Na zdjęciu: Ks. Mateusz Nowak, Diecezjalny Inspektor Ochrony Danych Osobowych.
Fot. Stanisław Gazda
Rozmowa z księdzem Mateuszem Nowakiem, Diecezjalnym Inspektorem Ochrony Danych Osobowych Diecezji Bydgoskiej.
– RODO dotyczy także Kościoła? Obowiązujące do tej pory, istniejące od kilkudziesięciu lat w Kościele katolickim w Polsce, ale rozproszone w wielu szczegółowych aktach prawnych przepisy kościelne, musiały zostać ujednolicone i dostosowane do nowego rozporządzenia unijnego. RODO więc pomogło zrobić porządek?
– Pisząc i mówiąc „RODO” mamy na myśli Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych), które jest stosowane od 25 maja 2018 r. RODO podlega każda osoba prawna, każda jednostka organizacyjna czy każdy przedsiębiorca, który prowadzi działalność w Unii Europejskiej, ale nie znajduje zastosowania do działalności osobistej lub domowej. To oznacza, że osoba fizyczna prowadząca działalność gospodarczą musi stosować RODO do danych osobowych swoich klientów czy pracowników, ale nie stosuje RODO do danych przetwarzanych w celach czysto prywatnych, np. do danych adresatów wysyłanych corocznie kartek świątecznych. Wyjaśnijmy jeszcze czym są dane osobowe – to wszelkie informacje odnoszące się do zidentyfikowanej lub możliwej do zidentyfikowania osoby fizycznej. Przykładowo mogą to być numer PESEL, dane adresowe, identyfikator internetowy (np. e-mail), wizerunek lub jeden bądź kilka szczególnych czynników określających fizyczną, fizjologiczną, genetyczną, psychiczną, ekonomiczną, kulturową lub społeczną tożsamość osoby fizycznej.
RODO podlegają także kościoły i inne związki wyznaniowe na terenie Unii Europejskiej, a więc i one muszą chronić dane osobowe swoich członków. Jednakże mają one możliwość wprowadzenia własnych regulacji zgodnie z art. 91 Rozporządzenia: „1. Jeżeli w państwie członkowskim w momencie wejścia niniejszego rozporządzenia w życie kościoły i związki lub wspólnoty wyznaniowe stosują szczegółowe zasady ochrony osób fizycznych w związku z przetwarzaniem, zasady takie mogą być nadal stosowane, pod warunkiem że zostaną dostosowane do niniejszego rozporządzenia. 2. Kościoły i związki wyznaniowe, które stosują szczegółowe zasady zgodnie z ust. 1 niniejszego artykułu, podlegają nadzorowi niezależnego organu nadzorczego, który może być organem odrębnym, z zastrzeżeniem że spełnia warunki określone w rozdziale VI niniejszego rozporządzenia”. Z tej możliwości skorzystał Kościół katolicki w Polsce.
Dotychczas mieliśmy swój system ochrony danych osobowych, chociaż nie był to pojedynczy akt prawny, Chcąc skorzystać z możliwości dających przez art. 91 RODO, Biskupi Polscy wydali Dekret ogólny w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych w Kościele katolickim z dnia 13 marca 2018 r. który, po przejrzeniu przez Stolicę Apostolską, został ogłoszony dnia 30 kwietnia 2018 r. na stronie internetowej KEP. Z jego treścią można zapoznać się np. na stronie: https://episkopat.pl/promulgacja_dekretu_ogolnego_ws_ochrony_osob_fizycznych-2/.
Dekret dotyczy zasadniczo tych kościelnych publicznych osób prawnych (kan. 116 Kodeks Prawa Kanonicznego „Publicznymi osobami prawnymi są zespoły osób lub rzeczy, które są ustanowione przez kompetentną władzę kościelną, by wykonywały w imieniu Kościoła w oznaczanym dla nich zakresie, zgodnie z przepisami prawa, własne zadania im zlecone dla publicznego dobra; pozostałe osoby prawne są prywatnymi”), które organizują i prowadzą działalność wynikającą z misji Kościoła, a więc w szczególności diecezji, parafii, prowincji, seminariów duchownych i publicznych stowarzyszeń wiernych. Instytucje kościelne prowadzące działalność o charakterze edukacyjnym (np. szkoły, biblioteki), opiekuńczym czy leczniczym stosują się w tym zakresie także do przepisów prawa powszechnie obowiązującego w danym obszarze działalności, czyli do RODO.
– Nowe przepisy dały także możliwość powołania diecezjalnych inspektorów danych osobowych. W jakim celu, skoro porządek prawny został zaprowadzony?
– Zgodnie z Dekretem KEP został powołany organ nadzorczy, czyli Kościelny Inspektor Ochrony Danych, którym został mianowany ks. Piotr Kroczek (https://kiod.episkopat.pl/). Jego funkcja jest analogiczna do Prezesa Urzędu Ochrony Danych Osobowych (dawny GIODO). Do zadań KIOD należy m.in. monitorowanie i zapewnianie przestrzegania przepisów o ochronie danych osobowych, upowszechnianie wiedzy o ochronie danych osobowych w Kościele, doradzanie administratorom danych i podmiotom przetwarzającym w Kościele w zakresie ochrony danych osobowych, a także udzielanie osobie, której dane dotyczą, informacji o uprawnieniach przysługujących jej w związku z przetwarzaniem jej danych osobowych i rozpatrywanie skarg dotyczących przestrzegania przepisów ustanowionych w Kościele w zakresie ochrony danych osobowych.
Według Dekretu „Kościelna publiczna osoba prawna może wyznaczyć inspektora ochrony danych. W przypadku, gdy przetwarzanie danych odbywa się na dużą skalę, kościelna publiczna osoba prawna powinna wyznaczyć inspektora ochrony danych” (art. 31, n.1). Jako że w diecezjach przetwarzanie danych osobowych wiernych odbywa się „na dużą skalę”, poszczególni Biskupi wyznaczyli swoich inspektorów, którzy mają czuwać nad ochroną danych w podlegających im kościelnych publicznych osobach prawnych. W Diecezji Bydgoskiej taką funkcję pełnię właśnie ja.
– Co konkretnie się zmieniło? Co wolno, a co jest zabronione?
– Już zostało powiedziane, że system ochrony danych w Kościele istniał do tej pory, więc nie można mówić o rewolucji, tylko o uszczegółowieniu przepisów i zwróceniu większej uwagi na ochronę danych. Polecam po prostu zapoznać się z Dekretem KEP i regulacjami tam zapisanymi. W tym miejscu chciałbym powiedzieć, że w Kościele katolickim przetwarzane są dane osobowe, w tym tzw. „dane wrażliwe” (dane ujawniające pochodzenie rasowe lub etniczne, poglądy polityczne, przekonania religijne lub światopoglądowe, przynależność do związków zawodowych oraz dane genetyczne, dane biometryczne, a także dane dotyczące zdrowia lub seksualności osoby fizycznej), osób ochrzczonych w Kościele katolickim i tych, którzy po chrzcie zostali do niego przyjęci („członków Kościoła”), łącznie z tymi, którzy złożyli formalne oświadczenie woli o wystąpieniu z Kościoła katolickiego, zgodnie z wewnętrznymi przepisami Kościoła („byłych członków Kościoła”) oraz osób niebędących katolikami, a utrzymujących z nim stałe kontakty w związku z realizacją celów Kościoła w ramach uprawnionej działalności prowadzonej, z zachowaniem odpowiednich zabezpieczeń (w szczególności osób korzystających z pomocy charytatywnej, narzeczonych i małżonków niebędących katolikami). Dane te oczywiście nie są ujawniane poza Kościołem bez zgody osób, których dotyczą. Podstawą ich przetwarzania jest natomiast obowiązek prawny, (np. w przygotowaniu do sakramentów parafia musi posiadać określone w prawie dane osobowe), wyrażona zgoda, umowa czy ochrona żywotnych interesów.
– Czy cała sfera życia kościelnego, funkcjonowania parafii, obrzędów została już „przejrzana” pod względem zgodności z RODO?
– „Życie jest bogatsze niż książki”, ale mamy już pewne doświadczenia i wytyczne dotyczące wielu sfer życia kościelnego. Z pomocą prawników Konferencji Episkopatu Polski oraz Kościelnego Inspektora Danych Osobowych wdrażane są przepisy zawarte w Dekrecie w poszczególnych obszarach, zwłaszcza związanych z życiem sakramentalnym. Dzieje się to także w naszej diecezji, np. poprzez spotkanie-szkolenie z Księżmi Proboszczami. Szczególną uwagę zwracamy na ochronę danych osobowych zgromadzonych w księgach metrykalnych, a co za tym idzie na zabezpieczanie miejsc, w których księgi są przechowywane.
– A co na przykład ze zdjęciami i materiałami wideo z komunii, ślubów, pogrzebów – te materiały mogą trafić w niepowołane ręce, do środków masowej informacji, internetu naruszając czyjeś dobra osobiste, prywatność, dane osobowe? Co z tak zwanymi zapowiedziami przedślubnymi i nakazem informowania o przeszkodach zawarcia związku małżeńskiego?
– W wypełnianiu swojej funkcji Kościół ma prawo posługiwać się środkami społecznego przekazu, w tym i Internetem. Zasadniczo w Internecie można umieszczać wszelkie dane osobowe, o ile odbywa się to za zgodą danych osób. Zgodnie z art. 10 ust. 2 Dekretu KEP gazety informacyjne przeznaczone do użytku wewnętrznego, opisujące najważniejsze wydarzenia z życia i działalności, np. gazetki parafialne, mogą zawierać dane osobowe z mocy prawa, a więc zgoda osób, których dane dotyczą nie jest wymagana. Takimi danymi są dane osób uczestniczących w uroczystościach i wydarzeniach kościelnych (także tych osób, które przyjęły sakramenty czy brały udział w uroczystych Mszach świętych), o ile w poszczególnych przypadkach zainteresowani nie wnosili o ich nieujawnianie.
Zdjęcie osoby też jest daną osobową, zaś udostępnienie zdjęcia jest czynnością przetwarzania danych osobowych. W przypadku wykorzystania fotografii w działalności wewnętrznej parafii można je publikować, o ile zainteresowani nie wnosili o ich niepublikowanie. Z kolei w przypadku zamiaru upublicznienia zdjęcia poza parafialną wspólnotę np. poprzez wydanie publikacji książkowej przeznaczonej do szerszego grona odbiorców niż parafianie, należy stosować poza Dekretem także RODO oraz inne ustawy obowiązujące w polskim prawie. Przykładowo: ustawa o prawie autorskim w art. 81 stanowi, że zasadniczo na publikację wizerunku wymagana jest zgoda osoby na niej przedstawionej. Od tej ogólnej zasady przewidziane są jednak wyjątki. Zgoda nie jest wymagana, gdy dotyczy osoby powszechnie znanej (np. biskupa, proboszcza, burmistrza), jeżeli wizerunek wykonano w związku z pełnieniem przez nią funkcji publicznych. Wyjątkiem od konieczności uzyskania zezwolenia jest też sytuacja, gdy osoby przedstawione na zdjęciu stanowią jedynie szczegół całości takiej jak zgromadzenie, krajobraz, czy publiczna impreza. Jako zgromadzenie należy także traktować wiernych zebranych na Mszy Świętej, pogrzebie lub procesji. Publikacja zdjęcia z takiego wydarzenia nie stanowi naruszenia danych osobowych. Identycznie przedstawia się sytuacja z publikacją zdjęć z festynów parafialnych, czy koncertów organizowanych przy parafii, jeżeli osoby stanowią jedynie niewielką część szerszego obrazu.
Jeśli chodzi o „zapowiedzi przedślubne”, czyli publiczne ogłoszenie zamiaru zawarcia małżeństwa, nie jest potrzebna zgoda zainteresowanych osób. Przetwarzanie tych danych ma bowiem podstawę w prawie. Zgodnie z Instrukcją Konferencji Episkopatu Polski o przygotowaniu do zawarcia małżeństwa z dnia 5 września 1986 r. (zob. kan. 1067 KPK) każde zamierzone małżeństwo należy podać do publicznej wiadomości. Jeżeli chodzi o sposób ogłaszania zapowiedzi, ustalono, że należy głosić zapowiedzi przez umieszczenie ich na piśmie w gablocie ogłoszeń parafialnych w ciągu 8 dni, tak by były tam uwidocznione przynajmniej przez 2 niedziele lub niedzielę i święto obowiązujące. Ten sam obowiązek można spełnić przez dwukrotne ogłoszenie ustne podczas liczniej uczęszczalnych nabożeństw parafialnych, w niedzielę lub święto obowiązujące. Oznacza to także, że nie można zapowiedzi opublikować przez Internet ani w gazetce parafialnej, chyba że za zgodą obojga zainteresowanych. Zgodnie z Dekretem należy treść zapowiedzi ograniczyć do niezbędnych danych osobowych, pozwalających na wypełnienie funkcji zapowiedzi, czyli np. przedstawić tylko imię, nazwisko i parafię zamieszkania każdego z nich.
– Czy miał ksiądz do czynienia z nadinterpretacją litery prawa np. znane są przypadki zaniechania drukowania nekrologów w obawie przed naruszeniem przepisów RODO, czy niepodawania daty urodzin i zgonu na nagrobkach, bo podobno narusza to dane wrażliwe.
– O ewentualnych naruszeniach ochrony danych osobowych nie mogę mówić, gdyż obowiązuje mnie tajemnica. Powiem tylko, że Dekret KEP i RODO zasadniczo nie dotyczą danych osób zmarłych, a więc przypadki, o które pan pyta, nie wchodzą w zakres tematyki podejmowanej w rozmowie.
– Dziękuję za rozmowę.
