności obywatelskie w Konstytucji RP, Warszawa 2002, s. 407) Oczywistym jest przy tym, iż do kościołów i związków wyznaniowych nie można wprost stosować art. 51 ust. 2 Konstytucji RP, bo przepis ten adresowany jest wyraźnie tylko do władz publicznych. Ważniejszy jest natomiast problem, czy i ewentualnie w jakim zakresie do kościołów i związków wyznaniowych stosuje się art. 51 ust. 4 Konstytucji, który w domyśle zakłada nadzór państwa nad gromadzeniem (i przetwarzaniem) danych osobowych również przez podmioty prywatne. Dodatkowo zauważyć również należy, iż ochrona danych osobowych związana jest ściśle z ochroną prywatności i decydowania o swoich życiu osobistym (art. 47 Konstytucji). Prawa te jako ściśle związane z godnością człowieka obowiązują również w aspekcie horyzontalnym, tj. państwo zobowiązane jest zapewnienia ich przestrzegania również w relacjach między ludźmi oraz w relacjach człowiek-instytucje niepaństwowe. Widać więc wyraźne, iż w odniesieniu do danych 8

15 9 osobowych mających znaczenie z punktu widzenia funkcji religijnych kościołów i związków wyznaniowych dochodzić może do kolizji prawa wspólnoty religijnej do autonomicznego stanowienia i stosowania przyjętych przez siebie norm a niektórymi władczymi formami kontroli ochrony danych osobowych. 3. W pewnym zakresie problem tej kolizji reguluje art. 27 ustawy o ochronie danych osobowych. Przepis ten, określając tzw. dane sensytywne ( wrażliwe ) i zaliczając do nich dane ujawniające przekonania religijne, zabrania generalnie ich przetwarzania. Przewiduje jednak, iż zakaz ten nie obowiązuje, jeżeli jest to niezbędne do wykonania statutowych zadań kościołów i innych związków wyznaniowych (...) pod warunkiem, że przetwarzanie danych dotyczy wyłącznie członków tych organizacji lub instytucji albo osób utrzymujących z nimi stałe kontakty w związku z ich działalnością i zapewnione są pełne gwarancje ochrony przetwarzanych danych. Regulacja ta jest wynikiem dość oczywistego faktu polegającego na tym, iż działalność kościołów i związków wyznaniowych nie byłaby po prostu możliwa bez gromadzenia i przetwarzania danych osobowych związanych z przekonaniami religijnymi osób do nich należących. Jest to więc swego rodzaju ustawowe potwierdzenie szczególnego statusu instytucji kościelnych jako administratorów zbiorów danych osobowych i szczególnego reżimu prawnego zbieranych przez nie danych. Ustawowe ograniczenia dotyczące kompetencji GIODO w odniesieniu do kościołów i związków wyznaniowych nie są więc zupełnie niezrozumiałe (K. Wygoda, op. cit. s. 424), ale legitymizowane poszanowaniem dla wewnętrznego prawa kościołów i związków wyznaniowych w zakresie ustalenia danych podlegających przetwarzaniu oraz sposobu interpretacji faktów i okoliczności mających znaczenia w tym procesie. 4. Regulując uprawnienia GIODO, ustawodawca nadał mu szerokie władcze kompetencje. W szczególności, jak przewiduje cytowany wcześniej art. 18 ustawy o ochronie danych osobowych, Generalny Inspektor z urzędu lub na wniosek osoby zainteresowanej może nakazać: uzupełnienie, uaktualnienie, sprostowanie, udostępnienie lub nieudostępnienie danych osobowych, usunięcie danych osobowych. Obecnie przepis ten nie dotyczy kościelnych administratorów danych. Zwrócić tu należy uwagę, iż dane osobowe gromadzone i przetwarzane przez kościoły i związki wyznaniowe dotyczą okoliczności, które są istotne dla udzielania posług religijnych, sprawowania władzy duchownej i sporządzane są w oparciu

16 10 o normy wewnętrzne ustanowione i obowiązujące w danej wspólnocie religijnej. Wykreślenie obowiązującego ograniczenia obecnie ustawowego oznaczałoby po pierwsze, iż GIODO w drodze decyzji administracyjnej mógłby nakazywać kościołom i związkom wyznaniowych uzupełnienie określonych zbiorów danych (np. wykazu osób uprawnionych do pełnienia określonych funkcji religijnych, wykazu duchownych), mógłby też nakazywać aktualizację czy sprostowanie (w tym wprowadzenie) danych dotyczących określonych faktów o znaczeniu religijnym. Przy wydawaniu tych rozstrzygnięć musiałby jak należy założyć stosować również normy obowiązujące w danym kościele określające warunki ważności oraz skutki określonych obrzędów o charakterze religijnym. Wnioskodawcy w uzasadnieniu projektu odwołują się do jednego bardzo konkretnego problemu. Chodzi o tzw. wystąpienie z Kościoła katolickiego i jego ewentualne skutki, a zwłaszcza skutki w zakresie prowadzonych przez kościół dokumentów dotyczących obrzędów religijnych (a konkretnie księgi chrztów). Należy tu jednak podkreślić, iż zgodnie zasadą autonomii i niezależności kościołów i związków wyznaniowych określanie, jaki jest sposób przystępowania i tryb występowania z nich, należy do sfery autonomii tych ostatnich. Jednoznacznym naruszeniem tego przepisu byłaby sytuacja, gdyby organ państwa (na podstawie norm wewnętrznych ustanowionych przez daną wspólnotę religijną) uznał daną osobę za należącą do danego kościoła i zobowiązał kościół do respektowania tego rozstrzygnięcia pod groźbą sankcji. Podobnie jak niedopuszczalne jest odwołanie katechety do sądu powszechnego od decyzji władz kościelnych zwalniającej go pełnionej funkcji (K. Complak, op. cit. s. 194), tak samo za niedopuszczalne uznać należy kwestionowanie przed sądem powszechnym wykluczenia z określonej wspólnoty religijnej lub też odmowy przyjęcia do niej. Wykluczone jest ustalanie przez organy państwa wiążących wspólnotę religijną skutków określonej czynności o charakterze wyznaniowym. Zauważyć należy, iż wprowadzenie władczych uprawnień GIODO odnośnie do baz danych i innych informacji gromadzonych i przetwarzanych przez kościół stanowiłoby obejście (pośrednie naruszenia) powyżej sformułowanych i powszechnie przyjmowanych zakazów oraz do swoistej fikcji prawnej. Nie wnikając w szczegóły chodzi o to, iż nawet zmiana w odpowiednich zbiorach danych osobowych nakazana przez GIODO nie powodowałaby rzeczywistej zmiany w wyznaniowym statusie danej osoby 10

17 11 ustalonym przez dany kościół lub związek wyznaniowy. Za niezgodne z Konstytucją uznać bowiem należałoby próbę wymuszenia respektowania prawnych skutków rozstrzygnięć GIODO również w sferze religijnej. 5. Na potwierdzenie tez niniejszej opinii przytoczyć należy fragmenty uzasadnień orzeczeń Wojewódzkiego Sądu Administracyjnego w Warszawie, który stwierdził m. in.: Mając na uwadze artykuł 16c Traktatu o funkcjonowaniu Unii Europejskiej oraz fakt, że Konstytucja Rzeczypospolitej Polskiej (art. 25 ust. 3), a także Konkordat (art. 1) gwarantują rozdział między Państwem a Kościołem katolickim na zasadzie autonomii oraz wzajemnej niezależności każdego w swoim zakresie, należy przyjąć, że przetwarzanie przez Kościół katolicki danych osobowych jego wiernych w relacji wewnętrznej nie podlega kognicji państwowej, a przez to także i wspólnotowej, co oznacza, że w sprawie niniejszej, organ ochrony danych osobowych nie ma prawnej możliwości ingerowania w proces przetwarzania danych osobowych skarżącego przez Proboszcza Parafii Rzymskokatolickiej pw. (...) w K. (wyrok WSA w Warszawie z dnia 7 maja 2012 r., sygn. II SA/Wa 2767/11, baza danych LEX nr podkr. autora opinii). W innym orzeczeniu ten sam sąd analogicznie stwierdził, iż: Skoro Konstytucja Rzeczypospolitej Polskiej gwarantuje rozdział między Państwem a kościołami i związkami wyznaniowymi na zasadzie autonomii, to nie można przyjąć, by zakresem prawa Wspólnoty (prawa Państw Członkowskich) było objęte przetwarzanie danych osobowych wyznawców Kościoła (...) przez tenże Kościół w relacji czysto wewnętrznej. Sfera wewnętrznych relacji Kościoła (...) i jego wiernych nie jest bowiem objęta prawem Państwa Członkowskiego, a tym samym nie wchodzi w zakres prawa Wspólnoty. Oznacza to, że przetwarzanie przez Kościół (...) danych osobowych jego wiernych nie korzysta z ochrony państwowej, a przez to także i wspólnotowej. (...) Konstytucyjny rozdział między Państwem a kościołami i związkami wyznaniowymi uzasadnia zatem niedopuszczalność ingerencji organów władzy publicznej w kwestie wewnętrznych relacji danego kościoła z jego wyznawcami, co oznacza, że w sprawie niniejszej, organ ochrony danych osobowych nie ma prawnej możliwości ingerowania w proces przetwarzania danych osobowych skarżącego przez Proboszcza Parafii (...) w M. W tym przypadku chodzi bowiem o wewnętrzną relację Kościół (...) wierny, która to relacja wyłączona jest spod właściwości Generalnego Inspektora Ochrony Danych Osobowych, jako organu władzy publicznej - organu Państwa (wyrok WSA

18 12 w Warszawie z dnia 20 marca 2012 r. sygn. akt II SA/Wa 2493/11, baza aktów prawnych LEX nr ). Oba te orzeczenia choć jeszcze nieprawomocne ilustrują pewną linię orzecznictwa sądowo-administracyjnego, z której wynika, iż założona nowelizacja mająca dawać GIODO uprawnienia do władczej ingerencji w kształt danych osobowych przetwarzanych przez kościoły i związki wyznaniowe, stanowiłaby naruszenie konstytucyjnych relacji między nimi a państwem określonych w art. 25 ust. 3 Konstytucji. Należy podkreślić, iż sąd powoływał się bezpośrednio na przepisy konstytucyjne i ich wykładnię, a nie dokonywał tylko interpretacji ustawy o ochronie danych osobowych, w tym jej aktualnie obowiązującego art. 43 ust Uchwalenie analizowanego projektu nie stanowiłoby naruszenia art. 25 ust. 5 Konstytucji RP. Ogólna formuła stosunki między RP a innymi (tj. niekatolickimi) kościołami i związkami wyznaniowymi określają ustawy uchwalone na podstawie umów zawartych między Radą Ministrów a przedstawicielami tych kościołów nie oznacza, iż absolutnie wszystkie normy prawne dotyczące kościołów mogą być uchwalane w tym trybie. Dotyczy on z pewnością tzw. ustaw partykularnych, tj. regulujących odrębnie stosunku między państwem a poszczególnymi wspólnotami wyznaniowymi. Uznanie w drodze wykładni, że każda zmiana praw i obowiązków (pozycji prawnej) kościołów i związków wyznaniowych wymaga umów z nimi byłaby interpretacją ad absurdum. Byłoby to niezgodne z autonomią państwa z zakresie kształtowania porządku prawnego. Podkreślić też trzeba, iż ustawie o ochronie danych osobowych nie podlegają kościoły jako takie (jako wspólnoty religijne), ale ich organy i jednostki organizacyjne występujące w szczególnej roli administratora danych (art. 7 pkt 4 ustawy o ochronie danych osobowych). Zwrócić należy jednak uwagę na stanowisko Trybunału Konstytucyjnego zawarte w postanowieniu z 17 lipca 2003 r. (sygn. K 13/02, OTK ZU 2003, Nr 6A, poz. 72), gdzie ogólnie stwierdzono, iż z art. 25 Konstytucji wynika obowiązek poszukiwania w sferze stosunków z kościołami i związkami wyznaniowymi rozwiązań prawodawczych o charakterze konsensualnym, które znajdują akceptację adresatów. Oznacza to, iż całkowicie jednostronne uchwalenie analizowanego projektu przy sprzeciwie niektórych kościołów i związków wyznaniowych bez żadnych dążeń do uzyskania ich akceptacji stanowiłoby naruszenie zasady współdziałania dla dobra człowieka (art. 25 ust. 3 in fine Konstytucji). W ramach tego współdziałania mieści się również dążenie do wspólnego wypracowania metod optymalnej ochrony innych 12

19 13 praw człowieka w sferach jego życia wiążących się z realizacją wolności sumienia i religii oraz autonomią kościołów i związków wyznaniowych.. 7. Powyższe uwagi nie powinny być rozumiane w sposób zakładający, że dotychczasowa regulacja nie nasuwa poważnych wątpliwości co do zgodności z Konstytucją RP. Nie oznacza również, iż wszystkie zmiany art. 43 ust. 2 w zakresie kompetencji GIODO wobec kościołów i związków wyznaniowych są konstytucyjnie wykluczone. Dotyczą one jednak innych elementów obowiązującej regulacji niż wskazane w uzasadnieniu projektu. Istotnie bowiem stwierdzić należy, iż różnie z konstytucyjnego punktu widzenia należy oceniać uprawnienia GIODO dotyczące treści przetwarzanych danych, a inaczej kompetencje mające na celu dążenie do zapewnienia technicznego bezpieczeństwa zgromadzonych danych. Stąd też pozbawienie GIODO możliwości nakazania kościelnym administratorom danych zastosowania dodatkowych środków zabezpieczających zgromadzonych danych osobowych (art. 18 ust. 1 pkt 3 ustawy o ochronie danych osobowych) uważać można za nadmierne niezgodne z zasadą proporcjonalności ograniczenie prawa do ochrony danych osobowych. Zgodnie bowiem z ustawą zabezpieczenie danych w systemie informatycznym polega na wdrożeniu i eksploatacji stosownych środków technicznych i organizacyjnych zapewniających ochronę danych przed ich nieuprawnionym przetwarzaniem (art. 7 ust. 2b). Zasada autonomii kościołów nie obejmuje z pewnością określania środków o charakterze technicznym służących tak rozumianemu zabezpieczeniu danych. Sposób ochrony jest sprawą państwa, ponieważ skutki nieuprawnionego ujawnienia danych wykraczają poza sferę religijną. Pewna wątpliwość dotyczyć może środków o charakterze organizacyjnym, bo jest to pojęcie bardzo ogólne. Ponadto rozważać można byłoby, czy nie dopuścić w ramach analizy samej techniki zabezpieczenia danych możliwości przeprowadzania przez GIODO oględzin urządzeń, nośników oraz systemów informatycznych służących do przetwarzania danych (art. 14 pkt 4 ustawy o ochronie danych osobowych) po uzgodnieniu terminu z właściwą władzą kościelną. Dalsza analiza tych problemów wykracza jednak poza ramy niniejszej opinii, której tematem jest konkretny projekt ustawy, a nie propozycje co do jego modyfikacji.

20 14 IV. Podsumowanie W konkluzji powtórzyć należy tezy zawarte na wstępie niniejszej opinii. Autor: dr Piotr Czarny Ekspert ds. legislacji w Biurze Analiz Sejmowych 14