Biuletyn Informacji Publicznej RPO

• Ludzie skarżą się Rzecznikowi na przetwarzanie ich danych osobowych przez kościoły i związki wyznaniowe 
• W sprawach wewnętrznych kościołów RPO co do zasady nie podejmuje działań
• Inaczej jest przy danych osobowych. Możliwość podjęcia działań zależy od tego, czy już w chwili wejścia w życie RODO 24 maja 2016 r. kościoły miały własne zasady ich ochrony, które następnie – do 25 maja 2018 r. - zostały dostosowane do RODO  
• Jeśli ich nie miały, to w tych sprawach podlegają one nadzorowi Prezesa Urzędu Ochrony Danych Osobowych. Jeśli je miały, skargi rozpatrują własne organy nadzorcze tych kościołów

Wyraźne i bezdyskusyjne ustalenie, które kościoły i związki wyznaniowe podlegają nadzorowi Prezesa UODO, a które posiadają własny organ nadzorczy, jest niezbędne nie tylko z punktu widzenia przekazania właściwych informacji skarżącym. Może również ułatwić podejmowanie bardziej efektywnych działań Rzecznika Praw Obywatelskich.

Jak napisał Adam Bodnar do ministra cyfryzacji Marka Zagórskiego, dla rozwiania wątpliwości konieczne jest zatem ustalenie i publiczne poinformowanie, które kościoły i związki wyznaniowe posiadały 24 maja 2016 r. odpowiednie regulacje, które następnie zostały dostosowane do RODO (wraz z informacją, w jaki sposób) oraz wskazanie właściwych organów nadzorczych. 

- Taka informacja pomogłaby bez wątpienia obywatelom w wyjaśnieniu prawidłowego stanu prawnego i kierowania swoich wniosków do właściwych podmiotów – uznał Rzecznik.

Wystąpienie ma związek z inauguracyjnym posiedzeniem Rady ds. współpracy z kościołami i związkami wyznaniowymi w sprawach przetwarzania przez nie danych z 27 lutego 2019 r. Minister Cyfryzacji zwrócił się do członków Rady o przedstawienie problemów, jakie pojawiają się w kontekście ich działania. Rzecznik Praw Obywatelskich uczestniczy w pracach Rady w charakterze obserwatora, bez udziału w głosowaniu i podejmowaniu decyzji.

Adam Bodnar przypomniał, że zgodnie z art. 208 Konstytucji oraz ustawą o RPO bada przede wszystkim, czy nie doszło do naruszenia prawa wskutek działania lub zaniechania organów, organizacji i instytucji, obowiązanych do przestrzegania i realizacji wolności i praw człowieka i obywatela. RPO co do zasady nie podejmuje zatem działań w sprawach należących do wewnętrznych spraw kościołów lub związków wyznaniowych. A wiele skarg dotyczy takich właśnie problemów - wtedy podjęcie działań RPO może nie być możliwe.

W ostatnich latach podstawowy problem, jaki pojawiał się w skargach do RPO w sprawach kościołów, dotyczył przetwarzania danych osobowych osób, które chcą wystąpić lub już wystąpiły z kościoła lub związku wyznaniowego. Większość tych skarg dotyczy Kościoła katolickiego. Skarżący wskazują, że - w ich ocenie - niedopuszczalne jest odmawianie aktualizacji w księgach parafialnych w związku z czynnościami, którą uznają za wystąpienie z kościoła. W świetle orzecznictwa sądów administracyjnych, ocena, czy dana osoba jest członkiem kościoła lub związku wyznaniowego jest sprawą wewnętrzną tego kościoła lub związku; w tym zakresie RPO podejmować działań nie może.

W 2018 r. Naczelny Sąd Administracyjny odmówił wydania uchwały z wniosku RPO w kwestii kompetencji Generalnego Inspektora Ochrony Danych Osobowych dotyczących danych osobowych przetwarzanych przez kościoły i związki wyznaniowe. GIODO nie ma zatem prawa badania przepisów wewnętrznych Kościoła katolickiego, a jedynym dokumentem potwierdzającym wystąpienie z Kościoła może być odpis aktu chrztu z adnotacją o wystąpieniu - wynika z tej decyzji NSA.

Do Rzecznika wpływają też skargi dotyczące innych aspektów przetwarzania danych osobowych, również leżących w zakresie wewnętrznych kwestii kościołów. Przykładem może być sprawa ochrony danych osobowych dzieci adoptowanych - członków Kościoła katolickiego – w parafialnych księgach ochrzczonych. Z wniosku skarżących wynikało, że brakowało jednolitych reguł wewnętrznych Kościoła dotyczących przetwarzania takich danych, jak również zasad udostępniania biologicznym krewnym ochrzczonego dziecka oraz jego rodzicom chrzestnym danych adoptowanego dziecka oraz jego rodziców adopcyjnych.

Taka sytuacja mogła prowadzić do naruszenia prawa do prywatności oraz ochrony życia rodzinnego osób adoptowanych i rodziców adopcyjnych. Rzecznik nie miał jednak możliwości oceny działań Kościoła katolickiego. W związku z tym wnioskiem mógł jednak zwrócić się do organu ochrony danych osobowych, jakim był wówczas Generalny Inspektor Ochrony Danych Osobowych. Z odpowiedzi GIODO wynikało, że sprawa została rozwiązana, a odpowiedni akt wewnętrzny Kościoła został uchwalony.

Pokazuje to, jak istotne jest ustalenie właściwego organu nadzorczego dla zapewnienia praw obywatelskich i możliwości podejmowania efektywnych działań przez organy państwa. Kościół katolicki taki organ posiada – jest nim Kościelny Inspektor Ochrony Danych Osobowych. Nie ma jednak wiedzy na temat innych kościołów i związków wyznaniowych.

W tym kontekście pojawił się nowy problem, na który zwracają uwagę obywatele w związku z reformą systemu ochrony danych osobowych w Unii Europejskiej. Dla obywateli, którzy występują do Rzecznika, niezrozumiała jest treść art. 91 RODO, a raczej sposób jego stosowania. Zezwala on, by kościoły i związki wyznaniowe mogły kierować się własnymi szczegółowymi zasadami ochrony osób fizycznych, jeżeli „w państwie członkowskim w momencie wejścia niniejszego rozporządzenia w życie kościoły i związki lub wspólnoty wyznaniowe stosują szczegółowe zasady ochrony osób fizycznych w związku z przetwarzaniem”.

Skarżący mają wątpliwości, czy na pewno kościoły i związki wyznaniowe posiadały własne zasady ochrony danych osobowych, które istniały w dniu wejścia w życie RODO (czyli 24 maja 2016 r.), czy też przyjęto taką interpretację, zgodnie z którą kościół lub związek wyznaniowy powinien był przyjąć te zasady przed 25 maja 2018 r. A 25 maja 2018 r. to nie dzień wejścia w życie RODO, lecz rozpoczęcia stosowania przepisów, co potwierdza art. 99 ust. 1 RODO.

Z perspektywy RPO sprawa jest bardzo istotna, przekłada się bowiem na kwestię wskazania właściwego organu nadzorczego. Te kościoły i związki, które nie posiadały w dniu wejścia w życie RODO (24 maja 2016 r.) własnych zasad ochrony danych osobowych, dostosowanych do RODO, podlegają nadzorowi Prezesa Urzędu Ochrony Danych Osobowych.

Dlatego Adam Bodnar przedstawił sprawę ministrowi Markowi Zagórskiemu

VII.501.20.2019