Czy w kościele zapewniona jest ochrona RODO?

RODO w kościele, to temat który nurtuje wielu zadając sobie pytania: Czy nasze dane osobowe są odpowiednio chronione we wspólnocie kościelnej?, czy można podawać publicznie informację o składkach, a co z zapowiedziami ślubnymi?  Na te oraz inne pytania odpowiemy poniżej.

Dzień 25 maja 2018 roku okazał się pamiętną datą dla wszystkich tych, którzy na terenie Polski oraz Europy przetwarzają dane osobowe. Po ponad dwóch latach od przyjęcia przez Parlament Europejski i Radę (UE) rozporządzenia 2016/679 z 27.04.2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (RODO), akt ten wszedł w życie. Następstwem tych zdarzeń była prawdziwa rewolucja na terenie naszego kraju. Nowy porządek prawny od Tatr aż po Bałtyk podniósł standardy dotyczące ochrony naszych danych osobowych.

Strach, trwoga i pożoga – w ten sposób niejeden przedsiębiorca nazwałby okres, który nastąpił świeżo po wejściu w życie wspomnianego wyżej aktu. Praktycznie od każdego kto przetwarzał dane osobowe w Polsce można było wyczuć ogromne wątpliwości oraz niepewność związaną z niespotykanymi do tej pory, mogącymi sięgać kilkunastu milionów złotych karami za nieprzestrzeganie RODO. Pojawiały się głosy mówiące o tym, że nowe normy wcale nie są nam potrzebne, a przewidziane sankcje mówiące o nawet 20 milionach euro w żadnym wypadku nie powinny być tak ostre. Jednak jak to często bywa każdy medal ma dwie strony, w przypadku europejskiego rozporządzenia na pierwszej z nich znalazły się astronomiczne grzywny spędzające sen z powiek polskim przedsiębiorcom, jednakże rewers krążka zapełniony został uspokajającymi obywateli, wyraźnie określonymi zasadami gwarantującymi bezwzględne bezpieczeństwo naszych danych.

Przykładów konsekwencji nieprzestrzegania zasad wynikających z RODO nie trzeba szukać daleko. Praktycznie każdy z nas przynajmniej raz słyszał o procederze „brania” tak zwanych „chwilówek” na cudze dane przez złodziei tożsamości. Mimo, że działanie to kojarzy nam się bardziej ze zwykłymi złodziejami, to należy pamiętać, że cyberprzestępcy potrafią ukraść nasze dane od jednostek takich jak banki czy sklepy internetowe na o wiele większą skale.

W czołówce największych jednostek w Polsce pod względem ilości przetwarzanych danych znajduje się Kościół katolicki. Opierając się na danych przekazanych Głównemu Urzędowi Statystycznemu w 2017 roku łatwo obliczyć, że tylko na terenie swoich trzech największych diecezji wspólnota ta przetwarza dane prawie czterech i pół miliona osób. Jest to niezwykle imponujący wynik, w związku z którym narasta wiele pytań. Odpowiedzi na najważniejsze z nich udzieli nam specjalista w dziedzinie ochronnych danych pan Rafał Wielgus.

Gotowi jeszcze przed startem.

(…) wraz z wejściem w życie rozporządzenia RODO, wiele firm przetwarzających dane osobowe w Polsce nie było przygotowanych na zapewnienie im dostatecznej ochrony. Jednak Kościół nie miał większych problemów z prowadzeniem do swoich struktur nowych zasad zapewniających bezpieczeństwo danych, ponieważ od lat czuł się w obowiązku chronić informacje o swoich wiernych. Po wejściu w życie unijnego aktu prawnego, wystarczyło jedynie dostosować do nowych wymogów, dotychczas obowiązujące już prawo kanoniczne. (…) – wyjaśnia inspektor ochrony danych Rafał Wielgus

Ochronę danych osobowych w polskim Kościele katolickim gwarantują nam dwa prawne­ filary. Pierwszym z nich jest Dekret ogólny w sprawie ochrony osób fizycznych w Kościele katolickim, przyjęty w dniu 13 marca 2018 roku przez Konferencję Episkopatu Polski, drugim filarem jest wspominane wcześniej rozporządzenie RODO.

Wydawać się może, że współistnienie dwóch aktów prawnych może powodować duże problemy z ich stosowaniem. Nic bardziej mylnego, pamiętać należy jedynie o podziale kościoła na dwie strefy – tą związaną bezpośrednio z relacjami wewnątrz kościelnymi oraz tą wychodzącą poza jego kompetencje. Wspomniane rozróżnienie wynika z faktu, że w przepisach o ochronie danych przewidziano wyjątek dla kościołów i związków wyznaniowych polegający na możliwości stosowania własnych zasad pod warunkiem, że  obowiązywały one w chwili uchwalenia rozporządzenia RODO i zostały dostosowane do jego norm. Tak właśnie stało się w przypadku wspólnoty kościelnej w naszym kraju. Dlatego chcąc skorzystać z prawa dostępu do swoich danych zgromadzonych w parafiach, nie możemy powoływać się na prawa wynikające z RODO. Rozporządzenie może nam posłużyć za podstawę dopiero gdy nasze żądania wychodzą poza typowo kościelne kompetencje, których przykładem może być działalność duchownych w sektorach takich jak: gospodarczy, leczniczy czy edukacyjny. Biorąc pod lupę ostatnią z wymienionych sfer łatwo wydedukować, że osoby duchowne uczące dzieci w szkołach publicznych mają obowiązek dostosować się do ustaleń RODO.

Osoby odpowiedzialne za ochronę danych w Kościele.

(…) W polskim Kościele funkcje administratorów danych sprawują odpowiednie komórki, które wynikają z administracyjnego podziału wspólnoty. Natomiast osobami odpowiedzialnymi za przetwarzanie naszych danych osobowych są księża stojący na czele tych komórek. Jest to bardzo prosta do zrozumienia zależność – przypadku gdy administratorem danych jest parafia to osobą odpowiedzialną za nasze dane jest stojący na jej czele proboszcz. (…) – wyjaśnia Pan Rafał Wielgus

Do najważniejszych i najbardziej podstawowych instytucji wymienionych w Dekrecie należą: Kościelny inspektor danych osobowych, administratorzy danych osobowych oraz niżsi rangą inspektorzy ochrony danych osobowych. Na najwyższym szczeblu struktury stoi wymieniony jako pierwszy Kościelny Inspektor Ochrony Danych Osobowych (KIOD) w osobie księdza Piotra Kroczka, doktora habilitowanego nauk zakresie prawa kanonicznego, a także profesora nadzwyczajnego Uniwersytetu Papieskiego Jana Pawła II w Krakowie. Nadzoruje on proces ochrony danych osobowych we wszystkich jednostkach kościelnych w Polsce.

Kolejną instytucją są administratorzy, czyli osoby dbające o proces przetwarzania danych, ich bezpieczeństwo oraz realizację naszych przywilejów wynikających z Dekretu, z których najważniejsze to prawa do: informacji o przetwarzaniu danych,  sprostowania danych czy żądania usunięcia danych. Na administratorach ciąży także cały szereg innych obowiązków – to oni nadają księżom pisemne upoważnienia do przetwarzania danych, a duchowni zobowiązują się przed nimi do zachowania tajemnicy. W ich obowiązkach mieści się także funkcja kontrolna – polegająca na konieczności organizowania audytów wewnętrznych sprawdzających dokumentacje oraz sposoby przetwarzania danych w jednostce.

Administratorom w pracy pomagają inspektorzy ochrony danych, którzy w poszczególnych komórkach stoją na straży przestrzegania przepisów RODO. Do ich obowiązków należy pomoc we wprowadzaniu odpowiednich standardów czy też pełnienie funkcji kontaktowej między jednostkami a KIOD.

(…) Personalny podział administracyjny kościoła jest mocną i skuteczną tarczą chroniącą nasze dane przed różnego rodzaju incydentami. Każda osoba duchowna pełniąca funkcje związane z przetwarzaniem danych musi zdobyć odpowiednie kwalifikacje poprzez uczestnictwo w nieustannie organizowanych konferencjach czy szkoleniach. Dodatkowo, aby usystematyzować w jednostkach zasady postępowania oraz zabezpieczenia danych, duchowni korzystają z wymaganych na mocy Dekretu – polityki bezpieczeństwa oraz instrukcji zarządzania systemem informatycznym. Aby pomóc osobom duchownym, powstał także stworzony przez KIOD „Podręcznik ochrony danych osobowych w kościele katolickim” zwierający komentarze, wyjaśnienia i wskazówki dla osób duchownych zajmujących się ochroną naszych danych osobowych. (…) – dodaje rozmówca

Wyszkolony personel to nie wszystko

(…) Poza wyjątkową dbałością Kościoła o to aby nad naszymi danymi czuwali odpowiednio przygotowani do tego ludzie, to zbiory danych zawierające informacje o nas, do których możemy zaliczyć między innymi księgi parafialne, rejestry parafian czy alumnów seminariów duchownych chronione są także w sposób fizyczny. (…).

Kościelnemu przetwarzaniu danych podlega bardzo wiele informacji o nas. Zarówno tych najbardziej podstawowych,  dotyczących imienia czy nazwiska, ale także tych odnoszące się do naszego stanu zdrowia, wykorzystywanych na przykład przy sakramencie ostatniego namaszczenia.

Ze względu na ogromną wartość wykorzystywanych przez Kościół danych, są one zabezpieczone w wyjątkowo skrupulatny sposób. Wierni nie muszą martwić się o to, że trafią one w ręce osób trzecich, ponieważ mogą być one przetwarzane tylko i wyłącznie przez osoby z odpowiednim upoważnieniem. W celu uzyskania różnego rodzaju odpisów kościelnych dokumentów trzeba przejść proces weryfikacji polegającej na okazaniu swojego dokumentu tożsamości. Różnego rodzaju odpisy mogą uzyskać jedynie osoby z interesem prawnym bądź posiadające ważne pełnomocnictwo. Wobec każdego kto załatwia jakąkolwiek sprawę związaną z posługą Kościoła spełniany jest także obowiązek informacyjny przybliżający nam cel i podstawę prawną zbierania danych. Księża przekazują klauzule do rąk wiernych bądź wywieszają je w widocznych miejscach.

W kwestii zabezpieczeń fizycznych warto zwrócić uwagę na budynki kościelne, w których przetwarzane i przechowywane są dane wiernych. Miejsca te chronione są szeregiem zabezpieczeń, na które składają się między innymi: antywłamaniowe drzwi, alarmy, systemy monitoringu oraz opieka firm ochroniarskich. Natomiast dane przetwarzane elektronicznie, przechowywane są na wewnętrznych serwerach, podlegających silnej ochronie, a dostęp do nich mają tylko nieliczni. Każdego rodzaju dane wiernych przetrzymywane są często w większej ilości kopii w celu uniknięcia skutków katastrof naturalnych takich jak pożary czy powodzie.

Co gdy nasze dane zostaną naruszone?

(…) Dodatkowym zabezpieczeniem, gwarantującym wiernemu czynny udział w dbaniu o bezpieczeństwo danych osobowych przetwarzanych przez Kościół jest możliwość złożenia skargi  na administratora danych. (…) – informuje rozmówca.

W przypadku wystąpienia podejrzeń związanych z naruszaniem bezpieczeństwa naszych danych, mamy możliwość złożyć skargę do KIOD, który zobowiązany jest przeanalizować sprawę. Skargę można złożyć zarówno elektronicznie jak i listownie wysyłając odpowiedni formularz na adres podany na stronie episkopatu. Daje nam to czynny udział w procesie kontroli przetwarzania danych przez Kościół.

Zgłoszenie naruszenia przez  administratora danych.

W przypadku naruszenia danych, administrator zobowiązany jest także do zgłoszenia tego faktu Kościelnemu Inspektorowi Ochrony Danych. Takowe naruszenie może dotyczyć sytuacji, w której nasze dane ulegną między innymi: zniszczeniu, utraceniu czy nieuprawnionemu ujawnieniu. Gdy wydarzy się tego typu incydent administrator bez zbędniej zwłoki, czyli w terminie do 72 godzin po stwierdzeniu naruszenia, gdy uzna, że może ono spowodować naruszeniem praw czy wolności osoby fizycznej, musi o nim powiadomić KIOD.

Ochrona danych posiadanych przez Kościół a minimalizacja i ograniczenie przetwarzania.

(…) Dane osobowe, które kościół gromadzi, zbierane są zgodnie z zasadą minimalizacji danych a ich zakres ogranicza się do założonego celu. Należy jednak pamiętać o tym, że działania kościoła towarzyszą nam przez praktycznie całe nasze życie przez co możemy odnosić wrażenie, że jest ich gromadzonych zbyt dużo. (…) – podkreśla nasz ekspert

W przypadku ludzi wierzących, którzy według danych  podanych nam do wiadomości przez Centrum Badania Opinii Społecznej stanowią ponad 92% kraju,  pierwszy kontakt z instytucją kościoła zaczyna się już chwilę po urodzeniu, kiedy to uczestniczymy w sakramencie chrztu. Następnym etapem dla większości z nas jest komunia święta i bierzmowanie, a nasza droga na tym świecie nie tylko zaczyna się, ale także i kończy się przy obecności osób duchownych przy okazji sakramentu ostatniego namaszczenia czy uroczystości pogrzebu. Kościół towarzyszy nam praktycznie przez całe nasze życie – a dane, które przetwarza są mu niezbędne do odpowiedniego wykonywana posług. W związku z mnogością i charakterem czynności wykonywanych przez duchownych przetwarza on naprawdę wiele danych dotyczących między innymi: naszych rodzin, miejsc zamieszkania czy nawet stanu zdrowia. Kościół nie czyni tego na wyrost, dane zbierane są zawsze na podstawie przepisów prawa w związku z wykonaniem posługi.

Upublicznianie naszych danych przez Kościół

(…) Tematem, który budzi wyjątkowe zainteresowanie wiernych w kościele jest publikacja naszych danych osobowych w różnego rodzaju obwieszczeniach, zarówno tych wygłaszanych ustnie w postaci ogłoszeń parafialnych jak i tych w formie papierowej wywieszanych na tablicy ogłoszeń. (…) – podkreśla ekspert.

W podanych przez rozmówcę formach mogą być udostępniane informacje, które wprost wynikają z obowiązku kanonicznego – dla przykładu w przypadku zapowiedzi przedślubnych będą to imiona oraz nazwiska narzeczonych. Upoważnione osoby duchowne mogą także zamieszczać informację podane do wiadomości podczas mszy takie jak o darczyńcach, którzy wsparli kościół finansowo, czy o osobach, które zawarły związek kościelny. Pamiętać tu należy o tym, że w tym przypadku istnieje możliwość zastrzeżenia tego rodzaju informacji przez osobę, której dane dotyczą.

W porównaniu do powyższej sytuacji nieco inaczej wygląda  proces związany z udostępnianiem danych na stronach internetowych gdzie wymagana jest nasza zgoda – Dekret mówi o tym w następujący sposób „co do zasady, można w Internecie umieszczać wszelkie dane osobowe, o ile odbywa się to za zgodą osób”.

W przypadku publikacji naszego wizerunku, który jest wykorzystywany w działalności wewnętrznej kościoła, dla przykładu w „gazetkach parafialnych” mających za zadanie przybliżanie wiernemu najważniejszych wydarzeń z życia Instytucji, Kościół może publikować dane osób, które brały udział w różnego rodzaju wydarzeniach, a także ich zdjęcia. Istnieje tutaj także  możliwość zgłoszenia przez osobą, której publikacja dotyczy zastrzeżenia do ujawniania swojego wizerunku. Podobnie wygląda sytuacja w przypadku fotografii w gablotce parafialnej. Taki porządek prawny jest konsekwencją wewnętrznego zastosowania danych – tego typu procesy normuje Dekret. Zgody na publikacje naszego wizerunku są wymagane, gdy udostępnianie zdjęć wykracza poza wspólnotę, na przykład w publikacjach kościoła – książkach, czy Internecie – w obu przypadkach należy stosować przepisy wynikające z RODO oraz innych polskich ustaw.

Naszym ekspertem był Rafał Wielgus, inspektor ochrony danych,  informatyk, międzynarodowy audytor wiodący ISO 27001 oraz projektant systemów bezpieczeństwa w firmie BHPEX w Zielonej Górze. Posiada 20 lat doświadczenia w bezpieczeństwie systemów i sieci komputerowych. Dysponuje wiedzą praktyczną w zakresie Certified Information Systems Security Professional (CISSP). Szkolony również przez ABW i SKW. Świadczy kompleksowe usługi z zakresu bezpieczeństwa teleinformatycznego, wdraża systemy z rodziny „IT security”, skutecznie nadzoruje RODO, prowadzi szkolenia oraz audyty.