NSA: Kościół nie podlega RODO
Kościół Rzymskokatolicki w ocenie Naczelnego Sądu Administracyjnego nie podlega przepisom RODO. Przyjęte w nim reguły przetwarzania danych osobowych według NSA zostało bowiem dostosowane do ogólnych ram RODO.
Naczelny Sąd Administracyjny w swym rozstrzygnięciu odniósł się do art. 91 ust. 1 RODO. Zgodnie z tym przepisem jeżeli w państwie członkowskim w momencie wejścia w życie RODO (25 maja 2018 r.) kościoły i związki lub wspólnoty wyznaniowe stosowały szczegółowe zasady ochrony osób fizycznych w związku z przetwarzaniem, wówczas mogą je nadal stosować. Zasady muszą być jednak dostosowane do RODO.
Kościelna ochrona danych osobowych
Na tej podstawie Sąd stwierdził, że Kościół Rzymskokatolicki w dniu wejścia w życie RODO stosował reguły dotyczące przetwarzania danych osobowych, m.in. w kwestii prowadzenia ksiąg parafialnych, gdzie z wykorzystaniem danych osobowych odnotowywano fakty udzielenia sakramentu chrztu, zawarcia małżeństwa czy śmierci członków danej wspólnoty religijnej. Dostęp do danych osobowych był ograniczony, w zakresie:
-
wglądu do ksiąg,
-
uzyskiwania odpisów,
-
wprowadzania zmian we wpisach.
Rozwiązania te, przyjęte w Kodeksie kanonicznym, jednak należy uznać za zasady przetwarzania danych osobowych. Chodzi tu w szczególności o przepisy dotyczące ochrony prywatności i intymności zawarte w Kodeksie Prawa Kanonicznego (zwłaszcza w kanonie 220). Na tej podstawie NSA przyjął, że art. 91 ust. 1 RODO dotyczy właśnie Kościoła Rzymskokatolickiego.
Kościół nie musiał bezwzględnie stosować wymogów RODO
Kolejnym wymogiem było dostosowanie tych reguł do RODO. W ocenie NSA Kościół Rzymskokatolicki ten wymóg spełnił.
Dostosowanie zasad przetwarzania danych do wymogów RODO miało polegać na możliwości ustanowienia odmiennych reguł, ale przy zapewnieniu ochrony danych w ogólnych obszarach określonych w RODO. Innymi słowy dostosowanie nie wymaga bezwzględnego przestrzegania wszystkich wymogów RODO.
Kiedy Kościół dostosował swoje reguły do ogólnych ram RODO
Dostosowanie to miało miejsce w Dekrecie ogólnym w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych w Kościele katolickim, wydanym przez Konferencję Episkopatu Polski 13 marca 2018 r., na podstawie kanonu 455 Kodeksu Prawa Kanonicznego, w zw. z art. 18 Statutu Konferencji Episkopatu Polski. Został on wydany podczas 378. Zebrania Plenarnego w Warszawie, po uzyskaniu specjalnego zezwolenia Stolicy Apostolskiej z 3 czerwca 2017 r.
Kontynuacja dotychczasowej linii orzeczniczej
NSA, potwierdzając wyłączenie Kościoła Rzymskokatolickiego spod RODO, potwierdził dotychczasowe stanowisko w orzecznictwie. Było ono wyrażane m.in. w wyrokach NSA z 14 lipca 2022 r. III OSK 2776/21 i z 25 maja 2022 r. III OSK 2273/21, a także w wyroku WSA w Warszawie z 16 października 2019 r. II SA/Wa 907/19.
- Wpływ sztucznej inteligencji na ochronę danych osobowych
- Prezes UODO cofa skargę kasacyjną w sprawie wyborów kopertowych
- NSA wyjaśnia, jak zrealizować dodatkowy obowiązek informacyjny banku
- Dyrektywa NIS 2 – zmiany przepisów dotyczących cyberbezpieczeństwa
- Aplikacje webowe – jak przeprowadzić analizę ryzyka i zabezpieczyć dane
- NSA: konieczne zawarcie umowy powierzenia przetwarzania w związku z obsługą BIP
Wideo: Przegląd orzecznictwa (sierpień – listopad 2022 r.) – cz. III – decyzje zagranicznych organów nadzorczych
Poznaj najważniejsze orzeczenia zagranicznych organów nadzorczych. W podsumowaniu poruszamy zagadnienia związane m.in. z geolokalizacją, prawem dostępem do danych, cyberatakiem na gminę czy rozpoznawaniem twarzy.
