GDPR.pl – ochrona danych osobowych w UE, RODO, IOD

Wywiad z Kościelnym Inspektorem Ochrony Danych

Wywiad z Kościelnym Inspektorem Ochrony Danych

Celem ochrony danych w Kościele jest ochrona godności osoby ludzkiej, poprzez zapewnienie prawa do prywatności. Jest on tożsamy z celem „świeckiej regulacji”. 

 Bardzo ważnym obszarem ochrony danych osobowych jest ochrona danych w Kościele. O tym czym się różni system ochrony danych w Kościele od świeckiego mieliśmy okazję porozmawiać z ks. prof. Piotrem Kroczkiem Kościelnym Inspektorem Ochrony Danych (KIOD).

 GDPR.PL: Szanowny ks. Profesorze, bardzo dziękujemy za możliwość rozmowy, bowiem tematyka jest bardzo interesująca i warto ją przybliżyć osobom świeckim zajmującym się RODO.

Zacznijmy od tego czym się różni ochrona danych w Kościele od ochrony w wydaniu „świeckim”. Jakie są podstawowe różnice i z czego wynikają? Jakie przepisy regulują przetwarzanie danych osobowych w Kościele?

KIOD: Ochrona danych w Kościele ma ten sam cel, co ochrona danych w społecznościach świeckich. Tym celem jest ochrona godności osoby ludzkiej, poprzez zapewnienie prawa do prywatności. Podstawową regulacją dotyczącą danych osobowych w Kościele jest Dekret ogólny w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych w Kościele katolickim wydany przez Konferencję Episkopatu Polski w dniu 13 marca 2018 r. Ten akt normatywny jest w dużej części tożsamy z RODO. Owszem, istnieją pewne nieliczne z resztą różnice pomiędzy RODO a Dekretem. Wynikają one z prawd doktrynalnych, religijnych przyjętych przez Kościół i w konsekwencji uwidocznionych w prawie kanoniczym.

GDPR.PL: Czy Kościół musiał się specjalnie przygotowywać do RODO, które przelało się przez Polskę niczym Tsunami? Czy Kościół odczuł to podobnie? 

KIOD: Podmioty kościelne, tak samo jak i podmioty świeckie, musiały dostosować się do nowych regulacji. Nowość polegała jednak nie na tym, że te podmioty zaczęły chronić dane w ogóle, ale raczej polegała ona na wprowadzeniu modyfikacji w sposobie ochrony danych. Zgodnie bowiem z przepisami kościelnymi obowiązującymi jeszcze przed Dekretem podmioty kościelne, np. parafie, musiały pilnie strzec np. ksiąg parafialnych, które dla Kościoła są podstawowymi zbiorami danych osobowych. Nowością była także pewna formalizacja ochrony np. przez konieczność tworzenia osobnych polityk ochrony danych kompleksowo regulujących te kwestie. RODO to specyficzny język, mechanizmy i instytucje. Wyzwaniem jest dostosować tę regulacje do specyfiki języka i instytucji Kościoła. Dekret obowiązuje bowiem w trzech obszarach aktywności Kościoła: kanonicznym (np. księgi parafialne), świeckim (np. działalność gospodarcza) i mieszanym (np. szkolnictwo).

GDPR.PL: Co było zdaniem ks. Profesora największym wyzywaniem przed 25 maja 2018 roku i co zaskoczyło księdza najbardziej, w sensie pozytywnym, ale też jako problem?

KIOD: Jednym z wyzwań dla Kościoła było spełnienie przesłanki z art. 91 ust. 1 RODO, czyli dostosowanie własnych, endogenicznych zasad ochrony do RODO. To bowiem wymagało wydania kościelnej ustawy. Pozytywnym zjawiskiem było spore zainteresowanie tą tematyką ze strony zarówno instytucji kościelnych, duchownych jak i wiernych świeckich.

GDPR.PL: W wywiadzie jakiego ks. Profesor udzielił KAI padło pytanie czy parafie są przygotowane do RODO, jak po 1,5 roku ocenia ks. Profesor ich przygotowanie?

KIOD: Tak, parafie sprawnie wdrażają przepisy dotyczące ochrony danych osobowych. Oceniam wysoko recepcję i zastosowanie tych regulacji. Należy podkreślić, że podmioty kościelne miały niejako utrudnione zadanie zważywszy na fakt, że oprócz nowej regulacji prawa kościelnego, która ma zastosowanie do całej ich działalności, musiały one także w części swojej działalności zaaplikować regulacje prawa powszechnie obowiązującego, w tym i RODO. Dużą wagę przykłada się też tradycyjnie w Kościele do ochrony ksiąg parafialnych. Pod rządami nowych przepisów zaostrzono środki bezpieczeństwa poprzez nadawanie stosownych upoważnień osobom, które mają z nimi styczność. Również dostęp do pomieszczeń kancelarii parafialnych – a więc miejsc, gdzie są one zwykle przechowywane – jest skrupulatnie reglamentowany.

GDPR.PL: Oczywiście nie mogłem nie zapytać o coś co bardzo interesuje osoby zajmujące się ochroną danych, a mianowicie jak się ma prawo do bycia zapomnianym w kontekście apostazji? Czy teraz osoby świadome prawa do bycia zapomnianym mogą bez ograniczeń żądać jego realizacji?    

KIOD: Prawo do zapomnienia jest realizowane w Kościele – osoby, których dane dotyczą mogą żądać usunięcia swoich danych, analogicznie jak ma to zastosowanie w przepisach RODO. Jest jednak jeden wyjątek. Otóż z racji doktrynalnych, dogmatycznych – nie można usunąć danych dotyczących przyjętych sakramentów i statusu kanonicznego osoby np. złożenia ślubów zakonnych. Niemożliwe jest więc usunięcie danych dotyczących udzielonego sakramentu chrztu świętego, ponieważ – jak stanowi doktryna Kościoła katolickiego – chrzest wywiera niezatarte czy też niezniszczalne znamię i jednocześnie warunkuje ważne przyjęcie innych sakramentów. Chrzest jest bowiem „bramą sakramentów”. Gdyby prawo dopuszczało możliwość skorzystania z prawa do zapomnienia w tym zakresie, to mogłoby to doprowadzić do sytuacji sprzyjających możliwości popełnienia bigamii czy w inny sposób szkodzących dobru prywatnemu lub dobru publicznemu.

GDPR.PL: Jak w praktyce wyglądało wdrażanie RODO w kościele z perspektywy ks. Profesora? Ze sprawozdania wynika, że aktywność informacyjna (poradniki), szkoleniowa była bardzo duża. Czy ktoś jeszcze wspiera ks. Profesora w tych zadaniach? 

KIOD: Tak. Istnieje grupa prawników i kanonistów, którzy zajmują się ochroną danych. Bez ich pomocy byłoby bardzo trudno podołać zadaniom, które KIOD ma zapisane w Dekrecie. W sekretariacie KIOD pracuje jedna osoba. W procesie wdrażania prawa dotyczącego ochrony danych osobowych KIOD skupił się na działaniach informacyjnych, aby pomóc podmiotom kościelnym przejść przez proces dostosowania działania do nowych prawnych wymagań. Dla podmiotów kościelnych został opracowany specjalny podręcznik. Jego pierwsza wersja została przygotowana niedługo po wejściu w życie Dekretu, a jeszcze przed początkiem obowiązywania RODO. Następne wydania podręcznika to w dużej mierze odpowiedzi na spływające do KIOD pytania. Te, które często się powtarzały, uznawano za istotne lub powszechne problemy i odpowiedzi na nie – odpowiednio opracowane – znalazły się w treści kolejnych wersji podręcznika. Dodatkowo sukcesywnie opracowywane są praktyczne wskazania zakresu ochrony danych osobowych, które dotyczą poszczególnych ważnych z puntu widzenia praktycznego zagadnień, np. wizyty duszpasterskiej (kolędy), korespondencji okolicznościowej, organizacji pielgrzymek.

GDPR.PL: Jak przebiega współpraca z innymi kościołami w Polsce i Europie? Czy jest tutaj wymiana doświadczeń, biorąc pod uwagę, że RODO to regulacja europejska, a więc i problemy są podobne.

KIOD: Współpraca polega głównie na wymianie doświadczeń wypływających ze styku prawa kościelnego i prawa unijnego. Prawo krajowe bowiem i prawo kościelne w danych państwach członkowskich dotyczące ochrony danych jest różne. Organizowane są także cykliczne spotkania kościelnych organów nadzorczych z krajów członkowskich w siedzibie Komisji Konferencji Biskupów Unii Europejskiej (COMECE) w Brukseli. Interesujące bywają różnice w nowych przepisach np. francuski odpowiednik naszego Dekretu rekomenduje odłączenie do Internetu komputerów zawierających dane z ksiąg parafialnych. Zresztą w kontekście środków organizacyjnych i technicznych ochrony danych osobowych mamy tu do czynienia z pewnym paradoksem. Kradzież danych w formie tradycyjnej – a zatem fizycznych obiektów, często bardzo obszernych i ciężkich papierowych ksiąg – jest znacznie trudniejsza niż przegranie pliku na pendrive i wyniesienie z parafii.

GDPR.PL: Jakie wnioski płyną z rozesłanej przez KIOD ankiety badającej świadomość prawną podmiotów kościelnych w zakresie ochrony danych osobowych?

KIOD: Poprzez tę ankietę badana była świadomość prawna i stan realizacji Dekretu. Wniosek był następujący: diecezje co do zasady wdrożyły tę nową ustawę kościelną w stopniu zadowalającym. Wyniki ankiety wskazały także obszary wymagające dopracowania przez podmioty kościelne i wzmożenia działalności KIOD.

GDPR.PL: Na czym koncentrują się szkolenia organizowane przez KIOD? Jak ks. Profesor ocenia poziom świadomości osób zajmujących się ochroną danych? Ile jeszcze pracy przed nami wszystkimi zajmującymi się ochroną danych?

KIOD: Początkowo szkolenia dotyczyły kwestii podstawowych. Chodziło o pomoc jednostkom kościelnym we wdrożeniu głównie Dekretu, ale też i RODO poprzez przekazanie odpowiedniej wiedzy i umiejętności. Zajęcia miały bowiem także charakter warsztatowy. Obecnie organizowane są szkolenia, na których poruszane są już zagadnienia specjalistyczne, np. cyberbezpieczeństwo, kontrole Prezesa UODO, czy też ochrona danych osobowych w powiązaniu z ochroną dóbr osobistych. Poziom świadomości osób zajmujących się w Kościele ochroną danych oceniam jako wysoki. Jasne jest, że ochrona danych to wyraz troski o człowieka. Każdy, ze względu godność ludzką, ma prawo do ochrony swoich danych, a Kościół zawsze był promotorem godności człowieka. Nie może więc ochroną danych się nie przejmować.

GDPR.PL: Jakim podmiotom przetwarzającym najczęściej powierzają do przetwarzania dane osobowe podmioty kościelne będące administratorami danych?

KIOD: Najczęściej są to dostarczyciele usług hostingowych, ale także podmioty zajmujące się księgowością.

GDPR.PL: Czy przyjęto jakaś interpretację „dużej skali przetwarzania”, przy której podmiot kościelny musi powołać IOD?

KIOD: Tak. Jest to zwrot szacunkowy, którego interpretację na gruncie Dekretu należy oprzeć na dwóch elementach. Pierwszy element to liczba operacji, a drugi to udział takich operacji w działalności danego podmiotu. W ten sposób unikamy sytuacji, w której podmiot kościelny z racji swoich niewielkich rozmiarów w zestawieniu z innymi, podobnymi podmiotami świeckimi uznałby, że nie musi powoływać IOD, a jednocześnie jego działalność polegałaby głównie na przetwarzaniu danych. KIOD zaleca powołanie IOD jako elementu systemu ochrony, który może przyczynić się do sprawności działania administratora.

GDPR.PL: Dlaczego to akurat wytyczne dotyczące monitoringu były pierwszymi wydanymi wspólnie z UODO? Czy to zdaniem ks. Profesora najbardziej newralgiczny obszar, czy też wynika to stąd, że monitoring jest wszędzie i dosyć łatwo ująć go w ramy konkretnych wymagań? 

KIOD: Monitoring jest sprawą powszechną i newralgiczną. UODO publikowało swoje wytyczne. Chciałem, aby te wydane przez KIOD były w pełni kompatybilne z tymi wydanymi przez świecki urząd nadzorczy – stąd ta współpraca.

GDPR.PL: Czy pojawiają się w podmiotach kościelnych nowoczesne technologie wymagające analizy pod kątem ochrony danych osobowych, a jeśli tak, to jakie?

KIOD: Podmioty kościelne jeszcze dość rzadko stosują nowoczesnych technologie w swojej podstawowej działalności. Niemniej ze względu na rozwój i popularyzację tych technologii, zaczynają one pojawiać się także w zainteresowaniu tych podmiotów, co, jak twierdzą zainteresowani, usprawnia działanie szeroko rozumianej administracji kościelnej.

GDPR.PL: Jaka była liczba postępowań wyjaśniających, skarg podmiotów danych i zgłoszeń naruszeń? Czego najczęściej dotyczyły? Co szczególnie ks. Profesora zaskoczyło? 

KIOD: Postępowań wyjaśniających, które nie zakończyły się wszczęciem procedowania sprawy naruszenia ochrony danych osobowych było trzy. Wynikały one z faktu, że KIOD musiał upewnić się co do stanu faktycznego sprawy. Skarg wpłynęło do tej pory ok. 20. Dotyczyły one najczęściej nieuprawnionego udostępnienia danych przez parafie. Zgłoszeń naruszeń także było ok. 20.

GDPR.PL: Zgodnie z treścią sprawozdania rocznego w okresie od maja 2018 do czerwca 2019 KIOD wydał ponad 250 indywidualnych interpretacji, jaka była ich główna problematyka?

KIOD: Pytania dotyczyły bardzo wielu kwestii związanych z ochroną danych osobowych. Trudno jest określić tę jedną wiodącą. Wiele pytań dotyczyło tzw. spraw mieszanych, czyli takich, w których zastosowanie znajdą symultanicznie przepisy prawa kościelnego i prawa świeckiego.

GDPR.PL: Na jakim etapie są prace nad fundacją BONA FAMA? Jakie cele są najważniejsze?

 KIOD: Fundacja Instytut Ochrony Danych Osobowych w Kościele Katolickim Bona Fama została zarejestrowana w KRS w lipcu bieżącego roku. Jest to podmiot, który ma za zadanie m.in. upowszechnianie wiedzy na tematy szeroko związane z ochroną danych osobowych.  Bona Fama ma także upowszechniać wiedzę o zagrożeniach związanych z rozwojem nowych technologii, tak aby ich stosowanie nie odbywało się z uszczerbkiem dla prywatności.

GDPR.PL: W sprawozdaniu z działalności użyto określenia „katolicki punkt widzenia” na ile jest on różny od świeckiego, czy też punktu widzenia innych wyznań czy kościołów? Czy w przypadku tych ostatnich możemy mówić o jakiś znaczących różnicach? 

KIOD: „Katolicki punkt widzenia” to taki, który jako podstawę przyjmuje naukę Kościoła i ma na celu zabieganie o godność człowieka i o dobro wspólne. Jak wspomniałem na początku, ratio obowiązywania przepisów o ochronie danych osobowych kościelnych i państwowych jest takie samo, czyli ochrona godności człowieka.

Przedstawiciel Kościoła katolickiego i KIOD bierze również udział w pracach Rady do spraw współpracy z kościołami i innymi związkami wyznaniowymi w sprawach przetwarzania przez nie danych utworzonej przy Ministrze Cyfryzacji. Warto przypomnieć, że na pierwszym posiedzeniu pojawili się przedstawiciele ponad 70 podmiotów. Podczas swoich prac członkowie Rady pochylili się m.in nad kwestią przekazywania danych osobowych, w określonych okolicznościach, do związków wyznaniowych działających w szpitalach (co obejmuje opiekę duszpasterską, ale i np. kwestię sakramentu namaszczenia chorych) i stwierdzono, że w obecnej sytuacji prawnej taki transfer danych jest niedopuszczalny. Sformułowano również stanowisko, zgodnie z którym prawo do usunięcia danych nie obejmuje materiałów archiwalnych wytworzonych przez kościoły lub inne związki wyznaniowe, które stanowią jednocześnie niepaństwowy zasób archiwalny, o którym mowa w ustawie o narodowym zasobie archiwalnym i archiwaliach.

GDPR.PL: W jakich obszarach podmioty kościelne radzą sobie dobrze, a w jakich wymagane są dalsze prace?

KIOD: Kościelny Inspektor Ochrony Danych na bieżąco monitoruje kwestie ochrony danych osobowych w Kościele w Polsce i koryguje zauważone błędy w zastosowaniu Dekretu. Jeżeli powstaje przestrzeń wymagająca ukierunkowania działań lub wytyczenia modus operandi podmiotów kościelnych, KIOD podejmuje w pierwszej kolejności działania informacyjno-edukacyjne. Tak dzieje się, poprzez wydawanie różnego rodzaju wytycznych czy interpretacji indywidualnych. Mogę powiedzieć, że podmioty kościele dobrze radzą sobie z zabezpieczeniami swoich zbiorów, szczególnie poprzez zabezpieczenia fizyczne. Proboszczowie, w większości wykazują się ostrożnością, aby nie doszło do nieuprawnionego lub przypadkowego pozyskania danych z tych zbiorów.

GDPR.PL: Czego spodziewa się ks. Profesor w najbliższej przyszłości? Jakie zagadnienia mogą być wiodące i dlaczego? 

KIOD: Zagadnieniem, które już pojawia się w przestrzeni zainteresowania KIOD jest szeroka informatyzacja i cyfryzacja działań, w tym także prowadzonych przez podmioty kościelne. Jak już wskazałem rozwój technologii i ich zastosowanie nie może odbywać się z pokrzywdzeniem dla prawa do prywatności i ochrony danych osobowych w Kościele. Jest to przestrzeń, która będzie pozostawać w spectrum zainteresowania KIOD.

GDPR.PL: Na koniec pytanie nieco osobiste, jak to się stało, że zajął się ks. Profesor akurat ochroną danych osobowych?

KIOD: W optyce moich zainteresowań naukowych zawsze znajdowały się tematy związane w wykładnią prawa oraz zagadnienia wymagające godzenia norm z systemu prawa świeckiego i kanonicznego. Doświadczenie naukowe zdobyte w tych obszarach przydaje się obecnie w pracy jako KIOD.

Bardzo dziękujemy za rozmowę.