Podczas briefingu prasowego poświęconemu problematyce danych osobowych w kościołach i związkach wyznaniowych w świetle RODO, prezes Urzędu Ochrony Danych Osobowych, dr Edyta Bielak-Jomaa powiedziała, że Kościoły i związki wyznaniowe nie mają pełnej autonomii przy tworzeniu swoich regulacji o ochronie danych – muszą być one dostosowane do RODO. Trzynaście takie obecnie ma, a te, które nie zdecydowały się na wprowadzenie odrębnych regulacji o ochronie danych, muszą pamiętać, że całkowicie podlegają pod RODO.
Kościoły i związki korzystające z wewnętrznych regulacji mogą powołać odrębny, niezależny organ nadzorczy do spraw ochrony danych. Kościelnego inspektora ochrony danych powołało na razie pięć wspólnot religijnych, w tym Kościół Katolicki i Polski Autokefaliczny Kościół Prawosławny oraz Kościół Ewangelicko-Augsburski i Kościół Ewangelicko-Reformowany w RP. W takiej sytuacji kościelny inspektor ochrony danych jest właściwy do rozpatrywania wniosków o usunięcie lub zmianę danych przetwarzanych przez Kościół katolicki np. w związku z apostazją.
Czytaj też:
RODO a ochrona danych w Kościołach
Informacje o wiernych a przepisy RODO
RODO: kościół chce obejść przepisy o ochronie danych osobowych
1. Kiedy RODO ma zastosowanie do przetwarzania danych przez kościoły lub związki wyznaniowe, a kiedy przyjęte przez nie regulacje autonomiczne?
Od 25 maja 2018 r. kościoły lub związki wyznaniowe są zobowiązane do przestrzegania ogólnego rozporządzenia o ochronie danych (RODO). Jednak te kościoły lub związki wyznaniowe, które w momencie wejścia w życie RODO, stosowały już wewnętrzne zasady ochrony danych osobowych, zgodnie z art. 91 ust. 1 RODO mają dalszą możliwość stosowania autonomicznych, szczegółowych regulacji w tym zakresie. Te regulacje muszą być jedynie dostosowane do RODO.
RODO w ten sposób daje możliwość poszanowania autonomii kościołów i związków wyznaniowych o uregulowanym statusie prawnym w RP. W świetle motywu 165 preambuły do RODO, rozporządzenie nie narusza statusu przyznanego kościołom oraz związkom lub wspólnotom wyznaniowym na mocy prawa konstytucyjnego obowiązującego w państwach członkowskich.
W konsekwencji, po 25 maja 2018 r. następujące kościoły lub związki wyznaniowe poinformowały Prezesa UODO bezpośrednio lub za pośrednictwem Rządu RP o stosowaniu odrębnych szczegółowych regulacji o ochronie danych osobowych:
• Kościół katolicki,
• Polski Autokefaliczny Kościół Prawosławny,
• Kościół Adwentystów Dnia Siódmego w Rzeczypospolitej Polskiej,
• Kościół Ewangelicko-Augsburski,
• Kościół Ewangelicko-Reformowany w RP,
• Kościół Boży w Polsce z siedzibą w Krakowie,
• Społeczność Chrześcijańska Miejsce Odnowienia z siedzibą w Lublinie,
• Wspólnota Chrześcijańska „Wrocław dla Jezusa" z siedzibą we Wrocławiu,
• Kościół Pentekostalny w Rzeczpospolitej z siedzibą w Żorach,
• Zbór Ewangelicko-Baptystycznego z siedzibą w Katowicach,
• Misja Pokoleń z siedzibą w Krakowie,
• Ewangeliczny Kościół Metodystyczny z siedzibą w Krakowie,
• Powszechny Kościół Ludu Bożego z siedzibą w Jarocinie.
Przykładem takich szczegółowych zasad ochrony danych osobowych jest „Dekret ogólny w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych w Kościele katolickim", wydany na podstawie kan. 455 Kodeksu Prawa Kanonicznego przez Konferencję Episkopatu Polski 13 marca 2018 r., podczas 378. Zebrania Plenarnego w Warszawie.
Kościół lub związek wyznaniowy, który nie stosuje wskazanych w art. 91 RODO szczegółowych zasad ochrony danych musi w pełni przestrzegać postanowień RODO.
Jeżeli kościoły lub związki wyznaniowe, które stosują autonomiczne regulacje o ochronie danych osobowych, prowadzą także działalność regulowaną prawem państwowym, to do niej stosuje się bezpośrednio RODO. Dotyczy to np. przetwarzania danych przez prowadzone przez kościoły lub związki wyznaniowe szkoły działające na prawach szkół publicznych, czy przez podmioty mające status organizacji pożytku publicznego, domy pomocy itp. Tak samo będzie gdy podmioty kościelne będą przetwarzały dane osobowe w kontekście prowadzenia działalności gospodarczej.
Warto dodać, że RODO m.in. daje kościołom lub związkom wyznaniowym możliwość przetwarzania szczególnych kategorii danych, do których, zgodnie z art. 9 RODO, zalicza się dane dotyczące przekonań religijnych. W myśl art. 9 ust. lit. d RODO jest to dopuszczalne w ramach uprawnionej działalności prowadzonej z zachowaniem odpowiednich zabezpieczeń przez fundację, stowarzyszenie lub inny niezarobkowy podmiot o celach religijnych, pod warunkiem że przetwarzanie dotyczy wyłącznie członków lub byłych członków tego podmiotu lub osób utrzymujących z nim stałe kontakty w związku z jego celami oraz że dane osobowe nie są ujawniane poza tym podmiotem bez zgody osób, których dane dotyczą.
2. Kto w takich sytuacjach odpowiada za nadzór nad ochroną danych osobowych: UODO – kościół/związek wyznaniowy?
Zgodnie z art. 91 ust. 2 RODO, kościoły lub związki wyznaniowe, które stosują szczegółowe zasady ochrony danych osobowych, podlegają nadzorowi niezależnego organu nadzorczego, który może być organem odrębnym. Czyli nie musi to być Prezes UODO.
Po 25 maja 2018 r. Prezes UODO został poinformowany bezpośrednio lub za pośrednictwem Rządu RP o wyznaczeniu następujących niezależnych organów nadzorczych:
• Kościelny Inspektor Ochrony Danych powołany przez Kościół katolicki,
• Kościelny Inspektor Ochrony Danych Osobowych Polskiego Autokefalicznego Kościoła Prawosławnego,
• Kurator Ochrony Danych Osobowych Kościoła Adwentystów Dnia Siódmego w Rzeczypospolitej Polskiej,
• Ewangelicka Komisja Wspólna Ochrony Danych Osobowych powołana przez Kościół Ewangelicko-Augsburski i Kościół Ewangelicko-Reformowany w RP,
• Międzykościelna Komisja Ochrony Danych Osobowych, utworzona przez:
- Kościół Boży w Polsce z siedzibą w Krakowie,
- Społeczność Chrześcijańska Miejsce Odnowienia z siedzibą w Lublinie,
- Wspólnotę Chrześcijańską „Wrocław dla Jezusa" z siedzibą we Wrocławiu,
- Kościół Pentekostalny w Rzeczpospolitej z siedzibą w Żorach,
- Zbór Ewangelicko-Baptystycznego z siedzibą w Katowicach,
- Misję Pokoleń z siedzibą w Krakowie,
- Ewangeliczny Kościół Metodystyczny z siedzibą w Krakowie,
- Powszechny Kościół Ludu Bożego z siedzibą w Jarocinie.
Przetwarzanie danych w kościołach lub związkach wyznaniowych, które nie stosują autonomicznych regulacji w zakresie ochrony danych osobowych podlega nadzorowi Prezesa UODO. Nadzorowi Prezesa UODO podlegają także te obszary przetwarzania danych, do których bezpośrednio stosuje się RODO.
3. Jaka jest rola Prezesa UODO w odniesieniu do kościołów i związków wyznaniowych w zakresie ochrony danych osobowych?
Artykuł 59 ust. 1 ustawy z dnia 10 maja 2018 r. o ochronie danych osobowych przewiduje współpracę Prezesa Urzędu z niezależnymi organami nadzorczymi powołanymi na podstawie art. 91 RODO. Polski ustawodawca przewidział także możliwość zawierania przez Prezesa UODO porozumień o współpracy i wzajemnym przekazywaniu informacji z tymi organami nadzorczymi.
W lutym 2019 roku Prezes UODO kończy spotkania konsultacyjne z przedstawicielami poszczególnych kościołów i związków wyznaniowych, które zadeklarowały stosowanie autonomicznych regulacji w zakresie ochrony danych osobowych. W najbliższym czasie Prezes UODO zamierza zawrzeć odpowiednie porozumienia o współpracy z poszczególnymi kościelnymi organami nadzorczymi.
W odniesieniu do kościołów i związków wyznaniowych, które nie stosują autonomicznych regulacji w zakresie ochrony danych osobowych, Prezes UODO ma pełne kompetencje nadzorcze, które będzie realizował przy poszanowaniu konstytucyjnej autonomii kościołów i związków wyznaniowych.
Prezes UODO wspiera wszelkie działania mające na celu zwiększanie świadomości w zakresie ochrony danych osobowych w kościołach i związkach wyznaniowych. Jedną z takich inicjatyw było objęcie przez Prezesa UODO patronatem honorowym prowadzonych na Uniwersytecie Kardynała Wyszyńskiego w Warszawie studiów podyplomowych poświęconych ochronie danych osobowych w Kościele.
4. Kto jest właściwy do rozpatrywania wniosków o usunięcie lub zmianę danych przetwarzanych przez Kościół katolicki w związku z apostazją?
W takich sprawach właściwy jest Kościelny Inspektor Ochrony Danych, a nie Prezes UODO. Zgodnie z art. 14 „Dekretu ogólnego w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych w Kościele katolickim", prawo do żądania usunięcia danych nie przysługuje w przypadku, gdy dane dotyczą udzielonych sakramentów bądź w inny sposób odnoszą się do kanonicznego statusu osoby. Tego typu wniosek powinien zostać odnotowany w zbiorze i zobowiązuje administratora do niewykorzystywania danych objętych wnioskiem bez zgody ordynariusza miejsca lub wyższego przełożonego instytutu życia konsekrowanego lub stowarzyszenia życia apostolskiego.
Ta kwestia była przedmiotem rozstrzygnięć sądów administracyjnych przed rozpoczęciem stosowania RODO. Dla przykładu warto wskazać na postanowienie Naczelnego Sądu Administracyjnego z 21 maja 2018 r. (sygn. akt I OPS 6/17), w którym stwierdzono, że „GIODO jako organ administracji publicznej nie powinien wkraczać w zastrzeżoną dla Kościoła sferę wykonywania jego zadań statutowych i rozstrzygać kto jest członkiem danej wspólnoty wyznaniowej, ani też ingerować w treść ksiąg kościelnych. Czynności podejmowane w procedurze formalnego wystąpienia z Kościoła katolickiego, w tym adnotacje w akcie chrztu są w całości uregulowane w aktach prawnych Kościoła katolickiego. A zatem, organ ustala przynależność do Kościoła wyłącznie na podstawie dowodu, jakim jest akt chrztu z adnotacją o wystąpieniu z Kościoła. Ustalenie tego faktu na podstawie innych dowodów jest niedopuszczalne".
Obecnie w tego typu sprawach Prezes UODO wydaje postanowienia o odmowie wszczęcia postepowania. Po 25 maja 2018 r. liczba tego typu skarg jest niewielka.
5. Jakie mamy prawa w zakresie ochrony danych osobowych przetwarzanych przez Kościoły lub Związki wyznaniowe?
Członkowie kościołów lub związków wyznaniowych powinni być informowani o swoich prawach związanych z przetwarzaniem danych osobowych. Służą im również pozostałe prawa gwarantowane przez RODO. W sytuacjach objętych nadzorem przez kościelne organy nadzorcze takim osobom służy skarga do nich.
