Wiele emocji budzi w ostatnich latach kwestia przetwarzania danych osobowych osób, które dokonują aktów apostazji i oczekują całkowitego usunięcia ich danych z kościelnych zbiorów, czyli realizacji prawa do bycia zapomnianym (usunięcia nieaktualnych danych) na podstawie art. 17 RODO (Rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (Ogólne Rozporządzenie o Ochronie Danych lub RODO), które w Polsce obowiązuje od 25 maja 2018 r.)
Kościoły i związki wyznaniowe na podstawie art. 9 RODO mają możliwość przetwarzania szczególnych kategorii danych, do których zaliczane są dane dotyczące przekonań religijnych. Podstawą prawną przetwarzania danych osobowych w ramach ksiąg parafialnych jest art. 9 ust. 1 lit. d RODO, który umożliwia przetwarzania zarówno danych osobowych członków, jak i byłych członków danego kościoła czy związku wyznaniowego.
Temat ten podejmują również media, publikując m.in. opinie dotyczące konieczności bezwzględnego podporządkowania się kościołów i związków wyznaniowych powszechnie obowiązującym przepisom RODO. Osoby dokonujące aktów apostazji często wskazują oprócz chęci opuszczenia Kościoła Katolickiego fakt, że ich wstąpienie do Kościoła nie wiązało się ze złożeniem dobrowolnego i świadomego oświadczenia woli, a wynikało z decyzji podjętej przez ich rodziców w stosunku do dziecka poprzez akt chrztu.
Zagadnienie jest jednak bardziej skomplikowane, gdyż obowiązek stosowania RODO, od 25 maja 2018 r. obejmujący także kościoły i związki wyznaniowe jako administratorów danych osobowych, podlega także uszczegółowieniu na podstawie art. 91 ust. 1 RODO, umożliwiającego kościołom i związkom wyznaniowym stosowanie autonomicznych, szczegółowych regulacji i zasad ochrony danych, jeśli takie były stosowane przez datą wejścia w życie RODO, pod warunkiem ich dostosowania do jego przepisów. Na tej podstawie 15 kościołów i związków wyznaniowych, w tym Kościół Katolicki, Polski Autokefaliczny Kościół Prawosławny, Kościół Adwentystów Dnia Siódmego w Rzeczypospolitej Polskiej, Kościół Ewangelicko-Augsburski, Kościół Ewangelicko-Reformowany w RP i Kościół Chrześcijan Baptystów w Rzeczypospolitej Polskiej, notyfikowały Prezesowi Urzędu Ochrony Danych Osobowych zamiar stosowania takich regulacji wewnętrznych.
Zgodnie z art. 91 ust. 2 RODO, kościoły lub związki wyznaniowe, które stosują szczegółowe zasady ochrony danych osobowych, podlegają nadzorowi niezależnego organu nadzorczego, który może być organem odrębnym. Wszystkie kościoły i związki wyznaniowe, które notyfikowały Prezesowi UODO zamiar stosowania regulacji wewnętrznych skorzystały z prawa do wyznaczenia takich niezależnych organów nadzorczych.
Obowiązek bezpośredniego stosowania RODO przez kościoły lub związki wyznaniowe, które stosują autonomiczne regulacje o ochronie danych osobowych, dotyczy tych obszarów ich działalności, które są regulowane przepisami powszechnie obowiązującymi (np. przetwarzanie danych przez prowadzone przez Kościoły lub związki wyznaniowe szkoły i przedszkola działające na prawach szkół i przedszkoli publicznych, czy też w ramach prowadzonej działalności gospodarczej).
Osoby składające oświadczenie o wystąpieniu z kościoła lub związku wyznaniowego mają prawo wystąpić z wnioskiem o usunięcie swoich danych osobowych do organu nadzorczego powołanego przez ten kościół lub związek wyznaniowy, np. do Kościelnego Inspektora Ochrony Danych w Kościele katolickim.
W przypadku Kościoła Katolickiego podstawą przetwarzania danych osobowych związanych z kanonicznym statusem wiernego jest „Dekret ogólny w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych w Kościele katolickim” z 13 marca 2018 r. Zgodnie z art. 14, prawo do żądania usunięcia danych nie przysługuje jednak w przypadku, gdy dane dotyczą udzielonych sakramentów bądź w inny sposób odnoszą się do kanonicznego statusu osoby. Tego typu wniosek powinien zostać odnotowany w zbiorze i zobowiązuje administratora do niewykorzystywania danych objętych wnioskiem bez zgody ordynariusza miejsca lub wyższego przełożonego instytutu życia konsekrowanego lub stowarzyszenia życia apostolskiego.
Wśród przedstawicieli doktryny prawa nie ma sporu co do faktu, że uznanie statusu przyznanego Kościołom i związkom lub wspólnotom wyznaniowym na mocy przepisów Konstytucji RP oznacza możliwość istnienia i skutecznego stosowania wewnętrznej regulacji takiej, jak art. 14 ust. 4 przywołanego Dekretu dotyczącej przetwarzania danych osobowych pomimo jej rozbieżności z ogólnymi zasadami RODO. Zasada niezależność państwa i Kościoła oznacza bowiem ich prawo do samodzielnego tworzenia własnego systemu prawnego i rządzenia się.
W związku z tym Prezes UODO wydaje postanowienia o odmowie wszczęcia postępowania w przypadku złożenia skargi na brak realizacji prawa do bycia zapomnianym wynikającego z RODO, a członkom kościołów i związków wyznaniowych, w których nadzór nad przetwarzaniem danych osobowych sprawuje organ nadzorczy powołany przez ten kościół lub związek wyznaniowy służy skarga do tego samego organu.
Pomimo wskazanych powyżej okoliczności 19 października 2017 r. Rzecznik Praw Obywatelskich skierował do NSA wniosek o rozstrzygnięcie zagadnienia prawnego, związanego ze sposobem ustalania przynależności do kościoła przez GIODO i dopuszczalności uznania innych dowodów niż odpis aktu chrztu z właściwą adnotacją, z uwagi na to, że od lat do RPO wpływają skargi osób składających oświadczenia woli o wystąpieniu z kościoła lub związku wyznaniowego na fakt dalszego przetwarzania ich danych osobowych przez te podmioty. Wniosek do NSA Rzecznik Praw Obywatelskich uzasadnił obowiązkiem ochrony danych osobowych wynikającym bezpośrednio z art. 51 Konstytucji RP, choć podlegającym do wejścia w życie RODO wyjątkowi od zasady zakazu przetwarzania danych ujawniających przekonania religijne i przynależność wyznaniową, jeżeli jest to niezbędne do wykonania statutowych zadań kościołów, pod warunkiem, że przetwarzanie danych dotyczy wyłącznie członków tych organizacji albo instytucji albo osób utrzymujących z nimi stałe kontakty w związku z ich działalnością i zapewnione są pełne gwarancje ochrony przetwarzanych danych, przewidzianemu w ustawie o ochronie danych osobowych z 29 sierpnia 1997 r. o ochronie danych osobowych obowiązującej do 24 maja 2018 r.
21 maja 2018 r. Naczelny Sąd Administracyjny wydał postanowienie na podstawie art. 267 ustawy Prawo o postępowaniu przed sądami administracyjnymi, w którym wskazał, że nie zostały spełnione przesłanki wymagane do podjęcia uchwały, o którą wnioskował Rzecznik Praw Obywatelskich (sygn. akt I OPS 6/17).Według NSA nie zaistniały bowiem rozbieżności w orzecznictwie sądów administracyjnych, które uzasadniałyby przyjęcie takiej uchwały, a wszelkie dotychczasowe wątpliwości w kwestii interpretacji tych przepisów zostały jednolicie wyjaśnione przez składy NSA w serii wyroków z lutego 2016 r., a w stosunku do innych związków wyznaniowych wiodącym orzeczeniem jest wyrok NSA o sygnaturze I OSK 1968/13[14]. Naczelny Sąd Administracyjny stwierdził w przytoczonym postanowieniu z 21 maja 2018 r., że „GIODO jako organ administracji publicznej nie powinien wkraczać w zastrzeżoną dla Kościoła sferę wykonywania jego zadań statutowych i rozstrzygać kto jest członkiem danej wspólnoty wyznaniowej, ani też ingerować w treść ksiąg kościelnych. Czynności podejmowane w procedurze formalnego wystąpienia z Kościoła katolickiego, w tym adnotacje w akcie chrztu są w całości uregulowane w aktach prawnych Kościoła katolickiego. A zatem, organ ustala przynależność do Kościoła wyłącznie na podstawie dowodu, jakim jest akt chrztu z adnotacją o wystąpieniu z Kościoła. Ustalenie tego faktu na podstawie innych dowodów jest niedopuszczalne”.
Wyrokiem z 25 maja 2022 r. (sygn. akt III OSK 2273/21) Naczelny Sąd Administracyjny potwierdził, że Prezes Urzędu Ochrony Danych Osobowych nie może wyegzekwować usunięcia danych z ksiąg kościelnych- kompetencje w tym zakresie posiada bowiem wyłącznie Kościelny Inspektor Ochrony Danych. NSA wskazał również, że nie ma znaczenia czy obowiązujące w Kościele katolickim przed dniem wejścia w życie RODO reguły dotyczące ochrony danych osobowych stosowane w Kościele katolickim w kwestii prowadzenia ksiąg parafialnych, gdzie z wykorzystaniem danych osobowych odnotowywano fakt udzielenia sakramentu chrztu, zawarcia małżeństwa czy śmierci członków danej wspólnoty religijnej miały charakter skodyfikowany, czy też wynikały powszechnie przyjętego prawa zwyczajowego, bowiem żadne rygory, co do charakteru źródeł prawa, nie zostały zakreślone w art. 91 ust. 1 RODO.
Przyjmując utrwaloną linię orzecznictwa Naczelnego Sądu Administracyjnego oraz poglądy doktryny w kwestii wynikającego z zasady autonomii państwa i kościołów oraz związków wyznaniowych uprawnienia do tworzenia regulacji wewnętrznych dotyczących przetwarzania danych osobowych uważamy, że istnieje pole do pogłębienia i sformalizowania dialogu pomiędzy instytucjami państwa i kościołów w tej sprawie.
Uważamy, że Prezes Urzędu Ochrony Danych Osobowych powinien kontynuować konsultacje z kościołami i związkami wyznaniowymi w obszarze ochrony danych osobowych i w ramach kompetencji przyznanej mu na mocy art. 59 ust. 1 ustawy z dnia 10 maja 2018 r. o ochronie danych osobowych Prezes Urzędu i na podstawie art. 91 i art. 59 ust. 1 RODO zawrzeć porozumienia o współpracy i wzajemnym przekazywaniu informacji z tymi organami nadzorczymi.
Miłosława Zagłoba– radca prawny, stypendystka Prezydenta Miasta Gdańska oraz Foreign & Commonwealth Office i Stefan Batory Trust w Oxfordzie. Wykłada prawo dla studentów Gdańskiego Uniwersytetu Medycznego i przygotowuje doktorat z prawa międzynarodowego publicznego.
