Ochrona danych osobowych w związkach wyznaniowych w Polsce - aktualne wyzwania

• Współpraca z UODO
• Ochrona danych w Polskim Autokefalicznym Kościele Prawosławnym
• Dane osobowe w Kościele Ewangelicko-Augsburskim i Kościele Ewangelicko-Reformowanym
• Dane w Kościele katolickim
• Ochrona danych osobowych w Kościele Bożym w Polsce
• AI w służbie wiary?
• Rola IOD w Kościele katolickim
• Co z księgami parafialnymi?
• Sprawa C-12/25
• Podsumowanie

Współpraca z UODO

Prezes Urzędu Ochrony Danych Osobowych Mirosław Wróblewski przypomniał, iż już w momencie wejścia w życie RODO piętnaście związków wyznaniowych zgłosiło do UODO notyfikacje odnośnie do stosowania przepisów wewnętrznych ws. ochrony danych osobowych, opierając się głównie na art. 91 RODO, który związkom tym zapewnia możliwość wyłączenia wewnętrznej działalności spod przepisów RODO. 10 maja 2019 r. zaczęło z kolei obowiązywać porozumienie między Prezesem UODO a Kościelnym Inspektorem Ochrony Danych Kościoła katolickiego, skupiające się na współpracy i wymianie informacji wokół ochrony danych osobowych.

„Dziękuję za dotychczasową efektywną współpracę i jednocześnie proszę o jej kontynuację, a pozostałe związki wyznaniowe zachęcam do zawierania porozumień między Prezesem UODO a organami nadzoru powstałymi na mocy art. 91 RODO” – zwrócił się do uczestników seminarium prezes Wróblewski.

Ochrona danych w Polskim Autokefalicznym Kościele Prawosławnym

Ks. dr Andrzej Lewczak, Kościelny Inspektor Ochrony Danych Osobowych w Polskim Autokefalicznym Kościele Prawosławnym (AKP) podkreślił, że już w 2011 r. w Kościele prawosławnym zaczęły obowiązywać zasady dot. ochrony danych osobowych, a „dane osobowe gromadzone przez kościoły prawosławne są przedmiotem najwyższej troski”, zaś „AKP ma w pełni uregulowany status prawny, co skutkuje też niezależnością postępowania z danymi”.

Według ks. dr. Lewczaka trzeba zauważyć, że w myśl przepisów RODO kościoły i związki wyznaniowe, które przed 2018 r. posiadały własne zasoby danych, mogły i mogą je przez cały czas wykorzystywać, natomiast niezwykle istotna jest w tej kwestii rola kościelnych inspektorów ochrony danych osobowych (sobór biskupów siedem lat temu powołał niezależny organ: Kościelnego Inspektora Ochrony Danych Osobowych, zaś biskupi diecezjalni powołali Inspektorów Ochrony Danych w swoich diecezjach), bowiem – jak podkreśla ks. dr Lewczak – „co prawda władze publiczne ani Urząd Ochrony Danych Osobowych nie ingerują w sprawy wewnętrzne Kościoła, ale autonomia zawsze wiąże się z jeszcze większą odpowiedzialnością wewnętrzną”.

Jak dodał ks. Lewczak, odnosi się to także do tego, że w AKP nie istnieje jeden teleinformatyczny system zbiorów danych, jednak też dzięki temu, paradoksalnie, pomaga to zapewnić większy poziom bezpieczeństwa retencji danych. Wśród problemów, które jednak się pojawiają, wymienił incydenty z ujawnianiem danych np. w trakcie ogłoszeń parafialnych. Widocznym kłopotem jest również według niego brak dostatecznej wiedzy w zakresie cyberbezpieczeństwa wśród duchownych. Jako remedium na tę sytuację ks. dr Lewczak wspomniał o koniecznej integracji szkoleń z zakresu danych, i w tym zadaniu w jego opinii ważne byłoby wsparcie UODO. Jako istotne zadanie ksiądz doktor wymienił również wzmocnienie roli Kościelnego Inspektora Ochrony Danych Osobowych, co też powinno się odbyć z pomocą UODO. Niewątpliwym wyzwaniem na przyszłość będzie natomiast dalszy rozwój cyfryzacji.

Dane osobowe w Kościele Ewangelicko-Augsburskim i Kościele Ewangelicko-Reformowanym

Agnieszka Filak z Chrześcijańskiej Akademii Teologicznej w Warszawie odniosła się do struktury ochrony danych w Kościele Ewangelicko-Augsburskim i Kościele Ewangelicko-Reformowanym. Jak wyjaśniła, ogólne zasady ochrony danych w tych wspólnotach są podobne do tych przyjętych przez Kościół rzymskokatolicki.

Natomiast dla obu tych kościołów, – które są do siebie zbliżone pod względem liczby wiernych – w 2020 r. została utworzona Ewangelicka Komisja Ochrony Danych Osobowych, funkcjonująca jako niezależny organ kolegialny (członkowie nie mogą być w jakikolwiek sposób związani z tymi wspólnotami), co oznacza, że zgodnie z zasadą wyłączności kognicji, działającą również w Kościele rzymskokatolickim, Komisja ma pierwszeństwo dochodzenia odpowiedzialności od Kościoła; jeżeli ktoś jednak zdecyduje się na ścieżkę cywilną, to możliwość wyciągania odpowiedzialności przez Komisję jest wyłączona).

Agnieszka Filak stwierdziła też, że po kilku latach działalności tej komisji można wyciągnąć wniosek, iż przed 2018 r. ilość danych osobowych zbieranych przez oba kościoły była zbyt wielka, co wynika także z tego, że dziś już „członkowie obu kościołów są coraz bardziej świadomi tego, jakie prawa im przysługują”.

Dane w Kościele katolickim

O ochronie danych osobowych w Kościele katolickim opowiedział ks. prof. Piotr Kroczek, Kościelny Inspektor Ochrony Danych w Polskim Kościele Rzymskokatolickim, odnosząc się przede wszystkim do często poruszanego problemu konfliktu, który miałby zachodzić między RODO a wolnością religijną.

Według księdza profesora to problem dość pozorny, bowiem RODO np. dzięki art. 91 jak najbardziej zapewnia i zabezpiecza wolność religijną, (właściwa interpretacja RODO nie narusza wolności tego rodzaju, a wręcz może służyć jako mechanizm jej ochrony), co więcej, w swoich przepisach RODO nie nakazuje, że źródłem przepisów prawa ochrony danych musi być prawo państwowe (stąd też m.in. Kościół może autonomicznie ustalić sposoby ochrony danych).

Ks. prof. Kroczek zwrócił też uwagę, że Kościół katolicki pośród innych wspólnot stanowi interesujący wyjątek, bo jest instytucją, która lubi i szanuje rozbudowane prawo (które realnie poszerza sferę wolności, unaoczniając sytuacje prawnie specyficzne i delikatne), natomiast istnieje również wiele kościołów, które niechętnie odnoszą się do wymagających systemów prawnych, preferując jednoznaczną doktrynę i autonomię własnego prawa wewnętrznego.

Jak tłumaczył jednak ks. prof. Kroczek, zachodzą oczywiście problemy interpretacji RODO, np. jeśli chodzi o prawo do bycia zapomnianym (np. gdy ktoś zgłasza apostazję) albo kwestię przetwarzania danych przez Watykan, który nie jest państwem należącym do Unii Europejskiej, ale też wszystkie te zagadnienia udaje się rozpatrywać na bazie współpracy Kościoła z instytucjami takimi jak Urząd Ochrony Danych Osobowych.

Ochrona danych osobowych w Kościele Bożym w Polsce

W trakcie seminarium osiągnięciami dot. ochrony danych podzielił się także Leszek Zając, pastor Kościoła Bożego w Polsce. Jak podkreślił, ta wspólnota mimo swojego skromnego zasięgu przeprowadziła pełną cyfryzację zgromadzonych danych i należy do Międzykościelnej Komisji Ochrony Danych Osobowych, w której łączy się dziewięć ewangelickich związków wyznaniowych. Jeśli chodzi o strukturę ochrony danych w KB, to trzeba wymienić Komisję Ochrony Danych Osobowych (KODO), która reprezentuje administratora, nadzoruje i koordynuje działania w obszarze ochrony danych, oraz zespół Kościelnych Inspektorów Ochrony Danych (KIOD), który doradza i monitoruje przestrzeganie przepisów. Kolegium Pastorów na rekomendację KODO powołuje zaś członków zespołu KIOD. Zespół jest wspólny dla wszystkich kościołów ewangelickich. Z kolei wyzwaniem na przyszłość dla tych wspólnot będzie na pewno napływ ludzi z Ukrainy – zaznaczył pastor Zając.

AI w służbie wiary?

Aneta Sieradzka, prezeska Fundacji AI One Health, CEO Sieradzka & Partners, członkini Społecznego Zespołu Ekspertów przy Prezesie UODO nawiązała do możliwości, które oferuje sztuczna inteligencja w kontekście życia duchowego (aplikacje religijne, chatboty, algorytmy analizujące treść Pisma Świętego). Wyjaśniła, że AI może wspierać życie duchowe poprzez m.in. ułatwianie dostępu do duchowych treści oraz pomoc w edukacji religijnej. Natomiast problemami w tym kontekście mogą się okazać dezinformacja i deepfake’i, które mogą podważać zaufanie społeczne.

Rola IOD w Kościele katolickim

Mec. dr Kinga Karsten z Uniwersytetu Papieskiego Jana Pawła II w Krakowie podkreśliła rolę inspektorów danych osobowych w Kościele katolickim, przede wszystkim w kontekście ich niezależności, nad którą czuwa Europejska Komisja Konferencji Episkopatów (CCEE). Odniosła się również do kwestii przyjęcia przez Kościół Dekretu ogólnego Konferencji Episkopatu Polski, który tak naprawdę odzwierciedla przepisy RODO (przykład: art. 38 RODO i art. 37 Dekretu) i dzięki niemu Kościół w działaniach dot. ochrony danych może być skuteczny, równocześnie zapewniając sobie autonomię. Zresztą, jak zaznaczyła dr Karsten, IOD w Kościele ma mocniejsze fundamenty niezależności niż IOD ma w państwie. Wynika to z Dekretu, Kodeksu prawa kanonicznego (przepisów dot. urzędu kościelnego) oraz zasady salus animarum (zbawienie dusz najwyższym zadaniem Kościoła), którą ma się kierować każdy sprawujący urząd kościelny.

Co z księgami parafialnymi?

Tematem funkcjonowania ksiąg parafialnych w Kościele zajęła się z radczyni prawna Monika Tarnawa-Zajączkowska z Samorządowego Kolegium Odwoławczego w Krakowie. Jak wyjaśniła, zachodzą problemy, jeśli chodzi o relacje pomiędzy tak specyficznym zbiorem danych, jakim są księgi parafialne, a RODO, ale to właśnie z tego powodu Kościół wprowadził dekret ogólny KEP, który tę kwestię uszczegóławia. Zresztą – jak wspomniała – już od dłuższego czasu sądy administracyjne przyjmują, że Kościół katolicki jest odpowiedzialny za przetwarzanie danych osobowych wg swoich ustaleń wewnętrznych – a zatem podlega właśnie własnemu dekretowi.

Sprawa C-12/25

Dr Roman Sobotka, główny specjalista w Departamencie Prawa i Nowych Technologii UODO, zaprezentował przykład skargi jednego z obywateli Belgii, który zażądał od biskupa Gandawy, aby w związku ze zgłoszoną apostazją zostały usunięte jego dane z ksiąg parafialnych dotyczące chrztu. W sprawie pojawiły się z jednej strony problem dot. prawa do bycia zapomnianym, gwarantowanego przez RODO, ale z drugiej argumentacja Kościoła mówiąca, że nie można żądać usunięcia tych danych z ksiąg parafialnych ze względu na interes prawny i publiczny wspólnoty katolickiej.

Podsumowanie

Seminarium podsumował Jakub Groszkowski, Główny koordynator UODO ds. ochrony danych w kościołach i związkach wyznaniowych. Ponownie zaapelował, by drogą do rozwiązywania wszelkich wątpliwości wokół ochrony danych w związkach wyznaniowych była nieustająca współpraca między nimi a Urzędem Ochrony Danych Osobowych.

Warto nadmienić, iż 6 maja 2025 r. odbyło się w siedzibie Caritas szkolenie dla Inspektorów Ochrony Danych, zorganizowane przez Kościelnego Inspektora Ochrony Danych i Fundację Konferencji Episkopatu Polski Bona Fama we współpracy z Prezesem Urzędu Ochrony Danych Osobowych. Szkolenie było przykładem realizacji porozumienia o współpracy i wzajemnym przekazywaniu informacji zawartego pomiędzy Prezesem UODO i KIOD w 2019 r. w zakresie działań edukacyjnych.

„W czasie gdy wszystkie oczy były zwrócone w stronę Stolicy Apostolskiej, Urząd Ochrony Danych Osobowych był zaangażowany w praktyczne szkolenie dla IOD pełniących funkcje w podmiotach i instytucjach kościelnych, a także zorganizował seminarium eksperckie skierowane do wszystkich związków wyznaniowych w Polsce. Dwa dni konklawe i dwa dni wspólnych działań na rzecz podnoszenia świadomości i wiedzy z zakresu ochrony danych osobowych w związkach wyznaniowych” – podsumował wydarzenie Mirosław Wróblewski, prezes UODO.