25 maja zacznie obowiązywać rozporządzenie Parlamentu Europejskiego i Rady (UE) z 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych.

Do tego czasu państwa unijne mają obowiązek dostosować swoje wewnętrzne prawo w zakresie przetwarzania danych osobowych do tegoż dokumentu. Obowiązek ten spoczywa także na Kościołach i związkach wyznaniowych, przy poszanowaniu wszelkiej ich autonomii. Jeśli Kościoły nie stworzą własnego urzędu, to ich zadania przetwarzania danych osobowych przejmie organ państwowy.

- Ochrona danych osobowych jest bardzo ważna dla Kościoła. Chrześcijaństwo wniosło do kultury europejskiej przekonanie o nienaruszalnej godności osoby ludzkiej, a uznanie godności człowieka wymaga odpowiedniej ochrony danych osobowych - przypomina rzecznik Episkopatu Polski ks. Paweł Rytel-Andrianik.

"Do tej pory zasady dotyczące ochrony danych osobowych w Kościele katolickim zawarte były w wielu dokumentach Kościoła powszechnego i partykularnego. Odtąd tę kwestię będzie regulował najnowszy dokument" - dodał rzecznik KEP.

„Dekret ogólny Konferencji Episkopatu Polski w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych w Kościele katolickim” został przygotowany przez zespół ekspertów, powołany w tym celu przez biskupów.

Na zebraniu plenarnym KEP 14 marca ub. roku dokument został przedstawiony hierarchom, następnie poddano go konsultacjom i weryfikacji pod kątem zgodności z wytycznymi przygotowanymi przez COMECE (Komisję Konferencji Biskupów Unii Europejskiej). Podczas prac nad nim uwzględniono także propozycje zmian przedłożone przez Kongregację ds. Biskupów, Wydział ds. Stosunków z Państwami Sekretariatu Stanu Stolicy Apostolskiej oraz Papieską Radę ds. Tekstów Prawnych.

Uzyskawszy recognitio, czyli potwierdzenie zgody Stolicy Apostolskiej, dekret staje się obowiązującym prawem we wszystkich jednostkach organizacyjnych Kościoła katolickiego w Polsce.

Dzięki dokumentowi nastąpi ujednolicenie zasad stosowania przepisów, które istnieją w Kościele przynajmniej od kilkudziesięciu lat, a dotyczą ochrony danych osobowych.

Kluczowy dla kościelnego przetwarzania danych osobowych jest art. 91 unijnego rozporządzenia. Mówi on, że jeśli w państwie członkowskim, w momencie wejścia w życie tegoż dokumentu, Kościoły i związki wyznaniowe stosują szczegółowe zasady przetwarzania danych osobowych, to mogą tak czynić nadal pod warunkiem, że zostaną one dostosowane do rozporządzenia.

Dekret składa się z preambuły i 44 artykułów pogrupowanych w siedmiu rozdziałach. W preambule przypomniano najważniejsze dotychczasowe kanoniczne regulacje prawne w zakresie ochrony danych osobowych oraz inne dokumenty Stolicy Apostolskiej i Kościoła katolickiego w Polsce odnoszące się do zagadnienia przetwarzania danych osobowych.

"Dokumenty te w praktyce tworzyły i tworzą autonomiczny system ochrony danych osobowych stosowany przez Kościół katolicki w Polsce, co w mojej ocenie wydaje się być zgodne z przepisami RODO, zwłaszcza z art. 91, jak i przepisami Kodeksu Prawa Kanonicznego i Kodeksu Kanonów Kościołów Wschodnich” – powiedział w marcu w Warszawie na konferencji poświęconej wdrożeniu przepisów RODO w Kościołach ks. prof. Dariusz Walencik, ekspert prawa wyznaniowego z Uniwersytetu Opolskiego i członek zespołu przygotowującego dekret.

„Dekret nie zmienia niczego w dotychczasowych regulacjach, w tym sensie, że uzupełnia bądź uszczegóławia te regulacje prawa powszechnego kanonicznego lub prawa partykularnego kanonicznego. Jego celem jest dostosowanie tych przepisów wewnętrznych obowiązujących w Kościele katolickim w Polsce do wymogów unijnego rozporządzenia” - dodał wówczas ks. prof. Walencik.

Zasady i standardy przetwarzania danych (zarówno zwykłych, jak i wrażliwych) przez kościelne jednostki organizacyjne opisano w rozdziale II dekretu. Ustanowiono m.in. obowiązek informowania o przetwarzaniu danych w przypadku ich zbierania osoby, których to dotyczy, ale także jeśli chodzi o zbieranie takich danych z innych źródeł.

Art. 10 dotyczy ochrony danych w przypadku ich publikacji w periodykach urzędowych, publikacjach cyfrowych i zamieszczanych na stronach internetowych.

Prawa osoby, której dotyczy zbieranie i przetwarzanie danych opisano w rozdziale III. Wśród tych praw dekret wymienia prawo do informowania o przetwarzaniu danych, do żądania sprostowania danych, do sporządzenia adnotacji i uzupełnienia danych, do ich usunięcia lub ograniczenia przetwarzania.

Obowiązki administratora danych zawiera rozdział IV dekretu, do których należy m.in. obowiązek rejestrowania czynności przetwarzania danych, zapewnienia bezpieczeństwa ich przetwarzania. Opisano tam także warunki przechowywania zbiorów danych, także w archiwach (m.in. cyfrowych i tajnych).

Dekret mówi także o obowiązku zgłaszania Kościelnemu Inspektorowi Ochrony Danych (KIOD) przypadków naruszenia ochrony danych jako niezależnemu organowi kontrolnemu, ale także osobie, której dane są przetwarzane.

Rozdział V normuje status KIOD, zasad jego wyboru, zadań, uprawnień oraz obowiązku publikacji sprawozdania z jego działalności. W rozdziale tym zamieszczono także przepis dotyczący dodatkowego nadzoru (niezależnie od KIOD) nad prawidłowym przestrzeganiem przepisów o pozyskiwaniu i przetwarzaniu danych. Nadzór taki miałby sprawować biskup diecezjalny w ramach m.in. wizytacji biskupiej, a w zakonach i instytutach życia konsekrowanego – wyższy przełożony.

Rozdział VI dotyczy procedury odwoławczej i sankcji za naruszenie przepisów dekretu. Sankcje dotyczą odpowiedzialności odszkodowawczej oraz karnej kanonicznej, które opisano w odpowiednich kanonach prawa kanonicznego.

Ks. prof. Walencik zaznaczył, że dekret nie dotyczy wszystkich jednostek organizacyjnych Kościoła, tylko kościelnych publicznych osób prawnych, co jest ważnym zawężeniem.

Odpowiedzialność administratora przetwarzającego dane będzie spoczywała na organie kościelnej publicznej osoby prawnej (diecezji, parafii lub domu zakonnego), czyli biskupie, proboszczu lub przełożonym zakonnym.

Dekret opisuje, jakie dane mogą być przetwarzane w Kościele. Są to dane zwykłe i wrażliwe (do nich należą informacje o wyznaniu) dotyczące wyłącznie osób ochrzczonych w Kościele katolickim i tych, którzy po chrzcie zostali do niego przyjęci, włącznie z tymi osobami, które formalnie złożyły oświadczenie woli o apostazji, ale zgodnie z wewnętrznymi przepisami Kościoła oraz łącznie z osobami, które utrzymują z nimi stałe kontakty.

Dekret szczegółowo reguluje też m.in. kwestie przekazywania danych do innych zbiorów, co w działalności innych osób prawnych będzie miało duże zastosowanie chociażby wymianie dokumentów związanych z księgami metrykalnymi czy wydawaniem świadectw chrztu.

W dokumencie znalazły się też przepisy dotyczące prawa do sprostowania i do bycia zapomnianym, przy czym prawo do żądania usunięcia danych nie przysługuje w przypadku, gdy dane dotyczą udzielonych sakramentów lub gdy w inny sposób odnoszą się do kanonicznego statusu danej osoby. Tego typu wniosek powinien być odnotowany w zbiorze i zobowiązuje administratora do niewykorzystywania tych danych bez zgody biskupa miejsca lub wyższego przełożonego zakonnego.