Sfinansowano ze środków Funduszu Sprawiedliwości, którego dysponentem jest Minister Sprawiedliwości
www.funduszsprawiedliwosci.gov.pl
Ochrona danych osobowych (dalej: ODO) to interdyscyplinarna dziedzina zajmująca się zagadnieniami związanymi z przetwarzaniem danych osobowych osób fizycznych, która określa prawne zasady dopuszczalności przetwarzania danych, obowiązki podmiotów przetwarzających dane, ich odpowiedzialność oraz prawa i gwarancje osób fizycznych, których dane są przetwarzane. W szerszym kontekście ODO jest rozumiana jako element prawa do prywatności osób fizycznych oraz wiąże się ściśle z autonomią informacyjną, czyli prawem człowieka do decydowania o sobie, oraz ujawnianiem informacji na swój temat. Konieczność ochrony danych osobowych wywodzi się z koncepcji prawa do prywatności, której prekursorami byli amerykańscy prawnicy S. Warren i L. Brandeis, uznawani za praojców prawa do prywatności, którzy podkreślali, że człowiek ma prawo do wyłączności, odrębności tajemnicy i samotności.
„Ochrona danych osobowych” jako pojęcie nie jest zdefiniowane w żadnym akcie prawnym, ani na poziomie krajowym, ani międzynarodowym. Jest rozumiana jako zbiór mechanizmów prawnych i instytucji gwarantujących jednostce prawo do nieingerowania w jej prywatną sferę, o ile nie jest to przewidziane przepisami prawa. Pierwszy przypadek prawnej regulacji prawa do ochrony danych pojawił się w ustawodawstwie niemieckim, które jako pierwsze wprowadziło prawne regulacje w tym zakresie. Natomiast pierwsza regulacja prawna o charakterze międzynarodowym została przyjęta przez Radę Europy w postaci Konwencji 108 z 1981 r., a następnie ochrona danych osobowych została uregulowana w prawie UE (dyrektywa 95/46/WE – 1995 r., ogólne rozporządzenie o ochronie danych 2016/679 – 2016 r.). Ochrona danych osobowych rozumiana jest – co prawda – jako synonim prawa do prywatności, ale unijny prawodawca wprowadził wyraźne rozróżnienie dwóch odrębnych praw podstawowych określonych w art. 7 i 8 Karty Praw Podstawowych. Ochrona danych osobowych stanowi więc element katalogu praw podstawowych UE, gwarantujący prawo do ochrony danych osobowych, którego przestrzeganie stanowi istotny cel Unii Europejskiej. Prawo do ochrony danych osobowych nie jest prawem bezwzględnym, a przepisy o ochronie danych nie mogą ograniczać innych praw określonych w Karcie Praw Podstawowych.
Kościół katolicki chroni dane swoich wiernych oraz dba o prywatność. Zasady kościelne w zakresie, który dziś nazwalibyśmy przetwarzaniem informacji, istniały niemal od zawsze (np. tajemnica spowiedzi), chociaż – co oczywiste – nie używano na ich określenie terminu ochrona danych. Z czasem także w prawie wewnętrznym zawarł szczegółowe zasady ochrony danych osobowych mające zastosowanie w praktyce kościelnej. Współcześnie zaś stara się zapewnić wiernym analogiczny lub wyższy standard ochrony ich danych, niż zauważa się to w prawie państwowym.
Konieczność ochrony danych osobowych w Kościele katolickim uzasadnia się przez podawanie faktu stworzenia człowieka na „obraz i podobieństwo” Boga, co jest źródłem jego godności. Ponieważ człowiek z natury jest istotą społeczną, prawo do prywatności jest uważane za ważne, ale nie absolutne. Kodeks Prawa Kanonicznego w kan. 220 gwarantuje wiernym prawo do dobrego imienia oraz prawo do ochrony intymności. Uszczegółowieniem tego prawa są przepisy w kanonach 482–491 i kan. 535 regulujące kwestię prowadzenia ksiąg parafialnych oraz zasady prowadzenia archiwum, a w kan. 1067 i 1069 sposób przekazywania informacji o okolicznościach mających znaczenie dla możliwości zawarcia małżeństwa. Dekret Ogólny Konferencji Episkopatu Polski z dnia 7 października 2015 r. reguluje sprawy wystąpienia z Kościoła oraz powrotu do wspólnoty Kościoła.
Z uwagi na zasadę autonomii i niezależności państwa i Kościoła oraz potrzebę pogodzenia ochrony danych osobowych z prawem o wolności religijnej, 13 marca 2018 r. Konferencja Episkopatu wydała Dekret ogólny w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych w Kościele katolickim oraz powołała Kościelnego Inspektora Ochrony Danych.
Słowa kluczowe: dane osobowe, prawo podstawowe, nowe technologie, przetwarzanie danych, administrator, osoba, której dane dotyczą, organ nadzorczy, Kościelny Inspektor Ochrony Danych
Normy prawne w zakresie ochrony danych osobowych, jakie pojawiały się w XX w., były próbą regulacji relacji między postępem technicznym, technologicznym i coraz powszechniejszym zastosowaniem systemów informatycznych a związanymi z tym zagrożeniami dla prywatności. Na trudności interpretacyjne pojęcia prywatności wskazywał już J. B. Young, porównując prywatność do słonia, którego jest łatwiej rozpoznać niż opisać (Young, J.B. 1978, s. 2). Godność, podobnie jak wolność osoby ludzkiej, określa się jako wartość podstawową i uniwersalną. Definiując pojęcie godności, zwraca się w literaturze uwagę, że w rozumieniu katolickiej nauki społecznej godność człowieka jest wyrażana przez zasadę pomocniczości: wszystkie instytucje społeczne i państwowe powinny z samej swej istoty mieć względem osoby ludzkiej charakter służebny (Podsiad, A. 2000, s. 319). W doktrynie podkreśla się, że pogłębiona analiza działań unijnego prawodawcy, prowadzi do konstatacji subiektywnego poczucia godności, w miejsce obiektywnego i przyrodzonego poczucia godności człowieka, będącej podstawą praw człowieka (Mazurkiewicz, P. 2015, s. 291). Zarówno w ujęciu filozoficznym, jak i teologicznym pojęcia wolności znajdujemy odniesienie do szeroko dziś rozumianej koncepcji prywatności.
Prywatność i jej pochodna – ochrona danych osobowych – stanowią podstawowe prawa człowieka, których źródłem jest godność człowieka. Godność jest wartością przynależną każdemu człowiekowi z samej natury. Posiada ją każdy człowiek, niezależnie od miejsca urodzenia, pochodzenia, poziomu życia czy wykonywanego zawodu. Godność człowieka jest kluczową kategorią współczesnych systemów prawnych. Do niej odwołują się dokumenty i akty prawa międzynarodowego, zarówno o zasięgu uniwersalnym (np. Powszechna Deklaracja Praw Człowieka), jak i regionalnym (np. Konwencja 108 Rady Europy). Warto podkreślić, że prawodawca europejski godność człowieka wiąże z innymi prawami: np. prawem osób w podeszłym wieku do godnego i niezależnego życia, prawem każdego pracownika do warunków pracy szanujących jego zdrowie i bezpieczeństwo. Zapewnienie tych praw wymaga dzisiaj przetwarzania danych osobowych. Przepisy dotyczące ochrony danych osobowych były wprowadzane w Europie Zachodniej w drugiej połowie XX w. Wzrost zagrożenia terroryzmem czy cyberprzestępczością spowodował rozwój technologii inwigilacyjnej i regulacji ograniczających prawa obywateli. Bezpieczeństwo państwa, zagrożenie zewnętrzne, bezpieczeństwo obywateli, porządek publiczny determinują konieczność tworzenia regulacji prawnych, które w naturalny sposób ograniczają prawa obywateli, w tym prawo do prywatności i zmniejszają ochronę danych osobowych[1]. Odpowiedzią społeczeństw demokratycznych było oczekiwanie na regulacje, które wzmacniałyby prawo do prywatności jednostki oraz ochronę informacji jej dotyczących.
Ochrona danych osobowych pozostaje w ścisłej relacji z prywatnością, charakteryzując się objęciem przedmiotem ochrony takich wartości, jak autonomia i godność ludzka jednostek, umożliwiających swobodę rozwoju wewnętrznego oraz korzystanie z takich podstawowych wolności, jak wolność wypowiedzi, wolność pokojowego gromadzenia się i stowarzyszania się oraz wolność religii (Podręcznik ochrony danych, 2018). Podkreślić należy też różnicę wyrażającą się w sformułowaniu zakresu prawa do prywatności i ochrony danych osobowych. Podczas gdy prywatność traktowana jest jako generalny zakaz ingerencji w autonomię jednostki, z określonymi zastrzeżeniami, takimi jak np. słuszny interes publiczny, to prawo do ochrony danych osobowych wyraża się poprzez określenie dopuszczalnych form przetwarzania danych (informacji) osób fizycznych. W odniesieniu do zasad ochrony danych osobowych obowiązujących kościoły i inne związki wyznaniowe, prawodawca unijny, zgodnie z art. 17 TFUE, wprowadził regulację uznającą status przyznany kościołom oraz związkom lub wspólnotom wyznaniowym na mocy prawa konstytucyjnego obowiązującego w państwach członkowskich (zob. szerzej na ten temat: Mazurkiewicz, P. 2017, s. 151–152).
Powszechnie uznaje się, że problematyka ochrony danych osobowych stanowi element wypracowanej w drugiej połowie XIX w. koncepcji prawa do prywatności (Jagielski, M. 2010, s. 9). Analizując problem relacji pomiędzy ochroną prawa do prywatności a ochroną danych osobowych, należy podążać za normatywnym ujęciem obu pojęć. Koncepcja prywatności opisana przez S. Warrena i L. Brandeis jako prawo do bycia zostawionym w spokoju została następnie rozwinięta przez A. Westina, który opisał prywatność w odniesieniu do partycypacji społecznej, określając ją jako dobrowolne i tymczasowe wycofanie się jednostki z ogółu społeczeństwa, i dodając, że pragnienie prywatności jednostki nie jest nigdy absolutne, ponieważ uczestnictwo w społeczeństwie jest równie silną potrzebą (Westin A.F. 1967). Przepisy o ochronie danych osobowych wiążą się z realizacją prawa do ochrony prywatności. H. Giesker w 1905 r. opublikował w Szwajcarii pracę Das Recht des Privaten an der eigenen Geheimsphäre (Zürich) (Żygadło, A. 2011, s. 24).
Uznaje się, że pionierskim w zakresie ochrony danych osobowych aktem prawnym jest ustawa parlamentu Hesji z 1970 r. – na szczeblu związkowym, a na szczeblu krajowym – szwedzka ustawa z 1973 r. Ochronę danych osobowych w instytucjach publicznych i prywatnych regulowała pierwsza ustawa federalna RFN z 1977 r. W 1978 r. uchwalono francuską ustawę o informatyce, kartotekach i wolnościach obywatelskich, w Danii zaś przyjęto dwie ustawy, z których jedna dotyczyła publicznych, a druga prywatnych rejestrów danych. W tym samym roku w Austrii przyjęto ustawę o ochronie danych osobowych, która dawała wszystkim obywatelom podstawowe prawo do domagania się poufności przy przetwarzaniu i ujawnianiu ich danych osobowych. W 1979 r. natomiast Luksemburg przyjął ustawę o wykorzystaniu danych w systemach informatycznych (Mednis, A. 1995, s. 12 i n.).
Ochrona danych osobowych nie była bezpośrednim przedmiotem dokumentów ONZ odnoszących się do prawa do prywatności oraz jej ochrony. Powszechna Deklaracja Praw Człowieka w art. XII wprowadza prawo do ochrony sfery prywatnej człowieka: życia prywatnego, rodzinnego, domowego oraz korespondencji. Przewiduje również, że nikomu nie wolno wkraczać w czyjekolwiek życie prywatne, rodzinne, domowe lub korespondencję, a każdemu człowiekowi przysługuje prawo do ochrony prawnej przeciwko ingerencji w prywatność. Podobne uprawnienia przewiduje Międzynarodowy Pakt Praw Obywatelskich i Politycznych (Dz. U. z 1977 r. Nr 38, poz. 167). Zgodnie z art. 17 nikt nie może być narażony na samowolną lub bezprawną ingerencję w jego życie prywatne, rodzinne, dom czy korespondencję. Przepis ten przyznaje również prawo do ochrony prawnej przed ingerencją w ten obszar. Podstawowe znaczenie dla systemu ochrony praw człowieka ma Europejska Konwencja o ochronie praw człowieka i podstawowych wolności, sporządzona w Rzymie dnia 4 listopada 1950 r. (Dz. U. z 1993 r. Nr 61, poz. 284). Artykuł 8 przewiduje, że każdy ma prawo do poszanowania swojego życia prywatnego i rodzinnego, swojego mieszkania i swojej korespondencji. Zakazuje ingerencji władzy publicznej w korzystanie z tego prawa, chyba że znajduje to podstawę w ustawie i jest konieczne w demokratycznym społeczeństwie z uwagi na bezpieczeństwo państwa, bezpieczeństwo publiczne, dobrobyt gospodarczy kraju, ochronę porządku i zapobieganie przestępstwom, ochronę zdrowia i moralności lub ochronę praw i wolności innych osób[2]. Choć Konwencja nie odnosi się bezpośrednio do problematyki ochrony danych osobowych, to prawo to stanowi część praw chronionych na mocy art. 8 EKPC.
Gwarancje ochrony danych osobowych wprowadziły przepisy konwencji nr 108 Rady Europy z 28 stycznia 1981 r. o ochronie osób w związku z automatycznym przetwarzaniem danych osobowych (Dz. U. z 2003 r. Nr 3, poz. 25)[3]. Dokument ten uznaje się za pierwszy z dziedziny danych osobowych akt prawny w skali międzynarodowej. Celem konwencji jest zapewnienie na obszarze państw – stron konwencji każdej osobie fizycznej, niezależnie od jej obywatelstwa i miejsca zamieszkania, poszanowanie jej praw i podstawowych wolności, w szczególności prawa do prywatności, w związku z automatycznym przetwarzaniem dotyczących jej danych osobowych. Komitet Ministrów Rady Europy przyjął szereg zaleceń i rekomendacji, których celem jest rozwój zasad przetwarzania danych osobowych, np. zalecenie w sprawie policji[4], zalecenie w sprawie usług telekomunikacyjnych[5], rekomendacja w sprawie zatrudnienia[6], zalecenie w sprawie danych medycznych[7].
W Unii Europejskiej ochrona danych osobowych należy do kategorii praw podstawowych. W prawie pierwotnym Unii Europejskiej ochronę danych osobowych zapewnia Karta Praw Podstawowych Unii Europejskiej (Dz. Urz. WE 2000, C–364, s. 1) oraz art. 16 Traktatu o Funkcjonowaniu Unii Europejskiej z dnia 17 grudnia 2007 r. (Dz. Urz. UE. C 83 z 30.03.2010, s. 47), w którym stwierdza się, że każda osoba ma prawo do ochrony danych osobowych jej dotyczących.
Karta określa katalog podstawowych praw i wolności obywateli Unii Europejskiej, a wśród nich – zagwarantowane w artykule 8 – prawo do ochrony danych osobowych. Przepis ten stanowi, że każdy ma prawo do ochrony danych osobowych, które go dotyczą. Dane te muszą być przetwarzane rzetelnie w określonych celach i za zgodą osoby zainteresowanej lub na innej uzasadnionej podstawie przewidzianej ustawą. Każdy ma prawo dostępu do swoich danych i prawo do dokonania ich sprostowania. Karta gwarantuje również kontrolę przestrzegania wskazanych zasad przez niezależny organ. Art. 51 Karty zobowiązuje instytucje UE oraz państwa członkowskie nie tylko do przestrzegania i stosowania tego prawa, ale także do jego wdrażania przez państwa członkowskie.
Aktualne ramy prawne i pojęciowe ochrony danych osobowych są owocem rozwoju prawodawstwa Unii Europejskiej. Początkowo w wyniku procesu tworzenia wspólnot europejskich, który doprowadził do ukształtowania się trójfilarowej struktury, ochrona danych osobowych została objęta przedmiotem uregulowania dyrektywy 95/46/WE. Wiązało się to z przyjęciem założenia, że rozwój integracji UE, który wiąże się z zacieśnieniem współpracy gospodarczej w ramach wspólnego rynku, wymaga uwzględnienia gwarancji praw człowieka (Tinnefeld M.-T., 1999, s. 42). Jednakże przepisy dyrektywy o ochronie danych osobowych po kilkunastu latach obowiązywania okazały się niedostosowane do nowych wyzwań globalnych i technologicznych. Unia Europejska więc przyjęła zharmonizowany system ochrony danych osobowych, uregulowany przepisami ogólnego rozporządzenia o ochronie danych, które ma na celu zapewnienie osobom fizycznym większej kontroli nad przetwarzaniem ich danych, przedsiębiorcom jasne zasady i obowiązki dotyczące przetwarzania danych osobowych, a organom ochrony danych większą efektywność działania.
Ochronę danych osobowych przewidzianą w Konstytucji RP wywodzi się z prawa do prywatności gwarantowanego w art. 47 Konstytucji. Zgodnie z nim każdy ma prawo do ochrony prawnej życia prywatnego, rodzinnego, czci i dobrego imienia oraz do decydowania o swoim życiu osobistym. Bezpośrednio do danych osobowych odnosi się art. 51 Konstytucji RP, w świetle którego nikt nie może być obowiązany inaczej niż na podstawie ustawy do ujawniania informacji dotyczących jego osoby. Aktem prawnym, który określa zasady dotyczące ochrony danych osobowych we wszystkich państwach członkowskich UE jest Ogólne rozporządzenie o ochronie danych (RODO)[8], które zostało przyjęte jako kompleksowy instrument prawny, który umożliwia obywatelom łatwiejszy dostęp do ich danych osobowych. W polskim porządku prawnym aktem uzupełniającym RODO jest ustawa z dnia 10 maja 2018 r. o ochronie danych osobowych. System ochrony danych osobowych dopełniają przepisy sektorowe oraz akty wykonawcze.
Każdy ma prawo do ochrony danych go dotyczących. Unijne przepisy o ochronie danych osobowych zostały wprowadzone w celu wzmocnienia praw osób fizycznych w obliczu powszechnej cyfryzacji i globalizacji usług publicznych oraz komercyjnych. Powszechna cyfryzacja usług doprowadziła do konieczności gromadzenia coraz większej liczby danych osobowych, zarazem zaś uczciwe przetwarzanie, jak również kontrola nad gromadzeniem danych osobowych stały się bardzo wątpliwe. Unijne ramy legislacyjne gwarantują równe prawo do ochrony danych osobowych w całej Unii Europejskiej wszystkim osobom, niezależnie od tego, gdzie odbyło się przetwarzanie danych osobowych. System ochrony danych osobowych w UE ma zapewnić swobodny przepływ danych osobowych w ramach rynku wewnętrznego przy jednoczesnym zagwarantowaniu praw i wolności osób fizycznych w związku z przetwarzaniem danych osobowych.
Kluczowe znaczenie dla ochrony danych osobowych ma pojęcie danych osobowych. Definicję danych osobowych zawiera art. 4 pkt 1 RODO, zgodnie z którym dane osobowe oznaczają informacje o zidentyfikowanej lub możliwej do zidentyfikowania osobie fizycznej (osobie, której dane dotyczą); możliwa do zidentyfikowania osoba fizyczna to osoba, którą można bezpośrednio lub pośrednio zidentyfikować, w szczególności na podstawie identyfikatora takiego, jak imię i nazwisko, numer identyfikacyjny, dane o lokalizacji, identyfikator internetowy lub jeden bądź kilka szczególnych czynników określających fizyczną, fizjologiczną, genetyczną, psychiczną, ekonomiczną, kulturową lub społeczną tożsamość osoby fizycznej.
Podstawowe znaczenie dla zrozumienia istoty ochrony danych ma koncepcja przetwarzania danych, z którym wiążą się określone zasady i warunki. Przetwarzanie to termin ogólny, który oznacza dowolną operację wykonywaną na danych osobowych, niezależnie od tego, czy jest to dokonywane w sposób zautomatyzowany czy też nie, takie jak zbieranie, nagrywanie, organizowanie, ustrukturyzowanie, przechowywanie, adaptowanie lub zmienianie, pobieranie, konsultowanie, wykorzystanie, ujawnienie poprzez transmisję, rozpowszechnianie lub udostępnianie w inny sposób, dostosowanie lub połączenie, ograniczenie, usunięcie lub zniszczenie. Przetwarzanie danych osobowych powinno odbywać się zgodnie z prawem. Zgodność z prawem następuje wówczas, gdy spełniona jest co najmniej jedna z przesłanek legalizujących przetwarzanie danych. Przesłankami tymi są: zgoda, wykonanie umowy lub podjęcie działań w celu jej zawarcia, realizacja obowiązku prawnego ciążącego na administratorze danych, żywotny interes osoby, której dane dotyczą, interes publiczny i uzasadniony interes podmiotu dokonującego przetwarzania danych osobowych.
Podmioty, które przetwarzają dane osobowe, są zobowiązane do poinformowania osób fizycznych, których dane przetwarzają o tym, jakie dane i w jakim celu będą przetwarzać, skąd te dane posiadają, jak długo zamierzają je przetwarzać, komu przekazywać albo udostępniać. RODO wprowadza szereg gwarancji i praw dla osób, których dane są przetwarzane, w tym m.in.: prawo do przejrzystej informacji, prawo wglądu do swoich danych, żądanie aktualizacji i poprawienia danych, prawo do usunięcia danych, przenoszenia danych.
Ochrona danych osobowych jest uznana za prawo w art. 8 Karty Praw Podstawowych Unii Europejskiej, które jest ściśle związane z prawem do poszanowania życia prywatnego i rodzinnego uznanego w art. 7 Karty. Prawo do ochrony danych osobowych jest przewidziane także w art. 16 ust. 1 Traktatu o funkcjonowaniu Unii Europejskiej (TFUE).
Pierwszym aktem prawa wtórnego gwarantującym prawo do ochrony danych osobowych w UE była dyrektywa 95/46 WE w sprawie ochrony osób fizycznych w zakresie przetwarzania danych osobowych i swobodnego przepływu tych danych, zastąpiona rozporządzeniem Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych).
W Polsce przepisy dotyczące ochrony danych osobowych zostały wprowadzone w 1997 r. W art. 47 i 51 Konstytucji RP uregulowano prawo do życia prywatnego obywateli oraz zasady przetwarzania informacji o obywatelach w demokratycznym państwie prawnym. Z kolei, pierwsza ustawa o ochronie danych osobowych została uchwalona w 1997 r., będąc jednym z przejawów postępującej demokratyzacji życia publicznego. 10 maja 2018 r. została uchwalona nowa regulacja ustawowa, które miała na celu dostosowanie krajowego systemu ochrony danych do przepisów RODO[9].
Ochrona danych osobowych przez kościoły i inne związki wyznaniowe bywała niekiedy przedmiotem kontrowersji, które znajdowały swój finał w Naczelnym Sądzie Administracyjnym. Skargi składane do organu ochrony danych osobowych w większości odnosiły się do realizacji tzw. „prawa do zapomnienia”, tj. odrzucenia przez podmioty kościelne prośby osoby ochrzczonej dotyczącej możliwości usunięcia jej danych z księgi metrykalnej. W odniesieniu do ochrony danych osobowych przetwarzanych przez kościoły i inne związki wyznaniowe na uwagę zasługuje orzecznictwo sądów administracyjnych, w tym np.:
Zreformowany system ochrony danych osobowych w UE wprowadzony dzięki RODO i krajowym przepisom sektorowym podniósł poziom ochrony danych osobowych. Pozwala na harmonizowanie przepisów o ochronie danych we wszystkich państwach członkowskich UE. Oznacza to, że unijni obywatele, co do zasady, podlegają jednakowym obowiązkom i mają jednakowe uprawnienia w zakresie ochrony danych osobowych. Przedsiębiorcy unijni są jednakowo konkurencyjni w zakresie działalności prowadzonej z poszanowaniem ochrony danych w stosunku do przedsiębiorców spoza UE, co przekłada się nie tylko na bezpieczeństwo, ale także zaufanie do usług przez nich świadczonych.
Z punktu widzenia osoby fizycznej, ochrona danych ma znaczenie fundamentalne. Biorąc pod uwagę, że informacje (w tym dane osobowe) są coraz łatwiejsze do pozyskania, coraz szybciej można je przekazywać, a ich przetwarzanie jest coraz tańsze, technologie gromadzenia, zestawiania, profilowania osób fizycznych coraz doskonalsze, wzmocnienie praw osób fizycznych w tym obszarze wydaje się podstawowe.
Na straży stosowania przepisów o ochronie danych osobowych ma stać niezależny organ nadzorczy, który musi być ustanowiony w każdym państwie członkowskim UE. Potrzeba zapewnienia odpowiedniego statusu krajowym organom nadzorczym była przedmiotem orzeczeń Trybunału Sprawiedliwości UE[10] . W Polsce takim organem jest Prezes Urzędu Ochrony Danych Osobowych (od 25 maja 2018 r., wcześniej Generalny Inspektor Ochrony Danych Osobowych).
Wejście w życie RODO spowodowało konieczność dostosowania norm kanonicznych w zakresie ochrony danych do nowego standardu unijnego, pozostawiając zarazem kościołom i innym związkom wyznaniowym możliwość posiadania własnych, alternatywnych w stosunku do przepisów unijnych, zasad ochrony danych, pod warunkiem, że zostaną dostosowane do niniejszego rozporządzenia (RODO, art. 91 ust. 1). Należy podkreślić, że dane na temat przekonań religijnych zostały w RODO zakwalifikowane do kategorii danych należących do specjalnej kategorii, tzw. danych wrażliwych.
Kościół katolicki w Polsce, podobnie jak 14 innych kościołów i związków wyznaniowych[11], skorzystał z powyższej możliwości i w dniu 30 kwietnia 2018 r. promulgował Dekret ogólny w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych w Kościele katolickim[12]. Określa on szczegółowe zasady ochrony osób fizycznych w związku z przetwarzaniem danych osobowych w Kościele katolickim w Polsce (art. 1). Dekret ma zastosowanie do publicznych kościelnych osób prawnych (art. 4). Zasadniczo Dekret wprowadza przepisy identyczne lub analogiczne do zawartych w RODO, jednak w niektórych sprawach wyraźnie widoczna jest specyfika Kościoła i jego nauczania.
Pierwszą taką kwestią jest określenie kategorii osób, w stosunku do których możliwe jest przetwarzanie danych wrażliwych w Kościele (Mazurkiewicz, P. 2017, s. 153–154; Dyda, K. 2018, s. 369–389). Są to osoby ochrzczone w Kościele katolickim i te, które po chrzcie zostały do niego przyjęte (członkowie Kościoła). Do tej grupy należą także ci, którzy złożyli formalne oświadczenie woli o wystąpieniu z Kościoła katolickiego, zgodnie z wewnętrznymi przepisami Kościoła (byli członkowie Kościoła). Kolejną kategorią osób są ci, którzy utrzymują stałe kontakty z Kościołem w związku z realizacją jego misji. Innym specyficznym rozwiązaniem jest ograniczenie prawa do żądania usunięcia danych w przypadku, gdy dane te dotyczą udzielonych sakramentów lub odnoszą się do statusu kanonicznego osoby (art. 14 ust. 4). Osoba, której dane dotyczą – jak czytamy w art. 14 ust. 1 – ma prawo skutecznego żądania od administratora niezwłocznego usunięcia danych osobowych, gdy zachodzi jedna z następujących okoliczności:
1) dane osobowe nie są̨ już niezbędne do celów, w których zostały zebrane lub w inny sposób przetwarzane;
2) osoba, której dane dotyczą̨, cofnęła zgodę̨, na której opiera się przetwarzanie danych, i nie ma innej podstawy prawnej przetwarzania;
3) dane osobowe były przetwarzane niezgodnie z prawem.
W ust. 2 mowa jest o typowych sytuacjach, w których osoba, której dane są przetwarzane może – w rozsądnych granicach – oczekiwać usunięcia swoich danych. W ust. 3 natomiast o typowych sytuacjach, w których – z racji niezbędności przetwarzania danych – udziela się odmowy ich usunięcia. Typowo „kościelny” jest ust. 4, w którym chodzi o dane dotyczące udzielonych sakramentów bądź w inny sposób odnoszące się̨ do kanonicznego statusu osoby. W takiej sytuacji osobie, której dane dotyczą, nie przysługuje prawo do ich usunięcia. Niemniej tego typu wniosek powinien zostać odnotowany w zbiorze i zobowiązuje administratora do niewykorzystywania danych objętych wnioskiem bez zgody kompetentnej władzy kościelnej.
Dekret zawiera również artykuł dotyczący sposobu prowadzenia tajnego archiwum, zgodnie z kan. 489–490 Kodeksu Prawa Kanonicznego (art. 26).
Kościół utworzył także niezależny organ monitorujący i zapewniający przestrzeganie przepisów o ochronie danych osobowych w Kościele pod nazwą Kościelny Inspektor Ochrony danych (rozdział V). Kościelny Inspektor wybierany jest przez Zebranie Plenarne Konferencji Episkopatu Polski na czteroletnią kadencję. Może być odwołany tylko w przypadku, gdy dopuścił się poważnego uchybienia swoich obowiązków albo przestał spełniać wymogi niezbędne do pełnienia urzędu (art. 36 ust. 3).
Przewidziana w Dekrecie procedura odwoławcza oznacza możliwość złożenia skargi do Kościelnego Inspektora Ochrony Danych, a następnie do właściwej dykasterii Stolicy Apostolskiej (art. 41). W Dekrecie ponadto przewidziano sankcje kanoniczne za niezgodne z nim przetwarzanie danych (art. 42). Wreszcie mamy zawarte w art. 43 zastrzeżenie, że żaden artykuł Dekretu nie może być interpretowany w sposób, który w istotnym stopniu ograniczałby swobodę komunikowania się ze Stolicą Apostolską i innymi Kościołami partykularnymi.
Stosowanie Dekretu nie napotkało na większe trudności w pierwszych latach jego funkcjonowania.
Akty prawne:
Dz. U. z 1977 r. Nr 38, poz. 167.
Dz. U. z 1993 r. Nr 61, poz. 284.
Dz. U. z 2003 r. Nr 3, poz. 25.
Dz. Urz. UE. C 83 z 30.03.2010, s. 47.
Dz. Urz. WE 2000, C–364, s. 1.
Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych), Dz.U. L 119 z 4.5.2016, s. 1.
Sprawy Von Hanower v. Niemcy, ETPC Nr 59320/00, I. przeciwko Finlandii ETCP Nr 20511/03 z dnia 17 lipca 2008r.
Ustawa z dnia 10 maja 2018 r. o ochronie danych osobowych (t.j. Dz. U. z 2019 r. poz. 1781).
Orzecznictwo:
Wyrok z dnia 16 października 2012 r. (wielka izba), Komisja/Austria (C–614/10, EU:C:2012:631).
Wyrok z dnia 8 kwietnia 2014 r. (wielka izba), Komisja/Węgry (C–288/12, EU:C:2014:237).
Wyrok z dnia 9 marca 2010 r. (wielka izba), Komisja/Niemcy (C–518/07, EU:C:2010:125).
Zalecenie z dnia 13 lutego 1997 r., Rec (97) 5 to member states on the protection of medical data.
Zalecenie z dnia 17 września 1987 r., Rec (87)15 to member states regulating the use of personal data in the police sector.
Zalecenie z dnia 7 lutego Rec (95) 4 to member states on the protection of personal data in the area of telecommunication services, with particular reference to telephone services.
Literatura:
Dyda K., Prawo i obowiązek przetwarzania danych osobowych byłych wyznawców przez kościoły i inne związki wyznaniowe, „Studia z Prawa Wyznaniowego” t. 21, 2018, s. 369–389.
Jagielski M., Prawo do ochrony danych osobowych. Standardy europejskie, Wolters Kluwer, Warszawa 2010.
Konferencja Episkopatu Polski, Dekret ogólny w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych w Kościele katolickim, „Akta Konferencji Episkopatu Polski” nr 30, 2018, https://episkopat.pl/wp-content/uploads/2018/06/DekretOgolnyKEPWSprawieOchronyOsob FizycznychWZwiazkuZPrzetwarzaniemDanych OsobowychWKoscieleKatolickim.pdf (data dostępu: 04.12.2020).
Mazurkiewicz P., Ochrona danych osobowych w Kościołach i związkach wyznaniowych, [w:] tenże, Dwie wieże i minaret. Szkice z katolickiej nauki społecznej, Wydawnictwo Naukowe UKSW, Warszawa 2017, s. 146–154.
Mazurkiewicz P., Polityka niedyskryminacji, [w:] Katolickie zasady relacji Państwo – Kościół a prawo polskie, red. J. Krukowski, M. Sitarz, H. Stawniak, Towarzystwo Naukowe KUL, Lublin 2015, s. 146-155.
Mednis A., Prawna ochrona danych osobowych, Warszawa 1995.
Podręcznik ochrony danych, 2018, FRA, COE.
Podsiad A., Słownik terminów i pojęć filozoficznych, Instytut Wydawniczy Pax, Warszawa 2000.
Tinnefeld M.-T., Ochrona danych – kamień węgielny budowy Europy, w: Ochrona danych osobowych, red. M. Wyrzykowski, Warszawa 1999, s. 33-48.
Urząd Ochrony Danych Osobowych, Ochrona danych osobowych w kościołach i związkach wyznaniowych, https://www.uodo.gov.pl/pl/138/721 (data dostępu: 04.12.2020).
Westin A.F., Privacy and Freedom, Atheneum, New York 1967.
Young, J.B. 1978. Privacy, Chichester, UK: John Wiley & Sons.
Żygadło A., Wyłączenia tajemnicy bankowej a prawo do prywatności, Wolters Kluwer Warszawa 2011.
[1] Tytułem przykładu w prawie polskim można wskazać, że zasadę ograniczenia podstawowych praw i wolności człowieka formułują ustawy z dnia 18 kwietnia 2002 r o stanie klęski żywiołowej, (t. j. Dz.U. 2017 poz. 1897), ustawa z dnia 21 czerwca 2002 r. o stanie wyjątkowym (tj. Dz. U. z 2017 r. poz. 1928), ustawa z dnia 29 sierpnia 2002 r. o stanie wojennym oraz o kompetencjach Naczelnego Dowódcy Sił Zbrojnych i zasadach jego podległości konstytucyjnym organom Rzeczypospolitej Polskiej (tj. Dz. U. z 2017 r. poz. 1932).
[2] Zob. sprawy Von Hanower v. Niemcy, ETPC Nr 59320/00, I. przeciwko Finlandii ETCP Nr 20511/03 z dnia 17 lipca 2008r.
[3] Dz. U. z 2003 r. Nr 3, poz.25.
[4] Zalecenie z dnia 17 września 1987 r., Rec (87)15 to member states regulating the use of personal data in the police sector.
[5] Zalecenie z dnia 7 lutego Rec (95) 4 to member states on the protection of personal data in the area of telecommunication services, with particular reference to telephone services.
[6] Recommendation Rec (89) 2 to member states on the protection of personal data used for employment purposes.
[7] Zalecenie z dnia 13 lutego 1997 r., Rec (97) 5 to member states on the protection of medical data.
[8] Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych), Dz.U. L 119 z 4.5.2016, s. 1.
[9] Ustawa z dnia 10 maja 2018 r. o ochronie danych osobowych (tj. Dz. U. z 2019 r. poz. 1781).
[10] Wyrok z dnia 9 marca 2010 r. (wielka izba), Komisja/Niemcy (C–518/07, EU:C:2010:125); Wyrok z dnia 16 października 2012 r. (wielka izba), Komisja/Austria (C–614/10, EU:C:2012:631); Wyrok z dnia 8 kwietnia 2014 r. (wielka izba), Komisja/Węgry (C–288/12, EU:C:2014:237).
[11] Zob. Urząd Ochrony Danych Osobowych, Ochrona danych osobowych w kościołach i związkach wyznaniowych, https://www.uodo.gov.pl/pl/138/721 (data dostępu: 04.12.2020).
[12] Konferencja Episkopatu Polski, Dekret ogólny w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych w Kościele katolickim, „Akta Konferencji Episkopatu Polski” nr 30, 2018, https://episkopat.pl/wp-content/uploads/2018/06/DekretOgolnyKEPWSprawieOchronyOsob FizycznychWZwiazkuZPrzetwarzaniemDanych OsobowychWKoscieleKatolickim.pdf (data dostępu: 04.12.2020).
Ks. Piotr Mazurkiewicz - rozprawę doktorską obronił w 1996 roku na Wydziale Kościelnych Nauk Historycznych i Społecznych Akademii Teologii Katolickiej w Warszawie. Stopień doktora habilitowanego uzyskał w 2002. 7 lipca 2009 otrzymał tytuł naukowy profesora. W latach 2008–2012 pełnił funkcję sekretarza generalnego Komisji Konferencji Episkopatów Unii Europejskiej COMECE w Brukseli. Członek Rady Naukowej Instytutu Studiów Politycznych Polskiej Akademii Nauk. Redaktor naczelny czasopisma „Christianity – World – Politics”.
Urszula Góral - dyrektor Departamentu Współpracy Międzynarodowej i Edukacji Społecznej w Urzędzie Ochrony Danych Osobowych (wcześniej GIODO), doktorantka w Instytucie Nauk o Polityce i Administracji Wydziału Społeczno-Ekonomicznego UKSW, ekspert w pracach Europejskiej Rady Ochrony Danych oraz Rady Europy (Komitetu Konsultacyjnego T-PD, ekspert w projektach realizowanych przez instytucje UE, Rady Europy, ONZ, współtworzących regulacje ochrony danych osobowych m.in. w krajach Partnerstwa Wschodniego.
