RODO w Kościele. Czy dane będą lepiej chronione?

Artykuł

Od 25 maja o nasze dane dużo bardziej musi troszczyć się nie tylko biznes czy administracja państwowa, ale także przetwarzający dane ponad 33 mln osób Kościół katolicki. Jak RODO wpłynie na ochronę danych wiernych? Czy osoby, które wystąpiły z Kościoła, będą mogły skorzystać z prawa do bycia zapomnianym? Wychodząc naprzeciw Waszemu zainteresowaniu, staramy się odpowiedzieć na najważniejsze pytania.

Jednym z celów unijnej reformy ochrony prywatności było zapewnienie każdemu i każdej z nas silnej i skutecznej ochrony, niezależnie od tego, kto i w jakim celu przetwarza nasze dane. Dotyczy to również Kościoła katolickiego, który – według informacji przekazanych Głównemu Urzędowi Statystycznemu – przetwarza dane ponad 33 mln Polek i Polaków. Mało która instytucja w Polsce przetwarza dane na tak dużą skalę. Dla porównania: liczba użytkowników Facebooka w Polsce jest ponad dwa razy mniejsza i wynosi 16 mln. Zbiorom zgromadzonym przez Kościół może dorównywać wielkością zapewne tylko baza numerów PESEL. Przetwarzane przez Kościół dane mają w dodatku charakter wrażliwy (za takie uznamy informację o wyznaniu). Co na to RODO?

Między autonomią Kościoła a autonomią jednostki

Kościoły i związki wyznaniowe mają możliwość samodzielnego uregulowania zasad regulujących ochronę danych osobowych. Jest to jednak dopuszczalne tylko wtedy, gdy w momencie wejścia RODO w życie – czyli 24 maja 2016 r. (powszechnie znana data 25 maja 2018 r. wyznacza jedynie początek pełnego stosowania rozporządzenia) – funkcjonowały w ich ramach szczegółowe zasady ochrony danych. Dodatkowym warunkiem skorzystania z tej opcji jest dostosowanie do RODO zasad dotychczas obowiązujących w danym kościele. To jeden z nielicznych wyjątków od zasady bezpośredniego stosowania RODO do wszystkich podmiotów przetwarzających nasze dane.

Kościoły, które do tej pory stosowały szczegółowe zasady przetwarzania danych osobowych, muszą dostosować je do RODO.

Jeśli powyższe warunki są spełnione, kościół może powołać własny organ, który będzie w niezależny sposób nadzorował przetwarzanie danych wiernych. W przypadku gdy kościół nie zdecyduje się na utworzenie własnego organu, na straży ochrony danych wiernych stanie organ państwowy (w Polsce – Prezes Urzędu Ochrony Danych Osobowych).

Tworząc takie rozwiązanie, unijni decydenci chcieli pogodzić z jednej strony poszanowanie dla istniejącej w wielu państwach członkowskich (w tym w Polsce) autonomii państwa i kościołów, a z drugiej – silne gwarancje dla praw jednostek, niezależnie od tego, kto wykorzystuje ich dane. Słowem: nowe przepisy mają na celu zlikwidować różnice pomiędzy standardem przetwarzania danych w firmach i instytucjach publicznych oraz w kościołach. To dlatego nawet kościoły, które przed RODO stosowały własne, szczegółowe przepisy o ochronie danych, muszą zapewnić ich zgodność z unijnym rozporządzeniem. A jak to wygląda w Polsce?

Kościół nie uniknie RODO

Kościół o swoich przygotowaniach do RODO informował już na kilka miesięcy przed rozpoczęciem stosowania rozporządzenia. Przedstawiciele Kościoła konsekwentnie twierdzili, że skorzystają z art. 91 RODO, czyli po prostu dostosują do nowych przepisów dotychczas obowiązujące wewnętrzne zasady przetwarzania danych. Taką funkcję ma pełnić przyjęty w marcu Dekret ogólny w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych w Kościele katolickim. Nad przestrzeganiem przepisów czuwa Kościelny Inspektor Ochrony Danych.

Przyjęty przez Kościół katolicki dekret dotyczący ochrony danych – jeśli sama możliwość jego stosowania nie zostanie zakwestionowana – musi uwzględniać standardy wynikające z RODO.

Inaczej na sprawę patrzy świecki organ ochrony danych. Jego zdaniem regulacji funkcjonujących dotychczas w Kościele nie sposób uznać za wystarczająco szczegółowe, by Kościół mógł skorzystać z wyłączenia. Do tej pory wytyczne w sprawie ochrony danych wiernych zawierała instrukcja opracowana przez GIODO w 2009 r. wspólnie z Sekretariatem Konferencji Episkopatu Polski, jednak zdaniem Inspektora ten dokument ma wyłącznie charakter informacyjny i edukacyjny. GIODO twierdził, że również obowiązujący od 2016 r. Dekret w sprawie wystąpień z Kościoła i instrukcja z 1947 r. o prowadzeniu ksiąg parafialnych oraz księgi stanu dusz są niewystarczająco szczegółowe, żeby pozwolić Kościołowi dalej stosować własne zasady, nawet po ich dostosowaniu do RODO.

Rozstrzygnięcie, kto ma rację, jest trudne i należy do sądu, a nie do skromnego zespołu Panoptykonu. Ferowanie wyroków w tym artykule mija się poza tym z celem – przyjęty w marcu dekret ogólny obowiązuje już niemal od miesiąca i nie wiemy nic o tym, żeby został zakwestionowany. Dlatego ważniejsza jest tak naprawdę odpowiedź na pytanie, czy przyjęte przez Kościół przepisy są zgodne z RODO.

Dekret (bardzo) ogólny

Przygotowany przez Konferencję Episkopatu Polski dekret liczy 16 stron. Dla porównania: RODO to 88 stron małego druku. Siłą rzeczy dekret jest bardzo uproszczoną wersją unijnego rozporządzenia. W wielu miejscach kościelny dokument wprost cytuje przepisy RODO (np. tam, gdzie mówi o podstawowych zasadach przetwarzania danych czy o dopuszczalnych podstawach prawnych).

Kościelny dekret nie odbiega zasadniczo od gwarancji przewidywanych przez RODO, ale niektóre kwestie pomija milczeniem.

Niektóre kwestie dekret pomija jednak milczeniem. Nie znajdziemy w nim żadnych przepisów o profilowaniu czy automatycznym podejmowaniu decyzji. Czy to oznacza, że żadne kościelne instytucje (np. charytatywne lub choćby te prowadzące strony internetowe) nie wykorzystują i nie będą wykorzystywały w przyszłości automatycznych narzędzi do analizy i oceny danych osobowych, np. w stosunku do osób, które ubiegają się o wsparcie lub korzystają ze strony internetowej? Dekret nie wspomina również, czy i w jakich sytuacjach konieczne będzie dokonanie oceny skutków dla ochrony danych i konsultacja w tej sprawie z KIOD – tymczasem zgodnie z RODO taką formalną ocenę administrator musi przeprowadzić, jeśli przetwarzanie danych może powodować wysokie ryzyko naruszenia praw lub wolności osób.

Jakie uprawnienia przysługują wiernym? Kościelny dokument – z wyjątkiem prawa do przenoszenia danych i prawa do bycia zapomnianym, o którym piszemy dalej – nie odbiega co do zasady od gwarancji przewidywanych przez RODO. Każda zainteresowana osoba ma prawo dostępu do swoich danych i otrzymania informacji m.in. o celach ich przetwarzania, odbiorcach czy okresach przechowywania. Parafie i inne kościelne jednostki muszą też udostępnić zainteresowanym kopię danych – pierwsza kopia jest bezpłatna, ale za kolejne administrator może pobrać rozsądną opłatę związaną z kosztami administracyjnymi (tak samo jest to uregulowane na gruncie RODO). Każdemu przysługuje również prawo do żądania sprostowania danych, jednak sprostowanie danych dotyczących stanu kanonicznego osoby (np. informacji o otrzymanych sakramentach) wymaga zgody duchownego wyższego rangą. Wierni mogą też żądać dokonania adnotacji i uzupełnienia danych oraz ograniczenia ich przetwarzania.

Każdy, kto uzna, że jego lub jej prawa zostały naruszone, może złożyć skargę do Kościelnego Inspektora Ochrony Danych. Kościelny Inspektor nie dysponuje jednak – w przeciwieństwie do świeckiego organu – uprawnieniem do nakładania kar finansowych na administratorów naruszających prawo. Nie oznacza to, że KIOD nie będzie mógł zastosować żadnych sankcji – będzie on miał do dyspozycji kary przewidziane w prawie kanonicznym. W przypadku najpoważniejszych naruszeń kara może polegać nawet na pozbawieniu księdza urzędu. Jednak brak finansowych konsekwencji dla administratorów może znacznie osłabić wykonywanie decyzji KIOD, a tym samym – ochronę praw wiernych.

Czy Kościół zapomni o apostatach?

Najwięcej kontrowersji budzi kościelna regulacja prawa do bycia zapomnianym. Zawarte w RODO przepisy dotyczące tego uprawnienia stoją w sprzeczności z doktryną Kościoła. Ta przewiduje, że semel catholicus, semper catholicus, czyli: „kto został katolikiem, pozostaje nim na zawsze”. To dlatego dekret ogólny przewiduje, że żądanie usunięcia danych nie zostanie uwzględnione w przypadku, gdy dane „dotyczą udzielonych sakramentów bądź w inny sposób odnoszą się do kanonicznego statusu osoby”. Adnotacja o takim żądaniu powinna jednak znaleźć się w aktach danej osoby i od tego momentu parafia nie może już wykorzystywać danych bez zgody biskupa lub wyższych przełożonych.

Nie do pogodzenia z RODO byłaby sytuacja, w której Kościół wykorzystywałby dane apostatów w innych celach niż archiwalne lub związane z ustaleniem kanonicznego statusu danej osoby.

O usunięcie wszelkich danych z kościelnych akt wielokrotnie zabiegały na drodze sądowej osoby, które zdecydowały się wystąpić z Kościoła. W wyroku z 2016 r. Naczelny Sąd Administracyjny stwierdził jednak, że „skutki wystąpienia z Kościoła, jak i apostazji, wskazują, że dane osobowe zebrane przez Kościół w okresie przynależności zainteresowanego do Kościoła, nie staną się zbędne do realizacji celu, dla którego zostały zebrane”. Zaledwie 5 dni przed rozpoczęciem stosowania RODO NSA potwierdził, że „kwestia przynależności do Kościoła katolickiego i wystąpienia z niego jest wewnętrzną sprawą Kościoła i podlega regulacji prawa kościelnego”. Wygląda więc na to, że dopóki Kościół nie zmieni swojej doktryny, dopóty całkowite „wymazanie się” z niego będzie niemożliwe.

Przy odpowiedzi na pytanie, czy Kościół może w takiej sytuacji wyłączyć prawo do bycia do zapomnianym, trzeba – naszym zdaniem – wziąć pod uwagę cel regulacji, o którym piszemy wyżej – jest nim zapewnienie możliwie jak najpełniejszej ochrony danych jednostek, ale z poszanowaniem zasad wiary danego kościoła lub związku wyznaniowego oraz ich autonomii względem państwa. Problematyczna w tym kontekście byłaby zdecydowanie sytuacja, w której Kościół wykorzystywałby dane apostatów w innym celu niż cele archiwalne lub na potrzeby ustalenia kanonicznego statusu danej osoby. Obecnie dekret przewiduje, że dane apostatów mogą być wykorzystywane tylko za zgodą biskupa lub wyższego przełożonego, ale nie wspomina o tym, w jakich sytuacjach taka zgoda może być wydana.

Czas pokaże?

Nawet jeśli dekret nie zostanie zakwestionowany, to jego wydanie nie oznacza końca reformy ochrony danych osobowych w Kościele. Za tymi formalnościami muszą iść realne działania poszczególnych parafii i diecezji, które uporządkują przetwarzane dane i wprowadzą odpowiednie procedury i instrukcje, a tym samym na dobre wyeliminują wątpliwe z punktu widzenia ochrony prywatności praktyki, np. odczytywanie listy ofiarodawców podczas mszy czy też – o czym informowała Helsińska Fundacja Praw Człowieka – udostępnianie krewnym biologicznym adoptowanego dziecka informacji o dziecku i o rodzinie adopcyjnej bez zgody rodziców adopcyjnych. Ważny udział w zwiększaniu świadomości o ochronie danych, edukowaniu i wyznaczaniu dobrych praktyk powinien mieć Kościelny Inspektor Ochrony Danych. Na ostateczną odpowiedź na pytanie o to, czy Kościół może stosować własne przepisy, a jeśli tak – to czy wydany dekret w pełni uwzględnia standardy wynikające z RODO, musimy jednak zapewne poczekać do pierwszego wyroku sądu.

Karolina Iwańska, Wojciech Klicki

Wesprzyj naszą walkę o wolność i prywatność! Wpłać darowiznę na konto Fundacji Panoptykon.

Komentarze

Nieco więcej praktycznych informacji dla jednostek prawnych Kościoła katolickiego w Polsce dostarcza dokument będący rodzajem wewnętrznego okólnika: "Praktyczne wyjaśnienia dotyczące stosowania Dekretu ogólnego Konferencji Episkopatu Polski w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych w Kościele katolickim z dnia 13 marca 2018 roku". Został on przygotowany przez Zespół Konferencji Episkopatu Polski do spraw opracowania wewnątrzkościelnych regulacji ochrony danych osobowych. Pozdrawiam.

@Ala: jak najbardziej - obowiązek informacyjny obowiązuje, z tym że tak jak w RODO - w momencie zbierania danych. Czyli powinnaś dostać informacje w momencie przekazywania jakichś danych Kościołowi. Co do danych, które Kościół już o Tobie przetwarza, informowanie jest naszym zdaniem dobrą praktyką, ale wg wielu komentatorów nie wynika wprost z prawa.

jak RODO wykorzystać do zmuszenia swojej parafii do zaprzestania przetwarzania moich danych? chodzi o coś na wzór apostazji czyli wypisania sie z kosciola ale wlasnie bez tłumaczenia się tylko zrobienia to w sposob formalny poparty RODO.

Co do tej ostatniej kwestii, czyli prawa do bycia zapomnianym, to czy w ten sam sposób nie powinno się żądać wykreślenia informacji o karalności po odbyciu kary? Przecież historia przestępstw wtedy by nie była w ogóle dostępna dla osób, które będą chciały być "zapomniane przez prawo".
Idąc dalej... absurdem by było żądanie wykreślenia wszelkich informacji o osobie, jeśli nagle stwierdziłaby, że chce wykreślić się z "listy" ludzkości i deklaruje się jako nowy gatunek, nie będący człowiekiem.
Na tej samej zasadzie rozumiem, że informacje o sakramentach osoby dokonującej apostazji, nie powinny być wykreślane - przecież KK dopuszcza nawrócenie i powrót do Kościoła w okresie późniejszym. Czy nie byłoby absurdem, że dochodziłoby wtedy do łamania praw kościelnych, m.in. zakazujących ponownego przyjmowania sakramentów jak: chrzest i bierzmowanie? Podobnie byłoby, gdyby ktoś chciał uzyskać unieważnienie małżeństwa - ot, dokonuje apostazji, rozwodzi się, korzysta z prawa do bycia zapomnianym i ponownie wraca do Kościoła, gdzie jest nagle osobą nieochrzczoną, bez bierzmowania, która nigdy nie przystąpiła do związku małżeńskiego... Prawo do bycia zapomnianym w tym kontekście prowadziłoby do daleko idących absurdów. Porównać to można do kogoś, kto wychodzi na przepustkę z więzienia i korzysta z prawa do bycia zapomnianym, by zatrzeć ślad, że nie odbył całej kary i zatrzeć ślad o swojej przestępczej działalności w przeszłości. To byłby absurd. Wiem, że prawo do bycia zapomnianym nie działa w ten sposób - i całe szczęście, bo ilość nadużyć byłaby ogromna.

Kiedyś ludzie byli dumni z nazwiska. Terasz sparszywiały świat polityków - karierowiczów - kolaborantów wymusza prawo do bycia zapomnianym. Jak żeś chamie spraszywił nazwisko to pokutuj, a nie udawaj, że nic się nie stało.

Ze względu na Wasze duże zainteresowanie tematem postanowiliśmy przeprowadzić wywiad z Kościelnym Inspektorem Ochrony Danych - opublikujemy go na naszej stronie pod koniec sierpnia.

@True
Nie rozumiesz idei rodo. Ja nie ufam kościołowi(i prywatnym firmą, jak Google czy Facebook) ze swoimi danymi. Nie uważam, że mają złe intencje, ale wycieki się zdarzają. Niestety podałem im wszystkie informacje o sobie gdy byłem młody i głupi, czy jak w przypadku kościoła rodzice podali. Nie chcę usunąć swoich danych bo coś mam na sumieniu ale nie chcę też aby jakikolwiek kowalski mógł sobie sprawdzić moją datę urodzenia, miejsce zamieszkania, rodzinę, pesel.

@Michał jeśli prawo do bycia zapomnianmy nie działa w ten sposób to w czym problem?

Dobrzy ludzie z panoptykonu, wiecie może czy rozporządzenie wyłącza kompetencje PUODO w stosunku do Kościoła i danych osobowych osób ochrzczonych?

@Pytacz: nie wyłącza wprost, ale tak jak piszemy w tekście na straży ochrony danych w kościołach, które przed wejściem w życie RODO miały własne, szczegółowe przepisy o ochronie danych, będzie stał organ kościelny. Polski Kościół Katolicki uznał, że takie zasady obowiązywały przed wejściem w życie RODO i dostosował je do nowego prawa w drodze dekretu. Sprawa jest kontrowersyjna, dlatego to do Prezesa UODO (i zapewne do sądów) należy rozstrzygnięcie, czy Kościół mógł tak zrobić i zdecydowanie, jaki organ będzie stał na straży ochrony danych w KK.

@Karolina Iwańska (Fundacja Panoptykon)

Pani Karolino, nawet jeśli ta szczegółowość w Kościele, co do której, podobnie jak ówczesne GIODO, mieliście wątpliwości:

"Inaczej na sprawę patrzy świecki organ ochrony danych. Jego zdaniem regulacji funkcjonujących dotychczas w Kościele nie sposób uznać za wystarczająco szczegółowe, by Kościół mógł skorzystać z wyłączenia. Do tej pory wytyczne w sprawie ochrony danych wiernych zawierała instrukcja opracowana przez GIODO w 2009 r. wspólnie z Sekretariatem Konferencji Episkopatu Polski, jednak zdaniem Inspektora ten dokument ma wyłącznie charakter informacyjny i edukacyjny. GIODO twierdził, że również obowiązujący od 2016 r. Dekret w sprawie wystąpień z Kościoła i instrukcja z 1947 r. o prowadzeniu ksiąg parafialnych oraz księgi stanu dusz są niewystarczająco szczegółowe, żeby pozwolić Kościołowi dalej stosować własne zasady, nawet po ich dostosowaniu do RODO."

rzeczywiście miała miejsce przez wejściem RODO w życie to jeśli dobrze rozumiem treść art. 91 ust. 2, nie istnieją podstawy dla wyłączania kompetencji PUODO, w stosunku do nadzoru nad przetwarzaniem danych osób fizycznych znajdujących się w kościelnym inwentarzu, ze względu na to że KIOD nie jest niezależny w stosunku do Kościoła i jest stroną w ewentualnym sporze.
Zgadza się Pani?

@Pytacz: RODO nie zabrania temu organowi funkcjonować w ramach struktur kościelnych, ale jego pozycja w Kościele powinna być niezależna (chodzi tu o gwarancje pozwalające mu sprawować swoje funkcje w sposób niezależny, np. o sposób wyboru czy nieodwoływalność przed upływem kadencji). Nie znam odpowiedzi na Pana wątpliwości, myślę, że prędzej czy później doczekamy się w tej sprawie wyroku sądu.

@ Karolina Iwańska (Fundacja Panoptykon)
Powinna ale czy rzeczywiście jest?
KIODem jest przecież ksiądz, który musiałby być chyba w randze papieża, żeby sprawować swoją funkcję w miarę niezależnie:
https://pl.m.wikipedia.org/wiki/Hierarchia_ko%C5%9Bcielna (istnienie kościelnej hierarchii reguluje Kodeks prawa kanonicznego - "Część V HIERARCHICZNY USTRÓJ KOŚCIOŁA")

więc, pomijając już sytuacje w których Kościół nie może być sędzią we własnej sprawie, to czy ten kościelny organ, działa aby na pewno w sposób niezależny i zgodny z wymogami art. 52 RODO?

@Pytacz: To bardzo ciekawe pytanie, ale nie jesteśmy w stanie go rozstrzygnąć. Pomocne w odpowiedzi na pewno byłoby badanie, jak KIOD wykonuje swoje obowiązki. Niestety nie należy to teraz do naszych priorytetów - spraw i wyzwań jest całe mnóstwo, a nas w Panoptykonie tylko kilkoro :) Wiele osób kontestuje przyjęcie przez KK własnych reguł, dlatego liczymy na to, że sprawa znajdzie finał w sądzie, który ostatecznie utnie wszelkie wątpliwości :)

Dodaj komentarz