Kościelny Urząd Ochrony Danych Osobowych?

25 maja 2018 r. wejdzie w życie rozporządzenie Parlamentu Europejskiego i Rady (UE) z 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych. Do tego czasu państwa członkowskie muszą dostosować system prawny do nowych przepisów, a wszyscy przetwarzający dane osobowe przygotować się do funkcjonowania w nowej rzeczywistości.
Wydawać się może, że zmiany dotyczyć będą głównie przedsiębiorców, jednak obowiązki wynikające z rozporządzenia obciążać będą także Kościoły i związki wyznaniowe. Wydawać się może, że narusza to gwarantowaną przez państwo autonomię tych podmiotów, jednak jak wskazał Sekretarz Stanu w Ministerstwie Cyfryzacji – Marek Zagórski
ma miejsce pewien dysonans między preambułą a treścią rozporządzenia. W preambule do rozporządzenia czytamy, że ma ono nie naruszać statusu przyznanego Kościołom oraz związkom i wspólnotom wyznaniowym na mocy prawa konstytucyjnego obowiązującego w państwach członkowskich. Z drugiej strony w art. 91 ustęp 1 rozporządzenia widnieje zapis, że jeżeli w państwie członkowskim, w momencie wejścia w życie rozporządzenia, Kościoły i związki bądź wspólnoty wyznaniowe stosują szczegółowe zasady ochrony danych osób fizycznych w związku z ich przetwarzaniem, zasady takie mogą być nadal stosowane. Warunkiem jest, że zostaną one dostosowane do rozporządzenia.
[Protokół z posiedzenia Komisji Wspólnej Przedstawicieli Rządu Rzeczypospolitej Polskiej i Konferencji Episkopatu Polski Warszawa, 1 lutego 2017 r., Sekretariat Konferencji Episkopatu Polski]
Obecnie podstawą do przetwarzania danych osobowych przez Kościół katolicki jest w odniesieniu do danych zwykłych art. 23 ust. 1 ustawy o ochronie danych osobowych. Przetwarzanie takich danych jak imię, nazwisko czy adres jest możliwe po spełnieniu którejkolwiek z przesłanek wymienionych w tym przepisie. Przetwarzanie tzw. danych wrażliwych obejmujących np. przekonania religijne prowadzone jest na podstawie art. 27 ust. 2 pkt 4 ustawy o ochronie danych osobowych, gdy jest to niezbędne do wykonania statutowych zadań Kościoła, stowarzyszeń, fundacji lub innych niezarobkowych organizacji lub instytucji o celach religijnych pod warunkiem, że przetwarzanie danych dotyczy wyłącznie członków tych organizacji lub instytucji albo osób utrzymujących z nimi stałe kontakty w związku z ich działalnością i zapewnione są pełne gwarancje ochrony przetwarzanych danych osobowych.
Nie można jednak zapominać o gromadzeniu danych osób do Kościoła nienależących. Kościół ma prawo zbierać i gromadzić dane o przynależności wyznaniowej osób nienależących do Kościoła wyłącznie za ich pisemną zgodą i po poinformowaniu o celu takiego przetwarzania (art. 27 ust. 2 pkt 1 ustawy).
Kto w takim razie kontroluje wywiązywanie się przez kościelne osoby prawne z obowiązku np. zabezpieczenia danych osobowych?
Nie jest to Generalny Inspektor Ochrony Danych Osobowych. Zgodnie z art. 43 ust. 2 ustawy nie przysługują mu nie przysługują uprawnienia w postaci wydawania decyzji administracyjnych, przeprowadzania czynności kontrolnych, wglądu do dokumentów oraz wstępu do pomieszczeń, w których przetwarzane są przez Kościół dane osobowe w odniesieniu do zbiorów dotyczących osób należących do Kościoła i przetwarzanych na jego potrzeby. Organ ten może w takich sprawach występować wyłącznie występować o wyjaśnienia, sygnalizować nieprawidłowości oraz ewentualnie złożyć zawiadomienie o podejrzeniu popełnienia przestępstwa.
Sytuacja ta jednak zmieni się po wejściu w życie RODO. Zgodnie z art. 91 ust. 2 rozporządzenia Kościoły i związki wyznaniowe, które stosują szczegółowe zasady ochrony osób fizycznych w związku z przetwarzaniem, o których mowa w ust. 1 tegoż artykułu, podlegają nadzorowi niezależnego organu nadzorczego, tj. organu odrębnego od państwowego.
Jak słusznie zauważył Generalny Inspektor Ochrony Danych Osobowych
Kościoły i związki wyznaniowe przetwarzają dane nie tylko członków własnego Kościoła. Trzeba uregulować, kto będzie organem nadzorczym w stosunku do osób nie będących członkami Kościoła. Jeśli nie będzie to wprost uregulowane, wówczas organem nadzorczym będzie ten wskazany w rozporządzeniu Unii Europejskiej.
[Protokół z posiedzenia Komisji Wspólnej Przedstawicieli Rządu Rzeczypospolitej Polskiej i Konferencji Episkopatu Polski Warszawa, 1 lutego 2017 r., Sekretariat Konferencji Episkopatu Polski]
Chcąc uniknąć takiej sytuacji Episkopat powołał zespół mający dostosować obecnie obowiązujące wewnętrzne regulacje w tym zakresie do unijnego rozporządzenia. Z informacji zamieszczonych na stronie Episkopatu Polski wynika, iż w skład Zespołu Roboczego ds. Opracowania Wewnątrzkościelnych Regulacji Ochrony Danych weszli ks. dr hab. Leszek Adamowicz, dr hab. Paweł Fajgielski, ks. dr Adam Kaczor, ks. prof. dr hab. Piotr Mazurkiewicz, ks. prof. Piotr Stanisz i ks. prof. Dariusz Walencik.
O autorze:
Kariera
Kariera
Radca prawny. Szef Sekcji Nowych Technologii w Kancelarii SDO, absolwent kilku kierunków studiów (prawo, politologia, europeistyka).
Specjalista w zakresie prawa autorskiego, własności intelektualnej oraz szeroko rozumianego prawa nowych technologii, łączący rozległą wiedzę prawniczą z praktyczną znajomością zagadnień o charakterze informatycznym, wynikającą z wieloletniego doświadczenia m.in. w administrowaniu sieciami komputerowymi. Realizuje wraz z zespołem prawników SDO znaczące projekty dla klientów działających w branży IT oraz e-commerce, w tym obejmujące zagadnienia ochrony własności intelektualnej, danych osobowych.
Naukowo zainteresowany wpływem prawa nowych technologii na istniejące dziedziny prawa, w szczególności na prawo ochrony własności intelektualnej, prawo informatyczne oraz postępowanie cywilne. W Kancelarii SDO zajmuje się głównie obsługą klientów z branży nowych technologii, IT i reklamy. Uczestniczył również, już jako członek zespołu SDO, w wybranych projektach typu due-diligence.
Od 2005 r. pracuje również jako administrator sieci komputerowych. Prywatnie fan ASG i pasjonat gotowania.
Specjalizacja:
Specjalizacja:
- prawo nowych technologii i prawo informatyczne
- prawo własności intelektualnej
- prawo gospodarcze
- ochrona danych osobowych