Pismo religijno-społeczne poświęcone polskiemu
      ewangelicyzmowi i ekumenii

NR 2/2018, ss. 13–16

(fot. myrfa/pixabay)
(fot. myrfa/pixabay)

 

Pod koniec maja weszło w życie RODO – rozporządzenie Parlamentu Europejskiego i Rady Unii Europejskiej w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych. Co to oznacza dla Kościołów?

Od wielu wieków Kościoły i inne związki wyznaniowe z racji wykonywania funkcji religijnych zbierają, wykorzystują i przechowują dane swoich członków, jak i innych osób. Księgi metrykalne to jedne z najstarszych zbiorów danych osobowych, a ich moc dowodowa, jak niegdyś akt stanu cywilnego, pozwoliła na ich wykorzystywanie w czasie drugiej wojny światowej nawet do ratowania ludzkiego życia. W gruncie rzeczy, poza zdarzającą się czasem komputeryzacją kartotek parafialnych i księgowości, Kościoły same z siebie nie odczuwały potrzeby unowocześnienia rozwijania prawa kościelnego i praktyki w tym obszarze. Kiedy 20 lat temu weszła w życie ustawa z dnia 29 sierpnia 1997 r. o ochronie danych osobowych[1], wynikająca z prawa unijnego, wyłączono jurysdykcję Generalnego Inspektora Ochrony Danych Osobowych (GIODO) w stosunku do związków wyznaniowych w zakresie danych ich wiernych przetwarzanych w związku z ich działalnością religijną[2]. W ostatnich latach wraz ze wzrostem świadomości prawnej, szczególnie byłych członków związków wyznaniowych, w sądach administracyjnych przetoczyła się duża, w porównaniu z poprzednimi okresami, fala skarg, które zakończyły się kilkudziesięcioma wyrokami Wojewódzkiego Sądu Administracyjnego i Naczelnego Sądu Administracyjnego. Finalnie potwierdziły one przywilej wyłączenia organizacji religijnych z jurysdykcji nadzorczej organów państwa.

Rozporządzenie unijne i działania Kościołów

Sytuacja ta uległa istotnej zmianie wraz z wejściem w życie rozporządzenia Parlamentu Europejskiego i Rady Unii Europejskiej nr 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych, określanego w skrócie jako RODO. Dla Kościołów i innych związków wyznaniowych najistotniejszą zmianę niesie art. 91, na mocy którego obecne przywileje dotyczące przetwarzania danych osobowych utrzymają tylko te związki wyznaniowe, które stosowały na dzień 24 maja 2016 r. szczegółowe zasady ochrony osób fizycznych w związku z przetwarzaniem danych i dostosują je do wspomnianego rozporządzenia przed 25 maja 2018 r. Dodatkowo zgodnie z ust. 2 poddać się muszą nadzorowi niezależnego organu, który może być organem odrębnym od dotychczasowego GIODO. Jeśli Kościół tego nie uczyni, to osoby, których dane przetwarza, będą mogły składać skargi do Prezesa Urzędu Ochrony Danych Osobowych (następca prawny GIODO) na jego całą działalność, a tym samym będzie narażony na kary administracyjne do 20 mln euro.

Do podjęcia stosownych działań przez związki wyznaniowe wezwało Ministerstwo Cyfryzacji na początku 2017 r., odpowiedzialne za koordynację wdrożenia RODO w Polsce, organizując spotkanie informacyjne dla wszystkich związków wyznaniowych. Kościoły należące do Polskiej Rady Ekumenicznej przeprowadziły wspólne prace zespołu prawników nad wdrożeniem rozporządzenia. Z członkami zespołu ds. reformy ochrony danych oraz władzami PRE kontaktowali się także przedstawiciele Kościołów mniejszościowych spoza PRE w celu wymiany wiedzy i projektowanych rozwiązań. Nawiązany został także kontakt z Kościołem rzymskokatolickim na poziomie Komisji ds. Dialogu Konferencji Episkopatu Polski i Polskiej Rady Ekumenicznej oraz między specjalistami prawa wyznaniowego wyznania rzymskokatolickiego i ewangelicko-augsburskiego. Chrześcijańska Akademia Teologiczna w Warszawie zorganizowała również sympozjum naukowe poświęcone temu zagadnieniu, w którym udział wzięli przedstawiciele wszystkich liczących się w zakresie prawa wyznaniowego ośrodków akademickich oraz kilkudziesięciu związków wyznaniowych.

Kościół Ewangelicko-Reformowany w RP oraz Kościół Ewangelicko-Augsburski w RP wprowadziły już do swojego prawa kościelnego niezbędne regulaminy ochrony danych osobowych, które w zbliżony sposób regulują prawa osób, których dane są przetwarzane, a także dostosowują zasady ochrony danych do ich specyfiki[3]. Najbardziej doniosłą różnicą w porównaniu do funkcjonowania „zwykłych” podmiotów przetwarzających dane jest to, że wierni nie zawierają „umów z Kościołem” o bycie członkiem, lecz, co do zasady, wstępują do niego w akcie religijnym (a nie cywilnoprawnym), jakim jest chrzest święty lub konwersja (wstąpienie). Z przyczyn religijnych nie jest dopuszczalne także niszczenie ksiąg metrykalnych, które potwierdzają przyjęcie sakramentów lub obrzędów kościelnych, podczas gdy podmioty komercyjne są zobowiązane do ich usuwania po określonym czasie. W inny sposób niż pracowników należy także traktować duchownych czy świeckich członków władz kościelnych.

Oba Kościoły ewangelickie powołały także swoje organy nadzoru, które – dzięki specjalnym wymaganiom co do kwalifikacji i bezstronności oraz gwarancjom ustrojowym – cieszą się odpowiednią niezależnością od władz administracyjnych Kościoła. Reformowany Kurator Ochrony Danych Osobowych oraz luterańscy członkowie Komisji Ochrony Danych Osobowych, bo takie nazwy noszą te organy, nie mogą być duchownymi ani pracownikami kościelnymi, aby pozostawali wolni w swoim osądzie co do poprawności działania Kościoła w sprawach ochrony danych. Co więcej, bliskie relacje obu Kościołów oraz obowiązujące umowy między nimi sprawiły, że w ich regulacjach uwzględniono możliwość połączenia obu organów w jeden, gdyby tak zdecydowały ich władze naczelne. Swoją własną regulację dotyczącą ochrony danych wprowadziły także Kościół Katolicki w RP oraz Kościół Katolicki Mariawitów w RP, a inne Kościoły członkowskie PRE kończą już swoje procedury legislacyjne.

Na czym polega ochrona danych?

Ochronie podlegają „dane osobowe” rozumiane jako wszelkie informacje o zidentyfikowanej lub możliwej do zidentyfikowania osobie fizycznej (w tym prowadzących działalność gospodarczą). Ochrona ma zastosowanie tak do systemów informatycznych, jak i do przetwarzania manualnego (np. papierowe kartoteki parafialne). Przepisy stosuje się do wszelkich operacji na danych osobowych, czyli np. zbierania, porządkowania, modyfikowania, wykorzystywania, rozpowszechniania, ale także nawet do biernego przechowywania czy niszczenia. Regulaminy dotyczą zatem np. ksiąg metrykalnych (chrztów, konfirmacji, ślubów), kartotek parafialnych oraz innych rejestrów (np. wstąpień i wystąpień, opłacających składki kościelne, darczyńców, korzystających z opieki kościelnej, przygotowujących się do wstąpienia/katechumenów). Nowe prawo nie ma natomiast zastosowania do danych osób zmarłych. Przepisy wprowadzają pojęcie „administratora danych”, którym jest kościelna osoba prawna, np. diecezja, parafia, stowarzyszenia kościelne, wydawnictwa, ośrodki diakonijne, Diakonia, jak również Kościół jako całość.

Zgodnie z prawem unijnym nie wolno przetwarzać bez zgody danej osoby jej danych osobowych, ujawniających informacje dotyczące przekonań religijnych, zdrowia, seksualności lub orientacji seksualnej. Zakaz ten nie dotyczy jednak przetwarzania dokonywanego przez Kościół lub inny związek wyznaniowy w ramach uprawnionej działalności prowadzonej z zachowaniem odpowiednich zabezpieczeń, pod warunkiem jednak, że dotyczy wyłącznie jego członków lub byłych członków, lub osób utrzymujących z nim stałe kontakty w związku z jego celami oraz że dane osobowe nie są ujawniane poza tym podmiotem bez zgody osób, których dane dotyczą.

Tym razem prawo unijne jasno określiło, że przetwarzanie jest możliwe także względem byłych członków danego Kościoła. Niejasne jest jednak kogo należy rozumieć jako „osoby utrzymujące ze związkiem wyznaniowym stałe kontakty w związku z jego celami”. Stały kontakt oznaczać może istnienie więzi między daną osobą a związkiem wyznaniowym w ramach jego uprawnionej działalności. Obejmować więc może osoby takie, jak świadków chrztu świętego, świadków zawarcia małżeństwa wyznaniowego czy osoby stale uczestniczące w zajęciach kościelnych (np. grupy biblijne). Na gruncie dotychczasowej ustawy o ochronie danych osobowych za osoby utrzymujące stałe kontakty uznawano także pracowników i wolontariuszy[4].

Nowe przepisy wymuszają na parafiach i innych podmiotach kościelnych większą ostrożność w zabezpieczeniu danych przed dostępem osób trzecich. Niemożliwe staje się także ujawnianie danych bez podstawy prawnej, np. publikowanie spersonalizowanych życzeń urodzinowych w biuletynach parafialnych bez wyraźnej zgody jubilatów. W przypadku osób nienależących do Kościoła, co do zasady, do przetwarzania danych należy pobierać pisemną zgodę na przetwarzanie danych osobowych, szczególnie gdy przetwarzane będą informacje o wyznaniu. Należy również stosować się do dyspozycji takich osób w zakresie zmiany danych bądź skorzystania z tzw. prawa do bycia zapomnianym. Należy także samodzielnie usuwać dane, gdy nie są już potrzebne do realizacji celu dla którego zostały zebrane (tzw. retencja danych). Istotne jest też, aby danych nie wykorzystywać do celów innych, niż dla których zostały zebrane i na które wyraziła zgodę taka osoba bądź czego mogłaby się rozsądnie spodziewać.

Zgodnie z art. 77 rozporządzenia nr 2016/679, osoby, których dane związek wyznaniowy przetwarza, mają prawo do wniesienia skargi do wspomnianego organu nadzorczego, jeżeli sądzą, że przetwarzanie danych osobowych narusza prawo. Organ nadzorczy, do którego wniesiono skargę, informuje skarżącego o postępach i efektach rozpatrywania skargi. Zgodnie z regulacjami ewangelickimi skarga może być wniesiona pisemnie lub elektronicznie na adres e-mail. Kurator lub Komisja Ochrony Danych mogą zażądać przedstawienia wyjaśnień przez parafię czy inną jednostkę Kościoła, dokumentów lub nawet dokonać wizji lokalnej. Od rozstrzygnięcia Kuratora lub Komisji skarżący może się odwołać. Organ nadzoru ma prawo do nakazania, np. parafii, określonego postępowania z danymi, w tym np. ich usunięcia lub zabezpieczenia. Naruszanie prawa o ochronie danych osobowych może być karane dyscyplinarnie. Kościół Ewangelicko-Augsburski w RP umożliwił także składanie wniosków o odszkodowania, które rozpatruje Komisja z możliwością odwołania do Rady Synodalnej.

To dopiero początek

Przyjęcie przez władze naczelne Kościołów i związków wyznaniowych specjalnych regulaminów w zakresie ochrony danych osobowych i powołanie organów nadzoru to dopiero początek. Najważniejszą rzeczą będzie stosowanie się parafii i innych jednostek organizacyjnych Kościoła do tych przepisów. Zbieranie zgód na przetwarzanie danych, zatwierdzenia polityk przetwarzania danych czy rejestrów czynności to sprawy całkiem nowe dla Kościołów i innych związków wyznaniowych, ale wkrótce staną się czymś zwyczajnym jak w innych obszarach życia społecznego. Wydaje się więc, że rewolucja, na jaką wygląda reforma ochrony danych osobowych, będzie raczej „aksamitną” zmianą na lepsze, podnosząc poziom ochrony praw wiernych i innych osób. Obawy budzić mogą jedynie niektóre głosy, że Kościoły nie spełniają kryterium posiadania regulacji przed 2016 r., więc nie mogą korzystać z art. 91 rozporządzenia, ale stanowisko takie nie jest do obrony ani z uwagi na fakty, ani ze względu na konstytucyjnie gwarantowaną autonomię Kościołów i innych związków wyznaniowych w Polsce.

* * * * *

dr Michał Hucał – prawnik, teolog, finansista; przewodniczący Komisji Ochrony Danych Osobowych Kościoła Ewangelicko-Augsburskiego w RP

 

[1] Tekst jedn. Dz. U. z 2002, Nr 101, poz. 926 z późn. zm.

[2] D. Walencik, „Przetwarzanie danych osobowych przez związki wyznaniowe a uprawnienia Generalnego Inspektora Ochrony Danych Osobowych”, „Forum Prawnicze” 2 (2013).

[3] Por. A. Mezglewski, „Perspektywa i zakres implementacji nowych przepisów Unii Europejskiej dotyczących przetwarzania danych osobowych przez związki wyznaniowe”, w: „Ochrona danych osobowych w Kościele”, red. S. Dziekoński, P. Drobek, Warszawa 2016, s. 42–45.

[4] P. Sobczyk, „Ograniczenia praw podmiotów ze względu na przetwarzanie danych osobowych dotyczących przekonań religijnych i przynależności wyznaniowej”, „Studia z Prawa Wyznaniowego” t. 13 (2010), s. 152.