W wyniku ostatnich wydarzeń związanych z tematem ochrony danych osobowych w Kościele Rzymskokatolickim oraz w związku z faktem rosnącego zainteresowania powyższym tematem zarówno ze strony Generalnego Inspektora Ochrony Danych Osobowych jak i osób interesujących się tematyką ochrony informacji, w dniu dzisiejszym zajmę się naszkicowaniem jaki jest status Kościoła w kontekście ochrony danych osobowych.
Na samym wstępie należy zaznaczyć, iż ochrona danych osobowych w Kościele Rzymskokatolickim jest tematem nowym i bardzo trudnym. W wielu sytuacjach będziemy natrafiali na poważne problemy interpretacyjne, podobne do tych, które spotkać można przy okazji ochrony danych osobowych w administracji publicznej.
Złożoność procesów przetwarzania danych osobowych w Kościele
Temat ochrony danych osobowych w Kościele Rzymskokatolickim jest jednak o wiele bardziej skomplikowany (choćby kwestia podstawowa – status administratora danych). Wynika to z kilku faktów:
- przetwarzanie w wielkiej ilości danych wrażliwych o fundamentalnym znaczeniu dla osób, których dane dotyczą,
- hierarchiczna, wielopodmiotowa struktura i wynikające z tego liczne przepływy danych osobowych,
- nieznajomość ustawy o ochronie danych osobowych oraz bardzo niski poziom świadomości duchownych w zakresie podstawowych zasad dotyczących ochrony danych osobowych,
- problem rozgraniczenia prawa powszechnego od wewnętrznych uregulowań Kościoła (Kodeks Kanoniczny).
Przywileje i ułatwienia dla Kościołów
Poniżej zawarta jest lista specjalnych uprawnień / zwolnień Kościoła w zakresie obowiązków ciążących na nim, jako administratorze danych:
- przetwarzanie danych wrażliwych jest możliwe, gdy jest to niezbędne do wykonania statutowych zadań kościołów i innych związków wyznaniowych, pod warunkiem, że przetwarzanie danych dotyczy wyłącznie członków tych organizacji lub instytucji albo osób utrzymujących z nimi stałe kontakty w związku z ich działalnością i zapewnione są pełne gwarancje ochrony przetwarzanych danych,
- z obowiązku rejestracji zbioru danych zwolnieni są administratorzy danych dotyczących osób należących do kościoła lub innego związku wyznaniowego, o uregulowanej sytuacji prawnej, przetwarzanych na potrzeby tego kościoła lub związku wyznaniowego.
Warto zwrócić uwagę na podobną konstrukcję zastosowaną w przywołanych powyżej pkt. Otóż zarówno przetwarzanie danych wrażliwych jak i zwolnienie z obowiązku rejestracji zbioru danych osobowych jest możliwe co do zasady tylko w odniesieniu do danych osobowych, osób będących członkami Kościoła.
Obowiązki dla Kościołów
Skoro już wiemy jakie specjalne uwarunkowania przewiduje dla Kościoła ustawa o ochronie danych osobowych, przyjrzyjmy się obowiązkom które nie zostały uchylone.
Zanim się tym zajmiemy, pozwolę sobie na krótką dygresje odnośnie statusu administratora danych. Zgodnie z ustawą jest to podmiot decydujący o celach i środkach przetwarzania danych osobowych. Nie bez wątpliwości status taki można przyznać każdej pojedynczej parafii oraz reprezentującemu ją proboszczowi. Nie mniej, status poszczególnych jednostek organizacyjnych Kościoła Rzymskokatolickiego w świetle posiadania statusu administratora danych jest tematem na osobny wpis.
Lista obowiązków obciążających administratora danych (w tym każdą parafię będącą jednostką organizacyjną Kościoła Rzymskokatolickiego). Będą się one różnie kształtowały zależnie od kategorii osób, których dane są przez Kościół przetwarzane. Trzeba mieć bowiem świadomość, że oprócz danych osobowych wiernych, Kościół gromadzi dane osobowe duchownych oraz pracowników.
- przetwarzanie zwykłych danych osobowych w oparciu o jedną z przesłanek określonych w art. 23, a dotyczących danych osób innych niż wiernych (w zakresie danych wrażliwych zastosowanie ma przesłanka określona w art. 27 ust. 2 pkt 4 uodo),
- dopełnianie obowiązku informacyjnego (art. 24 lub art. 25 uodo),
- przetwarzane danych zgodnie z prawem, dla oznaczonych, zgodnych z prawem celów i niepoddawane dalszemu przetwarzaniu niezgodnemu z tymi celami, przetwarzanie merytorycznie poprawne i adekwatne w stosunku do celów, w jakich są przetwarzane oraz przechowywane w postaci umożliwiającej identyfikację osób, których dotyczą, nie dłużej niż jest to niezbędne do osiągnięcia celu przetwarzania,
- zgodne z uodo udostępnianie danych osobowych,
- zawieranie gdy to konieczne umów powierzenia przetwarzania danych osobowych,
- zapewnienie zgodności z uodo systemów informatycznych używanych do przetwarzania danych osobowych,
- rejestracja zbiorów danych niepodlegających zwolnieniu z tego obowiązku,
- prowadzenie upoważnień do przetwarzania danych osobowych oraz ewidencji osób upoważnionych do przetwarzania danych osobowych,
- prowadzenie dokumentacji przetwarzania danych osobowych, na którą składa się polityka bezpieczeństwa oraz instrukcja zarządzania systemem informatycznym,
- umożliwienie realizowania praw osobom, których dane dotyczą, a które zostały zawarte w ustawie o ochronie danych osobowych (m.in. prawo do informacji, zgłaszanie sprzeciwów wobec przetwarzania danych osobowych).
W związku z rozpiętością zagadnień poruszonych w niniejszym wpisie, stanowi on tylko naszkicowanie ogólnych zasad przetwarzanie danych osobowych w Kościele. Niebawem pojawią się kolejne części cyklu poruszające omawianą tematykę.
Administratorem danych osobowych jest Lex Artist sp. z o.o., ul. Szańcowa 74/1, 01-458 Warszawa. Dane osobowe będą przetwarzane w celu umieszczenia i obsługi komentarza na blogu. Przysługują Panu/Pani następujące prawa: prawo dostępu do treści danych, prawo do sprostowania danych, prawo do usunięcia danych, prawo do ograniczenia przetwarzania danych, prawo do wniesienia sprzeciwu, prawo do wniesienia skargi do organu nadzorczego. Pełna treść klauzuli informacyjnej znajduje się tutaj.
Zanonimizowany ciąg znaków stworzony na podstawie Pani/Pana adresu email (tak zwany hash) może zostać przesłany do usługi Gravatar w celu sprawdzenia czy jej Pan/Pani używa. Polityka prywatności usługi Gravatar jest dostępna tutaj. Po zatwierdzeniu komentarza obrazek profilowy jest widoczny publicznie w kontekście twojego komentarza.