Lista pytań związanych z działalnością Kościoła Katolickiego w Polsce kierowanych do Generalnego Inspektora Ochrony Danych Osobowych
Rok: 2009
Autor: Inny
Lista pytań związanych z działalnością Kościoła Katolickiego w Polsce kierowanych do Generalnego Inspektora Ochrony Danych Osobowych
1) Czy do działalności Kościoła Katolickiego mają zastosowanie przepisy ustawy o ochronie danych osobowych?
Ustawa o ochronie danych osobowych znajduje zastosowanie do przetwarzania danych na potrzeby Kościoła i instytucji działających w jego obrębie, przy czym w mniejszym zakresie znajduje zastosowanie do przetwarzania danych wyłącznie członków Kościoła (np. takie zbiory nie podlegają zgłoszeniu do rejestracji, ani kontroli Generalnego Inspektora Ochrony Danych Osobowych). Powyższe nie stoi w sprzeczności z odrębnymi regulacjami zawartymi w prawie kanonicznym i Konkordacie.
2) Czy istnieje obowiązek zgłoszenia do rejestracji zbiorów danych osobowych powstałych w związku z działalnością kościelnych osób prawnych?
O ile przetwarzanie danych następuje na potrzeby Kościoła i dotyczy osób należących do Kościoła, to na administratorze takiego zbioru danych nie spoczywa obowiązek zgłoszenia zbioru do rejestracji (nie zgłasza się np. zbiorów danych darczyńców pozostających członkami Kościoła, zbiorów danych księży, kanoników, biskupów, członków instytutów życia konsekrowanego i stowarzyszeń życia apostolskiego, zbiorów danych uczniów szkół katolickich, zbiorów danych członków Kościoła nieuczestniczących w życiu liturgicznym Kościoła, zbiorów danych osób ochrzczonych – art. 43 ust. 1 pkt 3 ustawy o ochronie danych osobowych). Natomiast w przeciwnym przypadku zbiory kościelnych osób prawnych podlegają zgłoszeniu na zasadach ogólnych (art. 40 ustawy o ochronie danych osobowych). Przykłady takich zbiorów to: – zbiory danych osobowych mieszkańców Domów Opieki Społecznej prowadzonych przez Zgromadzenia Zakonne; – zbiory danych osobowych darczyńców nienależących do Kościoła; – zbiory danych osób, którym udzielane jest wsparcie lub pomoc (np. ewidencja bezdomnych korzystających z noclegowni prowadzonych przez Caritas).
3) Gdzie można uzyskać informację o zbiorach zgłoszonych do rejestracji przez Kościół Katolicki?
W celu realizacji postanowień art. 12 pkt 3 i 42 ust. 1 ustawy o ochronie danych osobowych Generalny Inspektor Ochrony Danych Osobowych prowadzi ogólnokrajowy, jawny rejestr zbiorów danych osobowych oraz udziela informacji o zarejestrowanych zbiorach, między innymi za pośrednictwem strony internetowej www.giodo.gov.pl.
4) Jaka jest podstawowa przesłanka upoważniająca Kościół Katolicki do przetwarzania danych osobowych jego wiernych?
Przetwarzanie danych zwykłych (np. imię, nazwisko, adres zamieszkania) jest dopuszczane na podstawie jednej z przesłanek określonych w art. 23 ust. 1 ustawy. Natomiast przetwarzanie danych osobowych szczególnie chronionych, w tym ujawniających przekonania religijne, odbywa się w oparciu o art. 27 ust. 2 pkt 4 ustawy o ochronie danych osobowych, gdy jest to niezbędne do wykonania statutowych zadań Kościoła, stowarzyszeń, fundacji lub innych niezarobkowych organizacji lub instytucji o celach religijnych pod warunkiem, że przetwarzanie danych dotyczy wyłącznie członków tych organizacji lub instytucji albo osób utrzymujących z nimi stałe kontakty w związku z ich działalnością i zapewnione są pełne gwarancje ochrony przetwarzanych danych osobowych. W związku z zarządzaniem i administrowaniem sprawami Kościoła przetwarzanie danych osobowych osób należących do danego Kościoła jest niezbędne do realizacji jego zadań, o czym stanowi również kan. 535 Kodeksu Prawa Kanonicznego.
5) Czy Kościół ma prawo zbierać i gromadzić dane osób niewierzących zamieszkujących daną parafię?
Kościół ma prawo zbierać i gromadzić dane o przynależności wyznaniowej osób nienależących do Kościoła wyłącznie za ich pisemną zgodą i po poinformowaniu o celu takiego przetwarzania (art. 27 ust. 2 pkt 1 ustawy). Zbieranie danych zwykłych powinno również odbywać się w oparciu o zgodę tych osób (art. 23 ust. 1 pkt 1 ustawy), przy czym, choć ustawa tego nie wymaga, dla celów dowodowych uzasadnione byłoby pozyskiwanie zgody w formie pisemnej. Klauzula zgody powinna zawierać oznaczenie na jaki cel i komu jest wyrażana. Obowiązek informacyjny zostanie natomiast prawidłowo wykonany, gdy administrator danych (np. kościelna osoba prawna) poinformuje osobę niewierzącą, której dane są pozyskiwane o celu zbierania danych, prawie dostępu do treści danych i ich poprawiania, dobrowolności albo obowiązku podania danych, ewentualnie podstawie prawnej takiego obowiązku.
6) Czy zamieszczanie w gablotach ogłoszeń parafialnych imiennej listy par zamierzających wstąpić w związek małżeński (tzw. zapowiedzi) albo listy parafian, którzy zapłacili bądź nie zapłacili miesięcznej składki na rzecz Kościoła, jest naruszeniem zasad ochrony danych osobowych?
Przepisy Kodeksu Prawa Kanonicznego nakładają na duszpasterzy obowiązek ustalenia ewentualnych przeszkód dla zawarcia małżeństwa, wszyscy wierni mają obowiązek znane im przeszkody małżeńskie wyjawić przed zawarciem małżeństwa proboszczowi lub ordynariuszowi miejsca (kan. 1069 Kodeksu Prawa Kanonicznego). Realizacja powyższego obowiązku powinna jednak odbywać się z uwzględnieniem adekwatności przetwarzanych danych tak, aby zakres ujawnionych informacji pozostawał w zgodzie z zasadą proporcjonalności i poszanowaniem godności osoby, której dane dotyczą. Zakres informacji koniecznych do udostępnienia w powyższym celu nie powinien być zbyt szeroki tak, aby nie naruszyć prawnie zagwarantowanej każdemu prywatności, chyba że osoby, których dane dotyczą, wyrażą zgodę na udostępnienie informacji w szerszym zakresie. Zasada pozyskiwania zgody odnosi się także do upublicznienia danych osób zalegających z płatnością składek na rzecz Kościoła. W odmiennym przypadku uznać należy za właściwe kierowanie indywidualnych wezwań do uregulowania zaległych wpłat.
7) Czy proboszcz może przekazać informacje o osobach zamierzających wstąpić w związek małżeński podmiotom trzecim świadczącym usługi (np. salonowi sukien ślubnych, fotografowi, kwiaciarni, itp.)?
Proboszcz nie może udostępniać danych pozyskanych w celu udzielenia sakramentu, w innych celach, osobom trzecim. Zgodnie z art. 36 administrator danych jest zobowiązany zabezpieczyć dane przed ich udostępnieniem osobom nieupoważnionym, zabraniem przez osobę nieuprawnioną czy przetwarzaniem z naruszeniem ustawy.
8) Jakie są podstawy prawne wyłączenia Generalnego Inspektora Ochrony Danych Osobowych ze sprawowania pełnego nadzoru nad przetwarzaniem danych osobowych w zbiorach prowadzonych przez Kościół?
Generalnemu Inspektorowi Ochrony Danych Osobowych nie przysługują uprawnienia w postaci wydawania decyzji administracyjnych, przeprowadzania czynności kontrolnych, wglądu do dokumentów oraz wstępu do pomieszczeń, w których przetwarzane są przez Kościół dane osobowe w odniesieniu do zbiorów dotyczących osób należących do Kościoła i przetwarzanych na jego potrzeby, natomiast Generalny Inspektor Ochrony Danych Osobowych może występować w takich sprawach o wyjaśnienia, sygnalizować nieprawidłowości, ewentualnie zawiadamiać o popełnieniu przestępstwa (art. 43 ust. 2 ustawy).
9) Czy osobie, która zamierza wystąpić z Kościoła przysługuje prawo żądania usunięcia danych osobowych z ksiąg kościelnych?
Nie przysługuje, gdyż zasady archiwizowania informacji zawartych w księgach kościelnych wynikają z innych niż ustawa o ochronie danych osobowych regulacji, a mianowicie z przepisów Kodeksu Prawa Kanonicznego (kan. 535 Kodeksu Prawa Kanonicznego), który wskazuje na konieczność stałego przechowywania informacji związanych z działalnością Kościoła i ich odpowiedniego zabezpieczenia. Fakt wystąpienia z Kościoła jest odnotowywany w księdze chrztów. W zakresie nieuregulowanym przepisami wyżej wskazanego kodeksu zastosowanie znajdą zasady wynikające z ustawy o ochronie danych osobowych – np. prawo do aktualizacji danych i ich poprawiania (art. 35 ust. 1).
10) Jakie dane osobowe znajdują się w kartotekach parafialnych i innych dokumentach gromadzonych przez Kościół? W kartotekach parafialnych powinny znajdować się informacje, które są niezbędne dla realizacji działalności statutowej Kościoła. Obejmują one zarówno dane zwykłe jak i szczególnie chronione. Pozyskiwanie i gromadzenie tych danych odbywa się przede wszystkim na podstawie Kodeksu Prawa Kanonicznego, jako przepisów szczególnych, a w zakresie nieuregulowanym powyższym aktem, w trybie przepisów ustawy o ochronie danych osobowych (art. 23 ust. 1-5 – w przypadku danych zwykłych oraz art. 27 ust. 2 pkt 1-10 – w przypadku danych szczególnie chronionych).
11) Kto sprawuje pieczę nad danymi osobowymi zgromadzonymi w księgach parafialnych?
Kodeks Prawa Kanonicznego określa podmioty zobowiązane do prowadzenia ksiąg parafialnych i to one są zobowiązane do zabezpieczenia danych osobowych w nich zawartych. Zgodnie z kan. 535 proboszcz ma czuwać nad tym, by księgi parafialne były właściwie spisywane i przechowywane.
12) Czy Kościół może wykorzystywać dane osobowe swoich członków bez uprzednio wyrażonej przez nich zgody?
Zgoda nie jest jedyną przesłanką uprawniającą do przetwarzania danych osobowych. Nie jest konieczna, jeśli zachodzi inna przesłanka ustawowa np. gdy jest to niezbędne do wykonania statutowych zadań kościołów i innych związków wyznaniowych, pod warunkiem, że przetwarzanie danych dotyczy wyłącznie członków tych organizacji lub instytucji albo osób utrzymujących z nimi stałe kontakty w związku z ich działalnością i zapewnione są gwarancje ochrony przetwarzanych danych.
13) Czy można mieć wgląd do informacji o zmarłych parafianach zawartych w dokumentacji parafialnej?
Ustawa o ochronie danych osobowych ma zastosowanie wyłącznie do osób żyjących, co oznacza, że kwestia legalności udostępniania informacji o osobach zmarłych nie może być oceniana na gruncie jej przepisów. Należy jednak pamiętać, że brak zastosowania przepisów ustawy o ochronie danych osobowych nie zwalnia podmiotów przetwarzających dane takich osób z obowiązku poszanowania godności osoby zmarłej i jej rodziny.
14) Czy parafianin ma prawo żądać uzupełnienia danych niekompletnych lub sprostowania danych nieaktualnych zawartych w dokumentacji parafialnej? W przypadku gdy w dokumentach przechowywane są informacje dotyczące np. nieaktualnego adresu zamieszkania, nazwiska lub numeru telefonu to administrator danych, np. proboszcz, ma obowiązek ich sprostowania (art. 35 ust. 1 ustawy o ochronie danych osobowych), jak również obowiązek uzupełnienia danych niekompletnych.
15) Czy zatrudniony przez dyrektora szkoły katecheta ma prawo udostępniać proboszczowi informacje o uczęszczaniu ucznia na lekcje religii oraz o wynikach nauki?
Przepisy Kodeksu Prawa Kanonicznego nakładają na proboszcza obowiązek nadzoru w zakresie katechezy [kan. 773-780 KPK oraz art. 12 Konkordatu między Stolicą Apostolską i Rzecząpospolitą Polską z 1993 roku (Dz. U. 1998 Nr 51, poz. 318)] osób przynależących do Kościoła. Z kolei katecheta prowadzący zajęcia z religii jest desygnowany, po uprzednim sprawdzeniu jego kwalifikacji, przez właściwego biskupa diecezjalnego. A zatem, w zakresie osób przynależących do Kościoła Kościół ma prawo sprawować pieczę nad nauczaniem religii oraz między innymi wizytować lekcje religii (rozporządzenie Ministra Edukacji Narodowej z dnia 14 kwietnia 1992 r. w sprawie warunków i sposobu organizowania nauki religii w publicznych przedszkolach i szkołach). W przypadku osób, które taką przynależnością się nie wykazują, udostępnianie ich danych osobowych przez katechetę powinno się odbywać wyłącznie za ich zgodą lub zgodą ich opiekunów prawnych.
16) Czy szkoły, przedszkola, szpitale, domy pomocy społecznej, świetlice i inne podmioty prowadzone przez kościelne osoby prawne i jednostki organizacyjne nieposiadające osobowości prawnej mogą udostępniać dane osobowe, komu i na jakich zasadach?
Zakres praw i obowiązków instytucji kościelnych prowadzących działalność w wyżej wskazanej formie regulują przepisy odrębnych ustaw (np. ustawa o systemie oświaty, ustawa o pomocy społecznej, ustawa o fundacjach, ustawa o stowarzyszeniach). Ustawa o ochronie danych osobowych znajduje zastosowanie w zakresie przez nie nieuregulowanym. Istotne jest aby dane były udostępniane w ściśle określonym celu i zakresie oraz wyłączenie takim podmiotom, które wykażą wyraźną podstawę ustawową (np. sądom, prokuraturze, policji, innym organom prowadzącym postępowania na podstawie odrębnych procedur).
Michał Serzycki Generalny Inspektor Ochrony Danych Osobowych
+ Stanisław Budzik Sekretarz Generalny Konferencji Episkopatu Polski
Warszawa, 23 września 2009 r.