Opublikowano "Dekret ogólny w sprawie ochrony danych osobowych w Kościele katolickim", fot. episkopat.pl
Opublikowano "Dekret ogólny w sprawie ochrony danych osobowych w Kościele katolickim", fot. episkopat.pl

RODO a Kościół - jak parafie przetwarzają dane osobowe

Redakcja Redakcja Prawo Obserwuj temat Obserwuj notkę 12

Dziś wchodzi w życie rozporządzenie o ochronie danych osobowych. Nowe przepisy dotyczą również Kościoła. Członek Komisji KEP ds. ochrony danych osobowych ks. prof. Piotr Mazurkiewicz zapewnia, że parafie są dobrze przygotowane do wejścia w życie RODO.

Co się zmieni w Kościele po wejściu RODO

W maju 2016 r. Unia Europejska przyjęła ogólne rozporządzenie o ochronie danych osobowych (RODO), które zastąpiło dyrektywę w tej sprawie z 1995 r. Zgodnie z art. 91 rozporządzenia, po wejściu w życie RODO w państwach członkowskich Kościoły i związki wyznaniowe powinny powołać specjalną instytucję zajmującą się ochroną danych osobowych wiernych.

W przypadku Kościoła katolickiego główną zmianą w związku z wejściem w życie nowego prawa jest powołanie przez Episkopat Kościelnego Inspektora Danych Osobowych - został nim prof. Uniwersytetu Papieskiego Jana Pawła II ks. dr hab. Piotr Kroczek. 0 Instytucja ta będzie czuwać nad przetwarzaniem tych danych i poszanowaniem praw osób, których te dane dotyczą - wyjaśnił ks. Mazurkiewicz.

Pod koniec kwietnia został także opublikowany "Dekret ogólny w sprawie ochrony danych osobowych w Kościele katolickim", regulujący prawa przysługujące wiernym, których dane osobowe są przetwarzane w parafiach.

Przeczytaj: Co to jest RODO? Jego reguły musi poznać wielki i mały biznes

image

Kiedy Kościół przetwarza dane wrażliwe

Zdaniem ks. Mazurkiewicza w codziennej praktyce w parafiach zmieni się niewiele. - Kościół przetwarza dane wrażliwe głównie wtedy, kiedy jest to wymagane z mocy prawa, np. jeśli ktoś prosi o sakrament chrztu, prawo kanoniczne wymaga sporządzenia aktu chrztu. W związku z tym prośba o chrzest jest równocześnie zgodą na sporządzenie tego aktu. Są i takie sytuacje, gdzie potrzebna jest zgoda osoby zainteresowanej i później można tę zgodę wycofać, ale to jest zdecydowana mniejszość przypadków, w których dochodzi do przetwarzania danych osobowych w Kościele" - zaznaczył ks. Mazurkiewicz.

W jego ocenie, nowością jest sprawa "większej wrażliwości i świadomości" księży, że przy przetwarzaniu danych potrzebna jest szczególna ostrożność. - Przykładowo: jeżeli ktoś prosi o sporządzenie odpisu aktu chrztu, to jeśli pokazuje mu się jego własny zapis w księdze, nie należy pokazywać sąsiedniego zapisu. W tym zakresie być może nie byliśmy dotąd wystarczająco ostrożni, bo wydawało się, że wierni nie są zaciekawieni danymi innych osób. Natomiast dziś wiemy, że trzeba skrupulatnie chronić dane, które mogą zostać ujawnione w przypadkowych sytuacjach - podkreślił ks. Mazurkiewicz.

Jak stwierdził, zmiana prawa unijnego wynika z dynamicznego rozwoju technologii i jest związana z przetwarzaniem danych w sposób, którego Kościół nigdy nie stosował. - Nowe prawo dużo zmienia w działalności podmiotów komercyjnych. Tymczasem w Dekrecie KEP nie jest wspomniane np. profilowanie danych, bo nikt w Kościele nie ma zamiaru przetwarzać danych dla celów komercyjnych - ocenił.

image

Jakich danych nie można wymazać

Wyjaśnił, że w sprawie apostatów nic się nie zmieniło. "Prawo do bycia zapomnianym" nie oznacza prawa wymazania z dokumentów danych osoby, która zdecydowała się złożyć deklarację woli wystąpienia z Kościoła katolickiego. - Oczywiście apostaci mają prawo do tego, żeby prosić o nieprzetwarzanie ich danych, ale nie dotyczy to sytuacji, kiedy mowa jest o sakramentach czy o statusie kanonicznym danej osoby - podkreślił ks. Mazurkiewicz.

Jak zaznaczył, gdyby ktoś, kto zawarł sakrament małżeństwa w Kościele katolickim, poprosił następnie o wymazanie jego danych z ksiąg parafialnych, powstałoby wrażenie, że jest nadal kawalerem lub panną. W takim przypadku osoba ta mogłaby usiłować zawrzeć związek małżeński z inną osobą - w świetle prawa kanonicznego takie małżeństwo byłoby nieważne. - Godząc się na wymazanie danych o statusie kanonicznym osoby, narazilibyśmy na niebezpieczeństwo bigamii ewentualnych przyszłych partnerów takich osób - ocenił ks. Mazurkiewicz.

Przyznał, że przystosowywanie się do nowej rzeczywistości jest procesem i w praktyce w pierwszych tygodniach obowiązywania nowego prawa mogą się zdarzać sytuacje, w których nie od razu wszystko będzie jasne dla wszystkich, jednak generalnie "parafie są dobrze przygotowane do wejścia w życie nowego prawa".

- Zostały sporządzone odpowiednie dokumenty, kto jest uprawniony do przetwarzania danych, rejestry tego, co się z tymi danymi robi w parafii. Poza Dekretem wszystkie parafie otrzymały instrukcje, jak postępować z danymi w świetle nowego prawa, w których została ujęta większość typowych sytuacji. Na UKSW zostały uruchomione studia z zakresu ochrony danych osobowych w Kościele. Ponadto odbyło się duże szkolenie dla kanclerzy kurii, żeby każda diecezja mogła szkolić swoich księży w tym zakresie - poinformował ekspert KEP.

image

Co zawierają przepisy o RODO

Unijne przepisy dotyczą wszystkich podmiotów prywatnych i publicznych, które przetwarzają dane osobowe. W RODO zdefiniowano je jako dane, które pozwalają zidentyfikować osobę fizyczną. Chodzi o imię, nazwisko, numer PESEL, płeć, adres e-mail, numer IP komputera, dane lokalizacyjne, kod genetyczny, poglądy polityczne, historię zakupów.

Unijne przepisy przyznają osobom, których dane dotyczą, prawo do ich usunięcia, w tym tzw. prawo do bycia zapomnianym. Są to m.in. sytuacje, gdy dane osobowe nie są już niezbędne do celów, do których je zebrano, podmiot danych wycofał zgodę i nie ma innej podstawy prawnej dla ich przetwarzania, dane osobowe muszą być usunięte w celu wywiązania się z obowiązku prawnego przewidzianego w unijnym bądź krajowym przepisie prawnym (np. przepisy dotyczą niszczenia dokumentacji medycznej), dane zostały zebrane w celu świadczenia usług internetowych dziecku.

RODO przewiduje także sytuacje wyłączające prawo do usunięcia danych, m.in. gdy przetwarzanie przez administratora jest wymagane przez prawo unijne albo krajowe bądź jest to niezbędne do ustalenia, dochodzenia lub obrony roszczeń. Na przykład organy publiczne i instytuty naukowe mogą przetwarzać dane osobowe w celach archiwalnych, badań naukowych i historycznych oraz w celach statys­tycznych. Nie można usunąć wcześniej upublicznionych danych, jeśli naruszałoby to prawo innych osób do korzystania z wolności wypowiedzi lub prawa do informacji.

image

Kolejne uprawnienie zapisane w RODO to możliwość przeniesienia swoich danych osobowych z jednej instytucji do drugiej, np. banku, by na nowo nie wypełniać dokumentacji kredytowej. Tutaj również zapisane są jednak wyjątki. Nie można przenosić danych, jeżeli ich przetwarzanie jest niezbędne do wykonywania zadania realizowanego w interesie publicznym, a także w ramach sprawowania władzy publicznej powierzonej administratorowi.

Prawo do przeniesienia danych nie jest tym samym co prawo do bycia zapomnianym. Poprzedni administrator, od którego je uzyskano, nie ma automatycznego obowiązku ich usunięcia. Musi to zrobić dopiero po żądaniu zainteresowanego.

Dziecko a przetwarzanie jego danych osobowych

W RODO zapisano także obowiązek uzyskania zgody dziecka na przetwarzanie jego danych osobowych. W unijnych przepisach szczegółowo uregulowano formę zgody dziecka w stosunku do usług społeczeństwa informacyjnego. Za taką usługę uważa się każdą odpłatną usługę świadczoną na odległość, drogą elektroniczną i na indywidualne żądanie odbiorcy usług.

Zgodnie z RODO dzieci, które ukończyły 16 lat, mogą samodzielnie decydować o przekazywaniu swoich danych osobowych firmom internetowym. Poniżej tej granicy wieku przetwarzanie danych będzie możliwe tylko, gdy zgodę wyraziła osoba sprawująca władzę rodzicielską lub opiekę nad dzieckiem. Dziecku przysługuje także bezwzględne prawo rozmyślenia się i zażądania usunięcia przekazanych wcześniej danych.

RODO nakazuje także administratorowi podjęcie rozsądnych działań w celu weryfikacji zgody lub aprobaty rodzica bądź opiekuna prawnego. Administrator może w tym celu np. wprowadzić zasadę uwierzytelniania przez inne konto, które pozwoli dziecku przesłać prośbę o zgodę do sprawdzonego konta rodzica na tym samym portalu.

image

Przeczytaj także: Prezydent podpisał ustawę o ochronie danych osobowych. Jakie kary za nieprzestrzeganie RODO?

źródło: PAP

ja

© Artykuł jest chroniony prawem autorskim. Wykorzystanie tylko pod warunkiem podania linkującego źródła.

Komentarze

Inne tematy w dziale Polityka