Czekają nas wielkie zmiany

• Dekret o ochronie danych osobowych wszedł w życie 30 kwietnia 2018 r.

Andrzej Grajewski: 25 maja wejdzie w życie rozporządzenie Parlamentu Europejskiego i Rady UE w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych (dalej RODO). Jakie to będzie miało konsekwencje dla Kościoła?

Ks. Dariusz Walencik: Mówiąc najkrócej, konieczność dostosowania wewnętrznych regulacji i autonomicznego systemu ochrony danych osobowych, który istnieje w Kościele przynajmniej od kilkudziesięciu lat, do przepisów unijnego rozporządzenia.

Konferencja Episkopatu Polski przygotowuje dekret w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych w Kościele katolickim. Na jakim etapie są prace nad tym dokumentem?

Trwa ostatnia faza procesu legislacyjnego. Został on przyjęty przez Zebranie Plenarne KEP i przekazany do Stolicy Apostolskiej celem uzyskania recognitio, czyli potwierdzenia, co jest wymagane zgodnie z kanonem 455. Kodeksu prawa kanonicznego. Gdy to nastąpi, dekret, po promulgacji, stanie się prawem obowiązującym w całym Kościele katolickim w Polsce.

Dekret przewiduje m.in. powołanie Kościelnego Inspektora Ochrony Danych, odpowiednika świeckiej instytucji GIODO. To będzie osobny urząd?

Tak, oczywiście w rozumieniu urzędu kościelnego. W art. 91. RODO przewidziano, że związki wyznaniowe, które stosują szczegółowe zasady ochrony danych osobowych, mogą powołać swój niezależny organ nadzoru nad prawidłowym przetwarzaniem danych osobowych. Niezależność, funkcje i uprawnienia tego kościelnego organu zostały określone w dekrecie, który przedłożono Stolicy Apostolskiej, i odpowiadają warunkom, jakie zostały sprecyzowane w RODO. Związki wyznaniowe nie muszą powoływać takiego organu, ale wówczas nadzór przejmie organ państwowy, czyli obecnie GIODO. Jeśliby więc Kościół nie powołał swojego organu nadzoru, wszelkie kompetencje w kwestii ochrony danych otrzymałby GIODO.

Co nowe przepisy zmienią w ochronie danych osobowych w instytucjach kościelnych?

Zmian będzie wiele, choć z perspektywy parafianina nie powinny być odczuwalne. Dane osobowe są przecież w Kościele przetwarzane i chronione od lat. Pojawią się natomiast nowe obowiązki nałożone na administratorów danych, a więc proboszczów parafii, biskupów w diecezji czy przełożonych zgromadzeń zakonnych. Dekret dotyczy tylko kościelnych publicznych osób prawnych.

Co się zmieni w sposobie przetwarzania danych?

Silniejszy akcent będzie położony na ochronę danych, czyli odpowiednie ich zabezpieczenie. To będzie zależało m.in. od tego, w jakiej formie będą przetwarzane: papierowej czy elektronicznej oraz ich charakteru, czy będziemy mieć do czynienia z danymi wrażliwymi, czy zwykłymi. Także osoba, której dane będą przetwarzane, uzyska większe prawa.

Jakie to prawa?

Na przykład prawo do informacji o przetwarzaniu danych, prawo do żądania sprostowania danych, prawo do żądania dokonania adnotacji i uzupełnienia danych, prawo do żądania ograniczenia przetwarzania danych.

Czy to się wiąże z jakimiś nowymi obowiązkami dla proboszczów?

Zmienia się filozofia ochrony danych osobowych. Do tej pory, czy to unijna dyrektywa, czy polska ustawa, czy przepisy kościelne jasno określały, jakie dane można przetwarzać, na jakiej podstawie, jakie zabezpieczenia należy w związku z tym stworzyć. Nowy model, który będzie stosowany od 25 maja, jest modelem otwartym. W związku z tym jedną z najistotniejszych kwestii z perspektywy publicznych kościelnych osób prawnych będzie weryfikacja środków zabezpieczenia danych, czyli konieczność przeprowadzenia audytu bezpieczeństwa danych osobowych. Nie wystarczy już bowiem posiadanie na przykład odpowiednich pomieszczeń, sejfów czy szaf pancernych, zapór sieciowych, programów antywirusowych czy zasad zmiany hasła. Administrator i podmiot przetwarzający będą musieli przeprowadzić samodzielnie analizę ryzyka, a następnie wdrożyć odpowiednie środki techniczne i organizacyjne, aby zapewnić stopień bezpieczeństwa odpowiadający temu ryzyku. Oceniając, czy stopień bezpieczeństwa jest odpowiedni, administrator i podmiot przetwarzający winni uwzględnić ryzyko wiążące się z przetwarzaniem, w szczególności wynikające z przypadkowego lub niezgodnego z prawem zniszczenia, utraty, modyfikacji, nieuprawnionego ujawnienia lub dostępu do danych osobowych przesyłanych, przechowywanych lub w inny sposób przetwarzanych.

Jak powszechna jest w Kościele świadomość tych zmian? Szkoli ktoś księży proboszczów?

Może nie tyle proboszczów, ile liderów w diecezjach i wspólnotach zakonnych, którzy następnie będą szkolić proboszczów, przełożonych domów zakonnych itd.

Czy nie powinno być tak, że najpierw przyjmuje się prawo, a dopiero później organizuje szkolenia z jego wprowadzania w życie?

Tak byłoby lepiej, ale założenia nowego prawa są znane. Muszą być tylko ostatecznie potwierdzone przez Stolicę Apostolską. Ale nawet gdyby dekretu nie było, to obowiązywałoby RODO. Dekret jest wzorowany na przepisach RODO, a tam zasadnicze kwestie są określone.

Czy nowe przepisy umożliwią parafianom, w ramach tzw. prawa do bycia zapomnianym, dokonywanie zmian na przykład w księgach metrykalnych?

Nowe przepisy zawierają możliwość zastosowania prawa do bycia zapomnianym wobec osób, których dane są przetwarzane. To prawo nie ma jednak charakteru bezwzględnego. Administrator ma obowiązek bez zbędnej zwłoki usunąć dane osobowe, jeżeli są już one zbędne do celów, w których zostały zebrane lub w inny sposób przetwarzane albo gdy osoba, której dane dotyczą, cofnęła zgodę, na której opiera się przetwarzanie danych, i nie ma innej podstawy prawnej przetwarzania lub gdy dane były przetwarzane niezgodnie z prawem. Pod warunkiem, że nie zachodzi jedna z okoliczności wyłączających, na przykład dalsze przetwarzanie jest niezbędne do ustalenia, dochodzenia lub obrony roszczeń.

Które dane na przykład są zbędne?

Z pewnością nie te, które dotyczą statusu kanonicznego danej osoby (np. faktu przyjęcia chrztu, zawarcia małżeństwa kanonicznego, przyjęcia święceń), ale numer telefonu czy adres e-mailowy, które znajdują się w kartotece parafialnej, mogą być niepotrzebne. Prawo do żądania usunięcia danych nie przysługuje w przypadku, gdy dane dotyczą udzielonych sakramentów bądź w inny sposób odnoszą się do kanonicznego statusu osoby. Tego typu wniosek powinien zostać odnotowany w zbiorze i zobowiązuje administratora do niewykorzystywania danych objętych wnioskiem bez zgody ordynariusza miejsca lub wyższego przełożonego instytutu życia konsekrowanego lub stowarzyszenia życia apostolskiego. Innymi słowy, te dane nie mogą zostać usunięte z ksiąg metrykalnych, gdyż rodziłoby to bardzo daleko idące konsekwencje. Prosty przykład: mamy małżeństwo kanoniczne. Jeden z małżonków żąda usunięcia swoich danych z ksiąg metrykalnych – z księgi chrztów, z księgi małżeństw. Gdyby to prawo wykonać, doprowadzilibyśmy do sytuacji, w której możliwe jest zawarcie małżeństwa bigamicznego. Skoro bowiem usuniemy dane o zawartym małżeństwie, a istnieje przeszkoda węzła, to jak ją udowodnimy?

Jeśli więc apostata zażąda, aby wykreślić go z księgi chrztów, jego prośba nie zostanie spełniona?

Nie. Natomiast jego akt chrztu nie będzie sporządzany i dalej udostępniany. Aby został udostępniony, będzie musiała być wyrażona zgoda przez ordynariusza miejsca, na przykład biskupa.

Do czego może on być potrzebny?

Na przykład do prowadzenia postępowania sądowego o stwierdzenie nieważności małżeństwa kanonicznego, które zainicjuje współmałżonek. Apostata może nie być tym zainteresowany, ale druga strona – wierzący, praktykujący współmałżonek już tak. Może być i tak, że ten człowiek będzie chciał przyjąć inny sakrament, choć formalnie jest apostatą.

Czy w innych Kościołach w Polsce podobne instytucje też powstaną?

Tak, takie prace trwają m.in. w Polskiej Radzie Ekumenicznej czy w Kościele ewangelicko-augsburskim.

Jaki jest cel tych regulacji?

Dzisiaj zachowanie prawa do prywatności jest coraz trudniejsze. Jesteśmy namierzani przez GPS, który mamy w komórkach, profilowani przez media społecznościowe czy strony internetowe, z których korzystamy. Mamy bankowość elektroniczną, podpis elektroniczny, e-dokumenty. Wszędzie podajemy nasze dane osobowe, które umożliwiają naszą identyfikację – imię i nazwisko, adres, numer PESEL, numer identyfikacji podatkowej (NIP), numer telefonu itp. Tak więc podstawową ideą tych regulacji – RODO czy dekretu ogólnego – jest ochrona naszej prywatności, o którą jest coraz trudnej w społeczeństwie informatycznym, a którą gwarantuje nam chociażby kan. 220 Kodeksu prawa kanonicznego.•