Dane lepiej chronione

Nowe regulacje wymusiło rozporządzenie Parlamentu Europejskiego i Rady Unii Europejskiej z 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych (RODO), które będzie stosowane od 25 maja br. Unijny akt stwarzał Kościołom i innym związkom wyznaniowym możliwość ustanowienia własnych reguł w tej kwestii. Dekret jest inicjatywą wykorzystującą te możliwości. Jest to dokument szczegółowy i obszerny. Opisuje zarówno nowe procedury obowiązujące w tej sprawie, jak również instytucje powołane do kontroli przestrzegania nowych zasad. Dekret definiuje podstawowe pojęcia związane z przetwarzaniem danych oraz prawa i obowiązki kościelnych osób prawnych – administratorów danych.

Warto zwrócić uwagę, że zastosowanie RODO na obszarze prawa kościelnego następuje wcześniej aniżeli w prawie krajowym, gdzie nadal trwa proces legislacyjny, dostosowujący normy prawa krajowego do unijnego rozporządzenia. Episkopat Polski, podejmując inicjatywę w tej sprawie, działał zgodnie z konstytucyjną zasadą autonomii i niezależności państwa i Kościoła. Wykorzystał także bogaty dorobek kościelnych przepisów regulujących tę kwestię w latach poprzednich.

Celem dekretu było dostosowanie kościelnych przepisów do standardów unijnych przy zachowaniu własnej tożsamości i wierności zasadom wypracowanym przez wieki. Z przetwarzaniem danych osobowych Kościół ma bowiem do czynienia nieomal od zarania. Już w starożytności przyjęło się prowadzenie dokładnej dokumentacji zarówno dotyczącej udzielonych sakramentów, jak i zapisywania podstawowych danych o członkach Kościoła. W kontekście wejścia w życie dekretu trzeba podkreślić, że reguluje on niejednokrotnie na nowo stare procedury, a do ich opisania używa nowej terminologii. Podstawową kategorią są dane osobowe, czyli wszelkie informacje o zidentyfikowanej lub możliwej do zidentyfikowania osobie fizycznej, a więc np. nasze imię, nazwisko, numer identyfikacyjny, dane o lokalizacji, opis czynników określających naszą tożsamość.

Księgi i kartoteki

Na szczeblu parafii podstawowym zbiorem danych osobowych są oczywiście księgi parafialne zawierające rejestr ochrzczonych, bierzmowanych, przystępujących do Pierwszej Komunii Świętej, spisy zawartych małżeństw, zgonów, jak również rejestry parafian. Administratorem tych danych, a więc podmiotem odpowiedzialnym za ich przetwarzanie, w ujęciu omawianego dekretu jest parafia, reprezentowana przez proboszcza. W praktyce będziemy mieli także innych administratorów odpowiedzialnych za ten obszar w Kościele. Na szczeblu diecezji będzie to zawsze biskup ordynariusz, a w przypadku prowincji zakonnej wyższy przełożony zakonny. W parafiach poza dokumentacją papierową prowadzone są także rejestry elektroniczne, a więc administrator będzie musiał się zatroszczyć o ochronę tych zbiorów, stosując na przykład odpowiednie programy ochronne. Jednak podstawowe dane osobowe są najczęściej zapisywane w dokumentach papierowych. One stanowią także podstawowy materiał w procesie „przetwarzania” dokumentów na poziomie parafialnym. Kiedy potrzebujemy świadectwa chrztu, bierzmowania czy zawarcia związku małżeńskiego, otrzymujemy dokument papierowy, stanowiący wypis z ksiąg metrykalnych, a nie plik elektroniczny. W tym sensie niewiele się zmieni. Na administratorze będzie także spoczywał obowiązek przeprowadzenia audytu bezpieczeństwa danych osobowych, które tworzy lub przetwarza w swej bieżącej działalności.

Nowe struktury

Przywołane na wstępie rozporządzenie unijne w art. 91 przewiduje, że związki wyznaniowe, które stosują szczegółowe zasady ochrony danych osobowych, mogą powołać swój niezależny organ nadzoru nad prawidłowym ich przetwarzaniem. Kościół w Polsce skorzystał z tej możliwości. Dekret przewiduje powstanie nowego urzędu w rozumieniu Kodeksu prawa kanonicznego o nazwie Kościelny Inspektor Ochrony Danych (KIOD). Ma to być niezależny organ nadzorczy, monitorujący przestrzeganie procedur i regulacji wynikających z postanowień tego dekretu. KIOD powinien zostać wybrany na najbliższym plenarnym posiedzeniu biskupów diecezjalnych. Jego kadencja ma trwać cztery lata, a obowiązek zapewnienia mu warunków i środków niezbędnych do skutecznego działania spoczywać będzie na Konferencji Episkopatu Polski. Nie znamy jeszcze osoby, która zostanie kościelnym inspektorem ochrony danych, ale niewątpliwie będzie to wybór znaczący. Pierwsza kadencja KIOD wyznaczy bowiem standardy i procedury obowiązujące w dziedzinie ochrony i przetwarzania danych osobowych w Kościele na lata. KIOD nie będzie bezpośrednio zajmował się przetwarzaniem danych. Jego zadaniem będzie kontrola wprowadzenia postanowień tego dekretu w życie. Będzie także instancją odwoławczą, rozpatrującą skargi osób fizycznych dotyczących przestrzegania przepisów ustanowionych w Kościele w zakresie ochrony danych osobowych. Oczywiście jedna osoba, nawet najbardziej kompetentna i najlepiej przygotowana, nie będzie w stanie reagować na wszystkie problemy, jakie w związku z tym się pojawią. Dekret przewiduje więc, że kościelna osoba prawna będzie mogła, a w pewnych przypadkach musiała wyznaczyć na podległym sobie obszarze inspektora ochrony danych. Ponieważ w Polsce są 44 diecezje oraz istnieje kilkadziesiąt prowincji zgromadzeń zakonnych, można przewidzieć, że w całym kraju powołanych zostanie ponad stu inspektorów ochrony danych. Ich zadaniem będzie kontrola przestrzegania postanowień dekretu na właściwym dla nich poziomie. Inspektorem może być osoba świecka lub duchowny, w praktyce może się okazać, że takie obowiązki będą powierzane, po odpowiednim przeszkoleniu, kanclerzom bądź notariuszom kurii diecezjalnych, a więc osobom i tak zajmującym się przetwarzaniem danych osobowych.

Możliwość reagowania

Dekret opisuje także możliwości, jakie w Kościele otrzymuje każda osoba, której dane osobowe są przetwarzane. Nie tylko mamy zatem prawo otrzymywać kopie dotyczących nas dokumentów, ale przysługiwać nam będzie także prawo do informacji o przetwarzaniu danych, prawo do żądania ich sprostowania bądź dokonania adnotacji i uzupełnienia danych, a nawet ograniczenia ich przetwarzania. To tylko przykłady sytuacji detalicznie opisanych w omawianym dekrecie.

W skrajnym przypadku, kiedy mamy do czynienia z apostatą (a więc osobą, która zdecydowała się na odejście z Kościoła), przysługuje mu tzw. prawo do zapomnienia, czyli w praktyce zakaz obrotu jego danymi. Poza szczegółowymi wyjątkami, kiedy na takie działanie, na przykład przed sądem kościelnym, będzie musiał wyrazić zgodę biskup ordynariusz. Warto jeszcze raz w tym kontekście przypomnieć, że osobom zrywającym oficjalnie związek z Kościołem przysługuje prawo do wprowadzenia odpowiedniej adnotacji przy zapisie o ich chrzcie w księgach metrykalnych, lecz nie ma i nie będzie żadnej możliwości wykreślenia ich nazwiska z ksiąg metrykalnych. Byłoby to bowiem fałszowaniem dokumentów, niosącym nieraz bardzo poważne skutki prawne, na przykład w kontekście zawierania kolejnych związków małżeńskich. Przy każdorazowej czynności obrotu danymi osobowymi administrator, czyli w parafii proboszcz, będzie miał obowiązek poinformować osobę, której to dotyczy, że jej dane będą na użytek kościelny przetwarzane zgodnie z kościelnymi procedurami.

Wejście w życie dekretu oznacza, że Kościół w Polsce przyjmuje nowe standardy ochrony danych osobowych, co ma także związek z rozwojem nowych technologii i potrzebą zagwarantowania w tym zakresie praw jednostki. Ważnym skutkiem dekretu będzie ujednolicenie zasad stosowanych w tej sprawie w Kościele w Polsce.•