fbpx Wesprzyj nas!

magazyn lewicy katolickiej

Czy Kościół w Polsce chroni dane osobowe?

Kościelny model ochrony danych wprawdzie istnieje, ale na jego jednoznaczną ocenę wciąż jest zbyt wcześnie. Czas pokaże, czy rzeczywiście zapewni on skuteczną ochronę prywatności. Wątpliwości jednak istnieją.
Czy Kościół w Polsce chroni dane osobowe?
ilustr.: Maciej Bykowski

Każdy z nas, przeglądając codziennie internet czy oglądając wiadomości, coraz częściej natrafia na informacje dotyczące „algorytmów”, „danych osobowych”, „RODO”, „wycieków danych”… Wydaje się wręcz, że media oraz opinię społeczną ogarnęła swoista obsesja na punkcie tego, jak chroniona jest nasza prywatność i jakie potencjalne zagrożenia dla niej niosą ze sobą nowe technologie. Jedyną instytucją w Polsce, która sprawia wrażenie nieobecnej w tej aktualnej debacie, jest Kościół rzymskokatolicki. Czy oznacza to, że Kościołowi nie zależy na bezpieczeństwie informacji, które przetwarza?

Pytanie to jest bardzo istotne w dobie społeczeństwa informacyjnego, w którym wszystkie elementy rzeczywistości przekłada się na dane, aby móc je następnie połączyć w pewną całość i opisać za pomocą matematycznego wzoru. Warto odnotować, że Kościół dysponuje nie tylko wiedzą o przyjętych przez daną osobę sakramentach, ale również na przykład o fakcie adopcji prawnej lub unieważnieniu małżeństwa. Ponadto kartoteki parafialne mogą zawierać informacje o stanie materialnym danej rodziny czy uczęszczaniu dzieci na lekcje religii. Kościół przetwarza więc dane mające znaczenie dla funkcjonowania parafii, ale odnotowuje też zdarzenia wywołujące skutki prawne w życiu jego członków. Szczególny charakter oraz ilość danych, które znajdują się w posiadaniu podmiotów kościelnych, czynią z nich prawdziwą skarbnicę wiedzy, a tym samym cenne źródło informacji dla, na przykład, cyberprzestępców.

RODO a autonomia Kościoła

W skrócie: ochrona danych osobowych w Kościele jest zagadnieniem złożonym oraz delikatnym z powodu konfliktu pomiędzy jego wspólnotowym charakterem a prawem jednostki do prywatności. Wraz z wejściem w życie ogólnego rozporządzenia o ochronie danych osobowych (RODO) wiele osób zaczęło zastanawiać się, w jakim zakresie regulacja ta obejmuje Kościół i w jaki sposób wpłynie na relacje pomiędzy wiernymi a duszpasterstwem. W krajowej publicystyce pojawiły się pytania między innymi o to, „czy RODO zbawi ateistów” oraz „dlaczego Kościół nie przestrzega RODO?”.

W artykule 91 ustęp 1 RODO unijny prawodawca umożliwił Kościołom oraz związkom lub wspólnotom wyznaniowym utworzenie autonomicznego, niezależnego od państwowego, systemu ochrony danych osobowych w zakresie wykonywanej działalności wewnętrznej. Kościół rzymskokatolicki w Polsce zdecydował się przyjąć takie rozwiązanie, wydając obowiązujący od 30 kwietnia 2018 roku „Dekret ogólny w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych”. Chociaż treść tego aktu prawnego w wielu miejscach pokrywa się z przepisami RODO, to Dekret nie stanowi wiernej kopii rozporządzenia. Należy bowiem zauważyć, że użyte przez unijnego prawodawcę w artykule 91 ustęp 1 RODO pojęcie „dostosowania” nie oznacza wcale zobowiązania danego podmiotu do dosłownego przejęcia całej treści rozporządzenia we własnym akcie wewnętrznym. Model ochrony danych osobowych Kościoła rzymskokatolickiego w Polsce uwzględnia więc aspekty teologiczne obowiązujące w tej wspólnocie. Oczywiście, w sprawach, które leżą w kompetencjach wyłącznie państwa lub jednocześnie Kościoła i państwa, zastosowanie wciąż będzie mieć RODO.

Jednym z uprawnień wynikających z unijnego rozporządzenia, które Kościół ograniczył właśnie z powodów przyjętych założeń doktrynalnych, jest prawo jednostek do zapomnienia, czyli usunięcia danych osobowych, które przewiduje artykuł 17 RODO. Zgodnie z treścią artykułu 14 ustęp 4 Dekretu prawo do usunięcia danych „nie przysługuje w przypadku, gdy dane dotyczą udzielonych sakramentów bądź w inny sposób odnoszą się do kanonicznego statusu osoby”. W doktrynie Kościoła przyjmuje się bowiem zasadę semel catholicus, semper catholicus (raz katolik, na zawsze katolik) związaną z niezniszczalnym charakterem chrztu świętego (kanon 849 kodeksu prawa kanonicznego). Dekret przewiduje jedynie odnotowanie takiego wniosku „w zbiorze i zobowiązuje administratora do niewykorzystywania danych objętych wnioskiem bez zgody ordynariusza miejsca lub wyższego przełożonego instytutu życia konsekrowanego lub stowarzyszenia życia apostolskiego”.

Autonomiczność modelu ochrony danych osobowych przyjętego przez Kościół rzymskokatolicki w Polsce wzmacnia również to, że skorzystał on z prawa do utworzenia własnego, niezależnego od państwowego, organu nadzorczego (artykuł 91 ustęp 2 RODO). Zgodnie z artykułem 35 Dekretu za monitorowanie oraz zapewnianie przestrzegania przepisów o ochronie danych osobowych w ramach i zgodnie z działaniem Kościoła rzymskokatolickiego i jego struktur odpowiedzialny jest specjalnie powołany do tego organ: Kościelny Inspektor Ochrony Danych (KIOD). W efekcie świecki organ nadzorczy w Polsce – Prezes Urzędu Ochrony Danych Osobowych (PUODO) – nie jest organem właściwym do rozpoznania ewentualnych skarg na działanie podmiotów kościelnych, co również zostało potwierdzone w orzecznictwie sądów administracyjnych.

Czy KIOD rzeczywiście działa?

Aby móc ocenić, czy Kościół podejmuje skuteczne kroki w celu zapewnienia ochrony danych osobowych wiernych, należy przyjrzeć się działalności Kościelnego Inspektora Ochrony Danych. W tym celu warto sięgnąć do rocznego sprawozdania tego organu, które jest przekazywane Konferencji Episkopatu Polski oraz publikowane w Aktach Konferencji Episkopatu Polski.

Aktualne sprawozdanie KIOD przypada na okres od 2 maja 2018 roku do 6 czerwca 2019 roku. Zgodnie z jego treścią KIOD między innymi zakończył osiem postępowań w sprawach rozpoczętych w wyniku zgłoszenia naruszenia danych osobowych oraz rozpoznał siedem skarg na niezgodne z prawem przetwarzanie danych przez administratorów. Niestety, zanonimizowana treść tych rozstrzygnięć – w przeciwieństwie do decyzji PUODO – nie jest nigdzie dostępna. Ponadto organ przeprowadził szereg szkoleń dla zgromadzeń zakonnych, diecezji, inspektorów ochrony danych poszczególnych podmiotów kościelnych (krótkie relacje z tych szkoleń można znaleźć na stronie internetowej KIOD) oraz rozesłał do podmiotów kościelnych (diecezjalnych i zakonnych) prośbę o wypełnienie ankiety sprawozdawczej dotyczącej podjętych przez nie działań związanych z realizacją Dekretu.

Działania podjęte przez KIOD w celu zwiększenia (oraz zbadania) poziomu wiedzy o ochronie danych osobowych w Kościele należy co prawda ocenić pozytywnie, ale jednocześnie nie da się nie zauważyć, że KIOD podczas pierwszego roku swojej działalności nie zorganizował żadnych spotkań i działań edukacyjnych przeznaczonych dla osób, których dane instytucje kościelne przetwarzają. Wydaje się więc, że organ zapomniał o wspólnotowym charakterze Kościoła. Wierni również powinni bowiem wiedzieć o istnieniu autonomicznego modelu ochrony danych osobowych przyjętego przez Kościół oraz znać (przynajmniej podstawowe) zasady jego funkcjonowania. W tym celu KIOD mógł przecież urządzić serię wykładów online czy też spotkań w Klubach Inteligencji Katolickiej.

Kolejną wartą uwagi inicjatywą KIOD, o której mowa w sprawozdaniu, jest regularne wydawanie „Podręcznika ochrony danych osobowych w Kościele katolickim. Komentarzy, wyjaśnień, wzorów i wskazówek dla administratorów danych osobowych (głównie parafii) oraz inspektorów ochrony danych publicznych kościelnych osób prawnych” oraz „Praktycznych wskazań” dotyczących tematów wymagających szczególnej uwagi, jak zakres ochrony danych osobowych w związku z wizytą duszpasterską (kolędą). I znowu – powyższe opracowania nie są bezpośrednio dostępne na stronie organu, a trzeba je wyszukiwać na własną rękę w różnych innych miejscach internetu.

W „Podręczniku…” znajdziemy wiele rozwiązań problemów, z jakimi podmiot kościelny może spotkać się jako administrator danych osobowych, między innymi w kwestiach zawiadamiania osoby o naruszeniu ochrony jej danych osobowych czy ogłaszania kar kościelnych. Lektura opracowania dostarcza również przykładowych odpowiedzi na pytania osób, których dane dotyczą (choćby o to, dlaczego bez zgody upubliczniono dane osobowe przy zapowiedziach przedmałżeńskich). Ciekawymi elementami tego opracowania są wzory klauzul informacyjnych i umów powierzenia przetwarzania danych osobowych. Wśród wspomnianych wzorów szczególną uwagę zwraca propozycja odpowiedzi na żądanie wykreślenia z księgi chrztu. Powtarza ona w zasadzie treść artykułu 14 ustęp 4 Dekretu, zawiera więc pojęcia typu „ordynariusz miejsca” czy „wyższy przełożony instytutu życia konsekrowanego”. Takie rozwiązanie wydaje się niezbyt szczęśliwe, ponieważ osoby, które żądają realizacji prawa do zapomnienia przez Kościół rzymskokatolicki, nie są z nim zazwyczaj związane i nie są obeznane w jego strukturze. Z tego względu nie będą wiedzieć, czym jest – dla przykładu – wspomniany „instytut życia konsekrowanego”. Artykuł 12 ustęp 1 RODO, którego treści nie odpowiada żadna z norm zawartych w Dekrecie, nakłada na administratora obowiązek, aby w zwięzłej, przejrzystej, zrozumiałej i łatwo dostępnej formie, jasnym i prostym językiem komunikował się z osobą, której dane przetwarza, szczególnie jeżeli chodzi o realizację jej praw wynikającą z rozporządzenia. Tym samym dany podmiot powinien wykorzystywać takie sformułowania, które będą zrozumiałe dla przeciętnych odbiorców i ich nie przytłoczą. Chociaż takiego przepisu brakuje w treści Dekretu, to kościelni administratorzy danych osobowych powinni postawić na transparentność w kontaktach z osobami, których dane dotyczą.

Jak widać, Kościelny Inspektor Ochrony Danych jest wprawdzie na pierwszy rzut oka aktywnym organem, ale wciąż wiele mu brakuje do poziomu zaangażowania jego świeckiego odpowiednika. Poważną wadą w polityce KIOD jest uwypuklony wcześniej brak wystarczającej przejrzystości działań, co nie tylko obniża poziom zaufania osób, których dotyczą dane, ale również negatywnie wpływa na rozpoznawalność organu. Znamienny jest fakt, że na stronie KIOD nie ma nawet informacji o tym, kto konkretnie jest Kościelnym Inspektorem Ochrony Danych, czego trzeba dowiedzieć się na własną rękę z innych źródeł – na przykład z Wikipedii.

Białe plamy Dekretu

Oceniając poziom ochrony danych osobowych w polskim Kościele, nie sposób przemilczeć wyraźnych braków Dekretu. Po pierwsze, nie wymienia on okoliczności, w których dopuszczalna jest „zgoda ordynariusza miejsca lub wyższego przełożonego instytutu życia konsekrowanego lub stowarzyszenia życia apostolskiego” na wykorzystanie danych dotyczących udzielonych sakramentów lub w inny sposób odnoszących się do kanonicznego statusu osoby, która złożyła wcześniej odnotowany wniosek o usunięcie takich danych.

Co więcej, w treści Dekretu brak normy regulującej problem zautomatyzowanego podejmowania decyzji w indywidualnych przypadkach (to jest bez ingerencji czynnika ludzkiego). Kościół co prawda w tym momencie nie podejmuje takich decyzji wobec swoich członków, ale można sobie wyobrazić w niedalekiej przyszłości sytuację, w której scentralizowany system informatyczny zadecyduje na przykład o przeniesieniu danego duchownego do innej parafii po uprzedniej analizie elektronicznych skarg wiernych na jego zachowanie. Możliwe jest również to, że Kościół zacznie stosować takie rozwiązania w celu wstępnej selekcji kandydatów do seminarium duchownego.

fructibus eorum cognoscetis eos

W polityce prowadzonej obecnie przez KIOD brakuje niestety wyraźnie miejsca (i pomysłu) na dyskusję z wiernymi, którzy przecież również są częścią kościelnej wspólnoty. Kościół powinien także położyć większy nacisk na transparentność swoich działań w dziedzinie ochrony danych osobowych. Dobrym krokiem ze strony organu byłoby na przykład informowanie opinii publicznej o przypadkach naruszenia danych osobowych w podmiotach kościelnych. Ponadto Kościół w Polsce w ogóle nie przejawia zaangażowania, jeśli chodzi o aktualne problemy cyberprzestrzeni, która stała się nieodłączną częścią życia większości populacji. Z racji swojej ogromnej siły oddziaływania instytucja ta mogłaby mieć znaczący wkład w uświadamianie społeczeństwa w zakresie zasad cyberhigieny lub przeciwdziałania cyberprzestępczości.

Kościelny model ochrony danych wprawdzie istnieje, ale na jego jednoznaczną ocenę wciąż jest zbyt wcześnie. Czas pokaże, czy rzeczywiście zapewni on skuteczną ochronę prywatności.

Potrzebujemy Twojego wsparcia
Od ponad 15 lat tworzymy jedyny w Polsce magazyn lewicy katolickiej i budujemy środowisko zaangażowane w walkę z podziałami religijnymi, politycznymi i ideologicznymi. Robimy to tylko dzięki Waszemu wsparciu!
Kościół i lewica się wykluczają?
Nie – w Kontakcie łączymy lewicową wrażliwość z katolicką nauką społeczną.

I używamy plików cookies. Dowiedz się więcej: Polityka prywatności. zamknij ×