Dane osobowe w Kościele katolickim

OCHRONA DANYCH OSOBOWYCH 
W DZIAŁALNOŚCI KOŚCIOŁA KATOLICKIEGO
W POLSCE

INSTRUKCJA OPRACOWANA PRZEZ 
GENERALNEGO INSPEKTORA OCHRONY DANYCH OSOBOWYCH 
ORAZ SEKRETARIAT KONFERENCJI EPISKOPATU POLSKI

Instrukcja dotycząca ochrony danych osobowych działalności Kościoła Katolickiego w Polsce

Instrukcja została opracowana przez Generalnego Inspektora Ochrony Danych Osobowych oraz Sekretariat Konferencji Episkopatu Polski – w związku z wątpliwościami dotyczącymi stosowania ustawy o ochronie danych osobowych w odniesieniu do danych osobowych przetwarzanych na potrzeby Kościoła Katolickiego w Polsce.

I. Informacje ogólne

1. Podstawa prawna

Prawo do ochrony danych osobowych jest prawem wynikającym z Konstytucji Rzeczypospolitej Polskiej (art. 47 i art. 51), a jego szczegółowe określenie znalazło się w Ustawie z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (Dz. U. z 2004 r. 
Nr 101, poz. 926 ze zm.). 

2. Dane osobowe

W rozumieniu ustawy o ochronie danych osobowych, za dane osobowe uważa się każdą informację dotyczącą osoby fizycznej, pozwalającą na określenie tożsamości tej osoby. Ustawa przewiduje dwie kategorie danych osobowych, są to:
a) dane zwykłe (np. imię, nazwisko, adres zamieszkania, wykonywany zawód, numer telefonu, itp.),
b) dane szczególnie chronione – sensytywne, wymienione enumeratywnie w art. 27 ust. 1 ustawy:
– dane ujawniające pochodzenie rasowe lub etniczne, 
– poglądy polityczne, 
– przekonania religijne lub filozoficzne, 
– przynależność wyznaniową, partyjną lub związkową, 
– dane o stanie zdrowia, 
– kodzie genetycznym, 
– nałogach,
– życiu seksualnym,
– dane dotyczące skazań,
– orzeczenia o ukaraniu i dane dotyczące mandatów karnych,
– inne orzeczenia wydane w postępowaniu sądowym lub administracyjnym.

3. Zbiory danych

Zbiorem danych, w rozumieniu ustawy o ochronie danych osobowych, jest każdy posiadający strukturę zestaw danych o charakterze osobowym, dostępnych według określonych kryteriów, niezależnie od tego, czy zestaw ten jest rozproszony lub podzielony funkcjonalnie. Zbiory danych mogą być tworzone w systemie tradycyjnym (papierowym), albo w systemie informatycznym (np.: w postaci kartotek parafialnych, programów kadrowo-płacowych). 

4. Przetwarzanie danych

Ustawa określa zasady postępowania przy przetwarzaniu danych osobowych oraz prawa osób fizycznych, których dane osobowe są lub mogą być przetwarzane 
w zbiorach danych. 
Przetwarzaniem danych są jakiekolwiek czynności na danych osobowych, takie jak 
m.in.: 
– zbieranie, 
– utrwalanie, 
– opracowywanie, 
– zmienianie, 
– udostępnianie, 
– usuwanie,
– przechowywanie (archiwizowanie), 
– operacje wykonywane w systemach informatycznych (przesłanie e-maila, sms itp.). 
Przetwarzanie danych zwykłych odbywa się na podstawie art. 23 ust. 1 ustawy. Podstawą przetwarzania danych zwykłych może być przepis prawa albo zgoda osoby, której dane dotyczą.
Przetwarzanie danych szczególnie chronionych, co do zasady jest zabronione, za wyjątkiem sytuacji określonych w art. 27 ust. 2 ustawy, np. gdy jest to niezbędne do wykonania statutowych zadań Kościoła Katolickiego, pod warunkiem, że przetwarzanie danych dotyczy wyłącznie członków tych instytucji albo osób utrzymujących z nimi stałe kontakty w związku z ich działalnością i zapewnione są pełne gwarancje ochrony przetwarzanych danych (art. 27 ust. 2 pkt 4). Przetwarzanie danych szczególnie chronionych osób nienależących do Kościoła jest dopuszczalne za pisemną zgodą tych osób (art. 27 ust. 2 pkt 1). 

5. Obowiązek rejestracji zbiorów danych

Zbiory danych osobowych przetwarzane przez Kościół Katolicki, o ile dotyczą członków Kościoła i są wykorzystywane wyłącznie na potrzeby Kościoła, np.: kartoteka parafialna – nie podlegają obowiązkowi zgłoszenia zbioru danych do rejestracji Generalnemu Inspektorowi Ochrony Danych Osobowych (art. 43 ust. 1 pkt 3 ustawy o ochronie danych osobowych). 
Tym samym w odniesieniu do tych zbiorów Generalnemu Inspektorowi Ochrony Danych Osobowych nie przysługują uprawnienia dotyczące możliwości kontroli zgodności przetwarzania danych z ustawą z dnia o ochronie danych osobowych. 
O ile jednak przetwarzane są dane osobowe innych osób, niż określone w art. 43 ust. 1 pkt 3 ustawy, zbiory powinny być zgłoszone do rejestracji. 

6. Kościelne osoby prawne

Kościelne osoby prawne, o których mowa w Ustawie z 17 maja 1989 r. o stosunku Państwa do Kościoła Katolickiego w Rzeczypospolitej Polskiej (np. diecezje, parafie, zgromadzenia zakonne, Caritas Polska, Caritas diecezji, kościelne instytuty naukowe, czy Papieskie Wydziały Teologiczne), jak również działające w ich ramach kościelne wydawnictwa, zakłady wytwórcze, usługowe i handlowe, zakłady charytatywno-opiekuńcze, szkoły i inne placówki oświatowo-wychowawcze, nieposiadające osobowości prawnej są zobligowane do dołożenia szczególnej staranności w procesie przetwarzania danych osobowych pozyskiwanych w ramach swojej działalności.

Do takich jednostek organizacyjnych Kościoła ustawa znajduje zastosowanie w pełni w przypadku przetwarzania danych osób nienależących do Kościoła i nieutrzymujących z nim stałych kontaktów (tzn. muszą być wykonane przez administratora danych wszelkie obowiązki wynikające z przepisów o ochronie danych osobowych).