Europejskie rozporządzenie o ochronie danych osobowych ma wprowadzić jednolite regulacje w zakresie ochrony danych osobowych i objąć nimi wszelkie podmioty, które dane przetwarzają, w tym także kościoły oraz związki wyznaniowe.
Już za miesiąc wejdzie w życie ogólne rozporządzenie o ochronie danych osobowych, zwane powszechnie RODO. Do tej pory przetwarzanie danych osobowych przez polskie instytucje kościelne – na gruncie ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych – legalizował art. 23 ust. 1 w/w ustawy, w przypadku danych osobowych zwykłych, oraz art. 27 ust. 2 w/w ustawy w sytuacji przetwarzania danych sensytywnych, a więc wrażliwych, do których zalicza się m. in. dane o przekonaniach religijnych i filozoficznych czy też dane dotyczące przynależności wyznaniowej.
Pomimo tego, iż ustawa o ochronie danych osobowych obowiązuje w naszym kraju ponad 20 lat, to jej regulacje nie były w jakiś szczególny sposób rozpatrywane w kontekście przestrzegania ich przez kościoły i związki wyznaniowe. Wciąż powszechną praktyką jest zbieranie i gromadzenie przez księży oraz proboszczów poszczególnych parafii danych na temat ich parafian, takich jak przyjmowanie bądź odmowa przyjęcia księdza po kolędzie, udział w życiu parafii, ofiarowanie datków czy uczestnictwo dzieci w katechezie. W związku z rosnącą świadomością prawną, dość kontrowersyjne stało się w ostatnim czasie wyczytywanie przez księży – podczas ogłoszeń parafialnych – danych darczyńców, jak również upublicznianie danych nupturientów w ramach tzw. zapowiedzi przedmałżeńskich. Jak zatem wynika z powyższego, kościoły oraz związki wyznaniowe dość aktywnie przetwarzają dane osobowe swoich parafian, co jest usankcjonowane obowiązującym stanem prawnym.
Do tej pory kościoły i związki wyznaniowe, przy przetwarzaniu danych osobowych, mogły skutecznie powoływać się na przesłankę wykonywania statutowych działań i w ten sposób legalnie przetwarzać dane osobowe swoich członków bez uprzednio pobranej od nich pisemnej zgody. Oczywiście musi się to odbywać w zgodzie z ustawą o ochronie danych osobowych, z pewnymi jednak ograniczeniami.
Mianowicie, w świetle obowiązującej ustawy o ochronie danych osobowych, kwestia sprawowania kontroli przez Generalnego Inspektora Ochrony Danych Osobowych (GIODO) nad przetwarzaniem danych osobowych przez instytucje kościelne była częściowo ograniczona ze względu na dwie przesłanki.
Pierwsza z nich jest określona w art. 43 ust. 2 ustawy o ochronie danych osobowych, zgodnie z którą Generalnemu Inspektorowi Ochrony Danych Osobowych nie przysługują uprawnienia takie jak wydawanie decyzji administracyjnych, przeprowadzanie czynności kontrolnych, wgląd do dokumentów oraz wstęp do pomieszczeń, w których przetwarzane są dane osobowe przez Kościół i są to zbiory dotyczące osób należących do Kościoła, przetwarzane na jego potrzeby. A zatem GIODO nie dysponował skutecznym instrumentem prawnym, za pomocą którego mógłby kontrolować sposób i zakres przetwarzania danych osobowych przez kościoły i związki wyznaniowe.
Druga przesłanka wynika z art. 43 ust. 1 pkt. 3 w/w ustawy. Na jej podstawie zbiory danych osobowych przetwarzane przez Kościół Katolicki (np. kartoteka parafialna) – o ile dotyczą członków kościoła i są wykorzystywane na wyłączne potrzeby Kościoła – nie podlegają obowiązkowi zgłoszenia zbioru danych do rejestracji GIODO. Co więcej, podstawa ta wyłączała możliwość przeprowadzenia jakichkolwiek czynności kontrolnych przez GIODO w zakresie zgodności przetwarzania tych danych przez Kościół z ustawą o ochronie danych osobowych.
Jak zatem i w jakim zakresie zmieni się obecna kwestia przetwarzania danych osobowych przez instytucje kościelne w związku z wejściem w życie ogólnego rozporządzenia o ochronie danych osobowych (RODO)?
Na wdrożenie zasad ogólnego rozporządzenia i dostosowania się do nich, kościoły oraz związki wyznaniowe miały praktycznie dwa lata. Istotnym jest, iż ogólne rozporządzenie stanowić będzie pierwszy unijny akt, który w sposób bezpośredni odnosić się będzie do problematyki przetwarzania danych osobowych przez instytucje kościele. W szczególności na mocy art. 91 RODO, w państwach członkowskich, w których – na moment wejścia w życie ogólnego rozporządzenia – były stosowane szczegółowe zasady ochrony danych osobowych osób fizycznych, będą one mogły być w dalszym ciągu stosowane – pod warunkiem, że zostały dostosowane do RODO.
W dniach 13-14 marca 2018 r. odbyło się 378 Zebranie Plenarne Konferencji Episkopatu Polski (KEP) w Warszawie i dotyczyło m. in. kwestii powstania kościelnego odpowiednika GIODO. Dekret KEP, w chwili obecnej, oczekuje na zatwierdzenie przez Stolicę Apostolską celem jego zalegalizowania w Polsce jako obowiązującego prawa.
W Polsce w dotychczasowym stanie prawnym brakowało alternatywnych metod ochrony danych osobowych przez instytucje kościelne, w szczególności w związku z brakiem takiego obwarowania zarówno w Konkordacie, jak i ustawach regulujących stosunek państwa i kościołów czy w ustawie o ochronie danych osobowych. W zasadzie jedynymi wytycznymi, które do tej pory odnosiły się do zasad przetwarzania danych osobowych przez polskie kościoły i związki wyznaniowe, były zasady określone w Instrukcji opracowanej przez GIODO z dnia 23 września 2009 r., w której określono m. in. zasady przetwarzania danych osobowych przez Kościoły, zalecenia w kwestii zabezpieczenia danych osobowych, obowiązki administratora danych osobowych, jakim w instytucji kościelnej jest Kościół reprezentowany przez biskupów czy proboszczów, wreszcie w instrukcji zawarto zalecenia odnoszące się do zabezpieczenia danych osobowych przetwarzanych w sposób tradycyjny oraz w systemach informatycznych. Innych wytycznych do tej pory nie było.
Wspomniana instrukcja objęła również kwestię związaną ze zbieraniem i gromadzeniem danych osobowych osób niewierzących. Kościół – na podstawie przepisów wynikających z ustawy o ochronie danych osobowych – ma prawo zbierać i gromadzić dane o przynależności wyznaniowej osób nienależących do Kościoła, lecz tylko za pisemną zgodną tych osób oraz w związku z jasnym określeniem celu przetwarzania. Obowiązki te mogą być realizowane w sposób uprawniony i prawidłowy, wówczas gdy administrator danych osobowych poinformuje osobę niewierzącą, której dane są pozyskiwane w celu zbierania tych danych, o prawie dostępu do danych i prawie ich poprawiania oraz dobrowolności podania tych danych.
Ponadto jeszcze inną nieznaną i niestosowaną dotąd w Polsce regulacją – na mocy art. 91 ust. 2 RODO – będzie podleganie instytucji kościelnych, w zakresie przetwarzania danych osobowych, pod kompetencje organu nadzorującego. Dlatego też 378 Zebranie Plenarne KEP w Warszawie i omówione w jego czasie kwestie prawne stanowiły odpowiedź na zmieniające się prawo ochrony danych osobowych od 25 maja 2018 r. KEP zakłada wprowadzenie licznych zmian w zakresie przetwarzania danych osobowych oraz zapewnienie ich bezpieczeństwa przez instytucje kościelne. Istotnym novum będzie także ustanowienie kościelnego organu, który będzie czuwać nad prawidłowym przetwarzaniem danych osobowych przez kościoły i związki wyznaniowe. Założono, iż będą powoływani inspektorzy, którzy na terenie danej diecezji czuwać będą nad procesem przetwarzania danych osobowych. Organem nadzorczym ma być Kościelny Inspektor Ochrony Danych Osobowych, odpowiednik obecnego jeszcze GIODO.
Do tej pory GIODO dysponował bardzo ograniczonymi możliwościami kontrolnymi wobec Kościoła w kwestiach odnoszących się do przetwarzania danych osobowych. Natomiast RODO nakłada obowiązek ustanowienia organu ochrony danych osobowych, który może być odrębny od państwowego i który będzie miał możliwość sprawowana pieczy nad należytym przetwarzaniem danych osobowych przez kościoły i związki wyznaniowe.
Kolejną dość problematyczną kwestią, która do tej pory była niejasna, było prawo osób niewierzących do formalnego wykreślenia ich z ksiąg parafialnych. Zgodnie z ustawą o ochronie danych osobowych, apostaci nie dysponowali skuteczną podstawą prawną, dzięki której mogliby się domagać spełnienia ich żądania, a zatem trwałego usunięcia ich danych z wszelkich rejestrów kościelnych. Niestety w tym zakresie RODO – nawet pomimo wprowadzenia zasady prawa do bycia zapomnianym – nie daje apostatom bezwzględnego uprawnienia do egzekwowania tego prawa.
Czym w istocie jest prawo do bycia zapomnianym?
Otóż zgodnie z art. 17 RODO osoba, której dane dotyczą, ma prawo żądania od administratora niezwłocznego usunięcia dotyczących jej danych osobowych, a administrator ma obowiązek bez zbędnej zwłoki usunąć dane osobowe, jeśli zachodzi jedna z sześciu wymieniowych w tym przepisie okoliczności. Prawo do bycia zapominanym stanowi w pewnym sensie odpowiednik dotychczasowego prawa do usunięcia danych, które było określone w ustawie o ochronie danych osobowych.
Istotną kwestią jest, iż nie każdy przypadek żądania wobec administratora do „stania się zapomnianym” będzie mógł być skutecznie respektowany. W odniesieniu do apostatów uważa się bowiem, że przechowywanie ich danych w archiwach kościelnych uzasadnione jest koniecznością zachowania „statusu” osoby, która wystąpiła z kościoła, na wypadek gdyby na przykład ponownie zechciała stać się jego członkiem. Chodzi bowiem o sytuację wykorzystania tak uzyskanego statusu m. in. do ponownego wzięcia ślubu czy też ponownego ochrzczenia osób, które po całkowym wymazaniu ich z ksiąg kościelnych mogłyby ponownie dostąpić sakramentów, co jest bezwzględnie sprzeczne z założeniami wiary katolickiej oraz prawem kanonicznym. Zgodnie bowiem z art. 1141 kodeksu prawa kanonicznego małżeństwo zawarte i niedopełnione nie może być rozwiązane żadną ludzką władzą i z żadnej przyczyny, oprócz śmierci. Zgodnie z tym unormowaniem, nawet po uzyskaniu cywilnego rozwiązania małżeństwa poprzez rozwód, małżeństwo – w świetle przepisów kodeksu prawa kanoniczego – trwa nadal i wciąż jest ważne, a wystąpienie osoby rozwiedzionej z kościoła, zaś późniejsze żądanie uwzględnienia prawa do bycia zapomnianym, spowodowałoby po pierwsze definitywne wykreślenie danych osobowych tej osoby i uzyskanie przez nią statusu osoby „obcej” kościołowi, zaś po drugie dałoby w przyszłości być może możliwość – na gruncie omawianej sytuacji – ponownego wzięcia ślubu kościelnego, co stanowczo sprzeciwia się nauce Kościoła.
Tak więc, pomimo iż RODO ma wprowadzić jednolite regulacje w zakresie ochrony danych osobowych i objąć nimi wszelkie podmioty, które dane przetwarzają, w tym także kościoły oraz związki wyznaniowe, to jednocześnie nowe prawa osób, których dane dotyczą, nie będą mogły być we wszystkich wypadkach wprost i bezwzględnie stosowane i egzekwowane. Wynika to z nakładających się na regulacje RODO innych unormowań prawnych, którym w pewnych okolicznościach przyświeca inny, nie mniej ważny cel, którego nie da się w pełni pogodzić z normami wynikającymi z ogólnego rozporządzenia.
http://www.doradztwo-prawne.info/
[Tytuł pochodzi od Redakcji]