Obowiązki Kościoła Katolickiego w zakresie ochrony danych osobowych i ochrony prawa do prywatności.

Prawo do prywatności człowieka znajduje swoje źródła już od zarania rozwoju ludzkości. Dotyczyło to różnych aspektów prywatności człowieka i jego rodziny. Głównie odnosiło się do pewnej sfery życia, określanej jako mir domowy. Pierwsze zapisy dotykające aspektów prywatności życia człowieka spotykamy w Starym Testamencie, prawie starożytnego Babilonu, Egiptu, Grecji czy Rzymu.  Prawdziwy przełom w rozumieniu czy identyfikacji prawnych aspektów prawa do prywatności przynoszą liczne zapisy w prawie Stanów Zjednoczonych w końcu lat 80 - siątych  XIX wieku. Słynny artykuł Samuela D. Warrena i Louisa D. Brandaisa opublikowany w piśmie „ Harward Law Review „ w 1890 roku stanowi ważny krok w kierunku dookreślenia prawnego prawa do prywatności. W tym samym okresie znany, ówczesny prawnik  Thomas Cooley ( nie tylko on jeden) w swoim ujęciu prawa do prywatności konstruuje zapis „ right to be let alone „ ( prawo do bycia pozostawionym w spokoju). Te pierwsze podnoszone prawne określenia dotyczyły głównie prawa do prywatności tzw. „ miru domowego”. Dalszy rozwój cywilizacyjny prowadzi do zwiększonej ingerencji podmiotów publicznych jak i prywatnych w sferę prywatności człowieka. Następuje wyodrębnienie sfery danych osobowych człowieka. W poszczególnych krajach ( Niemcy czy Francja) w latach 60 – iątych XX wieku tworzone są pierwsze akty prawne regulujące problem ochrony danych osobowych. Z inicjatywy  Komisji Europejskiej, Parlament Europejski i Rada wydali Dyrektywę 95/46/WE w sprawie  przetwarzania danych osobowych, w dniu 24 października 1995 roku. W wyniku realizacji tej dyrektywy czyli implementacji  jej przepisów do prawa polskiego dokonano nowelizacji Konstytucji RP uchwalając przepis art. 47 w brzmieniu :” Każdy ma prawo ochrony prawnej życia prywatnego, rodzinnego, czci i dobrego imienia oraz decydowania o swoim życiu osobistym

 oraz przepis art. 51 :

„ 1. Nikt nie może być obowiązany inaczej niż na podstawie ustawy do ujawniania informacji dotyczących jego osoby.

2. Władze publiczne nie mogą pozyskiwać. Gromadzić i udostępniać innych informacji o obywatelach niż to niezbędne w demokratycznym państwie prawnym.

3. Każdy ma prawo dostępu do żądania dostępu do dotyczących go urzędowych dokumentów i zbiorów danych . ograniczenie tego prawa może określić ustawa.

4. Każdy ma prawo do żądania  sprostowania oraz usunięcia informacji nieprawdziwych, niepełnych lub zebranych w sposób sprzeczny z ustawa. „

Wypełniając obowiązki, wynikające z wyżej wskazanej Dyrektywy Sejm RP w dniu 29 sierpnia 1997 roku uchwalił ustawę o ochronie danych osobowych.

W przepisach ustawy o ochronie danych osobowych zapisano znaczące ograniczenie możliwości władcze organu ochrony danych osobowych ( Generalnego Inspektora Ochrony danych Osobowych – GIODO ). W przepisie art. 43 ust. 2 odnośnie zbiorów dotyczących osób należących do kościoła ( lub innego związku wyznaniowego) organ ochrony danych ma znaczne ograniczenia oddziaływania bezpośredniego.   GIODO  nie przysługują uprawnienia określone w art. 12 pkt.2 czyli wydawanie decyzji administracyjnych i rozpatrywanie skarg w sprawach wykonania przepisów o ochronie danych osobowych, art. 14 pkt. Pkt. 1 i 3- 5 czyli wykonywanie bezpośredniej inspekcji przez inspektorów GIODO za wyjątkiem pkt. 2, czyli żądania złożenia pisemnych lub ustnych wyjaśnień oraz wzywania i przesłuchiwania osoby w zakresie niezbędnym do ustalenia stanu faktycznego określonych, związanych z ochroną danych osobowych zdarzeń. Organ nadzoru nie może również korzystać z przepisów art. 15 – 18 ustawy czyli wszystkich przepisów umożliwiających przeprowadzanie bezpośredniej kontroli a także bezpośrednich działań w stosunku do struktur Kościoła. Organ nadzorczy może jednak stosować art. 19 ustawy czyli w razie stwierdzenia sytuacji wyczerpującej znamiona któregoś z przestępstw określonych a art. 49 – 54 ustawy , GIODO może kierować do odpowiedniego organu powiadomienie. W każdym przypadku w trakcie przetwarzania danych struktury Kościoła ( lub związku wyznaniowego) muszą przestrzegać przepisów art. 36 i następnych dotyczących zabezpieczenia danych osobowych. Brak zabezpieczenia przetwarzania danych osobowych może skutkować odpowiedzialnością z art. 51 i 52 ustawy o ochronie danych osobowych.  Dotyczy to udostępnianie przetwarzanych danych osobom nieuprawnionym jak i naruszenia obowiązku zabezpieczenia danych.  Administratorzy danych osobowych są zwolnieni z obowiązku rejestracji danych osobowych dotyczących osób należących do kościoła, o uregulowanej sytuacji prawnej, przetwarzanych na potrzeby tego Kościoła ( art. 43 ust. 1 pkt. 3)

 

Generalny Inspektor Ochrony Danych Osobowych oraz Sekretariat Konferencji Episkopatu Polski opracowali Instrukcje na temat: Ochrona Danych osobowych w działalności Kościoła Katolickiego (Warszawa 2009 r.)

Instrukcja wydana została w celu wyjaśnienia wątpliwości stosowania ustawy o ochronie danych osobowych przetwarzanych na potrzeby Kościoła Katolickiego w Polsce. Instrukcja wyjaśnia iż kościelne osoby prawne o których mowa w ustawie a 17 maja 1988 r. o stosunku Państwa do Kościoła Katolickiego w Rzeczypospolitej Polskiej to diecezje, parafie, zgromadzenia zakonne, Caritas polska, Caritas diecezje, kościelne instytuty naukowe czy Papieskie Wydziały Teologiczne. Do osób prawnych należą również działające w ramach kościelnych wydawnictwa czy podmioty gospodarcze oraz oświatowo – wychowawcze.

W Instrukcji wskazano iż kwestie zabezpieczenia danych regulują również przepisy prawa kanonicznego ( kan. 486-491), które określają zasady dotyczące archiwizacji dokumentów. Jako przykładowe uregulowanie można podać przepis kan. 486 który stanowi  :

§ 1 Z największą troską należy strzec wszystkich dokumentów dotyczących diecezji i parafii.

 

Należy przywołać podstawowe przepisy regulujące stosunki Państwa Kościoła Katolickiego. Należą do nich przepisy Konstytucji RP przepisy art.     Konkordat między Stolica Apostolską i Rzeczpospolitą Polską czy ustawa o gwarancjach wolności sumienia i wyznania

W ustalonym orzecznictwie GIODO, pewne niejasności   wprowadziło orzeczenie NSA z 2013 r. i jego nienajlepsza interpretacja przez Generalnego Inspektora Ochrony Danych Osobowych. Wysunięto z tego orzeczenia interpretację, iż aby wykonać odstępstwo od przynależności do Kościoła Katolickiego wystarczy oświadczenie woli podjęte w trybie zwykłym ( to bardzo skrótowo ujęte uzasadnienie , które wyinterpretowano ze wspomnianego wyroku NSA) Ostatecznie w wielu następnych wyrokach  WSA jak i NSA ustalono jednoznacznie właściwą wykładnie tego zdarzenia, polegająca na stosowaniu trybu szczególnego.

Podstawowe regulacje znajdują się w przepisach wewnętrznych Kościoła Katolickiego – Kodeksie Prawa Kanonicznego ( KPK) z dnia 25 stycznia 1983 r. oraz Obwieszczeniu Papieskiej Rady Tekstów Prawnych „ Artus formalin defektorionis ab Ecclesia catholica” z dnia 13 marca 2006 r. , zatwierdzona przez Papieża Benedykta XVI. Kwestię wystąpienia ( odstępstwa) z Kościoła Katolickiego reguluje w szczególności Kon. 751 KPK, stanowiący iż aktu odstępstwa , który wywołuje skutki kanoniczne , może dokonać tylko osoba pełnoletnia, zdolna do czynności prawnych , osobiście, w sposób świadomy i wolny , w formie pisemnej w obecności proboszcza swego kanonicznego miejsca zamieszkania” i dwóch pełnoletnich świadków. Przepis ten bezpośrednio koresponduje z normą art. 32 ust. 2 pkt. 8 ustawy o gwarancjach wolności, sumienia i wyznania. We wspomnianych orzeczeniach sądów administracyjnych  stwierdzono iż przewidziane w przepisach Kościoła Katolickiego   czynność prawna apostazji posiada formę szczególną. W prawie polskim dla ważności wielu czynności prawnych nie wystarcza zwykła forma . Do takich szczególnych form przykładowo wskazać można umowę sprzedaży nieruchomości ( akt notarialny ) czy dla ważności rozwodu związku małżeńskiego wymagana jest forma wyroku sadu okręgowego.  I tak po kilku latach niejasności interpretacyjnej spowodowanej wyrokiem Naczelnego Sądu   Administracyjnego w sprawach aktu odstępstwa doczekaliśmy się jednolitej i jasnej wykładni orzeczniczej.

 

Ratyfikowany dnia 23 lutego 1998 r. Konkordat pomiędzy Stolicą Apostolską i Rzeczypospolitą Polską, również wprowadził w art. 1 zasadę autonomii Państwa i Kościoła, stanowiąc, że "Rzeczpospolita Polska i Stolica Apostolska potwierdzają, że Państwo i Kościół Katolicki są - każde w swej dziedzinie - niezależne i autonomiczne oraz zobowiązują się do pełnego poszanowania tej zasady we wzajemnych stosunkach i we współdziałaniu dla rozwoju człowieka i dobra wspólnego". Niezależność i autonomia Państwa i Kościoła zagwarantowana została poprzez zapewnienie przez Państwo Kościołowi Katolickiemu, bez względu na obrządek, swobodne i publiczne pełnienie jego misji, łącznie z wykonywaniem jurysdykcji oraz zarządzaniem i administrowaniem jego sprawami na podstawie prawa kanonicznego (art. 5 Konkordatu). Ustawa nie pozbawiła osób należących do kościoła (w tym do Kościoła Katolickiego) prawa do kontroli przetwarzania danych osobowych, które ich dotyczą, zawartych w zbiorach kościelnych, w szczególności prawa do żądania uzupełnienia, uaktualnienia, sprostowania danych osobowych, czasowego lub stałego wstrzymania ich przetwarzania lub ich usunięcia, jeżeli są one niekompletne, nieaktualne, nieprawdziwe lub zostały zebrane z naruszeniem ustawy albo są już zbędne do realizacji celu, dla którego zostały zebrane (art. 32 ust. 1 p. 6 uodo). Żądanie, o którym mowa powyżej, przysługuje konkretnej osobie jeżeli wykaże, że dane osobowe jej dotyczące są niekompletne, nieaktualne, nieprawdziwe lub zostały zebrane z naruszeniem ustawy albo są zbędne do realizacji celu, dla którego zostały zebrane, chyba że dotyczy to danych osobowych, w odniesieniu do których tryb ich uzupełnienia, uaktualnienia lub sprostowania określają odrębne ustawy (art. 35 ust. 1 uodo). Wykazanie powyższych okoliczności (lub jednej z nich) powoduje powstanie obowiązku po stronie kościoła lub związku wyznaniowego do uzupełnienia, uaktualnienia, sprostowania danych, czasowego lub stałego wstrzymania przetwarzania kwestionowanych danych lub ich usunięcia ze zbioru - bez zbędnej zwłoki (art. 35 ust. 1 uodo). Wskazane przepisy są jednak tak skonstruowane, że przewidują opisane wyżej prawa, lecz nie wskazują sankcji i sposobu wymuszenia zmiany danych. W szczególności GIODO nie może w tym celu wydać decyzji administracyjnej (art. 43 ust. 2 uodo).

Jesteśmy po uchwaleniu przez Parlament UE i Radę nowego Rozporządzenia regulującego ochronę danych osobowych jednolicie we wszystkich Państwach Członkowski UE 9 wejdzie w życie z dniem 25 maja 2018 r.)

Wszystkie podmioty przetwarzające dane osobowe ( administratorzy danych osobowych ) podlegać będą unijnym przepisom i ich interpretacji przez Trybunał Sprawiedliwości UE. W celu przybliżenia tego tematu należy wskazać na orzeczenie

 

Pytanie dotyczyło postępowania karnego toczącego się przeciw B. Linqvist ( Szwecja) oskarżonej o naruszenie przepisów prawa szwedzkiego dot. ochrony danych osobowych przez opublikowanie na swojej stronie internetowej danych osobowych pewnej liczby osób, które świadczyły nieodpłatnie pracę na rzecz kościoła protestanckiego w Szwecji.  B. Linqvist pełniła funkcje katechetki w parafii. Utworzyła na swoim osobistym komputerze strony internetowe mające ułatwić uzyskanie potrzebnych informacji parafianom przygotowującym się do bierzmowania. Na jej wniosek administrator strony kościelnej utworzył linki pomiędzy utworzonymi przez nią stronami a stroną Kościoła.  Utworzone strony zawierały informacje na temat jej i osiemnastu innych osób jej kolegów z parafii.  Informacje zawierały imię i nazwisko, adresy zamieszkania, numery telefonów, pełnione funkcje, sytuacje rodzinną i niektóre zachowania. Dodatkowo w jednym przypadku umieszczona była informacja, że jedna z osób doznała urazu stopy i przebywała na zwolnieniu lekarskim. B. Linqvist nie poinformowała tych osób ( obowiązek informacyjny)  o tym fakcie i nie uzyskała ich uprzedniej zgody na opublikowanie danych. Prokurator wszczął przeciwko B. Linqvist postępowanie zakończone w I instancji ukaraniem jej grzywną i zapłaceniem pewnej sumy na cel społeczny. Po apelacji , sąd II instancji zwrócił się do Trybunału Sprawiedliwości UE w trybie prejudycjalnym o prawną interpretacje tego zdarzenia, w kontekście zgodności prawa szwedzkiego z unijnym. Trybunał orzekł iż :

„ Operacja polegająca na zamieszczeniu na stronie internetowej danych różnych osób pozwalających je zidentyfikować za pomocą nazwiska albo innych środków, np. numeru telefonu lub informacji dotyczących ich warunków pracy i sposobów spędzania przez nie wolnego czasu stanowi „przetwarzanie danych osobowych w całości lub w części w sposób zautomatyzowany” w rozumieniu art. 3 ust. 1 dyrektywy 95/46/WE Parlamentu Europejskiego i Rady z dnia 24 października 1995 r. w sprawie ochrony osób fizycznych w zakresie przetwarzania danych osobowych i swobodnego przepływu tych danych. Informacja, że dana osoba doznała urazu stopy i przebywa na zwolnieniu lekarskim w niepełnym wymiarze, stanowi dane osobowe dotyczące zdrowia w rozumieniu art. 8 ust. 1 dyrektywy 95/46( dane szczególnie wrażliwe art. 27 uodo).

Przepisy nowego Rozporządzenia wychodzą naprzeciw rozwojowi nowych technologii , w szczególności komunikowania się osób jak i używania w naszym codziennym życiu różnych nośników informatycznych. Zapewnienie bezpieczeństwa przetwarzanym informacjom to obowiązek każdego administratora. Ważnym obowiązkiem jest przestrzeganie aby przetwarzanie było zgodne z prawem. W codziennym wykonywaniu swoich obowiązków również w strukturach kościelnych sięga się po nowe , informatyczne technologie. To powoduje wzrost zagrożeń, do najczęściej spotykanych to kradzież tożsamości czy naruszenie prywatności . Nowe przepisy rozporządzenia przewiduje zwiększone obowiązki administratorów danych a ich niewykonanie może skutkować niezwykle wysokimi karami pieniężnymi (do 20000000 EUR) nakładanymi prze organ ochrony danych. Również nowe przepisy dają możliwość dochodzenia odszkodowania za szkody materialne lub niematerialne jakie mogą ponieść osoby, których dane dotyczą, na skutek naruszenia nowych unijnych przepisów. Przepisy wprowadzają w wielu wskazanych prawnie przypadkach obowiązek powoływania inspektora ochrony danych osobowych( data protection officer). Już dzisiaj istnieje możliwość powoływania administratora bezpieczeństwa informacji (ABI). fachowca do nadzoru na prawidłowością przetwarzania danych osobowych.  W strukturach Kościoła w publicznym rejestrze GIODO widnieją zarejestrowane takie osoby. Można wśród nich, wymienić Archidiecezję Krakowską, niektóre Parafie, Diecezjalną Fundację Ochrony Życia. Diecezjalny Ośrodek Duszpasterstwa Akademickiego Arka, liczne parafialne szkoły czy przedszkola i aż 18 różnych struktur Caritasu. To jest wyzwanie przyszłości i nie ma w rozwoju nowych informatycznych technologii miejsca na ograniczenia.

 

Andrzej Lewiński – prawnik – radca prawny. Zastępca GIODO 2006-20016. Prezes Fundacji im Józefa Wybickiego na rzecz obrony prywatności i godności człowieka. Należę do Stowarzyszenia Ruch Ochrony Prywatności i Instytutu Ochrony Danych Osobowych w Poznaniu


rozne   wiadomości