Dane osobowe w Kościele katolickim

II. Zabezpieczenie danych osobowych

1. Zasada ogólna

Liczne ograniczenia możliwości ingerencji Generalnego Inspektora Ochrony Danych Osobowych w sferę danych zbieranych w ramach Kościoła Katolickiego nie oznacza zwolnienia ze staranności w zabezpieczaniu zbieranych danych przed dostępem do nich osób nieuprawnionych, swobody w rozpowszechnianiu, bądź przekazywaniu zebranych danych innym instytucjom lub osobom. Jakkolwiek bowiem Kościół ma prawo przetwarzać dane osobowe dla realizacji swojej działalności statutowej, to przetwarzanie tych danych powinno się odbywać z poszanowaniem godności jednostki. 
Ustawa zawiera przepisy karne przewidujące za zaniedbania w zakresie materii regulowanej ustawą karę grzywny, karę ograniczenia wolności oraz karę pozbawienia wolności w zależności od wagi przestępstwa.

2. Obowiązki administratora danych wynikające z ustawy o ochronie danych osobowych

Administratorem danych jest podmiot decydujący o celach i środkach przetwarzania danych osobowych (art. 7 pkt 4 ustawy o ochronie danych osobowych), a więc Kościół Katolicki, reprezentowany przez właściwe organy, np.: biskupów czy proboszczów oraz instytucje współpracujące z Kościołem (np.: fundacje, stowarzyszenia, wydawnictwa, itd.).

Administrator danych ma obowiązek zabezpieczyć je poprzez zastosowanie odpowiednich środków technicznych i organizacyjnych zapewniających ochronę przetwarzanych danych osobowych, tak aby:
1) nie były udostępniane osobom nieupoważnionym,
2) nie były zabrane przez osobę nieuprawnioną,
3) były zabezpieczone przed uszkodzeniem, zniszczeniem lub utratą.

3. Zabezpieczanie danych przetwarzanych w sposób tradycyjny i w systemach informatycznych

Zastosowanie środków technicznych i organizacyjnych odnosi się zarówno do danych przetwarzanych w sposób tradycyjny (manualny, papierowy), jak i do przetwarzania danych w systemach informatycznych (w postaci elektronicznej, przy użyciu np.: komputera, laptopa).
W związku z powyższym istotne jest:
1) zabezpieczenie obszaru (budynek, pomieszczenia lub części pomieszczeń), w którym przetwarzane są dane osobowe w formie papierowej lub 
w systemie informatycznym poprzez:
a) zastosowanie odpowiednich zamków, drzwi, systemów alarmowych, itp;
b) zapewnienie kluczy do pomieszczeń, szaf, biurek, itp. oraz kontroli ich używania;
c) zabezpieczenie przed dostępem osób trzecich na czas nieobecności 
w pomieszczeniach osób upoważnionych;

2) zabezpieczenie dokumentów zawierających dane osobowe poprzez:
a) zapewnienie dostępu do dokumentów wyłącznie osobom upoważnionym, zobligowanym do zachowania w tajemnicy pozyskanych informacji;
b) niszczenie dokumentów zbędnych w sposób uniemożliwiający odtworzenie danych znajdujących się w tych dokumentach;
c) przechowywanie dokumentów w zamkniętych na klucz szafach po zakończeniu pracy;

3) zabezpieczenie systemów informatycznych służących do przetwarzania danych osobowych poprzez:
a) zapewnienie dostępu do komputerów wyłącznie osobom upoważnionym (np. ustawienie monitorów komputerowych w sposób uniemożliwiający osobom postronnym zapoznanie się z danymi, zachowanie w tajemnicy haseł dostępu do komputerów, zastosowanie wygaszacza ekranu w momencie niekorzystania z komputera);
b) przechowywanie elektronicznych nośników informacji zawierających dane osobowe (dyskietki, płyty CD, taśmy magnetyczne) w sposób zabezpieczający przed nieuprawnionym przejęciem, odczytem, skopiowaniem lub zniszczeniem;
c) w sytuacji, gdy dane osobowe przetwarzane są na komputerze przenośnym (laptopie), niezbędne jest zachowanie szczególnej ostrożności podczas jego transportu, przechowywania i użytkowania 
w terenie oraz zastosowanie programu szyfrującego;
d) systemy informatyczne, przy użyciu których przetwarzane są dane osobowe, zabezpiecza się przed utratą zasilania poprzez zastosowanie urządzeń UPS;
e) systemy informatyczne, przy użyciu których przetwarzane są dane osobowe, zabezpiecza się przed utratą danych poprzez wykonywanie okresowych kopii bezpieczeństwa;
f) systemy informatyczne, przy użyciu których przetwarzane są dane osobowe, zabezpiecza się przed zagrożeniami pochodzącymi z sieci publicznej Internet za pomocą specjalistycznych mechanizmów teleinformatycznych, takich jak: 
– zapora ogniowa (tzw. „firewall "), 
– system wykrywania włamań,
– oprogramowanie antywirusowe.
Zagrożenia powyższe można wyeliminować poprzez korzystanie z komputera niemającego połączenia z Internetem.

Należy pamiętać, iż rodzaj zabezpieczeń powinien być dostosowany do rodzaju zagrożeń i kategorii przetwarzanych danych. Zachowanie należytej staranności w procesie zabezpieczenia danych może przejawiać się przykładowo w wyeliminowaniu przypadków umieszczania dokumentów w miejscach ogólnie dostępnych lub w otwartych szafach.

4. Informacje dotyczące bezpiecznego korzystania z Internetu

Dla zachowania bezpieczeństwa, przy użytkowaniu np. Internetu należy przestrzegać kilku podstawowych zasad, a w szczególności:
1) nie należy otwierać załączników (plików) do korespondencji elektronicznej nadesłanej przez nieznanego nadawcę;
2) nie zgrywać na dysk twardy komputera ani nie uruchamiać żadnych programów nielegalnych ani żadnych plików pobranych z niewiadomego źródła;
3) nie wchodzić na strony, na których prezentowane są informacje o charakterze przestępczym, hakerskim, ani innym zakazanym przez prawo (na większości stron tego typu jest zainstalowane szkodliwe oprogramowanie, infekujące 
w sposób automatyczny system operacyjny komputera szkodliwym oprogramowaniem);
4) nie należy w opcjach przeglądarki internetowej włączać opcji autouzupełniania formularzy i zapamiętywania haseł;
5) należy na bieżąco aktualizować system operacyjny komputera, system antywirusowy, jak również system firewall.
Należy pamiętać, że nikt nie jest w sieci anonimowy, a korzystanie z każdej strony www jest utrwalane i może być wykorzystywane przez różne podmioty dla celów często niezgodnych z prawem.