Kiedy RODO ma zastosowanie do przetwarzania danych przez kościoły lub związki wyznaniowe, a kiedy przyjęte przez nie regulacje autonomiczne?

Od 25 maja 2018 r. kościoły lub związki wyznaniowe są zobowiązane do przestrzegania ogólnego rozporządzenia o ochronie danych (RODO). Jednak te kościoły lub związki wyznaniowe, które w momencie wejścia w życie RODO, stosowały już wewnętrzne zasady ochrony danych osobowych, zgodnie z art. 91 ust. 1 RODO mają dalszą możliwość stosowania autonomicznych, szczegółowych regulacji w tym zakresie. Te regulacje muszą być jedynie dostosowane do RODO.

RODO w ten sposób daje możliwość poszanowania autonomii kościołów i związków wyznaniowych o uregulowanym statusie prawnym w RP. W świetle motywu 165 preambuły do RODO, rozporządzenie nie narusza statusu przyznanego kościołom oraz związkom lub wspólnotom wyznaniowym na mocy prawa konstytucyjnego obowiązującego w państwach członkowskich.

W konsekwencji, po 25 maja 2018 r. następujące kościoły lub związki wyznaniowe poinformowały Prezesa UODO bezpośrednio lub za pośrednictwem Rządu RP o stosowaniu odrębnych szczegółowych regulacji o ochronie danych osobowych:

  • Kościół katolicki,
  • Polski Autokefaliczny Kościół Prawosławny,
  • Kościół Adwentystów Dnia Siódmego w Rzeczypospolitej Polskiej,
  • Kościół Ewangelicko-Augsburski,
  • Kościół Ewangelicko-Reformowany w RP,
  • Kościół Boży w Polsce z siedzibą w Krakowie,
  • Społeczność Chrześcijańska Miejsce Odnowienia z siedzibą w Lublinie,
  • Wspólnota Chrześcijańska „Wrocław dla Jezusa”  z siedzibą we Wrocławiu,
  • Kościół Pentekostalny w Rzeczpospolitej z siedzibą w Żorach,
  • Zbór Ewangelicko-Baptystycznego  z siedzibą w Katowicach,
  • Misja Pokoleń z siedzibą w Krakowie,
  • Ewangeliczny Kościół Metodystyczny z siedzibą w Krakowie,
  • Powszechny Kościół Ludu Bożego z siedzibą w Jarocinie.

Przykładem takich szczegółowych zasad ochrony danych osobowych jest „Dekret ogólny w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych w Kościele katolickim”, wydany na podstawie kan. 455 Kodeksu Prawa Kanonicznego przez Konferencję Episkopatu Polski 13 marca 2018 r., podczas 378. Zebrania Plenarnego w Warszawie.

Kościół lub związek wyznaniowy, który nie stosuje wskazanych w art. 91 RODO szczegółowych zasad ochrony danych musi w pełni przestrzegać postanowień RODO.

Jeżeli kościoły lub związki wyznaniowe, które stosują autonomiczne regulacje o ochronie danych osobowych, prowadzą także działalność regulowaną prawem państwowym, to do niej stosuje się bezpośrednio RODO. Dotyczy to np. przetwarzania danych przez prowadzone przez kościoły lub związki wyznaniowe szkoły działające na prawach szkół publicznych, czy przez podmioty mające status organizacji pożytku publicznego, domy pomocy itp. Tak samo będzie gdy podmioty kościelne będą przetwarzały dane osobowe w kontekście prowadzenia działalności gospodarczej.

Warto dodać, że RODO m.in. daje kościołom lub związkom wyznaniowym możliwość przetwarzania szczególnych kategorii danych, do których, zgodnie z art. 9 RODO, zalicza się dane dotyczące przekonań religijnych. W myśl art. 9 ust. lit. d RODO jest to dopuszczalne w ramach uprawnionej działalności prowadzonej z zachowaniem odpowiednich zabezpieczeń przez fundację, stowarzyszenie lub inny niezarobkowy podmiot o celach religijnych, pod warunkiem że przetwarzanie dotyczy wyłącznie członków lub byłych członków tego podmiotu lub osób utrzymujących z nim stałe kontakty w związku z jego celami oraz że dane osobowe nie są ujawniane poza tym podmiotem bez zgody osób, których dane dotyczą.

» RODO w pytaniach i odpowiedziach