Związki wyznaniowe – czy można trwale usunąć dane osobowe i zostać zapomnianym?

Czy kościoły i związki wyznaniowe są zobowiązane do przestrzegania przepisów RODO, a jeśli tak, to na jakich zasadach? Czy będą respektowane nasze prawa, jeśli podamy swoje dane osobowe po przystąpieniu do danej organizacji religijnej? I w końcu: czy możemy je później skutecznie i trwale usunąć?

RODO a autonomia kościołów i związków wyznaniowych

Począwszy od 25 maja 2018 r., kościoły i związki wyznaniowe są zobowiązane – tak samo jak pozostali administratorzy danych osobowych – do przestrzegania przepisów ogólnego rozporządzenia o ochronie danych osobowych (RODO). Na podstawie art. 91 ust. 1 RODO pozostawiono jednak kościołom i związkom wyznaniowym prawo do stosowania autonomicznych, szczegółowych regulacji i zasad ochrony danych, jeśli takie były stosowane przez datą wejścia w życie RODO, pod warunkiem ich dostosowania do jego przepisów.

Odbierz pakiet bezpłatnych poradników i mikroszkoleń RODO

Dołącz do grona czytelników naszego biuletynu, odbierz bezpłatny pakiet i trzymaj rękę na pulsie.
ODBIERZ PAKIET
W konsekwencji na zastosowanie takich szczegółowych zasad zdecydowało się obecnie 15 instytucji. Szczegółową listę opublikowano na stronie Urzędu Ochrony Danych Osobowych 14 lutego 2019 r.  (dostęp: 20 sierpnia 2019 r.).

RODO w Kościele katolickim

Najczęściej podawanym przykładem szczegółowych zasad ochrony danych osobowych jest „Dekret ogólny w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych w Kościele katolickim”. Nie tylko przewiduje on nadzór niezależnego organu nadzorczego, który może być organem odrębnym do Prezesa UODO (w tym wypadku jest to Kościelny Inspektor Ochrony Danych, powołany przez Kościół katolicki), lecz także reguluje szczegółowo standardy przetwarzania danych osobowych, dopuszczalność przetwarzania danych czy chociażby konieczność spełnienia obowiązku informacyjnego. Co istotne, odmienne uregulowania przyjęto również – z poszanowaniem przepisów RODO – w zakresie praw osób, których dane dotyczą.

RODO a inne wspólnoty religijne

W razie braku zgłoszenia autonomicznych reguł dotyczących stosowania przepisów o ochronie danych osobowych każdy podmiot, który samodzielnie ustala cele i sposoby przetwarzania danych osobowych, jest zobowiązany dostosować się do przepisów RODO. Zatem jeżeli dany kościół czy związek wyznaniowy nie zdecydował się na zastosowanie autonomicznych zasad, to jest zobowiązany do przetwarzania danych osobowych osób fizycznych na zasadach wynikających wprost z przepisów RODO. Przykładem takiej wspólnoty religijnej są świadkowie Jehowy. Ponieważ nie zgłosiła ona do Prezesa UODO swoich szczegółowych zasad ochrony danych osobowych, jest zobowiązana do stosowania wprost przepisów RODO.

Łatwość przystąpienia – nasza zgoda

Przystępując do kościoła czy związku wyznaniowego, czynimy to dobrowolnie i świadomie. Podstawą prawną przetwarzania danych osobowych będzie zatem dobrowolne, konkretne, świadome i jednoznaczne oświadczenie woli, czyli po prostu zgoda. Taka podstawa prawna przetwarzania danych osobowych dla podmiotów, które nie zdecydowały się na autonomiczne rozwiązania, jest przewidziana zarówno w ww. dekrecie ogólnym Kościoła katolickiego (art. 7 ust. 1 pkt. 1), jak i w przepisach RODO (art. 6 ust. 1 lit. a). Organizacje takie jak świadkowie Jehowy mają zatem obowiązek uzyskania uprzedniej zgody na przetwarzanie danych osobowych, jeśli podczas prowadzonej rozmowy sporządzają notatki dotyczące imienia i nazwiska rozmówcy, jego sytuacji rodzinnej czy statusu majątkowego. Ponadto są zobowiązane do przestrzegania pozostałych przepisów RODO, m.in. w zakresie udostępnienia, powierzenia czy upoważnienia do przetwarzania danych osobowych, jeśli tą wiedzą dzielą się między sobą np. w celu przygotowywania się do kolejnych wizyt.

RODO. Wspracie się przydaje!

Jeśli zatem nie chcemy, aby dana wspólnota religijna przetwarzała nasze dane osobowe i np. składała nam wizyty, wystarczy, że nie wyrazimy zgody na przetwarzanie danych osobowych.

Powyższa przesłanka przetwarzania danych osobowych, nie dotyczy jednak przetwarzania danych osobowych w ramach tzw. ksiąg parafialnych, jeśli przystąpimy już do danego kościoła lub związku wyznaniowego. Podstawą prawną przetwarzania danych osobowych w ramach ksiąg parafialnych jest art. 9 ust. 1 lit. d RODO. Szeroki zakres tej postawy prawnej przewarzania dotyczy zarówno danych osobowych członków, jak i byłych członków danego kościoła czy związku wyznaniowego.

Jak trwale usunąć dane osobowe?

Sytuacja nieco komplikuje się (ale może tylko z pozoru), kiedy już należy się do organizacji religijnej, ale chce się z niej wystąpić czy odejść. Czy wspólnota ma prawo w dalszym ciągu przetwarzać dane osobowe swojego byłego członka? Odpowiedź na to pytanie znajduje się w treści RODO. Przede wszystkim należy wskazać na uprawnienie do cofnięcia udzielonej zgody (art. 7 ust. 3 RODO). Jeśli skutecznie cofniemy zgodę, organizacja religijna nie będzie miała już podstawy prawnej do dalszego przetwarzania danych osobowych. Po cofnięciu udzielonej zgody należy wystąpić do administratora danych, jakim jest ta organizacja, z wnioskiem o trwałe usunięcie naszych danych osobowych (art. 17 RODO). Pomocne w tym wypadku mogą być wzory takich wniosków, dostępne na stronie Fundacji Wiedza To Bezpieczeństwo (dostęp: 20 sierpnia 2019 r.).

Bezpłatna wiedza o RODO.
Korzystaj do woli!

Webinary, artykuły, poradniki, szkolenia, migawki i pomoc. Witaj w bazie wiedzy ODO 24.
WCHODZĘ W TO
Powyższe rozwiązanie będzie jednak dotyczyło przetwarzania danych osobowych, które wspólnoty religijne przetwarzają na podstawie naszej dobrowolnej zgody. Jako przykład można tu wskazać ujawnianie naszych danych osobowych jako ofiarodawców innym osobom lub podmiotom. Takie rozwiązanie nie będzie jednak dopuszczalne w zakresie naszych danych osobowych, które wspólnoty religijne przetwarzają na podstawie art. 9 ust. 2 lit. d RODO. Prawo do bycia zapomnianym zostało bowiem wyłączone przez w stosunku do kościołów oraz innych związków wyznaniowych, w zakresie w jakim dotyczy ono udzielonych sakramentów bądź w inny sposób odnosi się do kanonicznego statusu osoby, której dane dotyczą.

Każdy kościół czy związek wyznaniowy ma obowiązek przestrzegania przepisów o ochronie danych osobowych, a tym samym respektowania zarówno prawa do wstąpienia do takiej organizacji czy wystąpienia z niej, jak i prawa do trwałego usunięcia danych osobowych. I choć może się zdarzyć, że niektórzy będą na nas krzywo patrzeć czy przekonywać do zmiany decyzji dotyczącej wystąpienia ze wspólnoty religijnej, to jednak każda taka organizacja będzie zobowiązana do uszanowania tej decyzji oraz do trwałego usunięcia danych osobowych, które przetwarzała na podstawie udzielonej przez nas zgody, jeśli ją cofniemy. Nasze dane osobowe pozostaną jednak księgach, gdzie zostanie odnotowana nasze wystąpienie z danej organizacji religijnej i nie będą mogły być wykorzystywane przez administratora bez zgody ordynariusza miejsca lub wyższego przełożonego instytutu życia konsekrowanego.

Czytaj także:

Najczęstsze błędy przy zawieraniu umów powierzenia

Outsourcing funkcji Inspektora Ochrony Danych (IOD)

Outsourcing, czyli przekazanie funkcji IOD to sprawdzony sposób na optymalizację procesów i kosztów.

Zobacz więcej
Tomasz Ochocki
Tomasz Ochocki
Kierownik zespołu merytorycznego.
Ekspert ds. ochrony danych.
Audytor wiodący systemu zarządzania bezpieczeństwem informacji (ISO/IEC 27001:2013), zarządzania ciągłością działania (ISO 22301) oraz audytor wewnętrzny ISO/IEC 27701. Ukończył podyplomowe studia z zakresu ochrony danych osobowych i informacji niejawnych oraz analizy bezpieczeństwa i zagrożeń terrorystycznych.

Autor oraz prelegent dedykowanych szkoleń pracowniczych z zakresu bezpieczeństwa informacji.

Współautor opracowania: "RODO Nawigator", "DODO Nawigator" oraz książki: "Ustawa o ochronie danych osobowych przetwarzanych w związku z zapobieganiem i zwalczaniem przestępczości. Komentarz".

Adw. Łukasz Pociecha
Adw. Łukasz Pociecha
Ekspert ds. ochrony danych.
Swoje doświadczenie zawodowe zdobywał współpracując z kancelariami specjalizującymi się w obsłudze przedsiębiorców, w tym klientów korporacyjnych. Audytor wiodący ISO/IEC 27001.

Do jego kompetencji należy kompleksowa obsługa klientów w zakresie ochrony danych osobowych i bezpieczeństwa informacji, w tym m.in.: sporządzenie opinii prawnych i umów, prowadzenie szkoleń oraz przeprowadzanie audytów. Posiada aktualny certyfikat metodyki zarządzania projektami PRINCE2.

Współautor książki: "Ustawa o ochronie danych osobowych przetwarzanych w związku z zapobieganiem i zwalczaniem przestępczości. Komentarz".

Barbara Matasek
Barbara Matasek
Ekspert ds. ochrony danych
Doktorant w Kolegium Prawa Akademii Leona Koźmińskiego w Warszawie. Odpowiada za przeprowadzanie audytów, przygotowanie dokumentacji w zakresie ochrony danych osobowych oraz doradztwo prawne.

Swoje zainteresowania skupia wokół prawa handlowego i prawa cywilnego, ze szczególnym uwzględnieniem zagadnień dotyczących ochrony danych osobowych. Doświadczenie zawodowe zdobywała pracując w kancelariach prawnych oraz jako asystent sędziego.

Współautorka poradnika: "Jak przygotować się do kontroli".

Czy umowy powierzenia zawieramy raz w roku czy musimy auaktualniać?

Lorem Ipsum is simply dummy text of the printing and typesetting industry. Lorem Ipsum has been the industry's standard dummy text ever since the 1500s, when an unknown printer took a galley of type and scrambled it to make a type specimen book. It has survived not only five centuries, but also the leap into electronic typesetting, remaining essentially unchanged.

Lorem Ipsum is simply dummy text of the printing and typesetting industry. Lorem Ipsum has been the industry's standard dummy text ever since the 1500s, when an unknown printer took a galley of type and scrambled it to make a type specimen book. It has survived not only five centuries, but also the leap into electronic typesetting, remaining essentially unchanged.

R.pr. Katarzyna Szczypińska