- Kościół nie może godzić się na usuwanie danych osób, które z niego występują, choćby dlatego, że zdarzają się nawrócenia i musi wiedzieć, jakie sakramenty przyjął wierny - mówi ks. prof. dr hab. Piotr Kroczek, kościelny inspektor ochrony danych
Dlaczego Kościół katolicki nie chce usuwać danych osobowych apostatów?
Chrzest ma niezatarte znamię, niezniszczalny charakter, a co za tym idzie, jest to podstawowa dana związana z członkostwem w Kościele. Ta podstawowa dana pozwala na uzyskiwanie innych środków zbawienia, czyli pozostałych sakramentów. Jeżeli nie będzie informacji o chrzcie, to nie będzie możliwości ich uzyskiwania. To zaś oznaczałoby, że cała działalność Kościoła zmierzająca do zbawienia, zostałaby podważona.
Poza tym teologicznym powodem jest też drugi, który nazwałbym eklezjalnym, związanym z dobrem powszechnym w Kościele. W księgach ochrzczonych zapisuje się także dodatkowe informacje związane z sakramentami, np. święceniami, ślubami zakonnymi, orzeczeniami nieważności małżeństwa. To podstawowe źródło informacji o statusie kanonicznym osoby.
Wykreślenie tych danych godziłoby także w porządek publiczny w Kościele. Weźmy pod uwagę chociażby małżeństwa i konieczność zapobiegania bigamii.
Patrząc jednak z punktu widzenia osoby, która wystąpiła z Kościoła katolickiego, wygląda to tak, że choć nie jest już wierząca, to wciąż podlega prawu kościelnemu.
Członkostwa w Kościele nie można traktować tak jak członkostwa chociażby w stowarzyszeniu. Kościół jest wspólnotą, której celem jest zbawienie człowieka. Członkostwo ma więc charakter teologiczny; ktoś kto został włączony do Kościoła, pozostaje w nim na zawsze. A co za tym idzie, nawet odejście od Kościoła nie oznacza, że ktoś przestaje być jego częścią. Zawsze może do niego wrócić. Wtedy jednak już nie przyjmuje się chrztu, bo ten ma wspomniane niezatarte znamię, inne sakramenty również pozostają ważne. I właśnie po to, by wiedzieć o tym, że taki nawrócony wierny był już chrzczony, bierzmowany czy też zawarł małżeństwo, Kościół musi mieć te informacje, aby wypełniać swoją misję. Zresztą to nie jest tylko teoretyzowanie, gdyż takie sytuacje się zdarzają.
Czy osoby występujące z Kościoła mogą domagać się usunięcia jakichkolwiek danych?
Oczywiście. W księgach parafialnych zostaną jednak dane o przyjętych sakramentach i statusie kanonicznym osoby. W praktyce pozostaje więc głównie zapis o fakcie chrztu, święceń, ślubach zakonnych czy małżeństwie. Natomiast wszystkie inne informacje, np. czy ktoś należał do takiej, a nie innej parafii, czy przyjmował wizytę duszpasterską, będą co do zasady usuwane.
Chciałbym jednak zaznaczyć, że dane, które ze wskazanych wcześniej powodów nie mogą zostać usunięte, są przetwarzane w maksymalnie ograniczonym zakresie. Sprowadza się to do tego, że po prostu widnieją w księgach, ale nikt nic z nimi nie robi i nikomu się ich nie udostępnia.
W tym miejscu dodam, że prawo kanoniczne chroni dane osobowe każdego i to niezależnie od statusu tej osoby w Kościele czy treści żądania dotyczącego danych. Każdy, czy to siostra zakonna czy osoba, która złożyła oświadczenie o wystąpieniu z Kościoła, może zwrócić się do kościelnego inspektora ochrony danych. Każdą sprawę KIOD traktuje obiektywnie i bezstronnie. Świadczą o tym informacje zwrotne.
Właśnie złożył ksiądz sprawozdanie za 2021 r. Ile skarg w tym okresie wpłynęło do KIOD?
28 skarg, 12 zgłoszeń naruszeń oraz prowadziłem 7 postępowań wyjaśniających. W poprzednich latach te liczby były zbliżone.
Niezbyt wiele, ale niewykluczone, że liczba spraw wzrośnie. Naczelny Sąd Administracyjny orzekł ostatnio, że osoby kwestionujące przetwarzanie danych przez Kościół nie mogą składać skarg do prezesa UODO. Przysługuje im jedynie skarga do KIOD (wyrok z 25 maja 2022 r., sygn. akt III OSK 2273/21).
Należy w pełni zaaprobować interpretację przyjętą przez NSA. Wyrok uwzględnia przepisy RODO, konstytucyjne zasady niezależności i autonomii i inne regulacje. NSA spojrzał na całość systemu prawnego w Polsce. Niezależność i autonomia Kościoła w sprawach własnych jest wielką wartością polskiego systemu prawnego i ma ona również zastosowanie do ochrony danych osobowych. Jest to też zasada stosowana nie tylko do Kościoła katolickiego, ale także do innych kościołów i związków wyznaniowych działających w Polsce.
Nie jestem natomiast pewien, czy wyrok zwiększy liczbę skarg do KIOD. Wszystkie sprawy, w których prezes UODO uznawał, że nie ma kompetencji do ich rozstrzygania, i tak trafiały do mojego urzędu. Jednakże skargi czy naruszenia to nie wyłączna działalność KIOD. Kompetencje obejmują m.in. odpowiedzi na pytania, szkolenia, doradzanie. Obszar działania jest szeroki.
Część Polaków, w tym również katolików, nie może jednak zrozumieć, dlaczego Kościół został wyjęty spod części świeckiego prawa. No właśnie, dlaczego?
Ależ Kościół nie jest wyjęty spod prawa powszechnie obowiązującego. Jedynie w sprawach własnych dotyczących warstwy religijnej; państwo, które chce być państwem świeckim, gwarantuje Kościołowi niezależność i autonomię. Każdy związek wyznaniowy w sprawach stricte religijnych rządzi się swoim prawem. Zasada ta nie dotyczy tylko Kościoła katolickiego.
Kościół działa w trzech obszarach. Pierwszy to działalność własna, o której przed chwilą mówiłem; drugi to działalność mieszana, jak np. szkolnictwo czy działalność charytatywna, gdzie stykają się kompetencje prawa polskiego i kanonicznego, oraz wreszcie trzeci, który nie jest religijny, ale w którym Kościół uczestniczy na zasadach równości podmiotów prawa. I w każdym z nich zastosowanie znajduje prawo kanoniczne. To jednak nie wyłącza zastosowania prawa powszechnego w obszarze drugim i trzecim. Autonomia dotyczy wyłącznie strefy religijnej. Dlatego stwierdzenie, że Kościół jest wyjęty spod prawa, uznaję za nieprawdziwe.
Jednocześnie jednak, co zresztą potwierdził NSA we wspomnianym wyroku, kościelne przepisy o ochronie danych osobowych nie muszą być w pełni zgodne z RODO. Można więc mówić o pewnym wyjęciu spod przepisów prawa.
Moim zdaniem nie, gdyż to przepisy unijne wprost zezwalają na pewien margines swobody w ich dostosowaniu do specyfiki Kościoła. RODO nie wymaga identyczności, bo przecież wówczas zgoda na odrębne regulacje dla związków wyznaniowych byłaby pozbawiona sensu, godziłoby to w racjonalność ustawodawcy. RODO stanowi o „dostosowaniu” stosowanych przez kościoły i związki zasad. Warto też pamiętać o art. 17 Traktatu o funkcjonowaniu UE, który zapewnia poszanowanie dla statusów kościołów, które zostały im nadane przez prawo państw członkowskich. Ustawodawca unijny rozumie potrzebę pewnej odrębności, dlatego nie wymaga kopiowania RODO w prawie związków wyznaniowych. Chodzi bardziej o zgodność tych regulacji z RODO co do standardów i poziomu bezpieczeństwa. I tak rozumiana zgodność jest w przypadku dekretu ogólnego o ochronie danych osobowych zapewniona. Szacuję, że jakieś 80 proc. dekretu ogólnego o ochronie danych osobowych jest kopią przepisów RODO, pozostałe 20 proc. to te regulacje, które wymagały dostosowania do specyfikacji Kościoła. Pamiętajmy jednak, że różnice w stosowaniu RODO można zauważyć także między poszczególnymi państwami UE, np. nie we wszystkich państwach organy nadzorcze mogą nakładać kary, bo pozostaje to w gestii sądów.
Gdzie jednak postawić granicę, po której przekroczeniu niezgodności prawa kościelnego z RODO będą już niedopuszczalne?
Artykuł 91 RODO pozwala związkom wyznaniowym stosować własne zasady dotyczące przetwarzania danych osobowych, o ile zostaną one dostosowane do unijnego rozporządzenia. Kluczowa jest więc tu interpretacja słowa „dostosowane”. W przypadku dekretu ogólnego nie dostrzegam jednak żadnej zasadniczej niezgodności, poza jedną, o której już wspomnieliśmy - usunięciem danych dotyczących sakramentów. W tym jedynym przypadku żądanie usunięcia danych, którego ze względów głównie teologicznych nie możemy zrealizować, jest przekształcane w żądanie radykalnego ograniczenia przetwarzania, czyli w zasadzie tylko do przechowywania danych. Przy złożeniu takiego wniosku nie zostanie wydana kopia tych danych nawet osobie, której dane dotyczą, chyba że zgodzi się na to ordynariusz. Przy czym Kościół katolicki nie jest pod tym względem odosobniony. Podobna regulacja ograniczająca prawo do zapomnienia znajduje się chociażby w regulaminie dotyczącym ochrony danych Kościoła ewangelicko-augsburskiego.
Na koniec zostawiłem pytanie, na które wspomniany już wyrok NSA nie daje odpowiedzi. Czy osoba niezadowolona z rozstrzygnięcia KIOD ma prawo zaskarżyć je do sądu administracyjnego?
Od mojej decyzji przysługuje skarga do właściwej dykasterii Stolicy Apostolskiej. W praktyce takie przypadki zresztą już się zdarzały.
A zdaniem księdza przysługuje skarga do sądu?
Nie. Skoro bowiem dano Kościołowi autonomię w zakresie ochrony danych osobowych, to nie widzę sensu, by w sprawach odwoławczych nagle miała ona przestać obowiązywać i sprawa przechodziła niejako na inny, świecki system. Po to ten system ochrony danych jest niezależny od systemu świeckiego, aby w pełni daną sprawę mógł załatwić. To nie jest tak, że prawo kanoniczne jest w tym zakresie ułomne. Jak najbardziej obejmuje całościowo zadania, które się przed nim stawia. Jest w prawie kanonicznym i ścieżka sądowa, i ścieżka administracyjna. System jest więc kompletny. Nie po to RODO gwarantuje autonomiczność tego systemu, by na pewnym etapie dopuszczać subsydiarne prawo świeckie. ©℗
Jest w prawie kanonicznym i ścieżka sądowa, i ścieżka administracyjna. System jest więc kompletny. Nie po to RODO gwarantuje autonomiczność tego systemu, by na pewnym etapie dopuszczać subsydiarne prawo świeckie.
