"Dekret Ogólny KEP ws. ochrony osób fizycznych w związku z przetwarzaniem danych osobowych w Kościele katolickim" episkopat zatwierdził podczas zakończonego w środę 378. Zebrania Plenarnego KEP. Regulację zaprezentowano w czwartek, podczas sympozjum w Chrześcijańskiej Akademii Teologicznej w Warszawie pt. "Prawo do prywatności w Kościołach i innych związkach wyznaniowych: od tajemnicy duszpasterskiej do ochrony danych osobowych".
Dekret KEP czeka na razie na zatwierdzenie przez Stolicę Apostolską - dopiero wtedy stanie się w Kościele katolickim w Polsce obowiązującym prawem. Jak powiedział członek Zespołu KEP ds. przygotowania regulacji wewnątrzkościelnych dot. ochrony danych osobowych ks. Dariusz Walencik, dekret jest odpowiedzią na wchodzące w życie 25 maja rozporządzenie Unii Europejskiej o ochronie danych osobowych (RODO). Zgodnie z art. 91. rozporządzenia, w momencie jego wejścia w życie w państwach członkowskich Kościoły i związki wyznaniowe powinny powołać specjalną instytucję zajmującą się ochroną danych osobowych wiernych. Jeśli tego nie zrobią, będą podlegać państwowemu organowi, nadzorującemu zasady ochrony danych osobowych - w Polsce jest to Generalny Inspektor Ochrony Danych Osobowych (GIODO). "Dekret jest wzorowany na przepisach unijnego rozporządzenia o ochronie danych osobowych i dostosowuje prawo kanoniczne, stosowane do tej pory przez Kościół katolicki w Polsce, do wymogów unijnych" - wyjaśnił ks. Walencik. Regulacja KEP wprowadza wiele nowości, m.in. obowiązek prowadzenia rejestru czynności przetwarzania danych, wykonania audytu bezpieczeństwa, analizy ryzyka związanego z przetwarzaniem poszczególnych kategorii danych osobowych i określa odpowiedzialność administratorów danych osobowych - w przypadku Kościoła katolickiego są nimi księża proboszczowie - oraz wprowadza prawo do wniesienia sprostowania swoich danych czy "bycia zapomnianym". Najważniejszą zmianą jest - zdaniem ks. Walencika - ustanowienie nowego, kościelnego organu, który ma czuwać nad przestrzeganiem przepisów dotyczących ochrony danych osobowych. "Administratorzy kościelni mają obowiązek powołania inspektora, który w diecezji lub prowincji zakonnej będzie odpowiedzialny za organizację całego procesu przetwarzania tych danych. Organem nadzorczym i kontrolnym nad inspektorami będzie Kościelny Inspektor Danych Osobowych, którego zadania i kompetencje możemy porównać do tych przysługujących Generalnemu Inspektorowi Danych Osobowych" - poinformował ks. Walencik. Dodał, że z perspektywy Kościoła katolickiego największą zmianą, którą wprowadza RODO, jest konieczność wykonywania przez proboszczów tzw. analizy bezpieczeństwa danych. "Do tej pory polska ustawa jasno określała warunki, kiedy można przetwarzać dane osobowe i co należy zrobić, by je właściwie chronić. Teraz zmienia się filozofia modelu ochrony danych osobowych. To administrator musi najpierw ocenić, jakie występują zagrożenia, jak może dojść np. do ich wyłudzenia i jakie musi przedsięwziąć środki bezpieczeństwa" - zaznaczył. Wyjaśnił, że 22 marca na UKSW odbędzie się pierwsze szkolenie liderów, którzy w poszczególnych diecezjach i prowincjach zakonnych będą wprowadzać w życie nowe przepisy z zakresu ochrony danych osobowych. Przypomniał, że UKSW uruchomiło też studia podyplomowe z ochrony danych osobowych w Kościele. Zdaniem ks. Walencika, szczególną kwestią jest sytuacja apostatów. "W przypadku złożenia deklaracji wystąpienia z Kościoła podmioty kościelne - parafie czy wspólnoty zakonne - nie będą mogły dalej przetwarzać danych takiej osoby, ale nie mogą też ich usunąć ze zbiorów, ponieważ te dane określają status kanoniczny tej osoby. Jest to istotne chociażby w przypadku osoby pozostającej w związku małżeńskim - jeśli jeden z małżonków wystąpi z Kościoła, nie można wymazać jego danych z aktu małżeństwa. Te dane zostaną w zbiorach, ale będą zastrzeżone, co oznacza, że nie będzie ich można udostępniać" - wyjaśnił ks. Walencik. Koordynator reformy ochrony danych osobowych w Kościele ewangelicko-augsburskim Michał Kucał wyjaśnił, że podobne instytucje powołają wszystkie Kościoły i związki wyznaniowe zrzeszone w Polskiej Radzie Ekumenicznej, a także niektóre związki niezrzeszone. "Obecnie w każdym znanym mi Kościele trwają prace nad powołaniem takiego organu, który będzie posiadał te same uprawnienia, kompetencje i zadania, co GIODO. Zapewne w część związków wyznaniowych, szczególnie te najmniejsze, postanowi poddać się kontroli GIODO, gdyż powołanie takiego organu może być dla nich zbyt dużym wyzwaniem organizacyjnym" - wyjaśnił Kucała. Zaznaczył, że choć większość Kościołów powoła własne instytucje, część może wejść we współpracę i powołać wspólne organy. "Osoba, która uzna, że jej prywatność została naruszona, będzie mogła złożyć skargę do organu nadzorczego w danym Kościele. On będzie miał prawo sprawdzenia, jak dane tej osoby były przechowywane oraz czy związek wyznaniowy miał odpowiednie zgody i umocowania do ich przetwarzania" - poinformował Kucał. Kucał poinformował, że rzeczone organy zostaną powołane do 25 maja 2018 r. (PAP)