Kościół, a RODO

Kościół a RODO

Unijne ogólne rozporządzenie o ochronie danych (RODO)¹ ujednolica standardy ochrony danych w państwach członkowskich, a co za tym idzie wymusza na administratorach danych i podmiotach przetwarzających zmianę kultury przetwarzania danych. Nowe regulacje dotyczą wszystkich podmiotów prowadzących działalność w Unii Europejskiej, a więc także Kościołów i innych związków wyznaniowych.

Kościelny dekret o ochronie danych

Odpowiedzią Kościoła katolickiego w Polsce na wyzwania RODO jest Dekret ogólny w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych w Kościele katolickim, wydany 13 marca 2018 r. przez Konferencję Episkopatu Polski (KEP)². W dalszej części artykułu przyjrzymy się jego wybranym zapisom, a następnie spróbujemy wskazać problemy, jakie mogą wystąpić (a nawet już występują) w związku z przetwarzaniem danych przez Kościół. Zanim to jednak nastąpi, warto poczynić jedną uwagę o charakterze porządkowym: dokument KEP odnosi się li tylko do przetwarzania danych w Kościele katolickim (w naszym kraju to głównie obrządek rzymskokatolicki i greckokatolicki), nie dotyczy zaś Kościoła prawosławnego ani Kościołów protestanckich, które również mają w Polsce swoje struktury.
Trzeba więc mieć świadomość, że omawiane procedury nie mają zastosowania do każdego przetwarzania danych w sferze religijnej (poszczególne związki wyznaniowe mogą i powinny tworzyć własne przepisy). Tak samo ograniczone są też kompetencje Kościelnego Inspektora Ochrony Danych – powołanego przez KEP tylko na potrzeby Kościoła katolickiego (o organie tym będzie mowa dalej).

¹ Właściwie: Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) (Dziennik Urzędowy Unii Europejskiej L 119 z 4 maja 2016 r.).

² Pełny tekst dekretu: http://episkopat.pl/wp-content/uploads/2018/04/13.3.2018.PL_.Dekret-ogolny-o-ochronie-danych-osobowych.pdf.

Tradycja przetwarzania i ochrony danych w Kościele

Jeśli zaś chodzi o sam tekst dekretu, to charakterystyczne jest odwołanie się w jego preambule do tradycji przetwarzania i ochrony danych w Kościele, o czym świadczą wcześniejsze regulacje w tym zakresie, poświęcone problemowi fragmentarycznie lub w całości:
1) Kodeks prawa kanonicznego³ i Kodeks kanonów Kościołów wschodnich (prawo do dobrego imienia i ochrony intymności; obowiązek szczególnej troski o dokumenty diecezji i parafii; obowiązek utworzenia archiwum diecezjalnego wraz z częścią przeznaczoną na dokumenty tajne; obowiązek prowadzenia ksiąg parafialnych; obowiązek informowania wspólnoty wiernych o zawieranych w parafii związkach małżeńskich, tzw. zapowiedzi);
2) motu proprio Jana Pawła II La cura vigilantissima z 21 marca 2005 r.⁴ (obowiązek ochrony watykańskich zasobów archiwalnych; obowiązek przetwarzania danych z uwzględnieniem prawa, podstawowych wolności i godności człowieka);
3) instrukcja prowadzenia ksiąg parafialnych z 1947 r.⁵ (obowiązek należytego prowadzenia i przechowywania ksiąg parafialnych; obowiązek nadzorowania w tym zakresie proboszczów przez biskupa diecezjalnego; prawo zainteresowanych do przeglądania ksiąg parafialnych za zgodą proboszcza i do żądania odpisów aktów);
4) instrukcja Ochrona danych osobowych w działalności Kościoła katolickiego w Polsce z 23 września 2009 r., opracowana przez Generalnego Inspektora Ochrony Danych Osobowych (GIODO) i Sekretariat Konferencji Episkopatu Polski⁶ (obowiązek zabezpieczania danych; obowiązek rejestracji zbiorów danych niedotyczących członków Kościoła; zalecenie przygotowania pisemnych instrukcji ochrony danych osobowych na szczeblu diecezjalnym i parafialnym);
5) Dekret ogólny Konferencji Episkopatu Polski w sprawie wystąpień z Kościoła oraz powrotu do wspólnoty Kościoła z 7 października 2015 r.⁷ (obowiązek weryfikowania przez proboszczów oświadczeń wiernych o wystąpieniu z Kościoła; obowiązek przechowywania takich oświadczeń i odnotowywania faktu ich złożenia w księdze ochrzczonych; obowiązek wymiany informacji o apostatach między diecezjami – jeżeli osoba składająca oświadczenie została ochrzczona w diecezji innej niż ta, do której obecnie należy).

³ Kodeks prawa kanonicznego (KPK): http://www.trybunal.mkw.pl/Kodeks%20Prawa%20Kanonicznego.pdf (wydanie książkowe: Kodeks prawa kanonicznego, wyd. Pallottinum, Poznań 1984). Autorzy dekretu powołują się na kanony 220, 482-491, 535, 1067 i 1069 KPK.

⁴ Pełny tekst motu proprio w języku włoskim: https://w2.vatican.va/content/john-paul-ii/it/apost_letters/2005/
documents/hf_jp-ii_apl_20050321_cura-vigilantissima.html. O obowiązku poszanowania prawa, podstawowych wolności i godności człowieka podczas przetwarzania danych mówi art. 25.

⁵ Dokument dostępny na portalu Wystąp.pl: http://wystap.pl/wp-content/files/instrukcja_o_prowadzeniu_ksig_
parafialnych_z_1947_roku.pdf.

⁶ Pełny tekst instrukcji: https://giodo.gov.pl/data/filemanager_pl/wsp_krajowa/KEP.pdf.

⁷ Pełny tekst dekretu: http://episkopat.pl/wp-content/uploads/2018/04/13.3.2018.PL_.Dekret-ogolny-o-ochronie-danych-osobowych.pdf.

 Kościelne osoby prawne

Odnosząc się natomiast do zakresu podmiotowego Dekretu ogólnego w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych w Kościele katolickim, należy zauważyć, że dotyczy on „publicznych kościelnych osób prawnych” (art. 4 dekretu). Zgodnie z Ustawą z dnia 17 maja 1989 r. o stosunku Państwa do Kościoła Katolickiego w Rzeczypospolitej Polskiej (DzU z 1989 r. nr 29, poz. 154, tekst ujednolicony) kościelnymi osobami prawnymi są m.in.: Konferencja Episkopatu Polski (art. 6 ustawy), metropolie, archidiecezje, diecezje, administratury apostolskie (obecnie takie struktury w naszym kraju nie funkcjonują), parafie, rektoraty, Caritas Polska i Caritas diecezjalne, Papieskie Dzieła Misyjne (art. 7), Ordynariat Polowy Wojska Polskiego, kapituły, parafie personalne, Konferencja Wyższych Przełożonych Zakonów Męskich, Konferencja Wyższych Przełożonych Zakonów Żeńskich, instytuty życia konsekrowanego i stowarzyszenia życia apostolskiego, prowincje zakonów, opactwa, klasztory niezależne, domy zakonne, seminaria duchowne (art. 8), Katolicki Uniwersytet Lubelski Jana Pawła II, Uniwersytet Papieski Jana Pawła II w Krakowie, Papieski Wydział Teologiczny w Poznaniu, Papieski Wydział Teologiczny we Wrocławiu, Papieski Wydział Teologiczny w Warszawie i jego dwie sekcje: św. Jana Chrzciciela (Collegium Joanneum) i św. Andrzeja Boboli (Collegium Bobolanum), Wydział Filozoficzny Towarzystwa Jezusowego w Krakowie (obecnie jego tradycje kontynuuje Akademia Ignatianum w Krakowie) oraz kościelne instytuty naukowe i dydaktyczno-naukowe kanonicznie erygowane (art. 9).⁸ Przywołana ustawa określa również organy kościelnych osób prawnych, czyli – jeśli weźmiemy pod uwagę kontekst ochrony danych – podmioty wprost odpowiedzialne za wdrożenie i przestrzeganie zaleceń RODO w poszczególnych jednostkach (zob. art. 6 ust. 2, art. 7 ust. 3, art. 8 ust. 2 ustawy). Na poziomie diecezji jest to biskup diecezjalny, na poziomie parafii – proboszcz.

⁸Ten katalog nie jest zamknięty, ponieważ Konkordat między Stolicą Apostolską i Rzecząpospolitą Polską  (DzU z 1998 r. nr 51, poz. 318) zobowiązuje państwo polskie do uznawania osobowości prawnej „wszystkich instytucji kościelnych terytorialnych i personalnych, które uzyskały taką osobowość na podstawie przepisów prawa kanonicznego” (art. 4 ust. 2 konkordatu), inne instytucje mogą natomiast – na wniosek władzy kościelnej – uzyskać osobowość prawną na podstawie prawa polskiego (art. 4 ust. 3 konkordatu, por. art. 10 ustawy z 17 maja 1989 r.). Zob. także: W. Malesa, A. Wawrzaszek, Rejestr wyznaniowych osób prawnych – wybrane zagadnienia na przykładzie jednostek Kościoła katolickiego, „Studia z Prawa Wyznaniowego” 2014, t. 17, s. 277–279.

Przetwarzanie danych w Kościele a dane apostatów

Zgodnie z kościelnym dekretem przetwarzanie danych jest dopuszczalne tylko w tych przypadkach, o których mówi art. 6 ust. 1 RODO, i jako takie nie budzi kontrowersji. Kościół zastrzega sobie również prawo do operowania danymi wrażliwymi, ale jedynie wówczas, gdy dotyczą one jego członków oraz tych, którzy utrzymują z nim stałe kontakty w związku z prowadzoną przez niego działalnością (art. 7 ust. 2 dekretu o ochronie danych). Za członków Kościoła uważa się osoby w nim ochrzczone oraz tych, którzy po chrzcie zostali do niego przyjęci, w tym nawróconych apostatów. Z samymi apostatami wiąże się zresztą jedna z kwestii spornych dotyczących przetwarzania danych osobowych w Kościele. Od lat bowiem osoby, które występują z Kościoła, niejednokrotnie domagają się usunięcia swoich danych osobowych z parafialnych zbiorów danych, do których – zgodnie z art. 5 pkt 3 dekretu o ochronie danych – zaliczamy m.in. rejestr ochrzczonych i rejestr parafian. Argumentują to tym, że wraz z ich wystąpieniem ze wspólnoty wiernych ustała również potrzeba przetwarzania (przechowywania) ich danych, które w zaistniałych okolicznościach – zgodnie z zasadą minimalizacji danych i zasadą ograniczenia okresu przechowywania (art. 5 ust. 1 lit. c i e RODO) – powinny zostać skasowane. W Kościele jednak praktykowane jest jedynie zamieszczanie w rejestrze ochrzczonych adnotacji o apostazji (ust. 10 dekretu o wystąpieniach z Kościoła), gdyż z jednej strony towarzyszy temu założenie, że odstępca może, w dowolnym momencie, powrócić do wspólnoty wiernych (zob. ust. 15 dekretu o wystąpieniach z Kościoła, mówiący ponadto o niezatartym znamieniu sakramentu chrztu), z drugiej zaś – przekonanie, że dalsze przetwarzanie danych apostaty jest, jak to ujęto w dokumencie obowiązującym przed dekretem o wystąpieniach, „niezbędne do wykonywania własnych zadań Kościoła” (ust. 11 Zasad postępowania w sprawie formalnego aktu wystąpienia z Kościoła z 27 września 2008 r.⁹). Praktyka ta znalazła odzwierciedlenie także w art. 14 ust. 4 dekretu o ochronie danych: „Prawo do żądania usunięcia danych nie przysługuje w przypadku, gdy dane dotyczą udzielonych sakramentów bądź w inny sposób odnoszą się do kanonicznego statusu osoby” (do ograniczenia tego prawa wrócimy jeszcze w dalszej części wywodu). Tym samym kwestią do rozstrzygnięcia pozostaje, czy wspomniane „własne zadania Kościoła”¹⁰ należą do kategorii operacji, które uzasadniają dłuższe przechowywanie danych o sakramentach przyjętych przez byłych członków organizacji (przetwarzanie danych do celów archiwalnych w interesie publicznym, do celów badań naukowych lub historycznych lub do celów statystycznych, o czym mowa w art. 5 ust. 1 lit. e RODO).

⁹ Całość wytycznych z 2008 r.: http://episkopat.pl/zasady-postepowania-w-sprawie-formalnego-aktu-wystapienia-z-kosciola/.

¹⁰ Sam dekret o wystąpieniach z Kościoła już takiego sformułowania nie zawiera, co więcej: w ogóle nie uzasadnia zakazu usuwania danych o sakramentach przyjętych przez apostatów, lecz można domniemywać, że dalsze przechowywanie tych danych służy właśnie celom wewnątrzkościelnym.

Obowiązek informacyjny

O obowiązku informacyjnym traktują artykuły 8 i 9 kościelnego dekretu o ochronie danych. Wytyczne te właściwie pokrywają się z obowiązkami wynikającymi z artykułów 13 i 14 RODO, mówiących o zasadach pozyskiwania danych od osoby, której dane dotyczą, i z innych źródeł. Mając je na uwadze, wskazane byłoby, aby proboszczowie, będący administratorami danych najniższego szczebla, praktykowali zamieszczanie na stronach internetowych parafii i w gablotach ogłoszeniowych nie tylko tych informacji, o których mowa w art. 8 ust. 1 dekretu o ochronie danych (dane administratora lub inspektora ochrony danych, cel i podstawa prawna przetwarzania, informacje o odbiorcach i zamiarze przekazania danych publicznej kościelnej osobie prawnej za granicą, okres przetwarzania danych i prawa osoby, której dane dotyczą), lecz także tych, o których mowa w art. 14 ust. 1 lit. d RODO („kategorie odnośnych danych osobowych”). Wynika to z następujących okoliczności: 1) niekoniecznie wszystkie informacje, które przetwarza parafia, pochodzą od osoby, której dane dotyczą (część mogła zostać przekazana przez osoby trzecie, np. członków rodziny lub sąsiadów); 2) zgodnie z art. 11 ust. 1 pkt 2 dekretu o ochronie danych i art. 15 ust. 1 lit. b RODO osoba, której dane dotyczą, ma prawo wiedzieć, które jej dane podlegają przetwarzaniu, a nawet poznać informacje o ich źródle, jeżeli zostały przekazane przez podmiot trzeci (art. 11 ust. 1 pkt 7 dekretu o ochronie danych i art. 15 ust. 1 lit. g RODO); 3) zakres danych przetwarzanych przez parafie jest różny, ponieważ nie istnieje ogólnopolski wzór kartoteki parafialnej, stąd też trudno oczekiwać, by osoby, których dane dotyczą, były się w stanie tego zakresu domyślić¹¹ (jeżeli natomiast w kościele, wokół niego, w kaplicy lub na cmentarzu parafialnym funkcjonuje monitoring, mamy dodatkowo do czynienia z utrwalaniem wizerunku, i to niekoniecznie tylko członków Kościoła, lecz wszystkich, którzy się znajdą w zasięgu kamer).

¹¹ Przykładowe kartoteki parafialne: https://www.parafialusowko.pl/files/kartoteka_parafialna.pdf, http://www.parafiaczerniewice.pl/bozenarodzenie/kartotekaparafialna2016.pdf.

Prawa osób, których dane dotyczą

Jeśli chodzi o przywileje przysługujące osobom, których dane dotyczą, to kościelny dekret gwarantuje im prawo do informacji o przetwarzaniu ich danych, prawo do żądania dokonania adnotacji i uzupełnienia danych (RODO mówi w tym kontekście o prawie do sprostowania danych – art. 16), prawo do żądania usunięcia danych i prawo do żądania ograniczenia ich przetwarzania (artykuły 11–15 dekretu o ochronie danych). W tym miejscu szerzej skupimy się na zagadnieniu ograniczonego prawa do usunięcia danych, zasygnalizowanym już wcześniej. Zgodnie z art. 14 ust. 4 dekretu o ochronie danych nie można żądać usunięcia danych dotyczących udzielonych sakramentów lub w inny sposób odnoszących się do kanonicznego statusu osoby. W dalszej części regulacji czytamy: „Tego typu wniosek powinien zostać odnotowany w zbiorze i zobowiązuje administratora do niewykorzystywania danych objętych wnioskiem bez zgody ordynariusza miejsca lub wyższego przełożonego instytutu życia konsekrowanego lub stowarzyszenia życia apostolskiego”. Rozumując a contrario, wykorzystywanie takich danych jest zatem dopuszczalne za zgodą ordynariusza. Dekret nie precyzuje jednak, w jakich okolicznościach taka zgoda może być udzielona, przez co otwiera pole do nadużyć. Na marginesie nadmieńmy tylko, że jeśli miałoby chodzić o przypadki nawróconych apostatów, kiedy to na polecenie ordynariusza w księdze ochrzczonych dokonywana jest adnotacja w tym przedmiocie (ust. 18 dekretu o wystąpieniach z Kościoła), to zapis art. 14 ust. 4 dekretu o ochronie danych wydaje się zbędny, ponieważ osoba, która dobrowolnie wraca do Kościoła, implicite wyraża zgodę na ponowne wykorzystywanie swoich danych. Ten fragment kościelnego dekretu wymaga więc doprecyzowania poprzez wskazanie, w których przypadkach ordynariusz może zezwolić na wykorzystywanie danych, albo w ogóle usunięcia zapisu, który sugeruje możliwość dokonywania takich operacji za jego zgodą.

Inspektorzy ochrony danych

Ostatnim wątkiem, który poruszymy w toku niniejszych rozważań, jest rola inspektorów ochrony danych. Wyznaczanie takich osób jest obowiązkowe, gdy kościelna publiczna osoba prawna przetwarza dane osobowe na dużą skalę (art. 30 ust. 1 dekretu o ochronie danych, por. art. 37 ust. 1 lit. c RODO). Sam termin „na dużą skalę” jest, oczywiście, nieostry, można się jednak spodziewać, że inspektorzy ochrony danych zostaną powołani przynajmniej na poziomie diecezjalnym, ewentualnie w największych pod względem ludności parafiach (także w tych, na których terenie znajdują się licznie odwiedzane miejsca kultu, gdzie przetwarza się nie tylko dane parafian, lecz także turystów lub ofiarodawców) czy dekanatach. To ostatnie jest możliwe dzięki zapisowi art. 30 ust. 2 dekretu o ochronie danych, pozwalającemu na powoływanie jednego inspektora ochrony danych dla kilku publicznych kościelnych osób prawnych (tu: parafii). Jeśli chodzi o status i zadania inspektora ochrony danych, to kościelny dekret powiela w tym zakresie wytyczne artykułów 38 i 39 ust. 1 RODO, z tą tylko różnicą, że nie przewiduje, by kościelni inspektorzy zajmowali się wydawaniem na żądanie zaleceń co do oceny skutków planowanych operacji przetwarzania dla ochrony danych oraz monitorowaniem jej wykonania (art. 39 ust. 1 lit. c RODO). Jest to o tyle dyskusyjne, że choć Kościół nie dokonuje profilowania, to jednak przetwarza na dużą skalę dane wrażliwe (zob. art. 35 ust. 3 lit. b RODO).

Kościelny Inspektor Ochrony Danych

W związku z obostrzeniami wprowadzonymi przez RODO Konferencja Episkopatu Polski powołała też specjalny urząd – Kościelnego Inspektora Ochrony Danych (KIOD). Jego zadania określa art. 37 dekretu o ochronie danych. Sprowadzają się one do sprawowania nadzoru nad przestrzeganiem przepisów o ochronie danych osobowych w Kościele, upowszechniania wiedzy na ten temat, doradzania administratorom i podmiotom przetwarzającym, informowania osób, których dane dotyczą, o ich uprawnieniach, rozpatrywania skarg na naruszenie kościelnych przepisów o ochronie danych i zgłaszania propozycji nowych regulacji w tym zakresie. Obowiązkiem Kościelnego Inspektora Ochrony Danych jest również współpraca z GIODO, a po wejściu w życie nowej ustawy o ochronie danych osobowych – z Prezesem Urzędu Ochrony Danych Osobowych. Aby KIOD mógł skutecznie wykonywać swoje zadania, ma prawo żądać wyjaśnień od podmiotów przetwarzających dane w Kościele, a także kontrolować prawidłowość dokonywanego przez nie przetwarzania oraz nakazywać administratorom usuwanie stwierdzonych nieprawidłowości i zawiadamianie osób, których dane dotyczą, o naruszeniach ochrony danych (art. 38 dekretu o ochronie danych). Kadencja KIOD jest czteroletnia (art. 36 ust. 1 dekretu o ochronie danych).

Podsumowanie

Promulgacja Dekretu ogólnego w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych w Kościele katolickim dowodzi, że Kościół dąży do kompleksowego uregulowania tej kwestii. Można nawet zakładać, że podchodzi do tego obowiązku poważnie, gdyż nie ogranicza się do wydawania wytycznych, lecz organizuje szkolenia z ochrony danych osobowych (jak to z 7 maja 2018 r., przeznaczone dla kanclerzy kurii i oficjałów sądowych¹²), a nawet uruchamia specjalne studia podyplomowe (ochrona danych osobowych w Kościele na Wydziale Prawa i Administracji Uniwersytetu Kardynała Stefana Wyszyńskiego w Warszawie – pod patronatem Sekretarza Generalnego KEP i GIODO¹³). Niestety, choć dekret o ochronie danych zasadniczo powiela zapisy RODO, to nie rozwiązuje definitywnie problemów, które omówiono powyżej (zakres danych pozyskiwanych od parafian na potrzeby prowadzenia działalności duszpasterskiej, retencja danych osób występujących z Kościoła), przez co możemy oczekiwać dalszego ciągu sporów na linii: osoby, których dane dotyczą – Kościół. Niewykluczone są też rozbieżne stanowiska KIOD i jego świeckiego odpowiednika.

¹² Więcej o szkoleniu: http://episkopat.pl/szkolenie-z-ochrony-danych-osobowych-w-kosciele/.

¹³ Więcej o studiach: http://wpia.uksw.edu.pl/node/7882.