Od 25 maja o nasze dane dużo bardziej musi troszczyć się nie tylko biznes czy administracja państwowa, ale także przetwarzający dane ponad 33 mln osób Kościół katolicki. Jak RODO wpłynie na ochronę danych wiernych? Czy osoby, które wystąpiły z Kościoła, będą mogły skorzystać z prawa do bycia zapomnianym? Wychodząc naprzeciw Waszemu zainteresowaniu, staramy się odpowiedzieć na najważniejsze pytania.

Jednym z celów unijnej reformy ochrony prywatności było zapewnienie każdemu i każdej z nas silnej i skutecznej ochrony, niezależnie od tego, kto i w jakim celu przetwarza nasze dane. Dotyczy to również Kościoła katolickiego, który – według informacji przekazanych Głównemu Urzędowi Statystycznemu – przetwarza dane ponad 33 mln Polek i Polaków. Mało która instytucja w Polsce przetwarza dane na tak dużą skalę. Dla porównania: liczba użytkowników Facebooka w Polsce jest ponad dwa razy mniejsza i wynosi 16 mln. Zbiorom zgromadzonym przez Kościół może dorównywać wielkością zapewne tylko baza numerów PESEL. Przetwarzane przez Kościół dane mają w dodatku charakter wrażliwy (za takie uznamy informację o wyznaniu). Co na to RODO?

Między autonomią Kościoła a autonomią jednostki

Kościoły i związki wyznaniowe mają możliwość samodzielnego uregulowania zasad regulujących ochronę danych osobowych. Jest to jednak dopuszczalne tylko wtedy, gdy w momencie wejścia RODO w życie – czyli 24 maja 2016 r. (powszechnie znana data 25 maja 2018 r. wyznacza jedynie początek pełnego stosowania rozporządzenia) – funkcjonowały w ich ramach szczegółowe zasady ochrony danych. Dodatkowym warunkiem skorzystania z tej opcji jest dostosowanie do RODO zasad dotychczas obowiązujących w danym kościele. To jeden z nielicznych wyjątków od zasady bezpośredniego stosowania RODO do wszystkich podmiotów przetwarzających nasze dane.

Kościoły, które do tej pory stosowały szczegółowe zasady przetwarzania danych osobowych, muszą dostosować je do RODO.

Jeśli powyższe warunki są spełnione, kościół może powołać własny organ, który będzie w niezależny sposób nadzorował przetwarzanie danych wiernych. W przypadku gdy kościół nie zdecyduje się na utworzenie własnego organu, na straży ochrony danych wiernych stanie organ państwowy (w Polsce – Prezes Urzędu Ochrony Danych Osobowych).

Tworząc takie rozwiązanie, unijni decydenci chcieli pogodzić z jednej strony poszanowanie dla istniejącej w wielu państwach członkowskich (w tym w Polsce) autonomii państwa i kościołów, a z drugiej – silne gwarancje dla praw jednostek, niezależnie od tego, kto wykorzystuje ich dane. Słowem: nowe przepisy mają na celu zlikwidować różnice pomiędzy standardem przetwarzania danych w firmach i instytucjach publicznych oraz w kościołach. To dlatego nawet kościoły, które przed RODO stosowały własne, szczegółowe przepisy o ochronie danych, muszą zapewnić ich zgodność z unijnym rozporządzeniem. A jak to wygląda w Polsce?

Kościół nie uniknie RODO

Kościół o swoich przygotowaniach do RODO informował już na kilka miesięcy przed rozpoczęciem stosowania rozporządzenia. Przedstawiciele Kościoła konsekwentnie twierdzili, że skorzystają z art. 91 RODO, czyli po prostu dostosują do nowych przepisów dotychczas obowiązujące wewnętrzne zasady przetwarzania danych. Taką funkcję ma pełnić przyjęty w marcu Dekret ogólny w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych w Kościele katolickim. Nad przestrzeganiem przepisów czuwa Kościelny Inspektor Ochrony Danych.

Przyjęty przez Kościół katolicki dekret dotyczący ochrony danych – jeśli sama możliwość jego stosowania nie zostanie zakwestionowana – musi uwzględniać standardy wynikające z RODO.

Inaczej na sprawę patrzy świecki organ ochrony danych. Jego zdaniem regulacji funkcjonujących dotychczas w Kościele nie sposób uznać za wystarczająco szczegółowe, by Kościół mógł skorzystać z wyłączenia. Do tej pory wytyczne w sprawie ochrony danych wiernych zawierała instrukcja opracowana przez GIODO w 2009 r. wspólnie z Sekretariatem Konferencji Episkopatu Polski, jednak zdaniem Inspektora ten dokument ma wyłącznie charakter informacyjny i edukacyjny. GIODO twierdził, że również obowiązujący od 2016 r. Dekret w sprawie wystąpień z Kościoła i instrukcja z 1947 r. o prowadzeniu ksiąg parafialnych oraz księgi stanu dusz są niewystarczająco szczegółowe, żeby pozwolić Kościołowi dalej stosować własne zasady, nawet po ich dostosowaniu do RODO.

Rozstrzygnięcie, kto ma rację, jest trudne i należy do sądu, a nie do skromnego zespołu Panoptykonu. Ferowanie wyroków w tym artykule mija się poza tym z celem – przyjęty w marcu dekret ogólny obowiązuje już niemal od miesiąca i nie wiemy nic o tym, żeby został zakwestionowany. Dlatego ważniejsza jest tak naprawdę odpowiedź na pytanie, czy przyjęte przez Kościół przepisy są zgodne z RODO.

Dekret (bardzo) ogólny

Przygotowany przez Konferencję Episkopatu Polski dekret liczy 16 stron. Dla porównania: RODO to 88 stron małego druku. Siłą rzeczy dekret jest bardzo uproszczoną wersją unijnego rozporządzenia. W wielu miejscach kościelny dokument wprost cytuje przepisy RODO (np. tam, gdzie mówi o podstawowych zasadach przetwarzania danych czy o dopuszczalnych podstawach prawnych).

Kościelny dekret nie odbiega zasadniczo od gwarancji przewidywanych przez RODO, ale niektóre kwestie pomija milczeniem.

Niektóre kwestie dekret pomija jednak milczeniem. Nie znajdziemy w nim żadnych przepisów o profilowaniu czy automatycznym podejmowaniu decyzji. Czy to oznacza, że żadne kościelne instytucje (np. charytatywne lub choćby te prowadzące strony internetowe) nie wykorzystują i nie będą wykorzystywały w przyszłości automatycznych narzędzi do analizy i oceny danych osobowych, np. w stosunku do osób, które ubiegają się o wsparcie lub korzystają ze strony internetowej? Dekret nie wspomina również, czy i w jakich sytuacjach konieczne będzie dokonanie oceny skutków dla ochrony danych i konsultacja w tej sprawie z KIOD – tymczasem zgodnie z RODO taką formalną ocenę administrator musi przeprowadzić, jeśli przetwarzanie danych może powodować wysokie ryzyko naruszenia praw lub wolności osób.

Jakie uprawnienia przysługują wiernym? Kościelny dokument – z wyjątkiem prawa do przenoszenia danych i prawa do bycia zapomnianym, o którym piszemy dalej – nie odbiega co do zasady od gwarancji przewidywanych przez RODO. Każda zainteresowana osoba ma prawo dostępu do swoich danych i otrzymania informacji m.in. o celach ich przetwarzania, odbiorcach czy okresach przechowywania. Parafie i inne kościelne jednostki muszą też udostępnić zainteresowanym kopię danych – pierwsza kopia jest bezpłatna, ale za kolejne administrator może pobrać rozsądną opłatę związaną z kosztami administracyjnymi (tak samo jest to uregulowane na gruncie RODO). Każdemu przysługuje również prawo do żądania sprostowania danych, jednak sprostowanie danych dotyczących stanu kanonicznego osoby (np. informacji o otrzymanych sakramentach) wymaga zgody duchownego wyższego rangą. Wierni mogą też żądać dokonania adnotacji i uzupełnienia danych oraz ograniczenia ich przetwarzania.

Każdy, kto uzna, że jego lub jej prawa zostały naruszone, może złożyć skargę do Kościelnego Inspektora Ochrony Danych. Kościelny Inspektor nie dysponuje jednak – w przeciwieństwie do świeckiego organu – uprawnieniem do nakładania kar finansowych na administratorów naruszających prawo. Nie oznacza to, że KIOD nie będzie mógł zastosować żadnych sankcji – będzie on miał do dyspozycji kary przewidziane w prawie kanonicznym. W przypadku najpoważniejszych naruszeń kara może polegać nawet na pozbawieniu księdza urzędu. Jednak brak finansowych konsekwencji dla administratorów może znacznie osłabić wykonywanie decyzji KIOD, a tym samym – ochronę praw wiernych.

Czy Kościół zapomni o apostatach?

Najwięcej kontrowersji budzi kościelna regulacja prawa do bycia zapomnianym. Zawarte w RODO przepisy dotyczące tego uprawnienia stoją w sprzeczności z doktryną Kościoła. Ta przewiduje, że semel catholicus, semper catholicus, czyli: „kto został katolikiem, pozostaje nim na zawsze”. To dlatego dekret ogólny przewiduje, że żądanie usunięcia danych nie zostanie uwzględnione w przypadku, gdy dane „dotyczą udzielonych sakramentów bądź w inny sposób odnoszą się do kanonicznego statusu osoby”. Adnotacja o takim żądaniu powinna jednak znaleźć się w aktach danej osoby i od tego momentu parafia nie może już wykorzystywać danych bez zgody biskupa lub wyższych przełożonych.

Nie do pogodzenia z RODO byłaby sytuacja, w której Kościół wykorzystywałby dane apostatów w innych celach niż archiwalne lub związane z ustaleniem kanonicznego statusu danej osoby.

O usunięcie wszelkich danych z kościelnych akt wielokrotnie zabiegały na drodze sądowej osoby, które zdecydowały się wystąpić z Kościoła. W wyroku z 2016 r. Naczelny Sąd Administracyjny stwierdził jednak, że „skutki wystąpienia z Kościoła, jak i apostazji, wskazują, że dane osobowe zebrane przez Kościół w okresie przynależności zainteresowanego do Kościoła, nie staną się zbędne do realizacji celu, dla którego zostały zebrane”. Zaledwie 5 dni przed rozpoczęciem stosowania RODO NSA potwierdził, że „kwestia przynależności do Kościoła katolickiego i wystąpienia z niego jest wewnętrzną sprawą Kościoła i podlega regulacji prawa kościelnego”. Wygląda więc na to, że dopóki Kościół nie zmieni swojej doktryny, dopóty całkowite „wymazanie się” z niego będzie niemożliwe.

Przy odpowiedzi na pytanie, czy Kościół może w takiej sytuacji wyłączyć prawo do bycia do zapomnianym, trzeba – naszym zdaniem – wziąć pod uwagę cel regulacji, o którym piszemy wyżej – jest nim zapewnienie możliwie jak najpełniejszej ochrony danych jednostek, ale z poszanowaniem zasad wiary danego kościoła lub związku wyznaniowego oraz ich autonomii względem państwa. Problematyczna w tym kontekście byłaby zdecydowanie sytuacja, w której Kościół wykorzystywałby dane apostatów w innym celu niż cele archiwalne lub na potrzeby ustalenia kanonicznego statusu danej osoby. Obecnie dekret przewiduje, że dane apostatów mogą być wykorzystywane tylko za zgodą biskupa lub wyższego przełożonego, ale nie wspomina o tym, w jakich sytuacjach taka zgoda może być wydana.

Czas pokaże?

Nawet jeśli dekret nie zostanie zakwestionowany, to jego wydanie nie oznacza końca reformy ochrony danych osobowych w Kościele. Za tymi formalnościami muszą iść realne działania poszczególnych parafii i diecezji, które uporządkują przetwarzane dane i wprowadzą odpowiednie procedury i instrukcje, a tym samym na dobre wyeliminują wątpliwe z punktu widzenia ochrony prywatności praktyki, np. odczytywanie listy ofiarodawców podczas mszy czy też – o czym informowała Helsińska Fundacja Praw Człowieka – udostępnianie krewnym biologicznym adoptowanego dziecka informacji o dziecku i o rodzinie adopcyjnej bez zgody rodziców adopcyjnych. Ważny udział w zwiększaniu świadomości o ochronie danych, edukowaniu i wyznaczaniu dobrych praktyk powinien mieć Kościelny Inspektor Ochrony Danych. Na ostateczną odpowiedź na pytanie o to, czy Kościół może stosować własne przepisy, a jeśli tak – to czy wydany dekret w pełni uwzględnia standardy wynikające z RODO, musimy jednak zapewne poczekać do pierwszego wyroku sądu.

Karolina Iwańska, Wojciech Klicki

Wesprzyj naszą walkę o wolność i prywatność! Wpłać darowiznę na konto Fundacji Panoptykon.