Paweł Zając

RODO a Kościół Katolicki w Polsce. Określenie zakresu działalności Unii Europejskiej

Dnia 25 maja 2018 r., weszły w życie przepisy rozporządzenia Par­lamentu Europejskiego i Rady w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swo­bod­ne­go przepływu takich danych oraz uchylenia dyrektywy 95/46/WE[1]. Po­wyższy akt normatywny wprowadził niejako rewolucję w postrzeganiu danych osobowych, przypominając, że prawo do ich ochrony jest jed­nym z praw człowieka.

Akt ten zawiera swoisty katalog wy­ma­gań, jakie mu­szą zostać spełnione przez administrację publiczną, przedsiębiorców i or­ganizacje pozarządowe, które pragną w ramach swojej działalności prze­twarzać dane osobowe podmiotów fizycznych. Do tego katalogu, usta­wodawca zaliczył również Kościoły i inne związ­ki wyznaniowe, bowiem zgodnie z art. 91 ust. 1 RODO: „Jeżeli w państwie członkow­skim w mo­mencie wejścia niniejszego roz­porzą­dzenia w życie kościoły i związki lub wspólnoty wyznaniowe stosują szczegółowe zasady ochrony osób fi­zycznych w związku z przetwa­rzaniem, zasady takie mogą być nadal sto­sowane, pod warunkiem że zostaną dostosowane do niniejszego roz­po­rządzenia”. Co istotne, Par­lament Europejski nie nakazał zastoso­wania wprost rozwiązań przy­jętych w RODO, lecz jedynie ich dopaso­wanie, które możemy rozumieć jako przejęcie głównych założeń rozpo­rządzenia będących jednak w zgodzie z istotą działalności związków wyzna­nio­wych. Brak do­sto­sowania się do przepisów RODO obwarowa­ny został jednak sankcją poddania związków wyznaniowych wprost pod normy zawarte w roz­porządzeniu oraz pod nadzór państwowego organu nad­zor­czego, co w praktyce oznacza możliwość kontroli i nadzoru admi­nistracji ko­ścielnej przez władzę państwową (art. 91 ust. 2).

W związku z powyższym, Konferencja Episkopatu Polski, dnia 13 mar­ca 2018 r., wydała Dekret ogólny w sprawie ochrony osób fi­zycz­nych w związku z przetwarzaniem danych osobowych w Kościele ka­tolickim[2]. W akcie tym dokonano próby dostosowania przepisów roz­porządzenia do natury Kościoła Katolickiego.

Pojawia się jednak pytanie, czy Kościół Katolicki w Polsce w ogóle był zobowiązany do dokonywania jakichkolwiek zmian w swoim usta­wodawstwie w aspekcie ochrony danych osobowych swoich wiernych, a co za tym idzie, czy Unia Europejska jest kompetentna do na­rzuca­nia swoich rozwiązań prawnych związkom wyznaniowym? Niniejszy arty­kuł stanowi próbę znalezienia odpowiedzi na powyższe pytanie oraz przyczynek do podjęcia szerokiej dyskusji na temat statusu Ko­ściołów i związków wyznaniowych w UE.

1. Zakres obowiązywania RODO

Ustawodawca unijny w art. 2 ust. 2 RODO określa materialny za­kres stosowania rozporządzenia stanowiąc: „Niniejsze rozporządzenie nie ma zastosowania do przetwarzania danych osobowych:

a)   w ramach działalności nieobjętej zakresem prawa Unii;

b)   przez państwa członkowskie w ramach wykonywania działań wchodzących w zakres tytułu V rozdziału 2 TUE;

c)   przez osobę fizyczną w ramach czynności o czysto osobistym lub domowym charakterze;

d)   przez właściwe organy do celów zapobiegania przestępczości, pro­wadzenia postępowań przygotowawczych, wykrywania i ścigania czy­nów zabronionych lub wykonywania kar, w tym ochrony przed za­gro­że­niami dla bezpieczeństwa publicznego i zapobiegania takim za­groże­niom”.

Z punktu analizowanego zagadnienia, istotne wydaje się określe­nie zakresu działalności, a więc dziedzin, w których Unia kompetentna jest do wydawania aktów normatywnych o mocy powszechnie obo­wią­zu­ją­cej. Ważne jest w tym względzie zwrócenie uwagi na art. 5 Trak­tatu o Unii Europejskiej[3], który określa tzw. zasadę przyznania, stano­wiącą o tym, że „Unia działa wyłącznie w granicach kompetencji przy­znanych jej przez Państwa Członkowskie w Traktatach do osią­gnięcia określo­nych w nich celów”.

Podstawę działalności określa Traktat o funkcjonowaniu Unii Euro­pejskiej[4], który „organizuje funkcjonowanie Unii i określa dzie­dziny, granice i warunki wykonywania jej kompetencji” (art. 1 TfUE). Prawo pierwotne przewiduje trzy rodzaje kompetencji UE. Pierwsza – wyłączna – dotyczy spraw, w których tylko instytucje UE mogą sta­no­wić prawo oraz przyjmować akty prawnie wiążące. Państwa człon­kowskie pozba­wione zostały w pewnym sensie swoich funkcji usta­wodawczych, chyba że uzyskają upoważnienie od organów UE do unormowania określonej dziedziny, bądź dokonują implementacji pra­wa europejskiego (art. 2 ust. 1 TfUE). Do dziedzin, w których UE ma wyłączną kompetencję należy zaliczyć: unię celną; ustanawianie reguł konkurencji; politykę pieniężną waluty euro; zachowanie morskich zasobów biologicznych; wspólną po­litykę handlową (art. 6 ust. 1 TfUE).

Druga kategoria kompetencji – dzielona – polega na przyznaniu mo­żliwości wydawania aktów normatywnych zarówno UE, jak i pań­stwom członkowskim, z tym zastrzeżeniem, że państwa mogą tego do­konać, wyłącznie w sytuacji, w której instytucje UE zaniechały bądź za­przestały wykonywania swoich kompetencji (art. 2 ust. 2 TfUE). Do ka­talogu dziedzin obejmujących ten rodzaj kompetencji zaliczono: ry­nek wew­nę­trzny; politykę społeczną; spójność gospodarczą, spo­łecz­ną i tery­torialną; rolnictwo i rybołówstwo; środowisko naturalne; och­ronę kon­sumentów; transport; sieci transeuropejskie; energię; przestrzeń wolno­ści, bezpie­czeństwa i sprawiedliwości; zdrowie pub­liczne; rozwój tech­nologiczny; pomoc humanitarną (art. 4 TfUE).

Natomiast trzecia kategoria – wspierająca – polega na oddaniu pierwszeństwa państwom członkowskim w aspekcie wydawania ak­tów normatywnych. Organy UE nie mogą zastępować działania po­szcze­gól­nych państw, a jedynie je wspierać, koordynować lub uzu­pełniać, z tym obostrzeniem, że działalność UE nie może prowadzić do harmonizacji przepisów ustawowych i wykonawczych państw człon­kowskich (art. 2 ust. 5 TfUE). Prawo pierwotne zalicza do takich dzia­łań o wymiarze eu­ropejskim: ochronę i poprawę zdrowia; przemysł; kulturę; turystykę; edukację, kształcenie zawodowe; młodzież i sport; ochronę ludności, współpracę administracyjną (art. 6 TfUE).

Z dokonanej analizy wynika, że kompetencja w zakresie upraw­nie­nia do tworzenia norm prawa wyznaniowego, a zatem in­ge­rencji w wewnętrzne sprawy Kościołów i związków wyzna­nio­wych nie sta­nowi działalności objętej zakresem UE[5], dlatego też budzi zdziwienie fakt, że w rozporządzeniu znalazło się odwołanie do tychże instytucji. Może zatem powodem takiej regulacji jest relacja pomiędzy UE a Ko­ściołami i innymi związkami wyznaniowymi?

2. Relacje Unia Europejska a Kościoły i inne związki wyznaniowe

Prawo unijne stoi na straży prawa człowieka do wolności su­mie­nia i religii. Wynika to z Traktatu o Unii Europejskiej, zgodnie z któ­rym: „Unia opiera się na wartościach poszanowania godności osoby ludzkiej, wolności, demokracji, równości, państwa prawnego, jak rów­nież posza­nowania praw człowieka, w tym praw osób należących do mniejszości” (art. 2 TUE). Uszczegółowieniem powyżej zasady jest fakt, że UE przy­stąpiła do Europejskiej Konwencji o Ochronie Praw Człowieka i Pod­sta­wowych Wolności oraz wydała w tej materii włas­ny akt, jakim jest Karta Praw Podstawowych Unii Europejskiej[6] (art. 6 TUE). Zgodnie z nim: „Każdy ma prawo do wolności myśli, sumienia i religii. Prawo to obej­muje wolność zmiany religii lub przekonań oraz wolność uze­wnętrz­nia­nia, indywidualnie lub wspólnie z innymi, pub­licznie lub pry­watnie, swej religii lub przekonań poprzez uprawianie kultu, nauczanie, praktyko­wa­nie i uczestniczenie w obrzędach” (art. 10 ust. 1 KPPUE). Powyższa gwarancja dotyczy wolności sumienia i religii w wymiarze in­dywidual­nym i podlega ipso iure ochronie prawnej[7]. Nie jest to jednak jedyny wy­miar tej wolności, bowiem wy­stępuje jeszcze jego druga stro­na – aspekt instytucjonalny, który do­ty­czy określenia wzajemnych relacji pomiędzy Kościołami i związkami wyznaniowymi a danym państwem bądź or­ga­ni­zacją mię­dzy­naro­do­wą. Oba wymiary są ze sobą istotowo złączone i nie mogą funkcjo­no­wać bez siebie, na co wielokrotnie zwracał uwagę Euro­pejski Try­bu­nał Prawa Człowieka w Strasburgu w swoich orzeczeniach[8].

W przypadku Unii Europejskiej, określenie relacji ze związkami wy­znaniowymi nastąpiło na mocy art. 17 ust. 1 TfUE. Zgodnie z nim: „Unia szanuje status przyznany na mocy prawa krajowego kościołom i stowarzyszeniom lub wspólnotom religijnym w Państwach Człon­kow­skich i nie narusza tego statusu”. Norma ta implikuje, że organy UE uz­nają autonomię i niezależność państw członkowskich w as­pekcie ok­reślenia statusu związków wyznaniowych w granicach swojego te­ry­torium i nie roszczą sobie prawa do uniformizacji modelu relacji w całej Unii[9]. Nie są więc kompetentne do wydawa­nia prawa in­ge­ru­ją­cego w wewnętrzną naturę Kościołów i związków wyznaniowych, chyba że krajowy porządek prawny danego państwa zezwala na taką możli­wość. Poszukując zatem odpowiedzi na problem badawczy, jaki został sprecy­zowany na wstępie, należy w kolejnym punkcie przyjrzeć się mo­delowi relacji, jaki został przyjęty w Rze­czy­pospolitej Polskiej.

3. Status Kościoła Katolickiego w Polsce

Reguły określające model relacji pomiędzy Polską a Kościołem Ka­tolickim zawarte zostały w Konstytucji Rzeczypospolitej Polskiej z dnia 2 kwietnia 1997 r.[10], Konkordacie między Stolicą Apostolską i Rze­czą­pospolitą Polską, podpisanym w Warszawie dnia 28 lipca 1993 r.[11], ustawie z dnia 17 maja 1989 r. o stosunku Państwa do Ko­ścioła Ka­to­lic­kiego w Rzeczypospolitej Polskiej[12].

Status związków wyznaniowych, w tym Kościoła Katolickiego opie­ra się na zasadzie równouprawnienia; bezstronności władz pub­licznych w sprawach przekonań religijnych; poszanowania autonomii oraz wza­jemnej niezależności; współdziałania oraz bilateralności (art. 25 Konsty­tucji).

W analizowanym przedmiocie najistotniejszą zasadą jest po­szano­wa­nie autonomii i niezależności Kościoła Katolickiego i państwa pol­skiego każdego w swoim zakresie. Przez autonomię należy rozumieć możliwość rządzenia się własnym prawem, a więc wyłączną kom­pe­tencję do two­rzenia norm prawnych odnoszących się do wewnętrznej struktury i funk­cjonowania danej społeczności[13], innymi słowy – pra­wo do samo­de­cy­do­wania o sobie. Niezależność zaś odnosi się do bra­ku możliwości inge­ren­cji państwa w sprawy Kościoła i na odwrót.

Uszczegółowieniem powyższej zasady jest art. 5 Konkordatu, zgod­nie z którym „Przestrzegając prawa do wolności religijnej, Pań­stwo za­pewnia Kościołowi katolickiemu, bez względu na obrządek, swobodne i publiczne pełnienie jego misji, łącznie z wykonywaniem jurysdykcji i administrowaniem jego sprawami na podstawie prawa kanonicznego”. A zatem Kościół katolicki w Polsce w aspekcie wy­pełniania swojego zadania jest autonomiczny. Przypomnieć należy, że misją Kościoła jest prowadzenie ludzi ku świętości, poprzez wy­ko­rzystanie dostępnych środ­ków, jakie pozostawił mu Jezus Chrystus, Najwyższy Kapłan i Pa­sterz. Środkami tymi są Słowo Boże i sa­kra­menty. Ze względu na fakt, że ad­resatami posługi kościelnej są wierni, Kościół Katolicki w Polsce pro­wa­dzi odpowiednie rejestry wiernych, w których określa ich sytuację kano­niczną. Zatem problematyka prze­twarzania danych osobowych przez Ko­ściół Katolicki, jeśli wynika z natury Kościoła, należy do jego wyłącznej kompetencji. Dlatego też zarówno krajowy porządek prawny, jak i prawo unijne nie mogą narzucać Kościołowi w Polsce systemowych rozwiązań prawnych w aspekcie ochrony danych oso­bowych, jeśli ich przetwarzanie związane jest z pełnieniem jego mi­sji.

Podsumowując, również określenie statusu Kościoła Katolickiego w Unii nie daje odpowiedzi na pytanie, dlaczego w RODO znalazło się odwołanie do związków wyznaniowych i jak je należy interpretować. Może zatem odpowiedzi należy poszukać w samej materii, której do­ty­czy rozporządzenie, a więc ochronie danych osobowych osób fizycz­nych, która może stanowić treść nadrzędną w stosunku do wolności su­mienia i religii?

4. Materia RODO – dane osobowe

Unia Europejska przykłada bardzo dużą wagę do ochrony danych osobowych swoich obywateli. Świadczy o tym fakt wpisania tej och­rony do prawa traktatowego, zgodnie z którym: „Każda osoba ma pra­wo do ochrony danych osobowych jej dotyczących” (art. 16 ust. 1 TfUE). W związku z powyższym, instytucje Unii wyposażone zostały w kom­petencję do określenia zasad dotyczących ochrony osób fizycz­nych w przedmiocie przetwarzania ich danych osobowych (art. 16 ust. 2 TfUE). Prawo do ochrony danych osobowych ściśle związane jest z pra­wem konsumenckim i dlatego należy do kategorii kompetencji dzie­lo­nych Unii.

Przez dane osobowe należy rozumieć: „informacje o zidenty­fiko­wa­nej lub możliwej do zidentyfikowania osobie fizycznej («osobie, któ­rej dane dotyczą»); możliwa do zidentyfikowania osoba fizyczna to oso­ba, którą można bezpośrednio lub pośrednio zidentyfikować, w szcze­gól­no­ści na podstawie identyfikatora takiego jak imię i naz­wi­sko, numer iden­tyfikacyjny, dane o lokalizacji, identyfikator inter­ne­to­wy lub jeden bądź kilka szczególnych czynników określających fizycz­ną, fizjo­logiczną, ge­netyczną, psychiczną, ekonomiczną, kulturową lub społeczną tożsamość osoby fizycznej” (art. 4 pkt 1 RODO). Ustawo­dawca unijny w przyjętym rozporządzeniu określił szereg zasad, ja­ki­mi powinien charak­teryzować się proces przetwarzania danych oso­bowych w celu zapew­nienia bez­pie­czeństwa danych. Zakazał również przetwarzania szczegól­nych kategorii danych osobowych, takich jak: pochodzenie rasowe lub etniczne; po­glą­dy polityczne, przekonania re­ligijne lub światopoglądo­we, przynależność do związków zawo­do­wych, itp. (art. 9 ust. 1 RODO). Zakazem tym nie zostały objęte dzia­ła­nia enumeratywnie wyliczone w art. 9 ust. 2 RODO. W powyższym ka­talogu, nie wymieniono wprost Kościołów i związków wyznaniowych, jednakże organizacje te należy utożsamiać z nieza­rob­ko­wymi insty­tu­cjami o celach światopoglądowych lub religijnych, o któ­rych stanowi art. 9 ust. 2 lit. d.

Parlament Europejski zwrócił uwagę, że ochrona osób fizycznych w związku z przetwarzaniem ich danych nie może naruszać prawa do ochrony danych osobowych. Zatem prawo to jest nadrzędne w sto­sun­ku do wszelkich działań dotyczących bezpieczeństwa obywateli. Jed­nakże nie jest ono prawem bezwzględnym i „należy je postrzegać w kon­tek­ście jego funkcji społecznej i wyważyć względem innych praw pod­sta­wowych w myśl zasady proporcjonalności” (pkt 4 pre­am­buły RODO). Dlatego RODO nie może naruszać wolności zawartych w Karcie Praw Podstawowych Unii Europejskiej, w tym wolności su­mienia i religii, za­równo w wymiarze indywidualnym, jak i insty­tu­cjo­nalnym. Stąd nasuwa się wniosek, że przepisy zawarte w roz­po­rzą­dzeniu nie dotyczą Ko­ścio­łów i związków wyznaniowych. Dlaczego zatem ustawodawca unijny zredagował art. 91 RODO i dlaczego Ko­ściół Kato­licki w Polsce do­sto­sował się do rozporządzenia, jeżeli ana­liza przepro­wadzona do tej pory wskazuje jednoznacznie że UE nie ma kompetencji w tym zakresie?

5. Właściwa interpretacja art. 91 RODO

Parlament Europejski w art. 91 RODO stanowi: „Jeżeli w państwie członkowskim w momencie wejścia niniejszego rozporządzenia w ży­cie kościoły i związki lub wspólnoty wyznaniowe stosują szczegółowe zasa­dy ochrony osób fizycznych w związku z przetwarzaniem, zasady takie mogą być nadal stosowane, pod warunkiem że zostaną do­sto­so­wane do niniejszego rozporządzenia”. Wiedząc, że instytucje unijne nie posiadają kompetencji ustawodawczej w zakresie prawa wy­zna­niowego, a zatem nie mogą kształtować prawa, któremu powinny pod­legać, pozostaje py­tanie, jak należy prawidłowo interpretować powyż­szy przepis i jakie jest jego ratio legis?

Odpowiedź na wspomnianą wątpliwość ściśle związana jest z prze­prowadzoną analizą i dotyczy zakresu działalności związków wy­zna­nio­wych. Status prawny Kościoła Katolickiego w Polsce na are­nie prawa unijnego należy postrzegać przez pryzmat art. 25 ust. 3 Konstytu­cji oraz art. 5 Konkordatu, zgodnie z którymi w zakresie, w jakim doty­czy to prowadzonej przez Kościół misji, przysługuje mu pełna autonomia i nie­zależność. Natomiast w zakresie działalności wykraczającej poza te ra­my, Kościół zobowiązany jest do przestrze­ga­nia krajowego porządku prawnego i jest mu podległy. Zatem Kościół Katolicki (i inne związki wyznaniowe) podejmując np. działal­ność o charakterze gospodar­czym, podlega pod przepisy obowią­zujące w ramach rynku we­wnętrznego, a więc dziedziny, w której UE ma kompetencje wyłącz­ne[14]. Podlega w takim wypadku pod przepisy RODO. Kiedy jednak jego działalność związana jest z celem stricte wyznaniowym, takim jak udzie­lanie sakramentów czy określe­nie pozycji kanonicznej wiernego, przepi­sy RODO nie obowiązują.

Art. 91 RODO należy odnieść wyłącznie do sytuacji, w której zwią­zki wyznaniowe wykraczają w swojej działalności poza ramy religijne. Adresatami dyspozycji są w szczególności kościelne osoby prawne, któ­re prowadzą działalność gospodarczą, kulturalną bądź chary­ta­tyw­ną (np. Caritas Polska, wydawnictwa diecezjalne, domy pomocy). W tym zakre­sie muszą one dostosować swoje prawo wewnętrzne do ogólnego rozpo­rządzenia, tak aby uczynić zadość obowiązkowi och­ro­ny danych osobo­wych. Diecezje, parafie i instytuty życia konsek­ro­wa­nego, zgodnie z wy­kładnią celowościową i gramatyczną roz­porzą­dze­nia, nie są adresatami tej dyspozycji.

6. Dekret Konferencji Episkopatu Polski o ochronie osób fizycznych

Przyjęty w dniu 13 marca 2018 r. przez Konferencję Episkopatu Pol­ski Dekret ogólny w sprawie ochrony osób fizycznych w związku z prze­twarzaniem danych osobowych w Kościele katolickim, wyzna­cza nowe ramy systemowe ochrony danych osobowych wiernych w Kościele w Polsce. Jest on odpowiedzią na dyspozycję zawartą w art. 91 RODO, mimo, iż nie odwołano się w żadnym przepisie wprost do rozporządze­nia. Ustawodawca kościelny dokonał w nim ka­nonizacji norm zawartych w rozporządzeniu, stanowiąc, że ma on za­stosowanie do „przetwarzania danych osobowych w sposób cał­ko­wi­cie lub częściowo zautomatyzowa­nych oraz do przetwarzania w spo­sób inny niż zautomatyzowany danych osobowych stanowiących część zbioru danych lub mających stanowić część zbioru danych” przez publiczne kościelne osoby prawne (art. 3,4 Dekretu). Takie sze­rokie uregulowanie może budzić pewien niepokój, ponieważ Dekret obowiązuje wszystkie kościelne osoby prawne, a zatem także diecezje, parafie i instytuty życia konsekrowanego, które zostały wyłączone spod przepisów RODO. Jakie zatem było ratio legis tak sze­rokiego unormowania oraz czy dyspozycja ta nie utrudni prowadzenia dzia­łal­ności duszpasterskiej proboszczom i biskupom? W celu odpowie­dzi na te pytania należy zagłębić się w normy zawarte w Dekrecie.

Kościół Katolicki od początku swojej działalności ściśle prze­strze­gał reguł dotyczących ochrony danych swoich wiernych wypra­co­wu­jąc od­powiednie regulacje w tym zakresie. Wynika to m.in. z zawar­tego w kan. 220 Kodeksu Prawa Kanonicznego z 1983 r[15]. prawa do prywatności i intymności: „Nikomu nie wolno bezprawnie naruszać dobrego imienia, które ktoś posiada, ani też naruszać prawa każdej osoby do ochrony wła­snej intymności”.

W tym celu na przestrzeni wieków udoskonalano procedury do­ty­czą­ce bezpieczeństwa danych w ramach wydawania aktów nor­matyw­nych, czy to o charakterze uniwersalnym, czy partykularnym. W szcze­gólności przedmiotem zainteresowania pozostawały księgi parafialne, w których dokonywano adnotacji o przyjętych przez wiernych sa­kra­mentach i po­sługach. Przykładem prawa w tym zakresie mogą być Prze­pisy Kon­fe­rencji Episkopatu Polski o prowadzeniu ksiąg pa­ra­fial­nych: ochrz­czo­nych, bierzmowanych, małżeństw i zmarłych, oraz księ­gi stanu dusz z dnia 26 października 1947 r.[16]

Konferencja Episkopatu Polski w zakresie prowadzenia, uzupeł­nia­nia i przechowywania ksiąg parafialnych nie wprowadza żadnych re­wo­lucyjnych zmian do ustawodawstwa kościelnego. Przewidziała jed­nakże możliwość skorzystania z prawa do sprostowania, z za­strze­żeniem, że sprostowanie dotyczące aktów i faktów w zakresie stanu kanoniczne­go osoby może nastąpić wyłącznie za zgodą ordynariusza, (art. 12 De­kretu) oraz możliwość usunięcia danych, czyli realizację prawa do bycia za­pomnianym. Prawo to nie ma jednak zastosowania do danych dotyczą­cych sakramentów i stanu kanonicznego osoby. Ta­kie rozwiązanie wyni­ka z natury niektórych sakramentów, które od­ciskają niezatarte znamię na człowieku i są niepowtarzalne.

Utrudnione jednak staje się przetwarzanie danych w celu innym niż związanym z życiem sakramentalnym bądź określającym status kano­niczny osoby. W takim przypadku, na przetwarzanie ich po­trze­b­na jest zgoda wiernego. Zatem proboszcz udając się z wizytą dusz­pas­terską z okazji kolędy powinien wręczyć każdemu wiernemu oświad­czenie o wy­rażeniu przez niego zgody na przetwarzanie danych do­ty­czących m.in. stanu posiadania, zatrudnienia lub ogólnej sytuacji ro­dzinnej (infor­macje te nie wchodzą bowiem w cel przetwarzania, ja­kim jest udzielanie sa­kramentów ani nie wynikają z przepisu prawa). Zobowiązany jest on również poinformować parafian, kto będzie prze­twarzał ich dane i w ja­kim zakresie, np. parafialna Caritas w zakresie pomocy materialnej.

Kwestią problematyczną może okazać się także przetwarzanie szcze­gólnej kategorii danych osobowych. Ustawodawca kościelny na­kłada w takiej sytuacji obowiązek ustanowienia inspektora danych osobowych, jeśli przetwarzanie odbywa się na dużą skalę. Jednak nie precyzuje on tejże skali. Pojawia się zatem wątpliwość, w jakich oko­licznościach na­leży powołać inspektora. Czy fakt, że parafia ma 1500 wiernych ozna­cza, że dokonuje przetwarzania na dużą skalę i musi powołać taki organ? Po drugie, powoływanie inspektorów związane jest z wynagrodzeniem dla nich, co również w przypadku parafii uboższych może rodzić pro­ble­my.

Zgodnie z Dekretem, każdy przełożony jest administratorem da­nych osobowych w podległej sobie jednostce. Z administrowaniem związany jest szereg obowiązków, takich jak określenie polityki pry­watności, do­konanie oceny ryzyka, rejestrowanie czynności prze­twa­rzania lub po­wia­domienie osób, których dane dotyczą o naruszeniu ochrony danych oso­bowych (art. 17, 21, 28 Dekret). Na proboszczów nałożono tym sa­mym nowe obowiązki, które nijak mają się do spra­wowania pasterskiej po­słu­gi względem powierzonych wiernych i któ­re wymagają specjali­stycznej wiedzy, jak np. dokonanie oceny ryzyka.

Nad bezpieczeństwem danych w Kościele czuwać ma ustanowiony przez Konferencję Episkopatu Polski Kościelny Inspektor Ochrony Da­nych. Do jego kompetencji należy przeprowadzanie kontroli dzia­łal­no­ści podmiotów, nakazywanie przywrócenia stanu zgodnego z prawem w przypadku stwierdzenia nieprawidłowości bądź podjęcie innych środ­ków niezbędnych do realizacji ochrony (art. 38 Dekret). Jest on również orga­nem, do którego wierni mogą kierować skargi na nie­zgodne z pra­wem przetwarzanie danych osobowych przez admi­ni­stratorów.

Dokonując oceny Dekretu stwierdzić należy, że sama intencja, jaka przyświecała jego twórcom zasługuje na uznanie. Stanowi on próbę po­godzenia działalności Kościoła i harmonizacji prawa kanonicznego z prawodawstwem krajowym oraz unijnym w zakresie ochrony da­nych osobowych[17]. Niepokój może budzić jednak zakres podmiotowy, który rozciągnięty został na wszystkie kościelne osoby prawne, co w przy­szło­ści może rodzić pewne komplikacje i niezrozumienie ze stro­ny wiernych i przeciwników Kościoła, którzy w imię ochrony da­nych osobowych bę­dą mogli dokonywać nadużyć. Taki szeroki zakres może również być błędnie interpretowany przez sądownictwo ad­mi­nistracyjne, które w wy­niku niewłaściwego zrozumienia art. 91 RODO oraz przepi­sów Dekretu może prowadzić do wydawania orzeczeń nie­korzystnych dla Kościoła.

Niepokojąca jest także postawa przedstawicieli hierarchii kościel­nej, którzy w sposób zdecydowany powinni zaznaczyć, że działalność statu­towa Kościoła jest wyłączona spod przepisów rozporządzenia i organy UE nie mają kompetencji do kreowania prawa wyznaniowego oraz zbyt niefrasobliwa, zdaniem Autora, próba dostosowania RODO do wszyst­kich publicznych kościelnych osób prawnych bez określenia ich celu działalności[18].

Siłą Kościoła jest jego przywiązanie do Tradycji i o ile warto spo­glądać przyjaznym okiem na nowe rozwiązania pomagające w reali­za­cji misji Kościoła – głoszenia Królestwa Bożego, to organy władzy ko­ściel­nej nie powinny dokonywać tego kosztem konstytucyjnej i kon­kor­da­to­wej gwarancji autonomii i niezależności w swoim zakresie.


BIBLIOGRAFIA

Źródła prawa

Codex Iuris Canonici auctoritate Ioannis Pauli PP. II promulgatus (25.01.1983), AAS 75 (1983), pars II, s. 1-317; tekst polski w: Kodeks Prawa Kanonicznego, przekład polski zatwierdzony przez Konferencję Episkopatu, Pallottinum, Poznań 1984.

Karta Praw Podstawowych Unii Europejskiej, Dz. U. UE 2012/C 326/02.

Konferencja Episkopatu Polski, Dekret ogólny w sprawie ochrony osób fi­zycznych w związku z przetwarzaniem danych osobowych w Kościele katolickim, w: http:// episkopat.pl/wpcontent/uploads/2018/04/13.3.2018.PL_.Dekret-ogolny-o-ochronie-danych-osobowych.pdf [dostęp: 2.06.2018].

Konferencja Episkopatu Polski, Przepisy wydane przez księży biskupów Polski o pro­wadzeniu ksiąg parafialnych: ochrzczonych, bierzmo­wa­nych, małżeństw i zmarłych, oraz księgi stanu dusz, w: Franciszek Bącz­kowicz, Józef Baron, Władysław Sta­winoga, Prawo Kanoniczne. Pod­ręcznik dla duchowieństwa, t. II, Wydawnictwo Die­cezjalne św. Krzyża w Opolu, Kraków 1958, s. 597-615.

Konkordat między Stolicą Apostolską i Rzecząpospolitą Polską, podpisany w Warszawie dnia 28 lipca 1993 r., Dz. U. z 1998 r. Nr 51, poz. 318.

Konstytucja Rzeczypospolitej Polskiej z dnia 2 kwietnia 1997 r., Dz. U. Nr 78, poz. 483 z późn. zm.

Parlament Europejski i Rada, Rozporządzenie w sprawie ochrony osób fi­zycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu ta­kich danych oraz uchylenia dyrektywy 95/46/WE, Dz. U. UE 119 z dnia 4 maja 2016 r., s. 1-88.

Ustawa z dnia 17 maja 1989 r. o stosunku Państwa do Kościoła Katolic­kie­go w Rzeczypo­spolitej Polskiej, Dz. U. Nr 29, poz. 154 z późn. zm.

Wersja skonsolidowana Traktatu o funkcjonowaniu Unii Europejskiej, Dz. U. UE z dnia 30 marca 2010 r., C 83/01.

Wersja skonsolidowana Traktatu o Unii Europejskiej, Dz. U. UE z dnia 30 marca 2010 r., C 83/01.

 

Literatura

Episkopat ogłosił dekret ws. kościelnej ochrony danych osobowych, w: https:// www.deon.pl/religia/kosciol-i-swiat/z-zycia-kosciola/art,34176,episkopatoglosil-dekret-ws-koscielnej-ochrony-danych-osobowych.html [dostęp: 3.06.2018].

Krukowski Józef, Kościelne prawo publiczne. Prawo konkordatowe, Towa­rzystwo Na­ukowe KUL, Lublin 2013.

Krukowski Józef, Kościół i państwo w prawie Unii Europejskiej, w: Ka­to­lickie zasady relacji państwo-Kościół a prawo polskie, red. J. Kru­kow­ski, M. Sitarz, H. Stawniak, Towarzystwo Naukowe KUL, Lublin 2015, s. 331-342.

Mezglewski Arutr, Misztal Hneryk, Stanisz Piotr, Prawo wyznaniowe, wyd. 3, C.H. Beck, Warszawa 2011.

Pietrzak Michał, Prawo wyznaniowe, wyd. 4, LexisNexis, Warszawa 2010.

Podręcznik ochrony danych osobowych w Kościele katolickim. Komen­ta­rze, odpowie­dzi, wzory dla administratorów danych osobowych pub­licznych kościelnych osób prawnych (głównie parafii) opracowane przez Kościelnego Inspektora Ochrony Da­nych, b.m.w. 2018.

Stanisz Piotr, Konstytucyjne zasady określające relacje państwa z Ko­ścio­łami i innymi związkami wyznaniowymi: autonomia i niezależność oraz współdziałanie, w: Kato­lickie zasady relacji państwo-Kościół a prawo polskie, red. J. Krukowski, M. Sitarz, H. Stawniak, Towa­rzyst­wo Naukowe KUL, Lublin 2015, s. 159-185.

 

RODO a Kościół Katolicki w Polsce. Określenie zakresu działalności Unii Europejskiej

Streszczenie

W artykule poruszono problematykę dotyczącą ochrony osób fizycznych w Kościele Katolickim w Polsce w związku z wejściem w życie przepisów rozporządzenia Parla­men­tu Europejskiego i Rady w sprawie ochrony danych osobowych. Na tej kanwie Autor zaj­muje się zagadnieniem związanym z określeniem relacji pomiędzy Kościołami i in­ny­mi związkami wyznaniowymi a Unią Europejską, szukając odpowiedzi na pytanie czy in­stytucje unijne posiadają kompetencje do wydawania norm prawnych w zakresie prawa wyznaniowego, a co za tym idzie do określania statusu tych organizacji.

 

Słowa kluczowe: dane osobowe, RODO, relacje państwo-Kościół, instytucje Unii Euro­pejskiej

 

RODO and Catholic Church in Poland. Determination of the Scope of the European Union’s Activities

Summary

The article discusses the issue of protection of natural persons in the Catholic Church in Poland in connection with the entry into force of the provisions of Regulation of the European Parliament and of the Council on the protection of natural persons with regard to the processing of personal data and on the free movement of such data. On this canvas, the Author deals with the issue related to the determination of relations between Churches and other religious associations and the European Union, seeking an answer to the question whether EU institutions have the competence to issue legal norms in the field of religious law, and thus to determine the status of these organizations.

 

Key words: personal data, RODO, state-Church relations, institutions of the European Union

 

Information about Author: Paweł Zając, Ph.D. – adjunct in the De­partment of Theory and Philosophy of Law, Faculty of National Se­curity at the War Studies University, ul. gen. Antoniego Chruściela „Mon­tera” 103, 00-910 Warsaw, Poland; e-mail: This email address is being protected from spambots. You need JavaScript enabled to view it.



 Dr Paweł Zając – adiunkt w Katedrze Teorii i Filozofii Prawa, Wydział Bezpieczeństwa Na­ro­do­wego Akademii Sztuki Wojennej, ul. gen. Antoniego Chruściela „Montera” 103, 00-910 War­szawa; e-mail: This email address is being protected from spambots. You need JavaScript enabled to view it.

[1] Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w spra­wie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE, Dz. U. UE 119 z dnia 4 maja 2016 r., s. 1-88 [dalej cyt.: RODO].

[2] Konferencja Episkopatu Polski, Dekret ogólny w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych w Kościele katolickim [dalej cyt.: Dekret], w: http:// episkopat.pl/wp-content/uploads/2018/04/13.3.2018.PL_.Dekret-ogolny-o-ochronie-danych-osobowych.pdf [dostęp: 2.06.2018].

[3] Wersja skonsolidowana Traktatu o Unii Europejskiej, Dz. U. UE z dnia 30 marca 2010 r., C 83/01 [dalej cyt.: TUE].

[4] Wersja skonsolidowana Traktatu o funkcjonowaniu Unii Europejskiej, Dz. U. UE z dnia 30 mar­ca 2010 r., C 83/01 [dalej cyt.: TfUE].

[5] A. Mezglewski, H. Misztal, P. Stanisz, Prawo wyznaniowe, wyd. 3, C.H. Beck, Warszawa 2011, s. 42. Podobnie było w Traktacie z Maastricht, jak i Traktacie Amsterdamskim, które nie na­dawały kompetencji ustawodawczych Unii w zakresie spraw wyznaniowych. M. Pietrzak, Prawo wyznaniowe, wyd. 4, LexisNexis, Warszawa 2010, s. 301-302.

[6] Dz. U. UE 2012/C 326/02.

[7] J. Krukowski, Kościelne prawo publiczne. Prawo konkordatowe, Towarzystwo Naukowe KUL, Lublin 2013, s. 123.

[8] „The autonomous existence of religious communities is indispensable for pluralism in a de­mo­cratic society and is thus an issue at the very heart of the protection which Article 9 of the Convention affords. Were the organisational life of the community not protected by Article 9 of the Con­vention, all other aspects of the individual’s freedom of religion would become vulnerable”. Case of Holy Synod of the Bulgarian Orthodox Church (Metropolitan Inokentiy) and Others v. Bulgaria (Applications nos. 412/03 and 35677/04), w: http://freecases.eu/ Doc/CourtAct/ 4542665 [dostęp: 2.06.2018]; „In addition, one of the means of exercising the right to manifest one’s religion, especially for a religious community, in its collective dimension, is the possi­bi­li­ty of ensuring judicial protection of the community, its members and its assets, so that Article 9 must be seen not only in the light of Article 11, but also in the light of Article 6”. Case of Met­ropolitan Church of Bessarabia and Others v. Moldova (Application no. 45701/99), w: https:// hudoc.echr.coe.int/eng#{%22appno%22:[%2245701/99%22], %22itemid%22:[%22001-59985%22]} [dostęp: 2.06.2018].

[9] J. Krukowski, Kościół i państwo w prawie Unii Europejskiej, w: Katolickie zasady relacji pań­stwo-Kościół a prawo polskie, red. J. Krukowski, M. Sitarz, H. Stawniak, Towarzystwo Nauko­we KUL, Lublin 2015, s. 335. Mezglewski, Misztal, Stanisz, Prawo wyznaniowe, s. 42.

[10] Dz. U. Nr 78, poz. 483 z późn. zm.

[11] Dz. U. z 1998 r. Nr 51, poz. 318.

[12] Dz. U. Nr 29, poz. 154 z późn. zm.

[13] P. Stanisz, Konstytucyjne zasady określające relacje państwa z Kościołami i innymi związkami wyznaniowymi: autonomia i niezależność oraz współdziałanie, w: Katolickie zasady relacji państwo-Kościół a prawo polskie, s. 166.

[14] Por. Mezglewski, Misztal, Stanisz, Prawo wyznaniowe, s. 43.

[15] Codex Iuris Canonici auctoritate Ioannis Pauli PP. II promulgatus (25.01.1983), AAS 75 (1983), pars II, s. 1-317; tekst polski w: Kodeks Prawa Kanonicznego, przekład polski zatwierdzony przez Konferencję Episkopatu, Pallottinum, Poznań 1984.

[16] Konferencja Episkopatu Polski, Przepisy wydane przez księży biskupów Polski o prowadzeniu ksiąg parafialnych: ochrzczonych, bierzmowanych, małżeństw i zmarłych, oraz księgi stanu dusz, w: F. Bączkowicz, J. Baron, W. Stawinoga, Prawo Kanoniczne. Podręcznik dla du­cho­wieństwa, t. II, Wydawnictwo Diecezjalne św. Krzyża w Opolu, Kraków 1958, s. 597-615.

[17] Na taki cel zwrócił uwagę Dariusz Walencik, stwierdzając: „Dekret nie zmienia niczego w do­tych­czasowych regulacjach, w tym sensie, że uzupełnia bądź uszczegóławia te regulacje prawa powszechnego kanonicznego lub prawa partykularnego kanonicznego. Jego celem jest dosto­so­wanie tych przepisów wewnętrznych obowiązujących w Kościele katolickim w Polsce do wy­mogów unijnego rozporządzenia”. Cyt. za: Episkopat ogłosił dekret ws. kościelnej ochrony da­nych osobowych, w: https://www.deon.pl/religia/kosciol-i-swiat/z-zycia-kosciola/art,34176, episkopat-oglosil-dekret-ws-koscielnej-ochrony-danych-osobowych.html [dostęp: 3.06.2018].

[18] W podręczniku wydanym przez Kościelnego Inspektora Ochrony Danych stwierdzono: „W dzia­ła­niach statutowych Kościół katolicki jest wyłączony spod regulacji RODO na pod­stawie art. 91 RODO. Artykuł ten stanowi, że jeżeli w dniu wejścia w życie RODO Kościoły i inne związki wyznaniowe stosują szczegółowe zasady ochrony osób fizycznych w związku z przetwa­rza­niem, zasady takie mogą być nadal stosowane, pod warunkiem, że zostaną do­stosowane do wskazanego rozporządzenia”. Fragment ten obarczony jest błędem lo­gicz­nym bowiem art. 91 nie wyłącza spod przepisów RODO, lecz nakazuje dostosowanie się do niego, oczywiście przy zachowaniu pewnych odrębności. Należało tutaj odwołać się do art. 2 ust. 1 RODO, który wprost stanowi, że w zakresie nieobjętym działaniem Unii, roz­po­rzą­dzenie nie obowiązuje. Podręcznik ochrony danych osobowych w Kościele katolickim. Ko­men­tarze, odpowiedzi, wzory dla administratorów danych osobowych publicznych kościelnych osób prawnych (głównie pa­rafii) opracowane przez Kościelnego Inspektora Ochrony Danych, b.m.w., 2018, s. 10. Co cie­kawe, z powyższego fragmentu wynika, że „dostosowanie” nie jest tożsame w żadnych wy­pad­ku z „zastosowaniem się” do przepisów rozporządzenia. Prze­glą­dając jednak Dekret da się zau­ważyć, że jego Autorzy wprost przepisali większość prze­pi­sów znajdujących się w RODO.