Instrukcja o ochronie danych osobowych w działalności Kościoła katolickiego w Polsce
Rok: 2009
Autor: Konferencja Episkopatu Polski
Instrukcja została opracowana przez Generalnego Inspektora Ochrony Danych Osobowych oraz Sekretariat Konferencji Episkopatu Polski – w związku z wątpliwościami dotyczącymi stosowania ustawy o ochronie danych osobowych w odniesieniu do danych osobowych przetwarzanych na potrzeby Kościoła Katolickiego w Polsce.
I. Informacje ogólne
1. Podstawa prawna
Prawo do ochrony danych osobowych jest prawem wynikającym z Konstytucji Rzeczypospolitej Polskiej (art. 47 i art. 51), a jego szczegółowe określenie znalazło się w Ustawie z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (Dz. U. z 2004 r.
Nr 101, poz. 926 ze zm.).
2. Dane osobowe
W rozumieniu ustawy o ochronie danych osobowych, za dane osobowe uważa się każdą informację dotyczącą osoby fizycznej, pozwalającą na określenie tożsamości tej osoby. Ustawa przewiduje dwie kategorie danych osobowych, są to:
a) dane zwykłe (np. imię, nazwisko, adres zamieszkania, wykonywany zawód, numer telefonu, itp.),
b) dane szczególnie chronione – sensytywne, wymienione enumeratywnie w art. 27 ust. 1 ustawy:
– dane ujawniające pochodzenie rasowe lub etniczne,
– poglądy polityczne,
– przekonania religijne lub filozoficzne,
– przynależność wyznaniową, partyjną lub związkową,
– dane o stanie zdrowia,
– kodzie genetycznym,
– nałogach,
– życiu seksualnym,
– dane dotyczące skazań,
– orzeczenia o ukaraniu i dane dotyczące mandatów karnych,
– inne orzeczenia wydane w postępowaniu sądowym lub administracyjnym.
3. Zbiory danych
Zbiorem danych, w rozumieniu ustawy o ochronie danych osobowych, jest każdy posiadający strukturę zestaw danych o charakterze osobowym, dostępnych według określonych kryteriów, niezależnie od tego, czy zestaw ten jest rozproszony lub podzielony funkcjonalnie. Zbiory danych mogą być tworzone w systemie tradycyjnym (papierowym), albo w systemie informatycznym (np.: w postaci kartotek parafialnych, programów kadrowo-płacowych).
4. Przetwarzanie danych
Ustawa określa zasady postępowania przy przetwarzaniu danych osobowych oraz prawa osób fizycznych, których dane osobowe są lub mogą być przetwarzane
w zbiorach danych.
Przetwarzaniem danych są jakiekolwiek czynności na danych osobowych, takie jak
m.in.:
– zbieranie,
– utrwalanie,
– opracowywanie,
– zmienianie,
– udostępnianie,
– usuwanie,
– przechowywanie (archiwizowanie),
– operacje wykonywane w systemach informatycznych (przesłanie e-maila, sms itp.).
Przetwarzanie danych zwykłych odbywa się na podstawie art. 23 ust. 1 ustawy. Podstawą przetwarzania danych zwykłych może być przepis prawa albo zgoda osoby, której dane dotyczą.
Przetwarzanie danych szczególnie chronionych, co do zasady jest zabronione, za wyjątkiem sytuacji określonych w art. 27 ust. 2 ustawy, np. gdy jest to niezbędne do wykonania statutowych zadań Kościoła Katolickiego, pod warunkiem, że przetwarzanie danych dotyczy wyłącznie członków tych instytucji albo osób utrzymujących z nimi stałe kontakty w związku z ich działalnością i zapewnione są pełne gwarancje ochrony przetwarzanych danych (art. 27 ust. 2 pkt 4). Przetwarzanie danych szczególnie chronionych osób nienależących do Kościoła jest dopuszczalne za pisemną zgodą tych osób (art. 27 ust. 2 pkt 1).
5. Obowiązek rejestracji zbiorów danych
Zbiory danych osobowych przetwarzane przez Kościół Katolicki, o ile dotyczą członków Kościoła i są wykorzystywane wyłącznie na potrzeby Kościoła, np.: kartoteka parafialna – nie podlegają obowiązkowi zgłoszenia zbioru danych do rejestracji Generalnemu Inspektorowi Ochrony Danych Osobowych (art. 43 ust. 1 pkt 3 ustawy o ochronie danych osobowych).
Tym samym w odniesieniu do tych zbiorów Generalnemu Inspektorowi Ochrony Danych Osobowych nie przysługują uprawnienia dotyczące możliwości kontroli zgodności przetwarzania danych z ustawą z dnia o ochronie danych osobowych.
O ile jednak przetwarzane są dane osobowe innych osób, niż określone w art. 43 ust. 1 pkt 3 ustawy, zbiory powinny być zgłoszone do rejestracji.
6. Kościelne osoby prawne
Kościelne osoby prawne, o których mowa w Ustawie z 17 maja 1989 r. o stosunku Państwa do Kościoła Katolickiego w Rzeczypospolitej Polskiej (np. diecezje, parafie, zgromadzenia zakonne, Caritas Polska, Caritas diecezji, kościelne instytuty naukowe, czy Papieskie Wydziały Teologiczne), jak również działające w ich ramach kościelne wydawnictwa, zakłady wytwórcze, usługowe i handlowe, zakłady charytatywno-opiekuńcze, szkoły i inne placówki oświatowo-wychowawcze, nieposiadające osobowości prawnej są zobligowane do dołożenia szczególnej staranności w procesie przetwarzania danych osobowych pozyskiwanych w ramach swojej działalności.
Do takich jednostek organizacyjnych Kościoła ustawa znajduje zastosowanie w pełni
w przypadku przetwarzania danych osób nienależących do Kościoła i nieutrzymujących z nim stałych kontaktów (tzn. muszą być wykonane przez administratora danych wszelkie obowiązki wynikające z przepisów o ochronie danych osobowych).
II. Zabezpieczenie danych osobowych
1. Zasada ogólna
Liczne ograniczenia możliwości ingerencji Generalnego Inspektora Ochrony Danych Osobowych w sferę danych zbieranych w ramach Kościoła Katolickiego nie oznacza zwolnienia ze staranności w zabezpieczaniu zbieranych danych przed dostępem do nich osób nieuprawnionych, swobody w rozpowszechnianiu, bądź przekazywaniu zebranych danych innym instytucjom lub osobom. Jakkolwiek bowiem Kościół ma prawo przetwarzać dane osobowe dla realizacji swojej działalności statutowej, to przetwarzanie tych danych powinno się odbywać z poszanowaniem godności jednostki.
Ustawa zawiera przepisy karne przewidujące za zaniedbania w zakresie materii regulowanej ustawą karę grzywny, karę ograniczenia wolności oraz karę pozbawienia wolności w zależności od wagi przestępstwa.
2. Obowiązki administratora danych wynikające z ustawy o ochronie danych osobowych
Administratorem danych jest podmiot decydujący o celach i środkach przetwarzania danych osobowych (art. 7 pkt 4 ustawy o ochronie danych osobowych), a więc Kościół Katolicki, reprezentowany przez właściwe organy, np.: biskupów czy proboszczów oraz instytucje współpracujące z Kościołem (np.: fundacje, stowarzyszenia, wydawnictwa, itd.).
Administrator danych ma obowiązek zabezpieczyć je poprzez zastosowanie odpowiednich środków technicznych i organizacyjnych zapewniających ochronę przetwarzanych danych osobowych, tak aby:
1) nie były udostępniane osobom nieupoważnionym,
2) nie były zabrane przez osobę nieuprawnioną,
3) były zabezpieczone przed uszkodzeniem, zniszczeniem lub utratą.
3. Zabezpieczanie danych przetwarzanych w sposób tradycyjny
i w systemach informatycznych
Zastosowanie środków technicznych i organizacyjnych odnosi się zarówno do danych przetwarzanych w sposób tradycyjny (manualny, papierowy), jak i do przetwarzania danych w systemach informatycznych (w postaci elektronicznej, przy użyciu np.: komputera, laptopa).
W związku z powyższym istotne jest:
1) zabezpieczenie obszaru (budynek, pomieszczenia lub części pomieszczeń), w którym przetwarzane są dane osobowe w formie papierowej lub
w systemie informatycznym poprzez:
a) zastosowanie odpowiednich zamków, drzwi, systemów alarmowych, itp;
b) zapewnienie kluczy do pomieszczeń, szaf, biurek, itp. oraz kontroli ich używania;
c) zabezpieczenie przed dostępem osób trzecich na czas nieobecności
w pomieszczeniach osób upoważnionych;
2) zabezpieczenie dokumentów zawierających dane osobowe poprzez:
a) zapewnienie dostępu do dokumentów wyłącznie osobom upoważnionym, zobligowanym do zachowania w tajemnicy pozyskanych informacji;
b) niszczenie dokumentów zbędnych w sposób uniemożliwiający odtworzenie danych znajdujących się w tych dokumentach;
c) przechowywanie dokumentów w zamkniętych na klucz szafach po zakończeniu pracy;
3) zabezpieczenie systemów informatycznych służących do przetwarzania danych osobowych poprzez:
a) zapewnienie dostępu do komputerów wyłącznie osobom upoważnionym (np. ustawienie monitorów komputerowych w sposób uniemożliwiający osobom postronnym zapoznanie się z danymi, zachowanie w tajemnicy haseł dostępu do komputerów, zastosowanie wygaszacza ekranu w momencie niekorzystania z komputera);
b) przechowywanie elektronicznych nośników informacji zawierających dane osobowe (dyskietki, płyty CD, taśmy magnetyczne) w sposób zabezpieczający przed nieuprawnionym przejęciem, odczytem, skopiowaniem lub zniszczeniem;
c) w sytuacji, gdy dane osobowe przetwarzane są na komputerze przenośnym (laptopie), niezbędne jest zachowanie szczególnej ostrożności podczas jego transportu, przechowywania i użytkowania
w terenie oraz zastosowanie programu szyfrującego;
d) systemy informatyczne, przy użyciu których przetwarzane są dane osobowe, zabezpiecza się przed utratą zasilania poprzez zastosowanie urządzeń UPS;
e) systemy informatyczne, przy użyciu których przetwarzane są dane osobowe, zabezpiecza się przed utratą danych poprzez wykonywanie okresowych kopii bezpieczeństwa;
f) systemy informatyczne, przy użyciu których przetwarzane są dane osobowe, zabezpiecza się przed zagrożeniami pochodzącymi z sieci publicznej Internet za pomocą specjalistycznych mechanizmów teleinformatycznych, takich jak:
– zapora ogniowa (tzw. „firewall „),
– system wykrywania włamań,
– oprogramowanie antywirusowe.
Zagrożenia powyższe można wyeliminować poprzez korzystanie z komputera niemającego połączenia z Internetem.
Należy pamiętać, iż rodzaj zabezpieczeń powinien być dostosowany do rodzaju zagrożeń i kategorii przetwarzanych danych. Zachowanie należytej staranności
w procesie zabezpieczenia danych może przejawiać się przykładowo w wyeliminowaniu przypadków umieszczania dokumentów w miejscach ogólnie dostępnych lub
w otwartych szafach.
4. Informacje dotyczące bezpiecznego korzystania z Internetu
Dla zachowania bezpieczeństwa, przy użytkowaniu np. Internetu należy przestrzegać kilku podstawowych zasad, a w szczególności:
1) nie należy otwierać załączników (plików) do korespondencji elektronicznej nadesłanej przez nieznanego nadawcę;
2) nie zgrywać na dysk twardy komputera ani nie uruchamiać żadnych programów nielegalnych ani żadnych plików pobranych z niewiadomego źródła;
3) nie wchodzić na strony, na których prezentowane są informacje o charakterze przestępczym, hakerskim, ani innym zakazanym przez prawo (na większości stron tego typu jest zainstalowane szkodliwe oprogramowanie, infekujące
w sposób automatyczny system operacyjny komputera szkodliwym oprogramowaniem);
4) nie należy w opcjach przeglądarki internetowej włączać opcji autouzupełniania formularzy i zapamiętywania haseł;
5) należy na bieżąco aktualizować system operacyjny komputera, system antywirusowy, jak również system firewall.
Należy pamiętać, że nikt nie jest w sieci anonimowy, a korzystanie z każdej strony www jest utrwalane i może być wykorzystywane przez różne podmioty dla celów często niezgodnych z prawem.
5. Opracowanie instrukcji na użytek własnego podmiotu
Zaleca się, aby administrator danych (np. biskup, proboszcz, itp.) opracował w formie pisemnej instrukcję zawierającą prawa, reguły i praktyczne wyjaśnienia dotyczące sposobu zarządzania, ochrony i wymiany informacji (danych osobowych) w systemie tradycyjnym (papierowym) oraz informatycznym wewnątrz swojej jednostki. Pozwoli to na prawidłowe zarządzanie danymi. Uzasadnionym także wydaje się wyznaczenie osoby, która będzie odpowiedzialna za właściwe stosowanie opracowanych przez administratora danych reguł.
Jest to szczególnie ważne, gdy dostęp do danych osobowych poza administratorem mają inne osoby.
6. Obowiązki administratora danych wynikające z Kodeksu Prawa Kanonicznego
Należy zauważyć, że kwestie zabezpieczenia danych regulują również przepisy Kodeksu Prawa Kanonicznego (kan. 486-491), które określają zasady dotyczące archiwizacji dokumentów.
I tak kan. 486 stanowi, że:
§ 1. Z największą troską należy strzec wszystkich dokumentów dotyczących diecezji lub parafii.
§ 2. W każdej kurii, w miejscu bezpiecznym, należy urządzić archiwum diecezjalne czyli depozyt dokumentów, w którym winny być przechowywane dokumenty
i pisma dotyczące spraw diecezjalnych – zarówno duchowych, jak
i doczesnych – odpowiednio uporządkowane i pilnie strzeżone pod zamknięciem.
§ 3. Powinien być sporządzony inwentarz, czyli katalog dokumentów znajdujących się w archiwum, z dołączeniem krótkiego opisu każdej pozycji.
Kan. 487.
§ 1. Archiwum powinno być zamknięte, a klucz od niego winien mieć tylko biskup
i kanclerz. Nikomu nie wolno wchodzić do archiwum bez zezwolenia biskupa lub moderatora kurii i kanclerza równocześnie.
§ 2. Osoby zainteresowane mają prawo – gdy o to proszą osobiście lub przez pełnomocnika – otrzymać autentyczny odpis lub kopię dokumentu, z natury swej publicznego, który dotyczy ich osoby.
Kan. 488.
Z archiwum nie wolno zabierać dokumentów, chyba że tylko na krótki czas i za zgodą biskupa, albo moderatora kurii i kanclerza równocześnie.
Kan. 489.
§ 1. W kurii diecezjalnej powinno także być archiwum tajne albo przynajmniej
w ogólnym archiwum winna się znajdować kasa pancerna, dobrze zamknięta
i umocowana, której nie da się wynieść z miejsca. Należy w nim przechowywać z największą pilnością dokumenty tajne.
§ 2. Każdego roku należy zniszczyć dokumenty spraw karnych w zakresie obyczajów, dotyczące osób zmarłych albo spraw zakończonych przed dziesięciu laty wyrokiem skazującym, zachowując krótkie streszczenie faktu wraz z tekstem wyroku.
Kan. 490.
§ 1. Klucz od tajnego archiwum powinien mieć tylko biskup.
§ 2. Podczas wakansu stolicy nie wolno otwierać tajnego archiwum lub kasy pancernej. W razie prawdziwej konieczności, czyni to sam administrator diecezji.
§ 3. Z tajnego archiwum lub kasy pancernej nie wolno wynosić dokumentów.
Michał Serzycki
Generalny Inspektor Ochrony Danych Osobowych
+ Stanisław Budzik
Sekretarz Generalny Konferencji Episkopatu Polski
Warszawa, 23 września 2009 r.