Krzysztof Kozłowski: RODO - czyli unijne Rozporządzenie Ogólne o Ochronie Danych Osobowych - będzie dotyczyło praktycznie wszystkich firm, które w jakikolwiek sposób przetwarzają dane osobowe. Czy one zmieniają również zasady przetwarzania danych osobowych w Kościele?

ks. Marcin Sawicki: W działaniach statutowych Kościół katolicki jest wyłączony spod regulacji RODO na podstawie art. 91 RODO. Artykuł ten stanowi, że jeżeli w dniu wejścia w życie RODO Kościoły i inne związki wyznaniowe stosują szczegółowe zasady ochrony osób fizycznych w związku z przetwarzaniem, zasady takie mogą być nadal stosowane, pod warunkiem, że zostaną dostosowane do wskazanego rozporządzenia. Kościół miał własny system ochrony danych, który obecnie dostosował do RODO. Podstawę tego systemu stanowi Kodeks Prawa Kanonicznego z 1983 r. i Dekret ogólny w sprawie ochrony osób fizycznych w Kościele katolickim wydany przez Konferencję Episkopatu Polski 13 marca 2018 r. oraz inne regulacje prawa partykularnego, czyli zazwyczaj prawa diecezjalnego. Jedynie w sferze pozakościelnej prowadzonej przez Kościół, np. gospodarczej, edukacyjno-wychowawczej czy innej, kościelne osoby prawne stosują się do powszechnie obowiązujących w naszym kraju przepisów w tym i do RODO.

Księgi parafialne, zapowiedzi parafialne, czy choćby intencje Mszy św. odczytywane w kościele. Jak te kwestie mają się do wchodzących przepisów?

Tak jak do tej pory nadal to wszystko będzie praktykowane. W myśl nowych przepisów w przypadku żądania informacji o danych można zrobić wyciąg z kartoteki i przedstawić petentowi dane o nim z pominięciem danych innych osób (np. rodziny). Zainteresowani mają prawo sprostowania, uzupełnienia i usunięcia danych na zasadach ogólnych, co oznacza, że nie można usuwać danych związanych z sakramentami i stanem kanonicznym osoby. Intencje mszalne można podać publicznie, chyba że zamawiający zrobi zastrzeżenie, że sobie tego nie życzy.

Jeśli chodzi o zapowiedzi to zgodnie z numerami 94 i 95 Instrukcji Konferencji Episkopatu Polski o przygotowaniu do zawarcia małżeństwa w Kościele katolickim z dnia 5 września 1986, każde zamierzone małżeństwo należy podać do publicznej wiadomości, zaś jeżeli chodzi o sposób ogłaszania zapowiedzi, ustalono, że we wszystkich parafiach należy głosić zapowiedzi przez umieszczenie ich na piśmie w gablocie ogłoszeń parafialnych w ciągu 8 dni, tak by były tam uwidocznione przynajmniej przez 2 niedziele lub niedzielę i święto obowiązujące. Ten sam obowiązek można spełnić przez dwukrotne ogłoszenie ustne podczas liczniej uczęszczanych nabożeństw parafialnych, w niedzielę lub święto obowiązujące. Podać można tylko imię i nazwisko oraz parafię zamieszkania.

Konferencja Episkopatu Polski ogłosiła 30 kwietnia „Dekret ogólny w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych w Kościele katolickim”. Jego przyjęcie przez polskich biskupów było potrzebne, aby dostosować prawo kościelne do nowych przepisów w ochronie danych (tzw. RODO), jakie od dziś obowiązują w Polsce. Jakie są główne założenia dekretu?

Dekret ogólny Konferencji Episkopatu Polski w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych w Kościele katolickim” został przygotowany przez zespół ekspertów, powołany w tym celu przez biskupów. Na zebraniu plenarnym KEP 14 marca ub. roku dokument został przedstawiony hierarchom, następnie poddano go konsultacjom i weryfikacji pod kątem zgodności z wytycznymi przygotowanymi przez COMECE (Komisję Konferencji Biskupów Unii Europejskiej). Podczas prac nad nim uwzględniono także propozycje zmian przedłożone przez Kongregację ds. Biskupów, Wydział ds. Stosunków z Państwami Sekretariatu Stanu Stolicy Apostolskiej oraz Papieską Radę ds. Tekstów Prawnych. Uzyskawszy potwierdzenie zgody Stolicy Apostolskiej, dekret staje się obowiązującym prawem we wszystkich jednostkach organizacyjnych Kościoła katolickiego w Polsce. Dzięki dokumentowi nastąpi ujednolicenie zasad stosowania przepisów, które istnieją w Kościele przynajmniej od kilkudziesięciu lat, a dotyczą ochrony danych osobowych.

Kluczowy dla kościelnego przetwarzania danych osobowych jest art. 91 unijnego rozporządzenia. Mówi on, że jeśli w państwie członkowskim, w momencie wejścia w życie tegoż dokumentu, Kościoły i związki wyznaniowe stosują szczegółowe zasady przetwarzania danych osobowych, to mogą tak czynić nadal pod warunkiem, że zostaną one dostosowane do rozporządzenia. Dekret składa się z preambuły i 44 artykułów pogrupowanych w siedmiu rozdziałach. W preambule przypomniano najważniejsze dotychczasowe kanoniczne regulacje prawne w zakresie ochrony danych osobowych oraz inne dokumenty Stolicy Apostolskiej i Kościoła katolickiego w Polsce odnoszące się do zagadnienia przetwarzania danych osobowych.

Zasady i standardy przetwarzania danych (zarówno zwykłych, jak i wrażliwych) przez kościelne jednostki organizacyjne opisano w rozdziale II dekretu. Ustanowiono m.in. obowiązek informowania o przetwarzaniu danych w przypadku ich zbierania osoby, których to dotyczy, ale także jeśli chodzi o zbieranie takich danych z innych źródeł. Prawa osoby, której dotyczy zbieranie i przetwarzanie danych opisano w rozdziale III. Wśród tych praw dekret wymienia prawo do informowania o przetwarzaniu danych, do żądania sprostowania danych, do sporządzenia adnotacji i uzupełnienia danych, do ich usunięcia lub ograniczenia przetwarzania. Obowiązki administratora danych zawiera rozdział IV dekretu, do których należy m.in. obowiązek rejestrowania czynności przetwarzania danych, zapewnienia bezpieczeństwa ich przetwarzania. Opisano tam także warunki przechowywania zbiorów danych, także w archiwach (m.in. cyfrowych i tajnych). Dekret mówi także o obowiązku zgłaszania Kościelnemu Inspektorowi Ochrony Danych (KIOD) przypadków naruszenia ochrony danych jako niezależnemu organowi kontrolnemu, ale także osobie, której dane są przetwarzane.

Rozdział V normuje status KIOD, zasad jego wyboru, zadań, uprawnień oraz obowiązku publikacji sprawozdania z jego działalności. W rozdziale tym zamieszczono także przepis dotyczący dodatkowego nadzoru (niezależnie od KIOD) nad prawidłowym przestrzeganiem przepisów o pozyskiwaniu i przetwarzaniu danych. Nadzór taki miałby sprawować biskup diecezjalny w ramach m.in. wizytacji biskupiej, a w zakonach i instytutach życia konsekrowanego – wyższy przełożony. Rozdział VI dotyczy procedury odwoławczej i sankcji za naruszenie przepisów dekretu. Sankcje dotyczą odpowiedzialności odszkodowawczej oraz karnej kanonicznej, które opisano w odpowiednich kanonach prawa kanonicznego.

Odpowiedzialność administratora przetwarzającego dane będzie spoczywała na organie kościelnej publicznej osoby prawnej (diecezji, parafii lub domu zakonnego), czyli biskupie, proboszczu lub przełożonym zakonnym. Dekret opisuje, jakie dane mogą być przetwarzane w Kościele. Są to dane zwykłe i wrażliwe (do nich należą informacje o wyznaniu) dotyczące wyłącznie osób ochrzczonych w Kościele katolickim i tych, którzy po chrzcie zostali do niego przyjęci, włącznie z tymi osobami, które formalnie złożyły oświadczenie woli o apostazji, ale zgodnie z wewnętrznymi przepisami Kościoła oraz łącznie z osobami, które utrzymują z nimi stałe kontakty. Dekret szczegółowo reguluje też m.in. kwestie przekazywania danych do innych zbiorów, co w działalności innych osób prawnych będzie miało duże zastosowanie chociażby wymianie dokumentów związanych z księgami metrykalnymi czy wydawaniem świadectw chrztu.

Dostrzegamy jednak trudności po stronie Kościoła, bo przecież jednym z dogmatów wiary jest niezbywalność sakramentów, więc członkiem Kościoła stajemy się raz na zawsze. Można oczywiście dokonać aktu apostazji, czyli zerwania więzi z Kościołem, ale z punktu widzenia Kościoła cały czas pozostajemy członkiem wspólnoty. Powstaje dylemat, w jaki sposób pogodzić ten dogmat z prawem do bycia zapomnianym, które wprowadza RODO, czyli takim, które w tej sytuacji oznacza, że skoro ktoś zerwał więzi z Kościołem, to może zażądać usunięcia wszystkich danych osobowych również z ksiąg parafialnych.

Prawo do żądania usunięcia danych, czyli tak zwane „prawo do zapomnienia”, nie miało na gruncie poprzedniego stanu prawnego i nie będzie miało także po wejściu w życie RODO pełnego zastosowania do działalności wewnętrznej, czyli statutowej Kościoła. Prawo to - zgodnie z regulacjami zawartymi w RODO w stosunku do Kościołów i innych związków wyznaniowych - zostało wyłączone przez Dekret. Oczywiście, prawo do żądania usunięcia danych przysługuje, lecz nie w przypadku, gdy dane dotyczą udzielonych sakramentów bądź w inny sposób odnoszą się do kanonicznego statusu osoby, np. przyjętej profesji zakonnej. Ograniczenie „prawa do zapomnienia” wynika z racji teologicznych, np. z niezniszczalnego charakteru chrztu świętego (kan. 849) prawa bezwzględnie stosowalnego w Kościele. Takie rozwiązanie prawne szanujące niezależność i autonomię Kościoła w sprawach religijnych jest zgodne z prawem polskim np. Konstytucją i Konkordatem oraz prawem unijnym - np. Traktatem o funkcjonowaniu Unii Europejskiej. Jednakże tego typu żądanie o usunięcie danych osobowych, mimo jego niedopuszczalności na mocy art. 14 ust. 4 Dekretu, powinno zostać odnotowane w zbiorze (np. księdze chrztów), co zobowiązuje administratora, czyli parafię, do niewykorzystywania danych objętych wnioskiem bez zgody ordynariusza miejsca, którym jest biskup diecezjalny.

Co musi zrobić proboszcz, by zachować wchodzące przepisy?

Przede wszystkim zapoznać się z Dekretem ogólnym w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych w Kościele katolickim wydany przez Konferencję Episkopatu Polski, w dniu 13 marca 2018 roku. Powinien też pamiętać, że jako Proboszcz danej parafii jest osobą odpowiedzialną za gromadzenie i przetwarzanie danych parafii. Na proboszczu spoczywa obowiązek zabezpieczenia tych danych, a także czuwania nad prawidłowym zachowaniem odpowiednich przepisów prawa kanonicznego oraz koordynacji działalności ewentualnych współpracowników.