Ubiegłoroczne Boże Ciało mogło przebiec pod hasłem testowania darmowego roamingu oraz dywagacji o tym czy procesja podlega przepisom o ruchu drogowym — dziś tematem nr 1 jest oczywiście RODO, zatem nie sposób pominąć jeszcze jednego ciekawego pytania: czy RODO reguluje sposób w jaki przetwarzane są dane osobowe wiernych?
Odpowiedź przynosi art. 91 RODO, który dopuszcza pewne odrębności w przetwarzaniu danych osobowych swoich członków przez kościoły, związki wyznaniowe i inne wspólnoty wyznaniowe, a mianowicie:
- kościół, który w dniu wejścia w życie rozporządzenia 679/2016 (czyli 25 maja 2018 r.) stosował wewnętrzne regulacje dotyczące przetwarzania danych osobowych, może nadal posługiwać się tymi dokumentami;
- pod warunkiem ich dostosowania do RODO;
- zaryzykuję tezę nieco ponad literę prawa: a jeśli regulacji takiej nie ma i nie było, to kościół może ją utworzyć — rzecz jasna pod warunkiem zgodności z RODO;
- dodatkowym bonusem dla kościoła, który zdecyduje się na wprowadzenie wewnętrznej regulacji, jest możliwość „umknięcia” spod nadzoru PUODO (art. 91 ust. 2 RODO) — mogą bowiem podlegać nadzorowi „niezależnego” organu nadzorczego;
- literalnie rzecz ujmując wydaje się, że taki organ nadzorczy powinien być jeden dla wszystkich kościołów i związków wyznaniowych (ale już nie wspólnot wyznaniowych)
- nie pytajcie mnie jednak od kogo ten organ ma być „niezależny” — od kościołów? czy od PUODO?
- na szczęście jasne jest jedno: kościół, który ma wewnętrznego dokumentu regulującego zasad przetwarzania danych osobowych podlega pod A do Z pod RODO (a co za tym idzie pod nową ustawę o ochronie danych osobowych z 2018 r.) oraz pod nadzór PUODO.
art. 91 RODO (Dz.U. L 119 z 4.5.2016)
Istniejące zasady ochrony danych obowiązujące kościoły i związki wyznaniowe
1. Jeżeli w państwie członkowskim w momencie wejścia niniejszego rozporządzenia w życie kościoły i związki lub wspólnoty wyznaniowe stosują szczegółowe zasady ochrony osób fizycznych w związku z przetwarzaniem, zasady takie mogą być nadal stosowane, pod warunkiem że zostaną dostosowane do niniejszego rozporządzenia.
2. Kościoły i związki wyznaniowe, które stosują szczegółowe zasady zgodnie z ust. 1 niniejszego artykułu, podlegają nadzorowi niezależnego organu nadzorczego, który może być organem odrębnym, z zastrzeżeniem że spełnia warunki określone w rozdziale VI niniejszego rozporządzenia.
I teraz najlepsze: do czego sprowadzać się może powinność stosowania się kościołów do GDPR? Chyba najciekawiej prezentuje się prawo do zapomnienia (wykreślenia danych o chrzcie, formalnego wykreślenia jako członka kościoła), którego w dotychczasowym orzecznictwie polskich sądów jednostce odmawiano.
Z drugiej jednak strony nie da się ukryć, że jak wszyscy będą musieli wszystko zapominać (usuwać informacje z archiwów), to może się okazać, że badacze przeszłości za ileś tam lat będą mieli niezły ambaras z rzetelnym ustaleniem co się właściwie u nas teraz działo.
Ale to jest jakby inna para kaloszy.