RODO a autonomia kościołów i związków wyznaniowych
Począwszy od 25 maja 2018 r., kościoły i związki wyznaniowe są zobowiązane – tak samo jak pozostali administratorzy danych osobowych – do przestrzegania przepisów ogólnego rozporządzenia o ochronie danych osobowych (RODO). Na podstawie art. 91 ust. 1 RODO pozostawiono jednak kościołom i związkom wyznaniowym prawo do stosowania autonomicznych, szczegółowych regulacji i zasad ochrony danych, jeśli takie były stosowane przez datą wejścia w życie RODO, pod warunkiem ich dostosowania do jego przepisów.
Odbierz pakiet bezpłatnych poradników i mikroszkoleń RODO
RODO w Kościele katolickim
Najczęściej podawanym przykładem szczegółowych zasad ochrony danych osobowych jest „Dekret ogólny w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych w Kościele katolickim”. Nie tylko przewiduje on nadzór niezależnego organu nadzorczego, który może być organem odrębnym do Prezesa UODO (w tym wypadku jest to Kościelny Inspektor Ochrony Danych, powołany przez Kościół katolicki), lecz także reguluje szczegółowo standardy przetwarzania danych osobowych, dopuszczalność przetwarzania danych czy chociażby konieczność spełnienia obowiązku informacyjnego. Co istotne, odmienne uregulowania przyjęto również – z poszanowaniem przepisów RODO – w zakresie praw osób, których dane dotyczą.
RODO a inne wspólnoty religijne
W razie braku zgłoszenia autonomicznych reguł dotyczących stosowania przepisów o ochronie danych osobowych każdy podmiot, który samodzielnie ustala cele i sposoby przetwarzania danych osobowych, jest zobowiązany dostosować się do przepisów RODO. Zatem jeżeli dany kościół czy związek wyznaniowy nie zdecydował się na zastosowanie autonomicznych zasad, to jest zobowiązany do przetwarzania danych osobowych osób fizycznych na zasadach wynikających wprost z przepisów RODO. Przykładem takiej wspólnoty religijnej są świadkowie Jehowy. Ponieważ nie zgłosiła ona do Prezesa UODO swoich szczegółowych zasad ochrony danych osobowych, jest zobowiązana do stosowania wprost przepisów RODO.
Łatwość przystąpienia – nasza zgoda
Przystępując do kościoła czy związku wyznaniowego, czynimy to dobrowolnie i świadomie. Podstawą prawną przetwarzania danych osobowych będzie zatem dobrowolne, konkretne, świadome i jednoznaczne oświadczenie woli, czyli po prostu zgoda. Taka podstawa prawna przetwarzania danych osobowych dla podmiotów, które nie zdecydowały się na autonomiczne rozwiązania, jest przewidziana zarówno w ww. dekrecie ogólnym Kościoła katolickiego (art. 7 ust. 1 pkt. 1), jak i w przepisach RODO (art. 6 ust. 1 lit. a). Organizacje takie jak świadkowie Jehowy mają zatem obowiązek uzyskania uprzedniej zgody na przetwarzanie danych osobowych, jeśli podczas prowadzonej rozmowy sporządzają notatki dotyczące imienia i nazwiska rozmówcy, jego sytuacji rodzinnej czy statusu majątkowego. Ponadto są zobowiązane do przestrzegania pozostałych przepisów RODO, m.in. w zakresie udostępnienia, powierzenia czy upoważnienia do przetwarzania danych osobowych, jeśli tą wiedzą dzielą się między sobą np. w celu przygotowywania się do kolejnych wizyt.
Jeśli zatem nie chcemy, aby dana wspólnota religijna przetwarzała nasze dane osobowe i np. składała nam wizyty, wystarczy, że nie wyrazimy zgody na przetwarzanie danych osobowych.
Powyższa przesłanka przetwarzania danych osobowych, nie dotyczy jednak przetwarzania danych osobowych w ramach tzw. ksiąg parafialnych, jeśli przystąpimy już do danego kościoła lub związku wyznaniowego. Podstawą prawną przetwarzania danych osobowych w ramach ksiąg parafialnych jest art. 9 ust. 1 lit. d RODO. Szeroki zakres tej postawy prawnej przewarzania dotyczy zarówno danych osobowych członków, jak i byłych członków danego kościoła czy związku wyznaniowego.
Jak trwale usunąć dane osobowe?
Sytuacja nieco komplikuje się (ale może tylko z pozoru), kiedy już należy się do organizacji religijnej, ale chce się z niej wystąpić czy odejść. Czy wspólnota ma prawo w dalszym ciągu przetwarzać dane osobowe swojego byłego członka? Odpowiedź na to pytanie znajduje się w treści RODO. Przede wszystkim należy wskazać na uprawnienie do cofnięcia udzielonej zgody (art. 7 ust. 3 RODO). Jeśli skutecznie cofniemy zgodę, organizacja religijna nie będzie miała już podstawy prawnej do dalszego przetwarzania danych osobowych. Po cofnięciu udzielonej zgody należy wystąpić do administratora danych, jakim jest ta organizacja, z wnioskiem o trwałe usunięcie naszych danych osobowych (art. 17 RODO). Pomocne w tym wypadku mogą być wzory takich wniosków, dostępne na stronie Fundacji Wiedza To Bezpieczeństwo (dostęp: 20 sierpnia 2019 r.).
Bezpłatna wiedza o RODO.
Korzystaj do woli!
Każdy kościół czy związek wyznaniowy ma obowiązek przestrzegania przepisów o ochronie danych osobowych, a tym samym respektowania zarówno prawa do wstąpienia do takiej organizacji czy wystąpienia z niej, jak i prawa do trwałego usunięcia danych osobowych. I choć może się zdarzyć, że niektórzy będą na nas krzywo patrzeć czy przekonywać do zmiany decyzji dotyczącej wystąpienia ze wspólnoty religijnej, to jednak każda taka organizacja będzie zobowiązana do uszanowania tej decyzji oraz do trwałego usunięcia danych osobowych, które przetwarzała na podstawie udzielonej przez nas zgody, jeśli ją cofniemy. Nasze dane osobowe pozostaną jednak księgach, gdzie zostanie odnotowana nasze wystąpienie z danej organizacji religijnej i nie będą mogły być wykorzystywane przez administratora bez zgody ordynariusza miejsca lub wyższego przełożonego instytutu życia konsekrowanego.