Ks. prof. Mazurkiewicz: Kościół przyjmuje nowe standardy ochrony danych osobowych

8 min. zajmie Ci przeczytanie tego artykułu.

Ta inicjatywa wyszła od Unii Europejskiej, a jej intencją było podniesienie standardów ochrony danych osobowych w związku z rozwojem nowych technologii i potrzebą zagwarantowania w tym zakresie praw obywatelom. Kościół przyjmuje te nowe standardy – mówi ks. prof. Piotr Mazurkiewicz z Uniwersytetu Kardynała Stefana Wyszyńskiego, członek powołanego przez Episkopat Polski zespołu ekspertów, który pracuje nad dostosowaniem zasad ochrony danych w Kościele katolickim w Polsce do nowych przepisów.

Ekspert zapowiada również powołanie urzędu Kościelnego Inspektora Ochrony Danych.

Za miesiąc, 25 maja, zacznie obowiązywać RODO, czyli unijne rozporządzenie z 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych. Zastąpi ono dyrektywę w tym zakresie z 1995 r. Do tego czasu państwa unijne mają obowiązek dostosować swoje wewnętrzne prawo w zakresie przetwarzania danych osobowych do przepisów nowego dokumentu. Obowiązek ten spoczywa także na Kościołach i związkach wyznaniowych, przy poszanowaniu wszelkiej ich autonomii.

Wewnętrzną procedurę przygotowawczą Kościoła katolickiego w Polsce do nowych przepisów zawiera „Dekret ogólny Konferencji Episkopatu Polski w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych w Kościele katolickim”. Dokument uzyskał już wymagane recognitio Stolicy Apostolskiej i w najbliższym czasie zostanie on ogłoszony. Dzięki dekretowi nastąpi ujednolicenie zasad stosowania przepisów, które istnieją w Kościele w Polsce przynajmniej od kilkudziesięciu lat, a dotyczą ochrony danych osobowych.

W dokumencie opisano m.in. zasady i standardy przetwarzania danych przez kościelne jednostki organizacyjne, takie jak diecezje, parafie czy zgromadzenia zakonne. Wyszczególniono także obowiązki administratora danych, zarówno wobec danych zwykłych, jak i danych wrażliwych. Jeden z rozdziałów normuje ponadto status KIODO, czyli kościelnego inspektora ochrony danych osobowych – niezależnego organu nadzoru w tym zakresie.


Rozmowa z ks. prof. Piotrem Mazurkiewiczem, członkiem (powołanego przez Konferencję Episkopatu Polski) Zespołu Roboczego ds. Opracowania Wewnątrzkościelnych Regulacji Ochrony Danych Osobowych:

Łukasz Kasper: Dostosowanie kościelnych przepisów dotyczących ochrony danych osobowych do unijnego rozporządzenia RODO to formalność, czy gruntowna zmiana?

Ks. prof. Piotr Mazurkiewicz: Zmianie ulegają unijne regulacje na temat ochrony danych osobowych. Dojdzie do dość głębokiej zmiany w tym zakresie w całej Unii Europejskiej. Po raz pierwszy przepisy te będą miały bezpośrednie zastosowanie, gdyż do tej pory obowiązywała unijna dyrektywa, wymagająca implementacji do prawa krajowego za pomocą ustawy.

Mimo znajomości przepisów RODO trudno przewidzieć, jak głęboko zmieni się codzienna praktyka przetwarzania danych i ile przy tej okazji – przynajmniej na początku – pojawi się zapewne zamieszanie. Odpowiedzialność za zagwarantowanie odpowiedniej ochrony danych osobowych została przerzucona bezpośrednio na tego, kto je przetwarza. Z wprowadzeniem zmian zmaga się Ministerstwo Cyfryzacji i urząd Głównego Inspektora Ochrony Danych Osobowych. Można także zaobserwować niepokój np. ze strony przedsiębiorców i wszystkich innych podmiotów, którzy przetwarzają dane. Co faktycznie muszą zrobić, aby być przygotowani na moment wejścia w życie nowego prawo?

Aby Kościół mógł zachować swoją autonomię w ochronie osób fizycznych w zakresie przetwarzania danych osobowych, dotychczasowy kościelny system ochrony tych danych musi być dostosowany do standardów rozporządzenia unijnego. Dla Kościoła jest bardzo ważne utrzymanie tej autonomii, tzn. np. możliwości samodzielnego decydowania o wpisach do ksiąg parafialnych lub ewentualnych w nich zmianach oraz o tym, kto może mieć wgląd do tego typu danych. Wymaga to takiego przeorganizowania działania instytucji kościelnych, aby poziom ochrony danych był analogiczny do gwarantowanego w instytucjach świeckich.

Mówi o tym art. 91 unijnego rozporządzenia RODO: jeśli w państwie członkowskim, w momencie wejścia w życie tegoż dokumentu, Kościoły i związki wyznaniowe stosują szczegółowe zasady przetwarzania danych osobowych, to mogą tak czynić nadal pod warunkiem, że zostaną one dostosowane do rozporządzenia.

– Z punktu widzenia prawa unijnego – mówi o tym art. 17 Traktatu o funkcjonowaniu Unii Europejskiej – jest oczywiste, że Unia Europejska nie ma żadnych kompetencji do tego, aby wpływać na status prawny Kościołów w państwach członkowskich. Poważne zmiany w zakresie mechanizmów ochrony danych osobowych w Kościołach w istotny sposób wpływałyby na ten status. Gdyby zatem nie było możliwości skorzystania z art. 91 w wielu krajach relacje państwo-Kościół zmieniłyby się w sposób istotny pod wpływem rozporządzenia.

Państwo przejęłoby wówczas od Kościołów i związków wyznaniowych pieczę nad ochroną danych osobowych?

– Modele relacji państwo-Kościół w poszczególnych krajach unijnych są bardzo różne, ukształtowane historycznie. W Polsce był moment, gdy władza komunistyczna rekwirowała księgi parafialne.

Jeśli zatem Unii nie wolno zmieniać statusu prawnego Kościołów, muszą one mieć daleko idącą swobodę co do rozstrzygnięć dotyczących przetwarzania danych osobowych. Art. 91 mówi, że jeśli w państwie członkowskim szczegółowe zasady ochrony danych osobowych w Kościele funkcjonowały przed 2016 rokiem [data wejścia w życie rozporządzenia RODO – KAI], to – po niezbędnym dostosowaniu ich do rozporządzenia – mogą one funkcjonować tworząc autonomiczny system. Ten przepis potencjalnie musi być możliwy do zastosowania we wszystkich krajach członkowskich, gdyż w przeciwnym razie powstałoby podejrzenie, że prawodawca świadomie chce dyskryminować niektóre państwa członkowskie.

Mamy świadomość, że o ile Kościół katolicki w Polsce jako Kościół większościowy miał przed 2016 rokiem rozbudowany system ochrony danych osobowych, choć działał on w postaci szeregu rozproszonych aktów prawnych, to w mniejszych Kościołach – które również zamierzają skorzystać z tej możliwości – ten system był dużo mniej rozbudowany. Istotne jest jednak to, by i one miały prawo skorzystania z art. 91.

W Polskiej Radzie Ekumenicznej powstała nawet koncepcja utworzenia jednego wspólnego urzędu ochrony danych osobowych, ale ostatecznie tak się nie stanie.

– Kościoły zrzeszone w Radzie Ekumenicznej mają prawo podejmować własne decyzje. Przepis jest dość ogólny, nie zawiera zbyt wielu wskazówek, odnośnie konkretnych praktycznych rozwiązań. Nie jest także przewidziana żadna instancja, która miałby możliwość decydowania o tym, który z kościołów ma prawo skorzystać z art. 91. Po prostu trzeba mieć system ochrony danych, zapewniający określone w rozporządzeniu standardy.

Procedury dostosowawcze Kościoła katolickiego w Polsce do rozporządzenia RODO zostały opisane w specjalnym dekrecie Konferencji Episkopatu Polski, który uzyskał już wymagane recognitio Stolicy Apostolskiej. Po 25 maja br. zakres spraw podejmowanych w ramach kościelnego przetwarzania danych zmieni się?

– Zasadniczo nie. Inicjatywa zmiany dotychczasowych przepisów wyszła bowiem nie od Kościoła, ale od Unii Europejskiej. Kościół w tym wypadku reaktywnie dokonuje zmian koniecznych do tego, aby utrzymać gwarantowaną mu konstytucyjnie i konkordatowo autonomię. Ochrona danych była w Kościele na stosunkowo wysokim poziomie, dlatego nie było konieczności jakiejś nagłej zmiany. Natomiast intencją Unii Europejskiej było podniesienie standardów ochrony danych osobowych i zagwarantowane w tym zakresie praw obywatelom. Spowodowane to było, z jednej strony, komercjalizacją samych danych, a z drugiej, wyzwaniami związanymi z rozwojem nowych technologii. Kościół przyjmuje te nowe standardy, mając świadomość, że w swojej pracy również wykorzystuje te technologie. Mamy nie tylko księgi pisane na papierze, ale też cyfrowe zbiory danych i musimy myśleć, jak je zabezpieczać.

Różnicę w podejściu kościelnym i świeckim widać np. w odmiennym stosunku do kwestii profilowania danych. Pamiętamy o ostatniej aferze Cambridge Analytica. Dane są dziś towarem, mają pewną wartość finansową i zdajemy sobie z tego dobrze sprawę. Ale są też towarem politycznym. Jesteśmy blisko momentu, w którym demokratyczne wybory będzie można po prostu kupić. Dostęp do sprofilowanych danych osobowych może się przełożyć na kapitał polityczny, czyli na możliwość zdobycia władzy. W demokratycznych państwach jest to zatem towar wrażliwy. Tam, gdzie panuje dyktatura, z pomocą nowych technologii co najwyżej można w jeszcze doskonalszy sposób wcielać system represji. W państwach demokratycznych uznajemy, że wybory są wtedy demokratyczne, gdy ludzie podejmują świadome i dobrowolne decyzje. Jeśli istniałaby możliwość „wyłączenia” ich świadomości i dobrowolności w momencie podejmowania decyzji wyborczych, trudno byłoby uznać takie wybory za demokratyczne. 

Reasumując, przepisy RODO regulują ów proces dopuszczalnego profilowania danych. W dekrecie kościelnym nie ma w ogóle takiego działu, gdyż Kościół tego nie robi. Z założenia nie chce w ten sposób postępować z danymi swoich wiernych.

Nie ma zatem obaw, że Kościół przystąpi do realizowania unijnego rozporządzenia nieprzygotowany?

– Czasu na dostosowanie się nie było dużo, bo zaledwie dwa lata. Przejście przez kościelne procedury wymagało czasu. Prace angażowały nie tylko Konferencję Episkopatu Polski, ale konieczne było także uzgodnienie i ostateczne zatwierdzenie dekretu przez Stolicę Apostolską.

Na mocy dekretu Episkopatu, zostanie powołany urząd Kościelnego Inspektora Ochrony Danych. Jest to wymagany przez RODO urząd niezależnego nadzoru nad danymi osobowymi. Osoba, która go obejmie jako pierwsza, siłą rzeczy nie będzie mieć dużego praktycznego doświadczenia w tym zakresie. Organizacja tego urzędu będzie wymagała czasu.

Jak zdaniem Księdza Profesora, do nowych przepisów przygotowane są diecezje, parafie, zgromadzenia zakonne czy kościelne organizacje różnego typu?

– Kościół jest w nieco trudniejszej sytuacji niż państwo. Choć przepisy RODO są znane od prawie dwóch lat, to na razie nie ma jeszcze rządowej ustawy w zakresie dostosowania się do nowej regulacji. Widać zatem, że i dla instytucji państwa okres na przygotowanie się nie był nadmiernie długi. W przypadku Kościoła dwa lata przygotowań poświęcone zostały na przygotowanie dekretu. Podmioty kościelne muszą się zatem dostosować do aktu prawnego, który zostanie ogłoszony w najbliższych dniach, ale którego na razie nie znają.

Nie stwarza to wrażenia chaosu?

– Zobaczymy, co się będzie działo w świecie świeckim. Przypuszczam, że w Kościele chaosu będzie dużo mniej. Dlaczego? Kościół ma długą praktykę ochrony prywatności, poczynając od czegoś, co może mało kojarzy się z ochroną danych osobowych, czyli od tajemnicy spowiedzi. Jest świadomość, że informacje o wierze człowieka są informacjami wrażliwymi, dlatego duchowni mają szczególnie wyczucie w tym zakresie. Większego uporządkowania będzie być może wymagało postępowanie w przypadku danych zwykłych. Trudno powiedzieć, czy wszystko pójdzie bezproblemowo i jak wielu trudnym wyzwaniom będzie musiał sprostać Kościelny Inspektor Ochrony Danych, ale nie jest też tak, żebyśmy startowali od zera.

Ks. prof. Mazurkiewicz: Kościół przyjmuje nowe standardy ochrony danych osobowych
Oceń ten artykuł

Zobacz także
Wasze komentarze