Ochrona danych osobowych w działalności Kościoła Katolickiego w Polsce oraz najnowsze zmiany w tym zakresie
W związku z wejściem w życie Rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych), a które ma zastosowanie od dnia 25 maja 2018 r, należy zwrócić szczególna uwagę na istotne zmiany w trzech obszarach. Pierwszy dotyczy praw i ich realizacji przez osoby fizyczne w obszarze ochrony ich prywatności, drugi dotyczy istotnych zmian w przepisach prawa na gruncie krajowym i międzynarodowym, trzeci obszar to wymogi i obowiązki, jakie muszą być spełnione przez administratorzy danych, w tym również przez instytucje Kościoła Katolickiego w Polsce w obszarze przetwarzania danych osobowych.
Prawo do prywatności na gruncie obecnie obowiązujących przepisów prawa
Na gruncie wydanej przez Komisję Europejską, Parlament Europejski i Radę Dyrektywy 95/46/WE w sprawie przetwarzania danych osobowych, z 24 października 1995 roku, w przepisach prawa polskiego dokonano nowelizacji Konstytucji RP, uchwalając przepis art. 47, który stanowi iż: ”Każdy ma prawo ochrony prawnej życia prywatnego, rodzinnego, czci i dobrego imienia oraz decydowania o swoim życiu osobistym oraz przepis art. 51, gdzie:
„ 1. Nikt nie może być obowiązany inaczej niż na podstawie ustawy do ujawniania informacji dotyczących jego osoby.
2. Władze publiczne nie mogą pozyskiwać. Gromadzić i udostępniać innych informacji o obywatelach niż to niezbędne w demokratycznym państwie prawnym.
3. Każdy ma prawo dostępu do żądania dostępu do dotyczących go urzędowych dokumentów i zbiorów danych . ograniczenie tego prawa może określić ustawa.
4. Każdy ma prawo do żądania sprostowania oraz usunięcia informacji nieprawdziwych, niepełnych lub zebranych w sposób sprzeczny z ustawa.”
Wypełniając obowiązki, wynikające z wyżej wskazanej Dyrektywy, Sejm RP w dniu 29 sierpnia 1997 roku uchwalił ustawę o ochronie danych osobowych, która nakłada na administratorów danych szereg praw i obowiązków w obszarze przetwarzania danych. W przepisach w/w ustawy zapisano również znaczące ograniczenie możliwości władcze Generalnego Inspektora Ochrony danych Osobowych – GIODO. W artykule 43 ust. 2, odnośnie zbiorów dotyczących osób należących do kościoła (lub innego związku wyznaniowego), organ ochrony danych ma znaczne ograniczenia oddziaływania bezpośredniego. GIODO nie przysługują uprawnienia określone w art. 12 pkt.2, czyli wydawanie decyzji administracyjnych i rozpatrywanie skarg w sprawach wykonania przepisów o ochronie danych osobowych, art. 14 pkt.. Pkt. 1 i 3- 5, czyli wykonywanie bezpośredniej inspekcji przez inspektorów GIODO za wyjątkiem pkt. 2, czyli żądania złożenia pisemnych lub ustnych wyjaśnień oraz wzywania i przesłuchiwania osoby w zakresie niezbędnym do ustalenia stanu faktycznego określonych, związanych z ochroną danych osobowych zdarzeń. Organ nadzoru nie może również korzystać z przepisów art. 15 – 18 ustawy, czyli wszystkich przepisów umożliwiających przeprowadzanie bezpośredniej kontroli, a także bezpośrednich działań w stosunku do struktur Kościoła. Organ nadzorczy może jednak stosować art. 19 ustawy czyli w razie stwierdzenia sytuacji wyczerpującej znamiona któregoś z przestępstw określonych a art. 49 – 54 ustawy , GIODO może kierować do odpowiedniego organu powiadomienie. W każdym przypadku w trakcie przetwarzania danych struktury Kościoła ( lub związku wyznaniowego) muszą przestrzegać przepisów art. 36 i następnych dotyczących zabezpieczenia danych osobowych. Brak zabezpieczenia przetwarzania danych osobowych może skutkować odpowiedzialnością z art. 51 i 52 ustawy o ochronie danych osobowych. Dotyczy to udostępnianie przetwarzanych danych osobom nieuprawnionym jak i naruszenia obowiązku zabezpieczenia danych. Administratorzy danych osobowych są zwolnieni z obowiązku rejestracji danych osobowych dotyczących osób należących do kościoła, o uregulowanej sytuacji prawnej, przetwarzanych na potrzeby tego Kościoła ( art. 43 ust. 1 pkt. 3).
GIODO oraz Sekretariat Konferencji Episkopatu Polski w 2009 roku, opracowali Instrukcje na temat Ochrona Danych osobowych w działalności Kościoła Katolickiego. Instrukcja wydana została w celu wyjaśnienia wątpliwości stosowania ustawy o ochronie danych osobowych przetwarzanych na potrzeby Kościoła Katolickiego w Polsce. Dokument wyjaśnia, iż kościelne osoby prawne o których mowa w ustawie a 17 maja 1988 r. o stosunku Państwa do Kościoła Katolickiego w Rzeczypospolitej Polskiej to diecezje, parafie, zgromadzenia zakonne, Caritas Polska, Caritas diecezje, kościelne instytuty naukowe czy Papieskie Wydziały Teologiczne. Do osób prawnych należą również działające w ramach kościelnych wydawnictwa czy podmioty gospodarcze oraz oświatowo – wychowawcze. W Instrukcji wskazano, iż kwestie zabezpieczenia danych regulują również przepisy prawa kanonicznego (kan. 486-491), które określają zasady dotyczące archiwizacji dokumentów.
Należy przywołać również podstawowe przepisy regulujące stosunki Państwa Kościoła Katolickiego. Należą do nich przepisy Konstytucji RP, Konkordat między Stolica Apostolską i Rzeczpospolitą Polską, czy ustawa o gwarancjach wolności sumienia i wyznania. Podstawowe regulacje znajdują się w przepisach wewnętrznych Kościoła Katolickiego – Kodeksie Prawa Kanonicznego ( KPK) z dnia 25 stycznia 1983 r. oraz Obwieszczeniu Papieskiej Rady Tekstów Prawnych „Artus formalin defektorionis ab Ecclesia catholica” z dnia 13 marca 2006 r., zatwierdzona przez Papieża Benedykta XVI. Przykładowo, kwestię wystąpienia (odstępstwa) z Kościoła Katolickiego reguluje w szczególności Kon. 751 KPK, stanowiący iż aktu odstępstwa , który wywołuje skutki kanoniczne, może dokonać tylko osoba pełnoletnia, zdolna do czynności prawnych , osobiście, w sposób świadomy i wolny, w formie pisemnej w obecności proboszcza swego kanonicznego miejsca zamieszkania” i dwóch pełnoletnich świadków. Przepis ten bezpośrednio koresponduje z normą art. 32 ust. 2 pkt. 8 ustawy o gwarancjach wolności, sumienia i wyznania.
Ratyfikowany dnia 23 lutego 1998 r. Konkordat pomiędzy Stolicą Apostolską i Rzeczpospolitą Polską, również wprowadził w art. 1 zasadę autonomii Państwa i Kościoła, stanowiąc, że "Rzeczpospolita Polska i Stolica Apostolska potwierdzają, że Państwo i Kościół Katolicki są - każde w swej dziedzinie - niezależne i autonomiczne oraz zobowiązują się do pełnego poszanowania tej zasady we wzajemnych stosunkach i we współdziałaniu dla rozwoju człowieka i dobra wspólnego". Niezależność i autonomia Państwa i Kościoła zagwarantowana została poprzez zapewnienie przez Państwo Kościołowi Katolickiemu, bez względu na obrządek, swobodne i publiczne pełnienie jego misji, łącznie z wykonywaniem jurysdykcji oraz zarządzaniem i administrowaniem jego sprawami na podstawie prawa kanonicznego (art. 5 Konkordatu). Ustawa nie pozbawiła osób należących do kościoła (w tym do Kościoła Katolickiego) prawa do kontroli przetwarzania danych osobowych, które ich dotyczą, zawartych w zbiorach kościelnych, w szczególności prawa do żądania uzupełnienia, uaktualnienia, sprostowania danych osobowych, czasowego lub stałego wstrzymania ich przetwarzania lub ich usunięcia, jeżeli są one niekompletne, nieaktualne, nieprawdziwe lub zostały zebrane z naruszeniem ustawy albo są już zbędne do realizacji celu, dla którego zostały zebrane (art. 32 ust. 1 p. 6 uodo). Żądanie, o którym mowa powyżej, przysługuje konkretnej osobie jeżeli wykaże, że dane osobowe jej dotyczące są niekompletne, nieaktualne, nieprawdziwe lub zostały zebrane z naruszeniem ustawy albo są zbędne do realizacji celu, dla którego zostały zebrane, chyba że dotyczy to danych osobowych, w odniesieniu do których tryb ich uzupełnienia, uaktualnienia lub sprostowania określają odrębne ustawy (art. 35 ust. 1 uodo). Wykazanie powyższych okoliczności (lub jednej z nich) powoduje powstanie obowiązku po stronie kościoła lub związku wyznaniowego do uzupełnienia, uaktualnienia, sprostowania danych, czasowego lub stałego wstrzymania przetwarzania kwestionowanych danych lub ich usunięcia ze zbioru - bez zbędnej zwłoki (art. 35 ust. 1 uodo). Wskazane przepisy są jednak tak skonstruowane, że przewidują opisane wyżej prawa, lecz nie wskazują sankcji i sposobu wymuszenia zmiany danych. W szczególności GIODO nie może w tym celu wydać decyzji administracyjnej (art. 43 ust. 2 uodo).
Ochrona prywatności w dobie zmian
Nowego Rozporządzenie 2016/679 z 27 kwietnia 2016 roku, obowiązujące we wszystkich państwach członkowskich oraz EOG i podlegać będzie unijnym przepisom i ich interpretacji przez Trybunał Sprawiedliwości UE. Przepisy nowego Rozporządzenia wychodzą naprzeciw rozwojowi nowych technologii, w szczególności komunikowania się osób jak i używania w naszym codziennym życiu różnych nośników informatycznych. Zapewnienie bezpieczeństwa przetwarzanym informacjom to obowiązek każdego administratora. Ważnym obowiązkiem jest przestrzeganie aby przetwarzanie było zgodne z prawem. W codziennym wykonywaniu swoich obowiązków również w strukturach kościelnych sięga się po nowe, informatyczne technologie. To powoduje wzrost zagrożeń, do najczęściej spotykanych to kradzież tożsamości czy naruszenie prywatności. Nowe przepisy rozporządzenia przewiduje zwiększone obowiązki administratorów danych a ich niewykonanie może skutkować niezwykle wysokimi karami pieniężnymi, nakładanymi prze organ ochrony danych. Również nowe przepisy dają możliwość dochodzenia odszkodowania za szkody materialne lub niematerialne jakie mogą ponieść osoby, których dane dotyczą, na skutek naruszenia nowych unijnych przepisów. Przepisy wprowadzają w wielu wskazanych prawnie przypadkach obowiązek powoływania inspektora ochrony danych osobowych (Data Protection Officer). W chwili obecnej, w strukturach Kościoła, w publicznym rejestrze GIODO widnieją osoby zarejestrowane jako pełniące funkcję Administratorów Bezpieczeństwa Informacji.
Rozporządzenie UE 2016/679 stawia przed administratorami danych, w tym również instytucji Kościoła Katolickiego w Polsce, nowe wyzwania w obszarze prawnym oraz organizacyjnym dot. ochrony prywatności. Zgodnie z Motywem 165 RODO, Rozporządzenie nie narusza statusu przyznanego kościołom oraz związkom lub wspólnotom wyznaniowym na mocy prawa konstytucyjnego obowiązującego w państwach członkowskich i nie narusza tego statusu – jak uznano w art. 17 TFUE. Artykuł 91 RODO stanowi, iż jeżeli w państwie członkowskim w momencie wejścia niniejszego rozporządzenia w życie kościoły i związki lub wspólnoty wyznaniowe stosują szczegółowe zasady ochrony osób fizycznych w związku z przetwarzaniem, zasady takie mogą być nadal stosowane, pod warunkiem że zostaną dostosowane do niniejszego rozporządzenia. Kościoły i związki wyznaniowe, które stosują szczegółowe zasady zgodnie z o których mowa powyżej, podlegają nadzorowi niezależnego organu nadzorczego, który może być organem odrębnym, z zastrzeżeniem że spełnia warunki określone w rozdziale w Rozporządzeniu. Zatem pojawia się pytanie,
W chwili obecnej odbywają się prace nad treścią nowej ustawy o ochronie danych osobowych oraz na bieżąco publikowane są przez Grupę art. 29, za chwilę Europejskiej Rada Ochrony Danych, wytyczne i wskazówki do implementacji Rozporządzenia. Nowe przepisy będą wymagały podjęcia przez instytucje kościelne działań zmierzających między innymi do realizacji praw osób, których dane dotyczą, zabezpieczenia przetwarzania danych oraz szereg innych obowiązków wynikających z przepisów prawa.
Opracowane przez Anna Buczyńska Borowy (Wiceprezes Fundacji im. Józefa Wybickiego na rzecz obrony prywatności i godności człowieka) na podstawie artykułu z dnia 17-07-2017 „Obowiązki Kościoła Katolickiego w zakresie ochrony danych osobowych i ochrony prawa do prywatności.”, Andrzej Lewiński dla Nowoczesna Plebania
Autor: Andrzej Lewiński – prawnik – radca prawny. Zastępca GIODO 2006-20016. Prezes Fundacji im. Józefa Wybickiego działającej na rzecz obrony prywatności i godności człowieka. Członek Stowarzyszenia Ruch Ochrony Prywatności i Instytutu Ochrony Danych Osobowych w Poznaniu. Przewodniczącego Komitetu ds. ochrony danych osobowych Krajowej Izby Gospodarczej.
Fundacji im. Józefa Wybickiego działa miedzy innymi na rzecz obrony podstawowych praw człowieka, jak prywatności, godności, wolności, ochrona danych osobowych. Celem Fundacji jest między innymi podnoszenie wiedzy i świadomości o prawie do prywatności i prawie do ochrony danych osobowych, podnoszenie wiedzy i udzielanie profesjonalnej pomocy w ochronie danych osobowych podmiotom prowadzącym działalność gospodarczą w szczególności małych i mikro przedsiębiorstw (audyty, szkolenia, warsztaty, wieloaspektowe merytoryczne wsparcie i opiniowanie projektów). Fundacja bierze również czynny udział, wspomaga i tworzy, podejmuje działania, w różnych formach, na rzecz integracji europejskiej, rozwijania kontaktów, współpracy między społeczeństwami na rzecz bezpieczeństwa w cyberprzestrzeni.