Dane osobowe przetwarzane przez Kościoły

Nadal żywo komentowane są wyroki NSA oraz potencjalne działania kontrolne GIODO dotyczące wypełniania wymogów prawa do prywatności i tzw. autonomii informacyjnej (prawa decydowania i kontrolowania, kto i jakie dane zbiera i co z nimi robi) w Kościołach. Obecnie w toku jest np.  ponad 80 skarg do GIODO apostatów, którzy zarzucają, że Kościół mimo uznania wystąpienia nadal przetwarza ich dane. GIODO jak dotąd odmawiał interwencji, powołując się na ustawę o ochronie danych osobowych, która nie dawała mu de facto prawa kontrolowania prawidłowości zbierania i przechowywania danych osobowych przez policję i służby specjalne oraz Kościoły i związki wyznaniowe.  Naczelny Sąd Administracyjny potwierdził  z jednej strony, że GIODO nie ma prawa kontrolować przetwarzania przez Kościoły danych wiernych, ale z drugiej strony ma obowiązek kontrolować dane osób nienależących do Kościoła, co wykracza poza autonomię Kościołów. Ani Konkordat – regulujący stosunki państwa z Kościołem katolickim, ani ustawa o gwarancjach sumienia i wyznania nie wyłączają spod kontroli państwa relacji Kościołów z takimi osobami.

Przykładowo w odniesieniu do danych osobowych przetwarzanych przez Kościół katolicki całościowe ujęcie regulacyjne obejmuje nie tylko kanony prawa kanonicznego i postanowienia Konkordatu między Stolicą Apostolską a Rzeczpospolitą Polską ale również inne istniejące dokumenty  Kościoła katolickiego  w tym m.in.  zalecenia Papieskiej Rady Tekstów Prawnych z 2006 r.  Instrukcja Konferencji Episkopatu Polski z 2008 r. czy Instrukcja „Ochrona danych osobowych w działalności Kościoła katolickiego w Polsce” przygotowana przez sekretariat Konferencji Episkopatu Polski i Generalnego Inspektora Ochrony Danych Osobowych. Ważną rolę pełnią dokumenty obejmujące funkcjonujące rozwiązania m.in. pozwalające uwzględniać reguły dotyczące wiernych ustalane przez biskupów w poszczególnych diecezjach, określające wewnętrzne zasady postępowania z danymi w tym sensytywnymi  oraz warunki ich ochrony i przechowywania, wykonywania kopii bezpieczeństwa danych na wypadek utraty oryginału, zabezpieczeniach przed włamaniami z sieci czy wirusami itd.

Na część z tych kwestii wskazują kanony prawa kanonicznego, które co prawda dotyczą diecezji i kurii ale mogą być odpowiednio stosowane w parafiach. Przykładowo zgodnie z 486 kanonem § 2 „W każdej kurii, w bezpiecznym miejscu, należy urządzić archiwum diecezjalne lub depozyt dokumentów, w którym winny być przechowywane dokumenty i pisma dotyczące spraw diecezjalnych – odpowiednio uporządkowane i pilnie strzeżone pod zamknięciem”.  Prawo kanoniczne wskazuje również na  konieczność sporządzenia „katalogu dokumentów znajdujących się w archiwum, z dołączeniem krótkiego opisu każdej z pozycji”. O dostępie mówi także m.in.  kanon 487 §1i2 nakazując „ zamknięcie archiwum na klucz, który posiadać może tylko biskup i kanclerz, bez obecności których nie wolno odwiedzać archiwum, a osoby bezpośrednio zainteresowane danym dokumentem mogą osobiście lub przez pełnomocnika otrzymać odpis lub kopię tego dokumentu”.

Dla zoptymalizowania ochrony danych osobowych do wykorzystania są nadal liczne rozwiązania powstałe na bazie wymagań ustawowych oraz orzecznictwa.