25 maja zacznie obowiązywać rozporządzenie Parlamentu Europejskiego i Rady (UE) z 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych.

Do tego czasu państwa unijne mają obowiązek dostosować swoje wewnętrzne prawo w zakresie przetwarzania danych osobowych do tegoż dokumentu. Obowiązek ten spoczywa także na Kościołach i związkach wyznaniowych, przy poszanowaniu wszelkiej ich autonomii.

„Dekret ogólny Konferencji Episkopatu Polski w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych w Kościele katolickim” jest – jak poinformował ks. prof. Dariusz Walencik - „w ostatniej fazie procedury legislacyjnej”.

Jego projekt został przygotowany przez zespół ekspertów, powołany w tym celu przez biskupów (ks. Walencik jest jego członkiem). Na zebraniu plenarnym KEP 14 marca ub. roku dokument został przedstawiony biskupom, następnie poddano go konsultacjom i weryfikacji pod kątem zgodności z wytycznymi przygotowanymi przez COMECE (Komisję Konferencji Biskupów Unii Europejskiej). Podczas prac nad nim uwzględniono także propozycje zmian przedłożone przez Kongregację ds. Biskupów, Wydział ds. Stosunków z Państwami Sekretariatu Stanu Stolicy Apostolskiej oraz Papieską Radę ds. Tekstów Prawnych.

Obecnie dekret czeka na recognitio, czyli potwierdzenie zgody Stolicy Apostolskiej na jego ogłoszenie. W tym momencie staje się obowiązującym prawem we wszystkich jednostkach organizacyjnych Kościoła katolickiego w Polsce.

Dzięki dekretowi „nastąpi ujednolicenie zasad stosowania przepisów, które istnieją w Kościele przynajmniej od kilkudziesięciu lat, a dotyczą ochrony danych osobowych” – podkreślił ks. prof. Walencik.

Dekret składa się z preambuły i 44 artykułów pogrupowanych w siedmiu rozdziałach. W preambule przypomniano najważniejsze dotychczasowe kanoniczne regulacje prawne w zakresie ochrony danych osobowych oraz inne dokumenty Stolicy Apostolskiej i Kościoła katolickiego w Polsce odnoszące się do zagadnienia przetwarzania danych osobowych.

„Te dokumenty w praktyce tworzyły i tworzą autonomiczny system ochrony danych osobowych stosowany przez Kościół katolicki w Polsce, co w mojej ocenie wydaje się być zgodne z przepisami RODO, zwłaszcza z art. 91, jak i przepisami Kodeksu Prawa Kanonicznego i Kodeksu Kanonów Kościołów Wschodnich” – zaznaczył prelegent.

„Dekret – podkreślił ks. prof. Walencik - nie zmienia niczego w dotychczasowych regulacjach, w tym sensie, że uzupełnia bądź uszczegóławia te regulacje prawa powszechnego kanonicznego lub prawa partykularnego kanonicznego. Jego celem jest dostosowanie tych przepisów wewnętrznych obowiązujących w Kościele katolickim w Polsce do wymogów unijnego rozporządzenia”.

Zasady i standardy przetwarzania danych (zarówno zwykłych, jak i wrażliwych) przez kościelne jednostki organizacyjne opisano w rozdziale II dekretu. Ustanowiono m.in. obowiązek informowania o przetwarzaniu danych w przypadku ich zbierania osoby, których to dotyczy, ale także jeśli chodzi o zbieranie takich danych z innych źródeł.

Art. 10 dotyczy ochrony danych w przypadku ich publikacji w periodykach urzędowych, publikacjach cyfrowych i zamieszczanych na stronach internetowych.

Prawa osoby, której dotyczy zbieranie i przetwarzanie danych opisano w rozdziale III. Wśród tych praw dekret wymienia prawo do informowania o przetwarzaniu danych, do żądania sprostowania danych, do sporządzenia adnotacji i uzupełnienia danych, do ich usunięcia lub ograniczenia przetwarzania.

Obowiązki administratora danych zawiera rozdział IV dekretu, do których należy m.in. obowiązek rejestrowania czynności przetwarzania danych, zapewnienia bezpieczeństwa ich przetwarzania. Opisano tam także warunki przechowywania zbiorów danych, także w archiwach (m.in. cyfrowych i tajnych).

Dekret mówi także o obowiązku zgłaszania Kościelnemu Inspektorowi Ochrony Danych (KIOD) przypadków naruszenia ochrony danych jako niezależnemu organowi kontrolnemu, ale także osobie, której dane są przetwarzane.

Rozdział V normuje status KIOD, zasad jego wyboru, zadań, uprawnień oraz obowiązku publikacji sprawozdania z jego działalności. W rozdziale tym zamieszczono także przepis dotyczący dodatkowego nadzoru (niezależnie od KIOD) nad prawidłowym przestrzeganiem przepisów o pozyskiwaniu i przetwarzaniu danych. Nadzór taki miałby sprawować biskup diecezjalny w ramach m.in. wizytacji biskupiej, a w zakonach i instytutach życia konsekrowanego – wyższy przełożony.

Rozdział VI dotyczy procedury odwoławczej i sankcji za naruszenie przepisów dekretu. Sankcje dotyczą odpowiedzialności odszkodowawczej oraz karnej kanonicznej, które opisano w odpowiednich kanonach prawa kanonicznego.

Dekret wejdzie w życie po uzyskaniu recognitio Stolicy Apostolskiej, z chwilą jego promulgacji. – A ta nastąpi – co też jest swoistym novum - poprzez publikację na stronie internetowej Konferencji Episkopatu Polski – poinformował ks. prof. Walencik.

Prelegent zaznaczył, że dekret nie dotyczy wszystkich jednostek organizacyjnych Kościoła, tylko kościelnych publicznych osób prawnych, co – stwierdził ks. prof. Walencik - jest ważnym zawężeniem.

Odpowiedzialność administratora przetwarzającego dane będzie spoczywała na organie kościelnej publicznej osoby prawnej (diecezji, parafii lub domu zakonnego), czyli biskupie, proboszczu lub przełożonym zakonnym.

Dekret opisuje, jakie dane mogą być przetwarzane w Kościele. Są to dane zwykłe i wrażliwe (do nich należą informacje o wyznaniu) dotyczące wyłącznie osób ochrzczonych w Kościele katolickim i tych, którzy po chrzcie zostali do niego przyjęci, włącznie z tymi osobami, które formalnie złożyły oświadczenie woli o apostazji, ale zgodnie z wewnętrznymi przepisami Kościoła oraz łącznie z osobami, które utrzymują z nimi stałe kontakty.

Dekret szczegółowo reguluje też m.in. kwestie przekazywania danych do innych zbiorów, co w działalności innych osób prawnych będzie miało duże zastosowanie chociażby wymianie dokumentów związanych z księgami metrykalnymi czy wydawaniem świadectw chrztu.

W dokumencie znalazły się też przepisy dotyczące prawa do sprostowania i do bycia zapomnianym, przy czym prawo do żądania usunięcia danych nie przysługuje w przypadku, gdy dane dotyczą udzielonych sakramentów lub gdy w inny sposób odnoszą się do kanonicznego statusu danej osoby. Tego typu wniosek powinien być odnotowany w zbiorze i zobowiązuje administratora do niewykorzystywania tych danych bez zgody biskupa miejsca lub wyższego przełożonego zakonnego.

Kluczowy dla kościelnego przetwarzania danych osobowych jest art. 91 unijnego rozporządzenia. Mówi on, że jeśli w państwie członkowskim, w momencie wejścia w życie tegoż dokumentu, Kościoły i związki wyznaniowe stosują szczegółowe zasady przetwarzania danych osobowych, to mogą tak czynić nadal pod warunkiem, że zostaną one dostosowane do rozporządzenia.

Jeśli Kościoły nie stworzą własnego urzędu, to ich zadania przetwarzania danych osobowych przejmie GIODO jako organ państwowy. Nad utworzeniem takiego organu pracują też Kościoły mniejszościowe w Polsce, zrzeszone w Polskiej Radzie Ekumenicznej.