Ochrona danych osobowych w związkach wyznaniowych w Polsce - aktualne wyzwania

• Współpraca z UODO
• Ochrona danych w Polskim Autokefalicznym Kościele Prawosławnym
• Dane osobowe w Kościele Ewangelicko-Augsburskim i Kościele Ewangelicko-Reformowanym
• Dane w Kościele katolickim
• Ochrona danych osobowych w Kościele Bożym w Polsce
• AI w służbie wiary?
• Rola IOD w Kościele katolickim
• Co z księgami parafialnymi?
• Sprawa C-12/25
• Podsumowanie

Współpraca z UODO

Prezes Urzędu Ochrony Danych Osobowych Mirosław Wróblewski przypomniał, iż już w momencie wejścia w życie RODO piętnaście związków wyznaniowych zgłosiło do UODO notyfikacje odnośnie do stosowania przepisów wewnętrznych ws. ochrony danych osobowych, opierając się głównie na art. 91 RODO, który związkom tym zapewnia możliwość wyłączenia wewnętrznej działalności spod przepisów RODO. 10 maja 2019 r. zaczęło z kolei obowiązywać porozumienie między Prezesem UODO a Kościelnym Inspektorem Ochrony Danych Kościoła katolickiego, skupiające się na współpracy i wymianie informacji wokół ochrony danych osobowych.

„Dziękuję za dotychczasową efektywną współpracę i jednocześnie proszę o jej kontynuację, a pozostałe związki wyznaniowe zachęcam do zawierania porozumień między Prezesem UODO a organami nadzoru powstałymi na mocy art. 91 RODO” – zwrócił się do uczestników seminarium prezes Wróblewski.

Ochrona danych w Polskim Autokefalicznym Kościele Prawosławnym

Ks. dr Andrzej Lewczak, Kościelny Inspektor Ochrony Danych Osobowych w Polskim Autokefalicznym Kościele Prawosławnym (AKP) podkreślił: „Dane osobowe gromadzone przez kościoły prawosławne są przedmiotem najwyższej troski”, zaś „AKP ma w pełni uregulowany status prawny, co skutkuje też niezależnością postępowania z danymi”. Według ks. dr. Lewczaka trzeba zauważyć, że w myśl przepisów RODO kościoły i związki wyznaniowe, które przed 2018 r. posiadały własne zasoby danych, mogły i mogą je przez cały czas wykorzystywać, natomiast niezwykle istotna jest w tej kwestii rola kościelnych inspektorów ochrony danych osobowych, bowiem – jak podkreśla ks. dr Lewczak – „co prawda władze publiczne ani Urząd Ochrony Danych Osobowych nie ingerują w sprawy wewnętrzne Kościoła, ale autonomia zawsze wiąże się z jeszcze większą odpowiedzialnością wewnętrzną”.

Jak dodał ks. Lewczak, odnosi się to także do tego, że w AKP nie istnieje jeden teleinformatyczny system zbiorów danych, jednak też dzięki temu, paradoksalnie, pomaga to zapewnić większy poziom bezpieczeństwa retencji danych. Wśród problemów, które jednak się pojawiają, wymienił incydenty z ujawnianiem danych np. w trakcie ogłoszeń parafialnych. Widocznym kłopotem jest również według niego brak dostatecznej wiedzy w zakresie cyberbezpieczeństwa wśród duchownych. Jako remedium na tę sytuację ks. dr Lewczak wspomniał o koniecznej integracji szkoleń z zakresu danych, i w tym zadaniu w jego opinii ważne byłoby wsparcie UODO.

Dane osobowe w Kościele Ewangelicko-Augsburskim i Kościele Ewangelicko-Reformowanym

Głos zabrała także Agnieszka Filak z Chrześcijańskiej Akademii Teologicznej w Warszawie, która odniosła się do struktury ochrony danych w Kościele Ewangelicko-Augsburskim i Kościele Ewangelicko-Reformowanym. Jak wyjaśniła, dla obu tych kościołów, które są do siebie zbliżone pod względem liczby wiernych, w 2020 r. została utworzona Ewangelicka Komisja Ochrony Danych Osobowych, funkcjonująca jako niezależny organ kolegialny. Agnieszka Filak stwierdziła też, że po kilku latach działalności tej komisji można wyciągnąć wniosek, iż przed 2018 r. ilość danych osobowych zbieranych przez oba kościoły była zbyt wielka, co wiąże się także z tym, że dziś już „członkowie obu kościołów są coraz bardziej świadomi tego, jakie prawa im przysługują”.

Dane w Kościele katolickim

O ochronie danych osobowych w Kościele katolickim opowiedział ks. prof. Piotr Kroczek, Kościelny Inspektor Ochrony Danych w Polskim Kościele Rzymsko-Katolickim, odnosząc się przede wszystkim do często poruszanego problemu konfliktu, który miałby zachodzić między RODO a wolnością religijną. Według księdza profesora to problem jedynie pozorny, bowiem RODO jak najbardziej zapewnia i zabezpiecza wolność religijną, co więcej, w swoich artykułach nie nakazuje, że źródłem przepisów prawa ochrony danych musi być prawo państwowe. Ks. prof. Kroczek zwrócił też uwagę, że Kościół katolicki pośród innych kościołów stanowi interesujący wyjątek, bo jest instytucją, która lubi i szanuje rozbudowane prawo (które realnie poszerza sferę wolności, unaoczniając sytuacje prawnie specyficzne i delikatne), natomiast istnieje również wiele kościołów, które niechętnie odnoszą się do wymagających systemów prawnych, preferując jednoznaczną doktrynę i autonomię własnego prawa wewnętrznego.

Jak tłumaczył jednak ks. prof. Kroczek, zachodzą oczywiście problemy interpretacji RODO, np. jeśli chodzi o prawo do bycia zapomnianym (np. gdy ktoś zgłasza apostazję) albo kwestię przetwarzania danych przez Watykan, który nie jest państwem należącym do Unii Europejskiej, ale też wszystkie te zagadnienia udaje się rozpatrywać na bazie współpracy Kościoła z instytucjami takimi jak Urząd Ochrony Danych Osobowych.

Ochrona danych osobowych w Kościele Bożym w Polsce

W trakcie seminarium osiągnięciami dot. ochrony danych podzielił się także Leszek Zając, pastor Kościoła Bożego w Polsce. Jak podkreślił, ta wspólnota mimo swojego skromnego zasięgu przeprowadziła pełną cyfryzację zgromadzonych danych i należy do Międzykościelnej Komisji Ochrony Danych Osobowych, w której łączy się również dziewięć innych związków wyznaniowych.

AI w służbie wiary?

Aneta Sieradzka, prezeska Fundacji AI One Health, CEO Sieradzka & Partners, członkini Społecznego Zespołu Ekspertów przy Prezesie UODO, która nawiązała do możliwości, które oferuje sztuczna inteligencja w kontekście życia duchowego (aplikacje religijne, chatboty, algorytmy analizujące treść Pisma Świętego).

Rola IOD w Kościele katolickim

Mec. dr Kinga Karsten z Uniwersytetu Papieskiego Jana Pawła II w Krakowie, która podkreśliła rolę inspektorów danych osobowych w Kościele katolickim, przede wszystkim w kontekście ich niezależności, nad którą czuwa Europejska Komisja Konferencji Episkopatów (CCEE). Odniosła się również do kwestii przyjęcia przez Kościół dekretu ogólnego Konferencji Episkopatu Polski, który tak naprawdę odzwierciedla przepisy RODO, i dzięki niemu Kościół w działaniach dot. ochrony danych może być skuteczny, równocześnie zapewniając sobie autonomię.

Co z księgami parafialnymi?

Radczyni prawna Monika Tarnawa-Zajączkowska z Samorządowego Kolegium Odwoławczego w Krakowie, która zajęła się tematem funkcjonowania ksiąg parafialnych w Kościele. Jak wyjaśniła, zachodzą problemy, jeśli chodzi o relacje pomiędzy tak specyficznym zbiorem danych, jakim są księgi parafialne, a RODO, ale to właśnie z tego powodu Kościół wprowadził dekret ogólny KEP, który tę kwestię uszczegóławia. Zresztą – jak wspomniała – już od dłuższego czasu sądy administracyjne przyjmują, że Kościół katolicki jest odpowiedzialny za przetwarzanie danych osobowych wg swoich ustaleń wewnętrznych – a zatem podlega właśnie własnemu dekretowi.

Sprawa C-12/25

Dr Roman Sobotka, główny specjalista w Departamencie Prawa i Nowych Technologii UODO, który zaprezentował przykład skargi jednego z obywateli Belgii, który zażądał od biskupa Gandawy, aby w związku ze zgłoszoną apostazją zostały usunięte jego dane z ksiąg parafialnych dotyczące chrztu. W sprawie pojawiły się z jednej strony problem dot. prawa do bycia zapomnianym, gwarantowanego przez RODO, ale z drugiej argumentacja Kościoła mówiąca, że nie można żądać usunięcia tych danych z ksiąg parafialnych ze względu na interes prawny i publiczny wspólnoty katolickiej.

Podsumowanie

Seminarium podsumował Jakub Groszkowski, Główny koordynator UODO ds. ochrony danych w kościołach i związkach wyznaniowych. Ponownie zaznaczył, iż drogą do rozwiązywania wszelkich wątpliwości wokół ochrony danych w związkach wyznaniowych jest nieustająca współpraca między nimi a Urzędem Ochrony Danych Osobowych.