Kościelne jednostki prawne, czyli m.in. kurie diecezjalne, prowincje i domy zakonne otrzymały omówienie specjalnego dekretu Episkopatu Polski na temat zmian w przepisach ochrony danych osobowych, jakie nastąpią 25 maja wraz z początkiem obowiązywania unijnego rozporządzenia RODO. Ma to im pomóc w zrozumieniu tych zmian m.in. na poziomie parafialnym, w kontaktach z wiernymi, ale także niekatolikami.
25 maja zacznie obowiązywać rozporządzenie Parlamentu Europejskiego i Rady (UE) z 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych.
Do tego czasu państwa unijne mają obowiązek dostosować swoje wewnętrzne prawo w zakresie przetwarzania danych osobowych do tegoż dokumentu. Obowiązek ten spoczywa także na Kościołach i związkach wyznaniowych, przy poszanowaniu wszelkiej ich autonomii. Jeśli Kościoły nie stworzyłyby własnego urzędu, to ich zadania przetwarzania danych osobowych przejmie organ państwowy.
Kościół katolicki w Polsce ogłosił 30 kwietnia specjalny dekret ws. ochrony osób fizycznych w związku z kościelnym przetwarzaniem danych osobowych. Dzięki temu dokumentowi nastąpiło ujednolicenie zasad stosowania przepisów, które istnieją w Kościele przynajmniej od kilkudziesięciu lat, a dotyczą ochrony danych osobowych.
Jak w praktyce będą realizowane nowe unijne przepisy w odniesieniu do kościelnego przetwarzania danych osobowych i których instytucji kościelnych konkretnie będą te przepisy dotyczyły?
Wyjaśnienia w formie pytań i prostych odpowiedzi zaprezentowano na szkoleniu dla kanclerzy kurii, oficjałów sądów biskupich i inspektorów ochrony danych, które odbyło się 7 maja w Sekretariacie Episkopatu Polski w Warszawie*.
Te swoiste FAQ (Frequently Asked Questions - często zadawane pytania) lepiej tłumaczą, co się zmieni i kogo ewentualne zmiany obejmą. Oprócz kurii zostały one rozesłane m.in. do prowincji i domów zakonnych oraz instytutów życia konsekrowanego z prośbą o dokładne zapoznanie się i skorzystanie z nich w przygotowaniach do wejścia w życie nowych przepisów.
Przetwarzanie danych - co to jest?
Przede wszystkim należałoby wyjaśnić, że na przetwarzanie danych osobowych składa się szereg różnych czynności. Jest to m.in. zbieranie, porządkowanie, przechowywanie, modyfikowanie, pobieranie, przeglądanie, ujawnianie poprzez przesłanie, rozpowszechnianie lub innego rodzaju udostępnianie, dopasowywanie lub łączenie, ograniczanie, usuwanie lub niszczenie tychże danych.
W działalności Kościoła zbiorem danych są zwłaszcza księgi parafialne zawierające rejestr ochrzczonych, bierzmowanych, Pierwszej Komunii świętej, zawartych małżeństw czy zgonów. Takim zbiorem danych jest też rejestr parafian, alumnów seminariów duchownych, nowicjuszy i członków instytutów życia konsekrowanego i stowarzyszeń życia apostolskiego.
W rozumieniu dekretu KEP zbiorem danych nie jest jednak np. zwykły spis kontaktów telefonicznych czy w postaci adresów poczty elektronicznej w pamięci telefonu lub na koncie pocztowym.
Kto jest administratorem danych?
Administratorem danych w działalności Kościoła jest, z zachowaniem odpowiednich norm Kodeksu Prawa Kanonicznego oraz statutów wewnętrznych, np. parafia, diecezja, prowincja zakonna lub dom zakonny.
W dekrecie wspomina się też o szczególnych kategoriach danych, tzw. danych wrażliwych. Chodzi o dane ujawniające pochodzenie rasowe lub etniczne, poglądy polityczne, przekonania religijne lub światopoglądowe, przynależność do związków zawodowych oraz dane genetyczne, dane biometryczne oraz dane dotyczące zdrowia lub seksualności osoby fizycznej.
Których instytucji kościelnych dotyczą przepisy dekretu Episkopatu Polski? Obejmują one tzw. kościelne publiczne osoby prawne, które organizują i prowadzą działalność wynikającą z misji Kościoła, czyli zwłaszcza diecezje (a w nich przede wszystkim kurie i sądy kościelne), parafie (a w nich np. bractwa i grupy duszpasterskie), prowincje i domy zakonne, seminaria duchowne oraz publiczne stowarzyszenia wiernych.
Natomiast instytucje kościelne prowadzące działalność m.in. o charakterze edukacyjnym (np. szkoły, biblioteki), opiekuńczym czy leczniczym (np. hospicja) stosują się w tym zakresie do przepisów prawa powszechnie obowiązującego w danym obszarze działalności.
Prawa wiernego
Pytaniem bodaj najczęściej trapiącym wiernych może być to, czy jest konieczna zgoda osób korzystających z posług religijnych, duszpasterskich, charytatywnych, administracyjnych i sądowych na gromadzenie i przetwarzanie ich danych osobowych koniecznych do wypełniania tych posług?
Zgoda taka nie jest wymagana, gdy gromadzenie i przetwarzanie danych wynika z przepisów prawa kanonicznego. Każda osoba, także niekatolik, zwracając się do Kościoła w każdej sprawie będącej w jego kompetencjach, winna wiedzieć, że jej dane będą przetwarzane zgodnie z obowiązującym prawem kanonicznym. Zgoda jest natomiast konieczna, gdy dane mają być przetwarzane w innym celu niż wyżej wskazane.
Obowiązki proboszcza
Osobą odpowiedzialną za gromadzenie i przetwarzanie danych w parafii jest proboszcz. To na nim spoczywa obowiązek czuwania nad prawidłowym zachowaniem odpowiednich przepisów prawa kanonicznego oraz koordynacji działalności ewentualnych współpracowników. W innych instytucjach kościelnych osobą odpowiedzialną jest przełożony danej instytucji.
Nie ma obowiązku powoływania inspektora ochrony danych w każdej parafii i w każdej innej kościelnej osobie prawnej. Wystarczy, że inspektor będzie powołany np. w diecezji dla wszystkich podległych podmiotów, albo dla całej prowincji zakonnej czy nawet kilku zgromadzeń.
Proboszcz ma w szczególności dbać o zachowanie standardów przetwarzania danych, a w szczególności dbać o ich staranne gromadzenie, zabezpieczenie i przetwarzanie. Powinien unikać gromadzenia danych, które nie są wymagane przez przepisy prawa kanonicznego i praktykę duszpasterską.
Proboszcz powinien też - niezwłocznie - uaktualniać dane na zgodny z prawem wniosek osoby zainteresowanej. W odniesieniu do danych zawartych w parafialnych księgach metrykalnych może jednak dokonywać zmian wyłącznie za zgodą biskupa miejsca.
Proboszcz musi dbać o takie przechowywanie i przetwarzane danych, aby zapewnić im odpowiednie bezpieczeństwo, w tym ochronę przed niedozwolonym przetwarzaniem, przypadkową utratą, zniszczeniem lub uszkodzeniem.
Do jego obowiązków należy zwłaszcza dbanie o to, by wszystkie księgi metrykalne i inne zbiory danych były przechowywane w pomieszczeniu zamkniętym i zabezpieczonym przed wejściem osób nieuprawnionych. Pomieszczenie to musi być wyposażone w odpowiednie drzwi, zamek i zabezpieczenie okien. Ważne jest ponadto właściwe zabezpieczenie systemów informatycznych, w których znajdują się zbiory danych.
Proboszcz może udzielać upoważnienia na dostęp do danych innym osobom i je odwoływać. Powinien nadzorować ów dostęp przez upoważnione przez niego osoby, w tym przez innych duszpasterzy i pracowników parafii, a w szczególności czuwać, by osoby przez niego nieupoważnione nie miały dostępu do zbiorów.
Gdyby stwierdził, że dostęp do takich danych uzyskały osoby nieupoważnione, proboszcz powinien jak najszybciej (a najpóźniej 72 godziny po wykryciu nieprawidłowości) poinformować o tym zdarzeniu Kościelnego Inspektora Ochrony Danych oraz właściwe władze kościelne, chyba że jest mało prawdopodobne, by zdarzenie skutkowało naruszeniem praw lub wolności osób fizycznych.
Państwowe organy ścigania winny być poinformowane o naruszeniu, jeżeli skutkiem była utrata lub zniszczenie rejestrów, akt, dokumentów urzędowych, indeksów i katalogów zawierających dane osobowe i jeżeli zachodzi podejrzenie popełnienia przestępstwa.