KAI: W jaki sposób przepisy ustawy o ochronie danych osobowych stosują się do szkolnictwa, w tym katolickiego?

- Szkoły oraz uczelnie wyższe podporządkowane są takim samym zasadom ochrony danych osobowych jak inne instytucje w naszym kraju. Szkoły katolickie wyróżnia to, że z racji tego, iż są prowadzone przez Kościół, w ich działalności zastosowanie mają takie same wyjątki od ogólnych zasad przetwarzania danych osobowych, jak w przypadku przetwarzania przez Kościół danych swoich członków. Generalny Inspektor w stosunku do kościołów i związków wyznaniowych ma zaś ograniczone kompetencje. Nie może tam np. przeprowadzać kontroli.

KAI: Jakie dane osobowe szkoły mogą gromadzić?

- Szkoły gromadzą bardzo dużo danych, które są niezbędne do realizacji procesu nauczania. Mają takie prawo na mocy przepisów szczególnych regulujących funkcjonowanie placówek oświatowych, m.in. ustawy o systemie oświaty. Przetwarzają różne dane: od podstawowych, takich jak imię, nazwisko, adres zamieszkania, dane rodziców, po bardziej szczegółowe, np. dotyczące wyników w nauce. Chodzi jednak także o tzw. dane wrażliwe, czyli np. o stanie zdrowia lub o nieobecnościach spowodowanych chorobą. Niekiedy na ich wykorzystywanie zezwalają przepisy prawa, a czasami będzie do tego potrzebna zgoda rodziców. Szkoła to także pracodawca, który przetwarza dane nauczycieli i innych zatrudnianych osób. W tym przypadku zastosowanie mają przede wszystkim przepisy Kodeksu pracy.

KAI: Coraz więcej informacji osobowych publikowanych jest przez szkoły w zewnętrznie dostępnych bazach danych lub nawet Internecie. Jakie zagrożenia się z tym wiążą?

- Internet jest medium służącym do przekazywania informacji. Jeżeli wykorzystujemy go do przekazania konkretnej informacji konkretnej osobie i tylko ona ma do tych danych dostęp, to nie ma tu zagrożenia ochrony prywatności. Tak jest np. w systemach umożliwiających wgląd do informacji o postępach w nauce. Natomiast publikowanie takich danych w publicznych miejscach, np. na stronach internetowych szkoły, może być sprzeczne z ustawą o ochronie danych osobowych i naruszać dobra osobiste ucznia.

Przykładem są elektroniczne dzienniki, w których zawarte są dane o wynikach w nauce. Są one obsługiwane przez firmy zewnętrzne, ale dostęp do tych danych uzyskują przede wszystkim nauczyciele i rodzice. Jest to dopuszczalne. Podpisując jednak umowę z firmą dostarczającą oprogramowanie umożliwiające publikowanie i gromadzenie takich danych, szkoła powinna dopilnować, by ta umowa spełniała wszystkie wymogi zawarte w przepisach branżowych oraz w ustawie o ochronie danych osobowych, a zwłaszcza w jej art. 31 regulującym kwestię powierzenia przetwarzania danych.

Z kolei zdarza się, że na stronach internetowych szkoły publikowane są dane o zdarzeniach mających miejsce w szkole, np. wyniki zawodów sportowych. Informowanie o sukcesach zazwyczaj nie przysparza problemów. Co innego, gdy prezentowane są wszystkie dane, także np. dzieci, które ze względu na niepełnosprawność uzyskały słabe wyniki. Taka sytuacja zagraża dobremu imieniu dziecka. Należy wówczas zachować czujność w publikowaniu takich danych.

KAI: Dwa lata temu Generalny Inspektor Ochrony Danych Osobowych i Episkopat Polski podpisały porozumienie w zakresie ochrony danych. Czego ono dotyczy?

- Przygotowano wówczas w swego rodzaju poradnik na temat przetwarzania danych osobowych na potrzeby Kościoła katolickiego. Dokument opracowały wspólnie Biuro GIODO i Sekretariat Konferencji Episkopatu Polski. Można się z nim zapoznać na stronie internetowej GIODO (www.giodo.gov.pl). W pierwszej części dokumentu wyjaśniono ogólne zasady ochrony danych osobowych i prawa do prywatności i wskazano, że podobne zapisy istnieją w Kodeksie Prawa Kanonicznego. Druga część to pytania i odpowiedzi na temat ochrony danych osobowych.

Dokument nie ma mocy aktu prawnego, nie jest też rodzajem umowy między Państwem a Kościołem, gdyż GIODO nie ma uprawnień do zawierania takich umów. Jest to zbiór dobrych praktyk w zakresie przetwarzania danych osobowych przez Kościół katolicki.

KAI: Jakie dane osobowe Kościół katolicki i inne Kościoły mogą gromadzić, a jakich nie?

- Prawo gromadzenia danych osobowych mają tylko te Kościoły, których dotyczą konkretne ustawy o stosunku Państwa do tego Kościoła. Mowa tu zarówno o najliczniejszych Kościołach jak katolicki, jak i tych prawie zanikających, jak np. Karaimski Związek Religijny w RP. Uprawnień takich nie mają inne związki wyznaniowe, widniejące w rejestrze MSWiA.

Według ustawy o ochronie danych osobowych, dane osób należących do Kościoła lub związku wyznaniowego mogą być przetwarzane na potrzeby związane z działalnością religijną. Szczegółowe zapisy ustalone są w danej ustawie.

Należy tu wyjaśnić pewną wątpliwość. Jeśli np. w parafii powstaje lista osób chętnych do wzięcia udziału w pielgrzymce, może się okazać, że mamy do czynienia nie z działalnością religijną, a ze zwykłym wyjazdem turystycznym, a więc działalnością gospodarczą. Owszem, wyjazd jest związany z kultem religijnym, ale w równym stopniu pielgrzymi muszą się stosować do przepisów ruchu drogowego. Czym innym jest więc działalność stricte religijna, a czym innym respektowanie także innych, dodatkowych przepisów.

KAI: Proboszcz zamieszcza na tablicy informacje o osobach zamierzających wstąpić w związek małżeński. Może to robić?

- Kościoły same zrezygnowały z publikowania takich danych, gdy zorientowały się, że takie działanie prowadzi do naruszenia prywatności przyszłych małżonków. Jeszcze kilka lat temu zapowiedzi przedślubne zawierały nie tylko imię i nazwisko, ale i dokładny adres zamieszkania. Był to rewelacyjny zbiór danych dla firm oferujących różne usługi dla nowożeńców: kwiaciarni, domów weselnych, sklepów z odzieżą, fotografów itd. Obecnie dopuszczane jest publikowanie tylko imienia i nazwiska oraz ewentualnie informacji o parafii, z której pochodzą narzeczeni.

KAI: W 2009 r. media donosiły o gdańskim katechecie, który powołując się na instrukcję wydziału katechetycznego kurii zebrał adresy uczniów nieuczęszczających na lekcje religii i przesłał je do parafii w miejscach ich zamieszkania. Rodzice protestowali, że doszło do złamania ustawy o ochronie danych osobowych.

- Takie działanie było z pewnością niedopuszczalne. Udostępnianie danych uczniów, którzy należą do Kościoła i chodzą na religię jest jak najbardziej uprawnione. Natomiast informowanie kurii o osobach, które nie są członkami Kościoła, nie mieści się ani w przepisach ustawy o ochronie danych osobowych, ani w zapisach Konkordatu.

KAI: Czy osobie, która zamierza wystąpić z Kościoła, przysługuje prawo żądania usunięcia danych osobowych z ksiąg kościelnych?

- Efekt wystąpienia z Kościoła katolickiego lub jakiegokolwiek innego Kościoła czy związku wyznaniowego ma wpływ na możliwości przetwarzania danych osobowych. Jeśli wystąpienie z Kościoła danej osoby jest faktem, to Kościół ten utracił możliwość dalszego przetwarzania jej danych. Jest zobowiązany do tego, by w odpowiednich bazach danych, którymi zarządza, umieścić informację, że taka osoba nie jest już członkiem wspólnoty.

GIODO nie wnika więc w to, jak przebiega procedura wystąpienia z Kościoła. Natomiast prawdą jest, że gdy ktoś z niego wystąpi, to jego dane nie mogą być dalej przez ten Kościół wykorzystywane. Ten człowiek nie może jednak żądać wycofania danych dotyczących okresu jego przynależności do Kościoła.

KAI: Jak chronić zwłaszcza osoby niepełnoletnie przed nieodpowiedzialnym udostępnianiem swoich danych w serwisach społecznościowych, z których coraz częściej korzystają?

- Ochrona danych osób niepełnoletnich to jeden z najważniejszych obecnie problemów dotyczących funkcjonowania Internetu. Jeżeli bowiem osoba pełnoletnia chce udostępniać w takim serwisie szczegóły swojego życia intymnego, to jestem ostatnią osobą w Polsce, która chciałaby to cenzurować. Każdy dorosły ma prawo do takiego budowania swojego wizerunku, jakie uznaje za stosowne. Jeśli swoje dane osobowe, w tym intymne, w Internecie zamieszcza osoba 16-letnia, to zastanawiałbym się, czy wie, co robi i czy zdaje sobie sprawę, jaki wpływ może to mieć na jej przyszłe życie. Z kolei publikacja takich danych przez 13-latka skłania do postawienia pytania, czy ktoś go do tego nie nakłonił. Warto zaś przypomnieć, że utrzymywanie stosunków seksualnych z osobą poniżej 15. roku życia jest w naszym kraju przestępstwem.

Przed upublicznieniem informacji w Internecie powinniśmy się zastanowić, jakie informacje o sobie na pewno chcemy tam prezentować. Chodzi o listę danych, które chcielibyśmy umieścić w powszechnie dostępnym serwisie, ale jeszcze tego nie zrobiliśmy. Może wystarczy imię i nazwisko, pseudonim, adres e-mailowy, ale niekoniecznie ten główny, z którego korzystamy. Druga grupa informacji to te, których na pewno nie chcemy upubliczniać, gdyż boimy się ich wypłynięcia poza nasz profil.


Rozmawiał Łukasz Kasper