Konferencja Episkopatu Polski ogłosiła 30 kwietnia „Dekret ogólny w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych w Kościele katolickim”. Jego przyjęcie przez polskich biskupów było potrzebne, aby dostosować prawo kościelne do nowych przepisów w ochronie danych (tzw. RODO), jakie od dziś obowiązują w Polsce. Jakie są główne założenia dekretu?

Dekret ogólny Konferencji Episkopatu Polski w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych w Kościele katolickim” został przygotowany przez zespół ekspertów, powołany w tym celu przez biskupów. Na zebraniu plenarnym KEP 14 marca ub. roku dokument został przedstawiony hierarchom, następnie poddano go konsultacjom i weryfikacji pod kątem zgodności z wytycznymi przygotowanymi przez COMECE (Komisję Konferencji Biskupów Unii Europejskiej). Podczas prac nad nim uwzględniono także propozycje zmian przedłożone przez Kongregację ds. Biskupów, Wydział ds. Stosunków z Państwami Sekretariatu Stanu Stolicy Apostolskiej oraz Papieską Radę ds. Tekstów Prawnych. Uzyskawszy potwierdzenie zgody Stolicy Apostolskiej, dekret staje się obowiązującym prawem we wszystkich jednostkach organizacyjnych Kościoła katolickiego w Polsce. Dzięki dokumentowi nastąpi ujednolicenie zasad stosowania przepisów, które istnieją w Kościele przynajmniej od kilkudziesięciu lat, a dotyczą ochrony danych osobowych.

Kluczowy dla kościelnego przetwarzania danych osobowych jest art. 91 unijnego rozporządzenia. Mówi on, że jeśli w państwie członkowskim, w momencie wejścia w życie tegoż dokumentu, Kościoły i związki wyznaniowe stosują szczegółowe zasady przetwarzania danych osobowych, to mogą tak czynić nadal pod warunkiem, że zostaną one dostosowane do rozporządzenia. Dekret składa się z preambuły i 44 artykułów pogrupowanych w siedmiu rozdziałach. W preambule przypomniano najważniejsze dotychczasowe kanoniczne regulacje prawne w zakresie ochrony danych osobowych oraz inne dokumenty Stolicy Apostolskiej i Kościoła katolickiego w Polsce odnoszące się do zagadnienia przetwarzania danych osobowych.

Zasady i standardy przetwarzania danych (zarówno zwykłych, jak i wrażliwych) przez kościelne jednostki organizacyjne opisano w rozdziale II dekretu. Ustanowiono m.in. obowiązek informowania o przetwarzaniu danych w przypadku ich zbierania osoby, których to dotyczy, ale także jeśli chodzi o zbieranie takich danych z innych źródeł. Prawa osoby, której dotyczy zbieranie i przetwarzanie danych opisano w rozdziale III. Wśród tych praw dekret wymienia prawo do informowania o przetwarzaniu danych, do żądania sprostowania danych, do sporządzenia adnotacji i uzupełnienia danych, do ich usunięcia lub ograniczenia przetwarzania. Obowiązki administratora danych zawiera rozdział IV dekretu, do których należy m.in. obowiązek rejestrowania czynności przetwarzania danych, zapewnienia bezpieczeństwa ich przetwarzania. Opisano tam także warunki przechowywania zbiorów danych, także w archiwach (m.in. cyfrowych i tajnych). Dekret mówi także o obowiązku zgłaszania Kościelnemu Inspektorowi Ochrony Danych (KIOD) przypadków naruszenia ochrony danych jako niezależnemu organowi kontrolnemu, ale także osobie, której dane są przetwarzane.

Rozdział V normuje status KIOD, zasad jego wyboru, zadań, uprawnień oraz obowiązku publikacji sprawozdania z jego działalności. W rozdziale tym zamieszczono także przepis dotyczący dodatkowego nadzoru (niezależnie od KIOD) nad prawidłowym przestrzeganiem przepisów o pozyskiwaniu i przetwarzaniu danych. Nadzór taki miałby sprawować biskup diecezjalny w ramach m.in. wizytacji biskupiej, a w zakonach i instytutach życia konsekrowanego – wyższy przełożony. Rozdział VI dotyczy procedury odwoławczej i sankcji za naruszenie przepisów dekretu. Sankcje dotyczą odpowiedzialności odszkodowawczej oraz karnej kanonicznej, które opisano w odpowiednich kanonach prawa kanonicznego.

Odpowiedzialność administratora przetwarzającego dane będzie spoczywała na organie kościelnej publicznej osoby prawnej (diecezji, parafii lub domu zakonnego), czyli biskupie, proboszczu lub przełożonym zakonnym. Dekret opisuje, jakie dane mogą być przetwarzane w Kościele. Są to dane zwykłe i wrażliwe (do nich należą informacje o wyznaniu) dotyczące wyłącznie osób ochrzczonych w Kościele katolickim i tych, którzy po chrzcie zostali do niego przyjęci, włącznie z tymi osobami, które formalnie złożyły oświadczenie woli o apostazji, ale zgodnie z wewnętrznymi przepisami Kościoła oraz łącznie z osobami, które utrzymują z nimi stałe kontakty. Dekret szczegółowo reguluje też m.in. kwestie przekazywania danych do innych zbiorów, co w działalności innych osób prawnych będzie miało duże zastosowanie chociażby wymianie dokumentów związanych z księgami metrykalnymi czy wydawaniem świadectw chrztu.