Artykuł 03.10.2018 7 min. czytania Tekst Image W maju przez Polskę przeszła burza związana z europejskim rozporządzeniem o ochronie danych osobowych (RODO). Tylko jedna instytucja zachowała stoicki spokój: Kościół rzymskokatolicki. Przyjrzeliśmy się, jak Kościół poradził sobie z wprowadzeniem przepisów o ochronie danych, które do niedawna dotyczyły go jedynie w ograniczonym stopniu. Czy po wejściu w życie RODO prywatność wiernych jest lepiej chroniona? Między RODO a dekretem W nowych przepisach o ochronie danych przewidziano wyjątek dla kościołów i związków wyznaniowych – mogą one stosować własne zasady przetwarzania danych, o ile obowiązywały one w chwili uchwalenia RODO (czyli 27 kwietnia 2016 r.) i zostały dostosowane do nowych przepisów. Z tej furtki skorzystał Kościół rzymskokatolicki, wydając obowiązujący od 30 kwietnia 2018 r. dekret ogólny w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych. Dekret w znacznej części stanowi „kopiuj-wklej” z RODO (m.in. powtarza zasady przetwarzania danych), dlatego w podstawowym zakresie ochrona danych w Kościele powinna wyglądać podobnie, jak poza nim. Diabeł jak zwykle tkwi jednak w szczegółach. Z jednej strony nie jest wcale jasne, czy obowiązujące w polskim Kościele zasady ochrony danych były na tyle szczegółowe, by można było zastosować przewidziany w RODO wyjątek. Z drugiej – dekret pozwala kościelnym podmiotom na więcej niż RODO świeckim, ograniczając sankcje za łamanie prawa. Prawo do informacji W zakresie prawa do informacji prawo kościelne – przynajmniej w teorii – nie ustępuje świeckiemu. Administratorzy danych osobowych mają obowiązek informować osoby, których dane przetwarzają, m.in. o tym, w jakim celu to robią, na jakiej podstawie, jak długo oraz jakie prawa przysługują osobie. Dotyczy to np. parafii, działających na podstawie kościelnego dekretu. Niektóre z nich realizują obowiązek informacyjny wprost z ambony, inne wywieszają klauzule o przetwarzaniu danych w przykościelnych gablotach. Odpowiednia informacja powinna też trafić do osób, które zgłaszają się do parafii przy różnych okazjach, np. ślubu czy chrztu. Czy, i jak to działa w praktyce, każdy wierny może się przekonać w swojej parafii. Może też skorzystać z prawa do uzyskania kopii danych (najlepiej zwrócić się do parafii chrztu, bo tam trafiają informacje o późniejszych sakramentach, nawet jeśli udzielono ich w innym miejscu). Lista ofiarodawców nadal publiczna Jedno z najbardziej kontrowersyjnych rozwiązań przewidzianych dekretem pozwala na ujawnianie listy ofiarodawców wraz z przekazanymi przez nich kwotami. Parafie mogą je publikować w swoich gazetkach, na stronie internetowej, czy wyczytywać z ambony – i to bez zgody ofiarodawców. To odwrócenie jednej z najważniejszych zasad RODO, według którego rozwiązania chroniące prywatność powinny być stosowane domyślnie (privacy by default). Osoby, które nie życzą sobie upubliczniania informacji o swojej ofiarności, muszą o tym poinformować. Ograniczone prawo do bycia zapomnianym Z największą nadzieją na nowe zasady ochrony danych w Kościele oczekiwali ci, którzy próbują z niego wystąpić i zniknąć z jego archiwów. Do parafii zgłaszają się osoby, które żądają usunięcia swoich danych z ksiąg parafialnych, powołując się na RODO. Wygląda jednak na to, że w sytuacji apostatów niewiele się zmieni, bo Kościół uważa, że jego członkiem zostaje się na zawsze, a informacje o sakramentach są niewymazywalne – i dlatego odmawia tutaj prawa do zapomnienia. Dekret przyznaje apostatom jedynie prawo do ograniczenia przetwarzania danych: te pozostają w księgach tylko w celach archiwalnych i do ustalenia stanu kanonicznego, czyli pozyskania informacji o przyjętych sakramentach (chyba, że biskup wyrazi zgodę na wykorzystanie ich w innym celu). Kościół w Internecie Kamera na terenie parafii, arkusze kalkulacyjne z wpłatami na rzecz parafii, transmisja mszy na YouTubie, zdjęcia parafian na profilach społecznościowych – nowoczesny Kościół nie stroni od technologii. W środowisku cyfrowym ochrona prywatności napotyka zgoła inne wyzwania, niż ma to miejsce w przypadku spisywanych piórem ksiąg parafialnych. To ważne, zwłaszcza w kontekście ochrony wizerunku. Dekret pozwala na przykład na zamieszczanie zdjęć parafian na Facebooku, ale prawo autorskie, poza ściśle określonymi wyjątkami, wymaga uzyskania zgody na publikację od osoby, która widnieje na zdjęciu. Kto pomoże wiernym? Co może zrobić osoba, która uważa, że jej prawa zostały naruszone? Jeśli na przykład na otrzymanym z Kościoła zaświadczeniu o bierzmowaniu znajdzie informację o swojej przynależności do partii i wypowiedziach przeciwko księżom (jak pewien młody polityk z Pułtuska)? Albo gdy informacje o rodzinie adopcyjnej bez jej wiedzy i zgody zostaną udostępnione rodzinie biologicznej (jak w sprawie, w której do episkopatu występowała Helsińska Fundacja Praw Człowieka)? Według kościelnego dekretu może zwrócić się ze skargą do powołanego nim Kościelnego Inspektora Ochrony Danych. Jak będzie działał w praktyce, dopiero się przekonamy. Jednak pozycja KIOD jest zupełnie inna niż Prezesa Urzędu Ochrony Danych Osobowych. Ten ostatni musi przestrzegać przewidzianych w przepisach terminów rozpatrywania skarg i dysponuje realnymi karami, w tym finansowymi. W kościelnym dekrecie nie ma słowa o terminach, a Kościelny Inspektor Ochrony Danych dysponuje specyficznym wachlarzem kar (od nakazania naprawienia szkody przez nałożenie cenzury, po pozbawienie urzędu). Od postanowienia KIOD można odwołać się tylko do Watykanu. Jak na razie furtka do prawa świeckiego pojawia się jedynie w tych sytuacjach, w których Kościół wykracza poza istotę swojej działalności, np. gdy działalność kościelnych mediów podpada pod przepisy ogólne. Są jednak sytuacje, w których trudno powiedzieć, czy to jeszcze działalność Kościoła, czy już nie. Na przykład czy kamery zamontowane w kościele mają funkcjonować zgodnie z RODO czy z dekretem? Albo co z danymi przetwarzanymi przez pielgrzymkowe biuro podróży? Na odpowiedź trzeba poczekać do rozstrzygnięcia przez Prezesa UODO (a ostatecznie: sądy administracyjne), bo jeszcze może się okazać, że kościelny dekret w ogóle nie obowiązuje. Anna Obem, współpraca: Wojciech Klicki, Małgorzata Szumańska Polecamy nasz wywiad z Kościelnym Inspektorem Ochrony Danych Wspieraj naszą walkę o lepsze prawo ochrony danych! Wpłać darowiznę na konto Fundacji Panoptykon. Wojciech Klicki Autor Temat reforma ochrony danych Poprzedni Następny Newsletter Otrzymuj informacje o działalności Fundacji Twoje dane przetwarza Fundacja Panoptykon w celu promowania działalności statutowej, analizy skuteczności podejmowanych działań i ewentualnej personalizacji komunikacji. Możesz zrezygnować z subskrypcji listy i zażądać usunięcia swojego adresu e-mail. Więcej informacji o tym, jak przetwarzamy twoje dane i jakie jeszcze prawa ci przysługują, w Polityce prywatności. Zapisz się Zapisz się Akceptuję Regulamin usługi Leave this field blank Zobacz także Poradnik Zgoda domyślna Na czym polega ta praktyka? Rozpoznasz ją po tym, że w ustawieniach prywatności dotyczących przetwarzania danych osobowych (np. 07.06.2018 Tekst Artykuł Pilnie potrzebujemy ePrivacy! Wspólnie z 27 europejskimi organizacjami zajmującymi się prawami człowieka w cyfrowym świecie apelujemy do Rady Unii Europejskiej o przyspieszenie prac nad projektem rozporządzenia ePrivacy. 28.03.2018 Tekst Podcast 2019 z RODO. Rozmowa z Maciejem Kaweckim Dzięki RODO o ochronie danych osobowych słyszały już nawet przedszkolaki, ale zwiększenie społecznej świadomości to nie jedyna zmiana, jaką wprowadziło nowe prawo. O podsumowanie 8 miesięcy z RODO i kilka słów o planach na 2019 r. poprosiliśmy Macieja Kaweckiego, dyrektora Departamentu… 28.01.2019 Dźwięk