Kościelny Inspektor Ochrony Danych: prawa wiernego są analogiczne do tych, które przewiduje RODO

W związku z Waszym dużym zainteresowaniem tematem ochrony danych w Kościele postanowiliśmy poszukać informacji u źródła. O to, co stało się 30 kwietnia w Kościele katolickim i czy dane osobowe przetwarzane przez parafie są bezpieczne, spytaliśmy Kościelnego Inspektora Ochrony Danych, ks. dr. hab. Piotra Kroczka. Wywiad możecie obejrzeć na Vimeo lub przeczytać na naszej stronie (transkrypcja poniżej). Niestety nie spotkaliśmy się z KIOD-em osobiście, a nasze pytania przeczytała jego współpracowniczka, dlatego wywiad nie rozstrzyga najważniejszych wątpliwości, o których piszemy w tekście Bez paniki, czyli RODO w Kościele.

Transkrypcja

Gość: Piotr Kroczek, Kościelny Inspektor Ochrony Danych

Transkrypcja: Mateusz Pigoń

FP: Dzień dobry. Moim i Państwa gościem jest ksiądz dr hab. Piotr Kroczek, Kościelny Inspektor Ochrony Danych. Szczęść Boże!

PK: Szczęść Boże! Dzień dobry.

FP: Proszę Księdza, co zmieniło się w sprawie ochrony danych osobowych w Kościele od 25 maja 2018 r.?

PK: 25 maja w całej Europie zaczęto stosować RODO. Kościół także, działając w sferze publicznej, dostosował się do tych regulacji – przynajmniej w swojej działalności pozawewnętrznej. To znaczy w tej działalności, która nie jest, powiedziałbym, jego statutową działalnością. Tam Kościół oczywiście RODO przestrzega. 25 maja jest datą ważną, choć ważniejszą z punktu widzenia działalności wewnętrznej Kościoła jest 30 kwietnia tego roku, kiedy to wszedł w życie dekret Konferencji Episkopatu Polski regulujący ochronę danych osobowych. Zresztą nawet ten 30 kwietnia nie jest jakąś wielką nowością: nie przyniósł on wielkiej nowości w działalności Kościoła w tym zakresie. Ochrona danych osobowych była od zawsze częścią szerszego prawa w Kościele – prawa do prywatności. W tym zakresie Kościół miał wiele regulacji. To prawda, były one rozproszone, ale teraz dekret Konferencji Episkopatu je znowelizował, zebrał w jeden akt normatywny i – co szalenie ważne – dostosował do RODO.

FP: W jednej z wypowiedzi wspominał Ksiądz o swojej obawie przed pewną inercją ze strony proboszczów w dostosowywaniu się do tych zmian. Jak Ksiądz ocenia poziom znajomości nowych zasad w ochronie danych osobowych wśród polskich proboszczów?

PK: To prawda, mówiłem o inercji, ponieważ wprowadzenie nowego aktu normatywnego w życie nie zawsze od razu skutkuje jego pełną realizacją. Jest to znany mechanizm. Urzędnicy, którymi na parafiach są proboszczowie, często działają według pewnego schematu, przyzwyczajenia. Realizują dawne normy, chociaż one już nie obowiązują – nieraz nieintencjonalnie.

Pomyliłem się jednak, mówiąc, że będzie taka inercja. Jeżeli była, to zupełnie niewielka. Widzę, że księża bardzo dobrze przyjęli, recypowali nowe regulacje i wcielili je w życie. Sądzę, że poziom ich znajomości wśród duchowieństwa katolickiego w Polsce jest wystarczający do wagi problemu, który jest tymi aktami, tj. dekretem i RODO, regulowany.

FP: A jakie działania podejmuje Ksiądz jako KIOD, czyli Kościelny Inspektor Ochrony Danych, w celu upowszechniania wiedzy o ochronie danych osobowych w Kościele oraz zapewniania bezpieczeństwa danych?

PK: Sporo się dzieje. KIOD wydaje podręcznik: regularnie unowocześniany, nowelizowany. Dla inspektorów ochrony danych, którzy działają w diecezjach, organizowane są szkolenia. Inspektorzy organizują odpowiednie szkolenia dla duchownych w swoich diecezjach. Kościelny Inspektor Ochrony Danych wydaje interpretacje indywidualne i w sprawach indywidualnych udziela pewnej pomocy i wyjaśnień.

Myślę, że te działania są – jak na razie przynajmniej – wystarczające i odpowiadają na rzeczywiste potrzeby tych, którzy są adresatami dekretu.

FP: A czy są jakieś oprogramowania, na przykład do zarządzania danymi?

PK: Zarówno RODO, jak i dekret są transparentne pod względem technologicznym. To oznacza, że dobór środków technicznych, w tym oprogramowania, należy do administratora, który powinien oszacować ryzyko i dobrać takie środki, w tym przypadku techniczne, ale także organizacyjne, które będą odpowiednie do ryzyka – tak aby zapewnić bezpieczeństwo danych. Żadne oprogramowanie specjalistyczne nie jest polecane. Zresztą każdy akt normatywny jest włączany do systemu z myślą, że będzie względnie trwały. A wiadomo: postęp technologiczny jest na tyle duży, że trzeba by dość często ten akt normatywny nowelizować czy nawet stanowić zupełnie nowy. Stąd też bardzo mądra myśl RODO i co za tym idzie: dekretu, aby uczynić te akty normatywne neutralnymi wobec zmian technologicznych.

FP: Dla wielu osób niejasny jest rozdział kompetencji między Kościelnym Inspektorem Ochrony Danych a Prezesem Urzędu Ochrony Danych Osobowych. Pojawiają się wątpliwości, który organ odpowiada za ochronę danych choćby pochodzących z monitoringu zamieszczonego na ogrodzeniu parafii czy na przykład na fanpejdżach.

PK: Tak, rzeczywiście. Podział kompetencji nadzorczych między tymi dwoma organami może być apriorycznie trudny do ustalenia, ale myślę, że pewien modus vivendi zostanie wypracowany. Tym bardziej, że współpraca KIOD z Urzędem Ochrony Danych Osobowych jest przez dekret przewidziana. Pani Prezes Urzędu Ochrony Danych Osobowych także ma obowiązek współpracy z organami nadzorczymi utworzonymi na mocy art. 91 RODO. Myślę więc, że taka współpraca będzie miała miejsce i będzie owocna dla dobra wspólnego tych zbiorowości, za które pod względem ochrony danych jeden i drugi organ odpowiada.

FP: A jeśli na przykład ktoś wyczytuje z ambony dane osobowe wiernych wraz z wysokością wniesionej przez nich ofiary, to czy jest to zgodne z zasadami ochrony danych osobowych, czy nie?

PK: Sugeruje Pani, abym rozwiązał taki casus… Dekret Konferencji Episkopatu przewiduje, że tę informację, czyli ofiarodawcę i wysokość ofiary, można podać w gazetce przeznaczonej do użytku wewnętrznego parafii. Myślę, że per analogiam należy potraktować także ogłoszenia ustne czy wywieszenie takich informacji w gablocie. Wydaje się, że owszem: będzie to zgodne z dekretem.

FP: Prezes Urzędu Ochrony Danych Osobowych został niemal zasypany skargami. Czy sytuacja podobnie wygląda w Kościele?

PK: Owszem, skargi są zgłaszane, zgłaszane są różne nieprawidłowości w przetwarzaniu danych, ale nie jest to jakaś wielka liczba. Na koniec roku działalności będzie można pokusić się o sporządzenie pewnej statystyki. Jeżeli Pani zapyta wtedy, to powiem więcej.

FP: Dobrze, będziemy pytać. Celem RODO było przede wszystkim wzmocnienie pozycji i praw jednostki, której dane są przetwarzane. Jakie uprawnienia przysługują takiej osobie na podstawie Dekretu ogólnego w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych w Kościele katolickim?

PK: Prawa jednostki, prawa wiernego (w tym przypadku tak by trzeba powiedzieć), są identyczne albo przynajmniej analogiczne do tych, które gwarantuje rozporządzenie europejskie: prawo do informacji, prawo do kopii informacji, prawo do sprostowania danych, do ograniczenia przetwarzania czy wreszcie prawo do usunięcia danych, czyli tzw. prawo do zapomnienia. One wszystkie w dekrecie są identyczne, czy przynajmniej analogiczne, jak te, które są w RODO.

FP: Temat ochrony danych osobowych w Kościele od lat kojarzy się przede wszystkim z tematem apostazji. Czy może Ksiądz wytłumaczyć, na czym polega – i z czego wynika – różnica pomiędzy prawem do bycia zapomnianym w RODO a przepisami obowiązującymi w Kościele?

PK: Prawo do zapomnienia w Kościele oczywiście ma zastosowanie, z wyjątkiem tych informacji, które dotyczą sakramentów i stanu kanonicznego osoby. Tutaj rzeczywiście prawo do zapomnienia zamienia się pod wpływem normy z dekretu na prawo do ograniczenia przetwarzania. Kościół nie może pewnych rzeczy wymazać ze swoich ksiąg ze względu na doktrynę teologiczną, która w nim obowiązuje. Chrzest zostawia niezatarte, niezniszczalne znamię – w związku z tym nie można tak po prostu usunąć tej informacji. Ma to związek z dobrem duchowym wiernego, ale także jest konieczne dla zachowania odpowiedniego porządku publicznego w Kościele.

FP: A czy osoba, która zażądała usunięcia wszelkich danych na swój temat, będzie ujęta w statystyce kościelnej?

PK: To wszystko zależy od tego, jak zdefiniujemy populację, którą chcemy badać. Jeżeli zdefiniujemy ją jako zbiór osób ochrzczonych, to zgodnie z zasadą teologiczną semel catholicus, semper catholicus (czyli: gdy ktoś jest ochrzczony czy też przyjęty do Kościoła katolickiego, na zawsze katolikiem pozostaje), to oczywiście taką statystyką będzie objęty. Natomiast jeżeli zdefiniujemy tę grupę jako osoby ochrzczone, ale nieidentyfikujące się z Kościołem, to oczywiście w takiej statystyce ta osoba się nie znajdzie. Zresztą trzeba nadmienić, że sprawy statystyczne zarówno w RODO, jak i w dekrecie w wielu wypadkach są wyłączone spod regulacji.

FP: Serdecznie dziękuję Księdzu za rozmowę.

PK: Ja również dziękuję Pani i Państwu.

Polecamy również: Bez paniki, czyli RODO w kościele

Wspieraj naszą walkę o lepsze prawo ochrony danych! Wpłać darowiznę na konto Fundacji Panoptykon.