Jak po 25 maja chronić dane osobowe? - powstał kościelny poradnik


11 maja 2018 r., Łukasz Kasper / Warszawa / KAI

Jak po 25 maja chronić dane osobowe? - powstał kościelny poradnik

Kościelne jednostki prawne, czyli m.in. kurie diecezjalne, prowincje i domy zakonne otrzymały omówienie specjalnego dekretu Episkopatu Polski na temat zmian w przepisach ochrony danych osobowych, jakie nastąpią 25 maja wraz z początkiem obowiązywania unijnego rozporządzenia RODO. Ma to im pomóc w zrozumieniu tych zmian m.in. na poziomie parafialnym, w kontaktach z wiernymi, ale także niekatolikami.
25 maja zacznie obowiązywać rozporządzenie Parlamentu Europejskiego i Rady (UE) z 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych.

Do tego czasu państwa unijne mają obowiązek dostosować swoje wewnętrzne prawo w zakresie przetwarzania danych osobowych do tegoż dokumentu. Obowiązek ten spoczywa także na Kościołach i związkach wyznaniowych, przy poszanowaniu wszelkiej ich autonomii. Jeśli Kościoły nie stworzyłyby własnego urzędu, to ich zadania przetwarzania danych osobowych przejmie organ państwowy.

Kościół katolicki w Polsce ogłosił 30 kwietnia specjalny dekret ws. ochrony osób fizycznych w związku z kościelnym przetwarzaniem danych osobowych. Dzięki temu dokumentowi nastąpiło ujednolicenie zasad stosowania przepisów, które istnieją w Kościele przynajmniej od kilkudziesięciu lat, a dotyczą ochrony danych osobowych.

Jak w praktyce będą realizowane nowe unijne przepisy w odniesieniu do kościelnego przetwarzania danych osobowych i których instytucji kościelnych konkretnie będą te przepisy dotyczyły?

Wyjaśnienia w formie pytań i prostych odpowiedzi zaprezentowano na szkoleniu dla kanclerzy kurii, oficjałów sądów biskupich i inspektorów ochrony danych, które odbyło się 7 maja w Sekretariacie Episkopatu Polski w Warszawie*.

Te swoiste FAQ (Frequently Asked Questions - często zadawane pytania) lepiej tłumaczą, co się zmieni i kogo ewentualne zmiany obejmą. Oprócz kurii zostały one rozesłane m.in. do prowincji i domów zakonnych oraz instytutów życia konsekrowanego z prośbą o dokładne zapoznanie się i skorzystanie z nich w przygotowaniach do wejścia w życie nowych przepisów.


Przetwarzanie danych - co to jest?


Przede wszystkim należałoby wyjaśnić, że na przetwarzanie danych osobowych składa się szereg różnych czynności. Jest to m.in. zbieranie, porządkowanie, przechowywanie, modyfikowanie, pobieranie, przeglądanie, ujawnianie poprzez przesłanie, rozpowszechnianie lub innego rodzaju udostępnianie, dopasowywanie lub łączenie, ograniczanie, usuwanie lub niszczenie tychże danych.

W działalności Kościoła zbiorem danych są zwłaszcza księgi parafialne zawierające rejestr ochrzczonych, bierzmowanych, Pierwszej Komunii świętej, zawartych małżeństw czy zgonów. Takim zbiorem danych jest też rejestr parafian, alumnów seminariów duchownych, nowicjuszy i członków instytutów życia konsekrowanego i stowarzyszeń życia apostolskiego.

W rozumieniu dekretu KEP zbiorem danych nie jest jednak np. zwykły spis kontaktów telefonicznych czy w postaci adresów poczty elektronicznej w pamięci telefonu lub na koncie pocztowym.


Kto jest administratorem danych?


Administratorem danych w działalności Kościoła jest, z zachowaniem odpowiednich norm Kodeksu Prawa Kanonicznego oraz statutów wewnętrznych, np. parafia, diecezja, prowincja zakonna lub dom zakonny.

W dekrecie wspomina się też o szczególnych kategoriach danych, tzw. danych wrażliwych. Chodzi o dane ujawniające pochodzenie rasowe lub etniczne, poglądy polityczne, przekonania religijne lub światopoglądowe, przynależność do związków zawodowych oraz dane genetyczne, dane biometryczne oraz dane dotyczące zdrowia lub seksualności osoby fizycznej.

Których instytucji kościelnych dotyczą przepisy dekretu Episkopatu Polski? Obejmują one tzw. kościelne publiczne osoby prawne, które organizują i prowadzą działalność wynikającą z misji Kościoła, czyli zwłaszcza diecezje (a w nich przede wszystkim kurie i sądy kościelne), parafie (a w nich np. bractwa i grupy duszpasterskie), prowincje i domy zakonne, seminaria duchowne oraz publiczne stowarzyszenia wiernych.

Natomiast instytucje kościelne prowadzące działalność m.in. o charakterze edukacyjnym (np. szkoły, biblioteki), opiekuńczym czy leczniczym (np. hospicja) stosują się w tym zakresie do przepisów prawa powszechnie obowiązującego w danym obszarze działalności.


Prawa wiernego


Pytaniem bodaj najczęściej trapiącym wiernych może być to, czy jest konieczna zgoda osób korzystających z posług religijnych, duszpasterskich, charytatywnych, administracyjnych i sądowych na gromadzenie i przetwarzanie ich danych osobowych koniecznych do wypełniania tych posług?

Zgoda taka nie jest wymagana, gdy gromadzenie i przetwarzanie danych wynika z przepisów prawa kanonicznego. Każda osoba, także niekatolik, zwracając się do Kościoła w każdej sprawie będącej w jego kompetencjach, winna wiedzieć, że jej dane będą przetwarzane zgodnie z obowiązującym prawem kanonicznym. Zgoda jest natomiast konieczna, gdy dane mają być przetwarzane w innym celu niż wyżej wskazane.


Obowiązki proboszcza


Osobą odpowiedzialną za gromadzenie i przetwarzanie danych w parafii jest proboszcz. To na nim spoczywa obowiązek czuwania nad prawidłowym zachowaniem odpowiednich przepisów prawa kanonicznego oraz koordynacji działalności ewentualnych współpracowników. W innych instytucjach kościelnych osobą odpowiedzialną jest przełożony danej instytucji.

Nie ma obowiązku powoływania inspektora ochrony danych w każdej parafii i w każdej innej kościelnej osobie prawnej. Wystarczy, że inspektor będzie powołany np. w diecezji dla wszystkich podległych podmiotów, albo dla całej prowincji zakonnej czy nawet kilku zgromadzeń.

Proboszcz ma w szczególności dbać o zachowanie standardów przetwarzania danych, a w szczególności dbać o ich staranne gromadzenie, zabezpieczenie i przetwarzanie. Powinien unikać gromadzenia danych, które nie są wymagane przez przepisy prawa kanonicznego i praktykę duszpasterską.

Proboszcz powinien też - niezwłocznie - uaktualniać dane na zgodny z prawem wniosek osoby zainteresowanej. W odniesieniu do danych zawartych w parafialnych księgach metrykalnych może jednak dokonywać zmian wyłącznie za zgodą biskupa miejsca.

Proboszcz musi dbać o takie przechowywanie i przetwarzane danych, aby zapewnić im odpowiednie bezpieczeństwo, w tym ochronę przed niedozwolonym przetwarzaniem, przypadkową utratą, zniszczeniem lub uszkodzeniem.

Do jego obowiązków należy zwłaszcza dbanie o to, by wszystkie księgi metrykalne i inne zbiory danych były przechowywane w pomieszczeniu zamkniętym i zabezpieczonym przed wejściem osób nieuprawnionych. Pomieszczenie to musi być wyposażone w odpowiednie drzwi, zamek i zabezpieczenie okien. Ważne jest ponadto właściwe zabezpieczenie systemów informatycznych, w których znajdują się zbiory danych.

Proboszcz może udzielać upoważnienia na dostęp do danych innym osobom i je odwoływać. Powinien nadzorować ów dostęp przez upoważnione przez niego osoby, w tym przez innych duszpasterzy i pracowników parafii, a w szczególności czuwać, by osoby przez niego nieupoważnione nie miały dostępu do zbiorów.

Gdyby stwierdził, że dostęp do takich danych uzyskały osoby nieupoważnione, proboszcz powinien jak najszybciej (a najpóźniej 72 godziny po wykryciu nieprawidłowości) poinformować o tym zdarzeniu Kościelnego Inspektora Ochrony Danych oraz właściwe władze kościelne, chyba że jest mało prawdopodobne, by zdarzenie skutkowało naruszeniem praw lub wolności osób fizycznych.

Państwowe organy ścigania winny być poinformowane o naruszeniu, jeżeli skutkiem była utrata lub zniszczenie rejestrów, akt, dokumentów urzędowych, indeksów i katalogów zawierających dane osobowe i jeżeli zachodzi podejrzenie popełnienia przestępstwa.


Rejestrowanie przetwarzania danych


Na czym polega prowadzenie rejestru czynności przetwarzania danych osobowych? Czy konieczne jest rejestrowanie w nim każdego pojedynczego zdarzenia, np. wydania zaświadczenia lub odpisu aktu? To nie jest konieczne, gdyż prowadzenie rejestru polega na spisaniu jedynie kategorii czynności, które są wykonywane z wykorzystaniem danych. Wydanie np. odpisu aktu czy zaświadczenia wystarczy odnotować zgodnie z przepisami prawa kanonicznego lub w zwyczajowo przyjęty sposób.

Proboszcz nie musi osobiście dokonywać wpisów, może zlecić tę pracę innej osobie (duchownej, np. wikariuszowi, lub świeckiej, np. pracownikowi biura parafialnego), ale pod warunkiem zobowiązania jej do zachowania tajemnicy. Upoważnienie może być dokonane w formie ustnej lub pisemnej, ale powinna być prowadzona ewidencja osób upoważnionych do przetwarzania danych.

Analogiczne obowiązki spoczywają na osobach odpowiedzialnych za przetwarzanie danych w innych niż parafia instytucjach kościelnych, których dotyczy dekret Episkopatu Polski.


Jak chronić dane?


Jakie dane są szczególnie chronione i przez jak długi czas? Dane dotyczące chrztów - do 100 lat wstecz; małżeństw - do 60 lat wstecz; zgonów – do 50 lat wstecz. Obejmuj to także inne dane konieczne do bieżącej pracy (np. księga intencji mszalnych, kartoteka parafialna, raptularze, rejestry osób, wykazy członków grup duszpasterskich i rad parafialnych, wykazy darczyńców i osób korzystających z pomocy charytatywnej).

Pomieszczenie, w którym przechowuje się dane, powinno być wyposażone w system zamknięcia, który gwarantuje wystarczającą ochronę przed kradzieżą i włamaniem. Klucze do pomieszczeń muszą być starannie przechowywane przez proboszcza lub osobę przez niego upoważnioną. Staranność powinna być dochowana także przy autoryzacji dostępu udzielanego osobom postronnym.

Księgi parafialne, kartoteki oraz inne zbiory i dokumenty zawierające dane, winny być przechowywane w metalowej szafie umocowanej do podłoża lub ściany, zamykanej na zamek, który gwarantuje wystarczającą ochronę przed kradzieżą i włamaniem.

Księgi oraz inne zbiory i dokumenty, mogą pozostawać poza szafą, w której są przechowywane (np. na biurku) wyłącznie na czas dokonywania odpowiednich czynności. W żadnym przypadku nie wolno pozostawiać ich niezabezpieczonych poza godzinami pracy biura parafialnego, zwłaszcza w godzinach nocnych.

Ponadto należy zorganizować wydawanie wypisów z ksiąg parafialnych w taki sposób, aby osoby znajdujące się w pomieszczeniu nie miały możliwości wglądu w dane innych osób (np. sąsiednie akty chrztu, małżeństwa itp.).


Jakie dane można gromadzić i przetwarzać?


W Kościele przetwarzane są dane osobowe, w tym te wrażliwe, osób ochrzczonych w Kościele katolickim i tych, którzy po chrzcie zostali do niego przyjęci (członków Kościoła), łącznie z tymi, którzy złożyli formalne oświadczenie woli o wystąpieniu z Kościoła katolickiego zgodnie z jego wewnętrznymi przepisami („byłych członków Kościoła”) oraz osób niebędących katolikami, a utrzymujących z nim stałe kontakty w konkretnych sytuacjach (chodzi np. o osoby korzystające z pomocy charytatywnej, czy też narzeczonych i małżonków niebędących katolikami).

Dane osobowe mogą być ujawniane wyłącznie w instytucjonalnych relacjach wewnątrzkościelnych. Dane te nie mogą być przekazywane poza Kościół bez zgody osób, których dane dotyczą, z wyjątkiem zgodnego z prawem żądania ze strony organów publicznych. O innych przypadkach mówi szczegółowo art. 7 dekretu KEP.


Poniżej zamieszczamy odpowiedzi na kilka konkretnych pytań, jakie mogą się pojawić w związku ze zmianami w przepisach kościelnej ochrony danych osobowych.

1. Komu wolno wydać świadectwo chrztu lub kopię aktu chrztu?

- Świadectwo chrztu i kopia aktu chrztu mogą zostać wydane wyłącznie osobom, których akt dotyczy, jeżeli są pełnoletnie, oraz, w przypadku aktu osób małoletnich, ich rodzicom lub prawnym opiekunom.

- Inne osoby mogą je otrzymać wyłącznie na podstawie pełnomocnictwa udzielonego przez wyżej wymienione osoby.

- Kopia aktu chrztu i świadectwo chrztu mogą również zostać przesłane do parafii zamieszkania osoby wnioskującej o wydanie dokumentu i tam mogą zostać odebrane, po zweryfikowaniu tożsamości i uprawnień osoby odbierającej (np. pełnomocnictwa).

- Kopia aktu chrztu może zostać wykonana wyłącznie przez proboszcza lub osoby przez niego upoważnione, dowolną techniką, z zastrzeżeniem, aby akty sąsiednie zostały przesłonięte.

2. Czy takie same zasady obowiązują przy wydawaniu innych świadectw, kopii aktów i zaświadczeń?

- Tak, takie same zasady obowiązują przy wydawaniu świadectwa i kopii aktu małżeństwa i innych zaświadczeń (np. zaświadczeń dla chrzestnych, opinii o religijności itp.).

- Świadectwa i kopie aktów chrztu i małżeństwa osób zmarłych oraz świadectwo i kopia aktu zgonu mogą także być wydawane krewnym, spadkobiercom lub innym osobom, które wykażą interes prawny.

3. Czy za wydanie świadectw i kopii aktów wolno pobierać opłaty?

- Skrócone świadectwo chrztu do Pierwszej Komunii św. i bierzmowania wydawane są nieodpłatnie, co nie wyklucza złożenia dobrowolnej ofiary.

- Koszty związane ze sporządzeniem i wydaniem kopii i świadectwa chrztu (w innym celu niż wspomniany wyżej), małżeństwa lub zgonu ponosi osoba wnioskująca o ich wydanie.

4. Czy wolno udostępnić księgi parafialne do celów badań naukowych lub genealogicznych?

- Przeglądanie i badanie ksiąg ochrzczonych w celach naukowych lub genealogicznych wymaga odrębnego zezwolenia proboszcza lub ordynariusza miejsca.

- Nie mogą zostać udostępnione do tych badań księgi zawierające dane dotyczące zdarzeń, które miały miejsce w czasie chronionym (czyli chrztów - mniej niż 100 lat, małżeństw mniej niż 60 lat i zgonów - mniej niż 50 lat).

5. Czy wolno przechowywać i przetwarzać dane w formie elektronicznej?

- Wolno przechowywać i przetwarzać dane w formie elektronicznej, z zastrzeżeniem pełnej ochrony tych danych.

- Przy zachowaniu szczególnej staranności dane wolno przekazywać uprawnionym pod-miotom także drogą elektroniczną.

- Komputer, na którym przechowywane są dane osobowe, z zasady nie powinien służyć do celów prywatnych i nie może być udostępniany osobom postronnym. Dostęp do niego mogą mieć wyłącznie osoby upoważnione. Zainstalowane jest na nim legalne oprogramowanie chronione odrębnym hasłem.

6. Jakie dane wolno upubliczniać w ogłoszeniach parafialnych, na tablicach ogłoszeń, zamieszczać w gazetkach parafialnych i na stronach internetowych parafii?

- Wolno zamieszczać te informacje, które wynikają z obowiązku kanonicznego, np. zapowiedzi przedślubne w postaci imion, nazwisk i parafii zamieszkania narzeczonych, sądowe wezwanie edyktalne w celu ustalenia miejsca przebywania osoby, która jest stroną w procesie kanonicznym.

- Wolno zamieszczać informacje, które, zgodnie z miejscowym zwyczajem są podawane do publicznej wiadomości, jak np. wykaz intencji mszalnych, informacje o osobach ochrzczonych, osobach, które zawarły kanoniczny związek małżeński, osobach zmarłych, darczyńcach na rzecz parafii, z tym że osoby te lub ich przedstawiciele ustawowi mogą zastrzec prawo do niepublikowania tychże danych.

- Wolno zamieszczać informacje zawierające dane dotyczące udziału osób w zdarzeniach o charakterze publicznym, np. uczestników uroczystości kościelnych.

7. Czy wolno na stronie internetowej zamieszczać fotografie osób?

- Wolno zamieszczać fotografie, które stanowią relację ze zdarzenia o charakterze publicznym oraz fotografie osób sprawujących funkcje publiczne.

- Wizerunki (i inne dane) osób prywatnych mogą być publikowane wyłącznie za ich wyraźną zgodą, a w przypadku osób małoletnich za zgodą ich przedstawicieli ustawowych.

8. Czy proboszcz ma obowiązek usunięcia danych z ksiąg parafialnych na żądanie osoby, której te dane dotyczą?

- Proboszcz nie ma obowiązku ani możliwości usunięcia danych z ksiąg parafialnych.

- Prawo do żądania usunięcia danych nie przysługuje w przypadku, gdy dane dotyczą udzielonych sakramentów bądź w inny sposób odnoszą się do kanonicznego statusu osoby.

- Jeżeli tego typu wniosek zostanie złożony, to powinien zostać odnotowany w zbiorze i zobowiązuje proboszcza do niewykorzystywania danych objętych wnioskiem bez zgody ordynariusza miejsca lub wyższego przełożonego instytutu życia konsekrowanego lub stowarzyszenia życia apostolskiego.

9. Czy i w jakiej formie można zwrócić się do proboszcza o dokonanie zmian w zbiorach danych i jaka jest dalsza procedura?

- Wniosek o dokonanie zmian w parafialnych zbiorach danych może być złożony w dowolnej formie: pisemnej lub ustnej, osobiście lub przez pełnomocnika.

- W przypadku wniosku dotyczącego zmian w księgach ochrzczonych, małżeństw lub zgonów, na ich dokonanie proboszcz musi uzyskać pisemną zgodę ordynariusza miejsca.

- W przypadku odmowy dokonania zmiany wnioskodawca może odwołać się do ordynariusza miejsca, a w przypadku odmowy ze strony ordynariusza miejsca do Kościelnego Inspektora Ochrony Danych, a następnie do właściwej dykasterii Stolicy Apostolskiej.

- Proboszcz lub, w zależności od przypadku, ordynariusz miejsca mają obowiązek poinformować wnioskodawcę o procedurze odwoławczej.

10. Czy sąd kościelny może od proboszcza lub od innej instytucji kościelnej (np. innego sądu lub kurii) uzyskać dane (np. dane adresowe, dokumentację dotyczącą zawartego małżeństwa) dotyczące osób uczestniczących w procesie kanonicznym, w tym osób, które nie są i nigdy nie były członkami Kościoła katolickiego?

- Tak, pod warunkiem, że informacje te zostaną przekazane drogą służbową, za pośrednictwem poczty lub osób upoważnionych z parafii bezpośrednio do sądu. Dotyczy to też przekazywania danych z sądu do parafii, kurii, sądów lub innych instytucji kościelnych, w tym za granicą, a w szczególności do trybunałów i innych dykasterii Stolicy Apostolskiej.

- Te same zasady dotyczą także danych osób niebędących katolikami, które zawarły małżeństwo kanoniczne, którego dotyczy proces kanoniczny oraz innych osób, w szczególności świadków uczestniczących w procesie zgodnie z przepisami prawa kanonicznego.

- Podstawę do przetwarzania danych przez sąd kościelny w procesach dotyczących małżeństwa stanowi sam fakt zawarcia małżeństwa kanonicznego lub wola jego zawarcia.

W przypadku wątpliwości co do interpretacji przepisów dekretu Konferencji Episkopatu Polski należy zwrócić się o pomoc do najbliższego inspektora ochrony danych, np. w kurii diecezjalnej.


*Na podstawie dokumentu "Praktyczne wyjaśnienia dotyczące stosowania Dekretu ogólnego Konferencji Episkopatu Polski w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych w Kościele katolickim z dnia 13 marca 2018 roku" autorstwa Zespołu Konferencji Episkopatu Polski do spraw opracowania wewnątrzkościelnych regulacji ochrony danych osobowych.